經部拉抬矽產量打造太陽能產業

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

　　據統計，英國因為盜版軟體的猖獗，每年損失高達16億英鎊，且有持續上升之趨勢。為遏止網路侵權行為，英國高等法院（the High Court）日前命令該國包含BT、NTL、Telewest等10家ISPs業者，需提供用戶資料以協助權利人進行網路侵權行為案件之調查。 　　本案源自於反盜版聯盟（ Federation Against Software Theft，簡稱Fast）於2005年1月之要求。FAST經過長達一年之調查，鎖定了150個利用P2P軟體非法進行資料分享之個人，為進一步取得渠等之個人資料，Fast於日前請求英國法院，命令各該業者交出相關侵權者之資料。高等法院根據資料保護法（Data Protection Act）之規定，同意Fast之請求，下令ISPs業者必須在兩個禮拜內提供侵權行為人之姓名、地址與其他個人詳細資料，以利Fast會同警察及檢察官進一步調查侵權情形並提起告訴。 　　目前軟體業者對於網路盜版軟體之處理方式，大多是透過『通知即取下』（ Notice and Take-down）程序，要求網站業者協助，將侵權軟體刪除或移除連結，但遭取下之連結，隨時有可能在其他網站上再次被公布，並無法真正解決侵權行為之問題。唯有直接將侵權者繩之以法，始可能達到嚇阻之效果。但權利人卻往往礙於難以取得侵權者之真實姓名與聯絡方式，而無法對侵權者有效提起民刑事訴訟以維護其權利。Fast表示，此次行動只是其策略的第一步，最終希望能達到在發現網路侵權行為發生之當下，便能立即要求ISPs業者提供該侵權行為者之資料。 　　若侵權行為罪名成立，這些透過 P2P 軟體進行網路侵權行為者將可能被處以 2 年以下有期徒刑或無上限之罰金。

　　歐盟執委會於2019年6月正式通過「歐盟網路與資訊安全局暨網路安全認證規則(EU Regulation on ENISA and Cyber Security Certification)(Regulation (EU) 2019/881)。規則新增歐盟網路與資訊安全局（European Union Agency for Network and Information Security,ENISA）之職責，負責推行「網路安全認證機制(European cybersecurity certification scheme)」。 　　網路安全認證機制旨在歐盟層面針對特定產品、服務及流程評估其網路安全。運作模式是將產品或服務進行分類，有不同的評估類型（如自行評估或第三方評估）、網路安全規範（如參考標準或技術規範）、預期的保證等級（如低、中、高），並給予相關之認證。為了呈現網路安全風險的程度，證明書上可以使用三個級別：低、中、高（basic，substantial，high）。若資訊安全事件發生時，對產品、服務及流程造成影響時，廠商應依據其產品或服務之級別採行相對應的因應對策。若被認證為高等級的產品，則表示已經通過最高等級的安全性測試。 　　廠商之產品或服務被認可後會得到一張認證書，使企業進行跨境交易時，能讓使用者更方便理解產品或服務的安全性，供應商間能在歐盟市場內進行良好的競爭，從而產生更好的產品及性價比。藉由該認證機制所產生的認證書，對於市場方將帶來以下之效益： 一、產品或服務的提供商（包括中小型企業和新創企業）和供應商：藉由該機制獲得歐盟證書，可以在成員國中提升競爭力。 二、公民和最終使用者（例如基礎設施的運營商）：針對日常所需的產品和服務，能做出更明智的購買決策。例如消費者欲購買智慧家具，就可藉由ENISA的網路安全認證網站諮詢該產品網路安全資訊。 三、個人、商業買家、政府：在購買某產品或服務時，可以藉此機制讓產品或服務的資訊透明化，以做出更好的抉擇。