客戶機密資料外洩事件頻傳 美國AT＆T 8月底也被駭

2025年12月初，澳洲數位轉型局（Digital Transformation Agency，下稱DTA）發布《政府負責任使用AI政策2.0》（Policy for the responsible use of AI in Government 2.0），旨在進一步強化公部門在AI的透明度、問責性與風險管理能力，於2025年12月15日生效，取代 2024年9月實施的過渡版本。 一、適用範圍 政策適用於所有非企業型聯邦實體（Non-corporate Commonwealth entities），即不具獨立法人地位、直接隸屬於政府的機關或單位。企業型聯邦實體則被鼓勵自願遵循。政策定位為「補充與強化既有法制」，非另訂獨立規範，因此在實務中須與公務員行為準則、資安規範及資料治理制度併行適用。 二、政策重點 在政策施行的12個月內，適用機關須完成以下要求，以確保落實AI治理架構： （一）制度建置 1. AI 透明度聲明：機關須在政策生效後 6 個月內發布「AI 透明度聲明」，公開 AI 使用方法與現況。聲明中須說明機關風險管理流程、AI 事件通報機制及內外部申訴管道，確保使用過程透明、可追蹤。 2. 人員指定與培訓： 機關須指定制度問責人員（Accountable officials）以及AI使用案例承辦人（Accountable use case owners）。 所有員工皆須進行關於負責任使用AI的培訓，機關並依員工職務權責提供個別員工進階訓練。 3. 建立內部AI使用案例註冊清單（Internal AI use case register），以供後續追蹤 該清單至少包含： （1）使用案例負責人（Accountable use case owners）：記錄並持續更新範疇內 AI 使用案例的指定負責人。 （2）風險等級（Risk rating）：AI使用案例的風險等級資訊。 （3）異動紀錄：當使用案例的風險評級或負責人變更時，須即時更新清單。 （4）自定義欄位：各機關可根據其需求，自行增加欄位。 （二）AI 使用案例範疇判斷 機關須在評估所有新案例，依以下特徵判斷AI應用是否屬於「範疇內（In-scope）」的應用： 1.對個人、社群、組織或環境造成重大損害。 2.實質影響行政處分或行政決策。 3.在無人工審查的情況下，大眾將直接與AI互動或受其影響。 4.涉及個人、敏感資料等資訊。 （三）進階風險評估 依AI影響評估工具（Impact Assessment Tool）針對公眾近用權；不公平歧視；加重刻板印象；損害人、組織或環境；隱私顧慮；資料敏感之安全顧慮；系統建置之安全顧慮；公眾信任等8類別，加以判斷範疇內AI應用，若有任一類別被評為「高風險」，即判定為「高風險」；若所有類別中最高的分數為「中風險」，則整體判定為中風險。 判定為中、高風險之AI應用，均需進行全面審核。中風險須列出所有中風險項目及其控管措施，主要為內部控管；而高風險則要求向DTA報告，且每年至少進行一次全面審核與風險再評估。 澳洲欲透過發布AI透明度聲明、更新AI使用案例註冊清單、強制執行AI應用之風險評估及人員培訓，確保公部門對AI的負責任使用與問責。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，落實AI資料管理與追蹤。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　日本經濟產業省與國土交通省共同組成的「空中移動革命之官民協議會」（空の移動革命に向けた官民協議会），於2018年12月20日第4次會議中公布《空中移動革命藍圖》（空の移動革命に向けたロードマップ，以下簡稱「本藍圖」），期待飛天車（electric vertical take-off and landing, eVTOL）的實現可在都市交通阻塞時或欲前往離島、山間地區等情形下，提供新移動方式，也可運用於災害時的急救搬運及迅速運送物資等。 　　本藍圖之「飛天車」係電動垂直起降型的自動駕駛航空機，外型近似直升機，並規劃三條發展路線：實際應用目標、制度及標準之整備、機體及技術之研發。從實際應用目標出發，本藍圖規劃自2019年開始進行飛行測試和實證實驗，以2023年投入運用為目標。首先從運送「物品」開始進展到「部分地區的乘客」，2030年代將再進一步擴大實用到「都市中的乘客」。也可應用於災害應變、急救、娛樂等方面。 　　為了實現上述目標，即需整備機體安全性、技能證明等及未來投入商業應用時所需之各項標準及制度。當然機體及技術之研發也相當重要，透過試作機研發確保並證明機體安全性及可靠性、自動飛行之機上及地面管理系統、確保達到商業化程度的飛航距離及靜肅性之技術。並設定於投入應用後的2025年開始，重新檢討制度及提升技術。

　　歐盟法院（ECJ- the Court of Justice of the European Communities）於11月28日針對Intel v CPM一案宣告，對於著名商標侵害的認定參考英國上訴法院（the Court of Appeal-England and Wales）的初審裁定「著名商標持有人得中止近似商標使用於完全非類似的產品或服務上，只要能舉證近似商標之使用造成對著名商標持有人的侵害並有實質的經濟影響」。   　　本案原告為Intel Corporation Inc. 註冊「Intel」為英國商標，指定使用於第9類電子商品、第16類文具商品、第38類通訊服務、及第42類電腦軟硬體設計服務，其中並在電腦微處理器及軟體等電子產品上更為全球知名的商標；CPM united Kingdom Ltd. 註冊「INTELMARK」為英國商標，指定使用於第35類的行銷及遠距行銷等廣告服務，Intel主張CPM使用INTELMARK為商標將有致侵害及淡化Intel商標的使用，並產生不正利益。惟英國商標局（Trade Mark Registry Hearing Officer）駁回Intel之申請案，且英國上訴法院初審判決維持原判，並向歐盟法院提出著名商標認定標準。   　　歐盟法院此次對著名商標的認定，將使著名商標持有人以後如果要保障其商標名稱不被稀釋，必須提出下列證明：1. 前商標（即著名商標）與後商標（近似商標）間必須有一定的關聯性；2. 後商標會使一般消費者產生對前商標的聯想；3.前商標與後商標所註冊的商品間並不一定要類似；4.後商標的使用造成不正利益或侵害前商標持有人的商譽。   　　本案將待英國上訴法院判決宣判後確定。

　　自西元2017年1月以來，英國稅務海關總署（Her Majesty's Revenue and Customs, HMRC）開始要求英國民眾使用線上語音方式進行身分認證，而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室（Information Commissioner's Office, ICO）深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形： 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時，未能給予民眾自由行使同意或拒絕權利的機會。 　　英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則（General Data Protection Regulation, GDPR），根據歐盟一般資料保護規則，英國稅務海關總署在蒐集、處理或利用民眾個人資料時，必須合法、公正及透明，並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 　　本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法（The Data Protection Act 2018），英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆，但絕不能以犧牲民眾的隱私為代價，同時也隱約透露著：「沒有一個組織（包含政府機關）能夠凌駕於法律之上。」。