經濟部推動奈米標章，第一個奈米標章即將在今年發出

　　歐盟執委會（European Commission）於2021年4月21日提出「人工智慧法律調和規則草案」（Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts）（簡稱AI規則草案），旨在平衡「AI運用所帶來的優勢」與「AI對個人或社會所帶來的潛在負面衝擊」，促使會員國在發展及運用AI時，能採取協調一致的態度及方法，共同維護歐洲公民基本權利與歐盟價值。 　　歐盟自2019年起即倡議發展「值得信賴的AI」（Trustworthy AI）。AI規則草案之提出，除了落實執委會2019年至2024年之政策願景外，亦呼應2020年歐洲議會（European Parliament）之建議—針對AI應用之機會與利益採取立法行動，並確保合乎倫理原則。惟鑒於歐盟在環境、健康、公共事務、金融、交通、農業等領域對AI應用之高度需求，以及企業仰賴AI技術提升競爭優勢等因素，執委會係以「風險為基礎」之概念取向（risk-based approach）制定AI規則草案，避免對新技術發展造成不必要的限制或阻礙。 　　本規則草案將AI系統，依其「對歐盟基本權利或價值所創造的風險程度」，分為下列三種類型，並施以不同程度的監理方式： 一、不可接受之風險：原則上禁止使用此類型AI系統或使其進入歐盟市場。例如：利用潛意識技術操控個人、在公共場合利用「即時遠端生物辨識系統」進行執法、公務機關普遍對個人進行社會評分等。 二、高風險：於附錄中列出所謂高風險AI系統，要求高風險AI系統之提供者遵循風險管理、資料治理、文件紀錄保存、透明性與資訊揭露、人為監督、健全性、準確性與資安等要求；且AI系統進入歐盟市場前，需進行符合性評估（conformity assessment），進入市場後，則需持續監控。 三、非不可接受之風險亦非高風險：鼓勵AI系統提供者或使用者，自願建立行為準則（codes of conduct）。 　　AI規則草案亦鼓勵會員國建立AI監理沙盒（regulatory sandbox）機制，且以中小企業、新創公司為優先對象，使創新AI系統進入市場之前，能於可控環境中依明確計畫進行開發、測試與驗證。

　　歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive，簡稱PSD，Directive 2007/64/EC)修正案，簡稱PSD2。最新消息指出，PSD2將無法在本屆歐洲議會審議完成，需於五月歐洲議會改選後，在新一屆的議會中再行審議。 　　PSD公布施行於2007年，該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度，活絡支付市場的競爭，提供消費者更多的選擇，並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 　　本次歐盟提出修正案，其修正目標包含： 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 　　實際做法，PSD2大致有以下修正重點: 一、因應科技發展及時代變遷，擴大適用範圍： (一)提出「第三方支付服務提供人(third party payment provider，簡稱TPP)」之名詞定義，並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義，第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易，而支付的進行也是透過電信或IT系統或網路營運人，而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞，對照於附件一(Annex I)第七款中，係指： 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務； 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接，從銀行帳戶扣款進行支付；或者是與信用卡界接，進行扣款。 依照PSD2，TPP為支付服務提供者(Payment service providers, 簡稱PSPs)，因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付，如果單筆支付金額超過50歐元，或者是月支付金額超過200歐元，也應適用PSD2。 二、強化資安要求： (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security，簡稱NIS Directive)」，PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority，簡稱EBA)將與歐洲央行(ECB)密切合作，提出資訊安全指導原則(guidelines)，以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護： (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者，PSD2則要求對於涉及第三國以及外幣之交易，只要有任一支付服務提供者是在歐盟境內，都要適用。 (二)只要支付未經授權，應立即退款給付款方。 (三)保障無條件退款權，但是如果商品或服務已經完成消費則不在此限，例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易)，額度從原本的150歐元下調為50歐元。 對於客訴爭議，PSPs應於15個工作日內以書面回覆。

　　雖然微軟才針對「Internet Explorer」弱點「CVE-2012-1875」剛公佈修補程式不久，但針對「CVE-2012-1875」的為攻擊目標的網路攻擊正在發生。 　　因為作業準則（PoC）也已經公佈，有可能會發展成大規模的網路攻擊。日本IBM的Tokyo SOC也已經確認發生針對脆弱性的惡意攻擊，並將攻擊的報告公佈在該中心的部落格上。經該中心分析現在攻擊的範圍雖然「非常限縮」，但是標的型攻擊的可能性非常的高。 也正因為作業準則（PoC）也已經公佈，也將被預測到發生大規模攻擊，微軟也呼籲儘速下載修補程式對程式弱點進行修補，避免遭到攻擊 。 　　微軟針對「CVE-2012-1875」的弱點在6月13日每月定期公佈的資訊安全性更新程式「MS12-037」進行修補。在6月13日公佈的時間點雖然已經確認發生惡意攻擊的資訊安全安事件，也已經透過非公開管道向微軟報告，但微軟並沒有公開確認弱點的存在。