歐盟將研修REACH有關規定 強制含有奈米物質產品之標示
隨著奈米產品的日漸普及與多樣化,歐盟考慮近期法制化奈米產品的標示要求,未來將於歐盟「化學物質登記評估授權及限制規則」(Registration, Evaluation, Authorisation and Restriction of Chemicals,簡稱REACH)中有關化學物質登記事項強制要求奈米消費產品的標示,以確保奈米物質的可追溯性(traceability)。
歐盟會員國部長級會議—歐盟理事會(The Council of the European Union,亦以拉丁文簡稱Consilium)作為歐盟層級主要的決策機關,為了政策協調的一致性與長期穩定性自2007年起採三國為一組的方式輪值擔任主席國(trio presidencies),每一國負責六個月的期間,主席國扮演推動立法與政策決定的推手角色並負責歐盟會員國共識的達成,2010年7至12月由比利時擔任歐盟理事會的主席。有關奈米物質產品管理政策,可由日前比利時氣候與能源部長並負責消費者與環境保護的Paul Magnette公開表示的談話中窺見未來歐盟法規調整的大方向:「奈米物質逐漸普及於消費產品與各種日常用品,但是我們對奈米物質的了解卻很匱乏。雖然對於在歐盟日益增加的奈米物質使用無須過渡緊張,但是我們仍有義務在最小限度內做到應有的檢視以確保環境與健康安全。因此,目前缺乏事前警告與標示其成分及潛在毒性的奈米技術發展是無法令人接受的」。
奈米產品製造商宣稱目前尚無任何證據顯示奈米產品對人體有危害,因此,歐盟官方在採取強制標示相關規定以前如擬暫停奈米產品的生產亦可能遭遇極大阻力,然而Magnette同時表示,如對奈米產品採取「沒有(安全)證據就沒有市場(no data, no marke)」的政策也可能太過限制,但是目前對於奈米產品只是宣稱其優點的產業現況,確實太過扭曲消費者應被充分告知資訊的權利。他強調,如生產方不盡力將奈米產品的潛在風險降到最低,奈米產品可能如同基改作物(GMO)一樣被民眾摒棄於歐盟市場之外。
在2011年底以前歐盟執委會(The European Commission)將完成第二輪的歐盟法規檢視,執委會企業與工業委員會主管化學政策官員Maila Puolamaa表示,奈米物質的管理將會納入REACH有關法制中,這部分將會成為現階段法規檢視的重點之一。年產量一公噸以下的奈米物質登記將會簡化,奈米產品上市也應自動標示其成分。Magnette表示比利時推動REACH法規檢視會以幾個方向為重點:第一,要求奈米產品強制標示以使消費者了解其所購買產品含有奈米物質;第二,確保生產鏈的可追溯性以能追溯奈米物質的源頭;第三,確立歐盟的適當的風險管理與評估法規;第四,鼓勵各國儘速自行負責建立自己的評估、管理與資訊監控作法以因應此波奈米快速發展時期的變化;第五,奈米產品標示的項目法制化等。
本文為「經濟部產業技術司科技專案成果」
陳世傑
組長 編譯整理
European Commission,http://ec.europa.eu/nanotechnology/index_en.html,最後瀏覽日:2010年09月25日
The Belgian Presidency of the Council of the European Union ,2010年09月14日,http://www.eutrio.be/pressrelease/regulation-products-containing-nanomaterial-traceability-pre-condition-acceptability,最後瀏覽日:2010年09月25日
The Belgian Presidency of the Council of the European Union ,2010年09月14日,http://www.eutrio.be/towards-regulatory-framework-traceability-nanomaterials,最後瀏覽日:2010年09月25日
The Council of the European Union,2010年09月25日,http://www.consilium.europa.eu/showPage.aspx?id=242&lang=en,最後瀏覽日:2010年09月25日
2026年3月1日,日本人工智慧(AI)安全研究所(Japan AI Safety Institute, J-AISI)發布《首席AI長指引 1.00版》(Chief AI Officer Guidebook (Version 1.00),下稱指引)與《首席AI長設置與AI治理實施實務手冊 1.00版》(Practical Manual for Establishing a Chief AI Officer and Implementing AI Governance (Version 1.00),下稱實務手冊)。兩份文件旨於促進AI時代下的永續企業經營(sustainable business operations),提升產品與服務品質、建立客戶與使用者的信任。 一、指引與實務手冊概覽 指引內容包含設立「首席AI長」(Chief AI Officer, CAIO)職位之目的、職責。實務手冊內容則進一步指出一種組織模式,其中首席AI長為獨立的高階主管,直接向執行長匯報,並在首席AI長下設立AI治理辦公室,以及建議設立一個「跨部門AI指導委員會(Company-wide AI Steering Committee)」,成員包括首席AI長、首席資料長、首席資訊長、首席技術官、首席資訊安全官、法律合規部門、資料保護官、人力資源部門以及關鍵業務部門。