英國最新追蹤定位服務恐引發新一波隱私爭議

　　中國大陸首例因在網絡遊戲中花重金組建的團隊遭遇離奇解散，導致來自多個省市的遊戲玩家聯手於河南省對網絡遊戲運營商提起訴訟。   　　代表玩家提出訴訟的原告在《魔域》中投入許多時間與金錢，建立「情誼無痕」軍團，最高時軍團人數達2000餘人。由於軍團的升級和日常維護開支需要眾玩家共同出力出錢，「情誼無痕」被無故被解散所影響的玩家人數眾多。   　　被告網龍公司主張遊戲帳號註冊時所輸入的身份證並非原告本人、服務器電腦記錄顯示有人登錄「落花有意」帳號並將「情誼無痕」軍團解散，由此可推斷該帳號曾有兩人以上使用，故不能排除該帳號曾借與朋友使用或被他人盜號使用而將軍團解散。   　　每法官與原被告雙方進行調解，因雙方意見分歧，最終未達成調解協議。玩家表示如果網龍公司不能給予合理的答覆，他們將聯合分佈在全國各地的其他玩家陸續不斷地起訴網龍公司。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

經濟合作與發展組織（Organisation for Economic Co-operation and Development, OECD）於2023年2月23日發布《促進AI可歸責性：在生命週期中治理與管理風險以實現可信賴的AI》（Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI）。本報告整合ISO 31000：2018風險管理框架（risk-management framework）、美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）人工智慧風險管理框架（Artificial Intelligence Risk Management Framework, AI RMF）與OECD負責任商業行為之盡職調查指南（OECD Due Diligence Guidance for Responsible Business Conduct）等文件，將AI風險管理分為「界定、評估、處理、治理」四個階段： 1.界定：範圍、背景、參與者和風險準則（Define: Scope, context, actors and criteria）。AI風險會因不同使用情境及環境而有差異，第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人，並就各角色適用適當的風險評估準則。 2.評估：識別並量測AI風險（Assess: Identify and measure AI risks）。透過識別與分析個人、整體及社會層面的問題，評估潛在風險與發生程度，並根據各項基本價值原則及評估標準進行風險量測。 3.處理：預防、減輕或停止AI風險（Treat: Prevent, mitigate, or cease AI risks）。風險處理考慮每個潛在風險的影響，並大致分為與流程相關（Process-related）及技術（Technical）之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序，後者則與系統技術規格相關，處理此類風險可能需重新訓練或重新評估AI模型。 4.治理：監控、紀錄、溝通、諮詢與融入（Govern: Monitor, document, communicate, consult and embed）。透過在組織中導入培養風險管理的文化，並持續監控、審查管理流程、溝通與諮詢，以及保存相關紀錄，以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督，並能夠更廣泛地在不同類型的組織中建立相應機制。

　　美國現任總統川普（Donald J. Trump）於美國時間2020年12月4日簽署物聯網網路安全法（IoT Cybersecurity Improvement Act of 2020），針對美國聯邦政府未來採購物聯網設備（IoT Devices）制定了標準與架構。 　　該法要求美國國家標準技術研究院（National Institute of Standards and Technology, NIST）應依據NIST先前的物聯網指引中關於辨識、管理物聯網設備安全弱點（Security Vulnerabilities）、物聯網科技發展、身分管理（Identity Management）、遠端軟體修補（Remote Software Patching）、型態管理（Configuration Management）等項目，為聯邦政府建立最低安全標準及相關指引。如果使用政府機關所採購或獲取之物聯網設備無法遵守NIST制定的標準或指引，則不得續簽採購、獲取或使用該設備之契約。 　　安全標準和指引發布後，美國行政管理和預算局（the Office of Management and Budget）應就各政府機關的資訊安全政策對NIST標準的遵守情況進行審查，NIST每五年亦應對其標準進行必要的更新或修訂。此外，為促進第三方辨識並通報政府資安環境弱點，該法要求NIST針對聯邦政府擁有或使用資訊設備的安全性弱點制定通報、整合、發布與接收的聯邦指引。 　　雖然該法適用範圍限於聯邦政府機關，惟因該法限制聯邦政府機關採購、獲取或使用不符合NIST標準或指引的物聯網設備，將促使民間業者為獲取美國政府訂單而選擇遵循NIST標準，未來該標準可能成為美國物聯網安全的統一標準。