有效開放：西進40％上限有條件鬆綁

　　美國行政管理預算局（United States Office of Management and Budget, OMB）於2020年1月發布「人工智慧應用監管指南（Guidance for Regulation of Artificial Intelligence Applications）」備忘錄草案。該備忘錄草案係基於維護美國人工智慧（AI）領導地位之目的，而依據美國總統川普（Donald John Trump）於2019年2月簽署之「維持美國人工智慧領導地位（Maintaining American Leadership in Artificial Intelligence）─行政命令13859號」，並在啟動美國人工智慧計畫後180天內，經OMB偕同科技政策辦公室（Office of Science and Technology Policy, OSTP）、美國國內政策委員會（United States Domestic Policy Council）與美國國家經濟委員會（National Economic Council）與其他相關機構進行協商，最後再由OMB發布人工智慧應用監管指南備忘錄草案，以徵詢公眾意見。 　　該備忘錄草案不僅是為了規範新型態AI應用技術，更希望相關的聯邦機構，在制定AI應用產業授權技術、監管與非監管方法上，能採取彈性的制定方向，以避免過度嚴苛的規定，反而阻礙AI應用的創新與科技發展，繼而保護公民自由、隱私權、基本權與自治權等價值。同時，為兼顧AI創新與政策之平衡，應以十大管理原則為規範制定之依據，十大管理原則分別為： 培養AI公眾信任（Public Trust in AI）； 公眾參與（Public Participation）； 科學研究倫理與資訊品質（Scientific Integrity and Information Quality）； AI風險評估與管理（Risk Assessment and Management）； 獲益與成本原則（Benefits and Costs）； 彈性原則（Flexibility）； 公平與反歧視（Fairness and Non-Discrimination）； AI應用之揭露與透明化（Disclosure and Transparency）； AI系統防護與措施安全性（Safety and Security）； 機構間之相互協調（Interagency Coordination）。 　　此外，為減少AI應用之阻礙，機構制定AI規則時，應採取降低AI技術障礙的方法，例如透過聯邦資料與模型方法來發展AI研發（Federal Data and Models for AI R&D）、公眾溝通（Communication to the Public）、自發性共識標準（Voluntary Consensus Standards）之制定及符合性評鑑（Conformity Assessment）活動，或國際監管合作（International Regulatory Cooperation）等，以創造一個接納並利於AI運作的環境。

　　日本從事農業者高齡少子化以致後繼無人，農業ICT（Information and Communication Technology）可使資深農民內隱知識外顯化而利於經驗傳承，例如已有地區透過除草機器人、自動運行農機等ICT農機，蒐集稻米收穫質量之數據進行分析，實作出施肥最適條件的成功案例。 　　然而成功案例之數據利用，延伸至其他地區實踐時卻顯得窒礙難行。首先是成本面，農場計測溫溼度等數據之感測器的設置、管理維護與通信等成本負擔，宛如藏寶洞前豎立之石門，不得其門而入。另一造門磚是農機或感測器等不同業者之系統服務互不相容，且數據無法互換共用，為求最適合特定地區與農作物之農業ICT組合，且能移植成功案例至其他地區，系統相容數據共用亦是當務之急。 　　日本農業數據協作平台（簡稱WAGRI），可為大喊芝麻開門之鑰，日本於2017年內閣府計畫支持下，由農業生產法人、農機製造商、ICT供應商、大學與研究機關等組成聯盟，一同建置具備「合作」（打破系統隔閡使數據得以相容互換）、「共有」（數據由提供者選定分享方式）、「提供」（由公私部門提供土壤、氣象等數據）三大功能之WAGRI，今年已有實作案例指出，活用WAGRI後，在數據蒐集與利用上的勞力與時間成本明顯縮減。 　　台灣農業同樣面臨高齡化、傳承之困境，日本WAGRI整合與共享數據的模式可作為我國發展農業ICT活用數據之參考。

　　由於開放原始碼的風氣盛行，使得許多 軟體業者 在使用開放原始碼軟體開發自家的軟體產品時，常不小心 逾越開放原始碼的授權範圍而陷身於 侵權的風險中。大抵一般比較常見的侵權情形，如企業開發專有軟體時， 利用單一或多樣以上的開放原始碼元件來建置，如交易工具或財產庫存管理應用程式等，而將這些程式流通於內部企業網路或是傳遞給外部客戶使用時，已構成”散佈”行為，是觸犯了開放原始碼 GPL （ General Public License ，通用公共許可 ）授權 。 　　日前位於紐約的 開放原始碼風險管理公司（ Open Source Risk Management ， OSRM ）結合 Lloyd's 保險業者 Kiln 及 Miller 保險經紀公司推出開放原始碼保單來承擔企業使用開放原始碼的風險，該保險單最高賠償金額為 1000 萬美元。平均而言，企業若是投保 100 萬美元的保單，每年大約必須支付 2 萬美元的保險費。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。