各業務部門與系統所有者應依照既有標準運作,並向人工智慧治理辦公室和資料治理組織提供必要資訊。 二、將AI特定風險納入資料治理框架:降低幻覺與偏見之具體作法 在AI系統的生命週期中,資料品質影響決定模型效能、可解釋應與透明度。 首席AI長的職責為整合AI、資料與技術策略,於確保企業信任與風險管理之基礎下,驅動企業創新與數位轉型,並最大程度提升企業價值。因此,首席AI長應與首席資料長、法務部門協調,規範資料的生命週期、設定品質指標(Quality Metrics),並嚴格核實第三方素材授權(licenses for third-party materials)。 以下介紹文件建議之AI資料生命週期(資料蒐集)之管理作法: (一)區分資料用途:針對每個使用案例與模型,區分(1)AI模型訓練用資料;(2)AI訓練完成後,用於驗證與評測模型產出品質的評估資料(evaluation data),此類資料不參與模型的優化調整,僅客觀確認模型的準確度;(3)於AI模型運行過程中,使用者輸入的資料(data entered during inference),包含提示詞、上傳的文件及系統日誌(Logs)。 (二)資料分類:企業應依資料機敏程度進行分類,如機密、個資、內部及公開資訊等分類,以便加以定義資料之蒐集方式、儲存方式、資料遮罩要求(masking requirement,包含去識別化),以及控管資料傳輸至外部AI服務之權限。 (三)落實可追溯性與透明度文件:應透過實務手冊18.3之資料表(Datasheets)進行標準化記錄,包含 1. 基本資訊,如資料及名稱與版本;資料所有者;資料建立日期、最後更新日期等。 2. 目的與使用範圍,如資料集的用於訓練、評估、優化等;資料使用範圍限內部,或可對外提供等。 3. 組成與範圍,如記錄資料筆數與特徵概況;目標期間、區域與族群,如年齡、產業;資料格式,如文字/影像/音訊等。 4. 資料來源與蒐集方法,包含資料來源(內部系統、客戶提供的資料、公開資料、供應商提供的資料等);資料蒐集方法(日誌、調查、網路爬蟲等);是否取得資料主體同意等。 5. 資料品質與預處理(preprocessing),包含:紀錄去識別化等資料轉換流程;規範資料標記之品質管理機制。 6. 代表性與偏見,如列出AI預期使用情境與目標客群的一致性;特定性別、年齡、地區是否存在代表性不足的偏差等。 7. 隱私與法源依據,如資料是否包含個人資料或敏感資訊;資料處理之法律依據,如資料主體同意、契約等;採取之隱私保護措施,如去識別化等。 8. 授權、權利與資料反覆使用之條件:使用條件,如授權條款、是否允許商業使用等。 9. 安全性與存取控制:儲存位置,如資料中心、雲端或本地以及是否加密;資料之存取權限,如控管檢視、編輯、匯出等權限。 10. 資料保存與銷毀:記錄訓練資料、評估資料、輸入資料等不同類型資料之儲存期限,並規定如儲存期限過後,需以不可回復之方式銷毀資料,或必要時,應匿名後歸檔等規定。 三、接軌國內實務:企業可參考EDGS規範健全AI風險管理需求 面對AI資料生命週期管理,建議我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》。EDGS同樣強調數位資料歷程管理,從資料生成、保護到維護的管理流程,有效強化資料的完整性。透過導入EDGS,企業不僅能提升內部創新、數位轉型,更能在面對AI糾紛時,提供歷程紀錄,從源頭端落實首席AI長所要求的循證治理目標。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國聯邦貿易委員會與臉書就隱私議題達成和解臉書(Facebook)於今年11月底與美國聯邦貿易委員會(FTC)就2009年的隱私權控訴案達成和解。該控訴案指出「臉書欺騙消費者其在臉書上的資訊可以保持隱私,然而卻一再任這些資訊被公開分享與使用」。舉例而言,在2009年12月,臉書改版時未預先通知使用者進行設定,導致使用者的朋友名單被公開。除此之外,擁有全球8億用戶的臉書,允許廣告商在臉書使用者點選廣告時,蒐集其個人身分資訊。另外,縱使臉書的使用者將帳戶刪除,其照片等等影音資料仍能夠被該公司讀取。臉書的這些行為被聯邦貿易委員會指出,這是不公正的詐欺行為(unfair and deceptive)。 聯邦貿易委員會最終與臉書達成和解,未施加任何罰緩,也未指控臉書蓄意地違反任何法規。依照和解內容,臉書必須要在接下來的二十年內,每兩年一次受獨立公正第三人稽核其隱私保護措施。但假設臉書在未來違反了這些和解條款,臉書將被處以每行為每日16,000美元的罰緩。推特(Twitter)以及谷歌(Google)近來也與聯邦貿易委員會達成了類似的協議。 聯邦貿易委員會要求臉書必須要取得使用者「確切的同意」才可以變更其本身的隱私使用設定。比如說,假設使用者設定某些內容只能供「朋友」讀取,臉書就不能夠把這些內容提供給「朋友」以外的人,除非取得使用者的同意。
歐盟執委會發布歐洲資料戰略歐盟執委會於今(2020)年2月19日發布「歐洲資料戰略」(A European strategy for data),宣示繼前一期「歐洲數位單一市場」戰略的基礎下,將於新一期戰略建立一個真正的歐洲資料空間及資料單一市場,以解鎖尚未被利用的個人資料及非個人資料,使資料能夠在歐盟內部、跨部門和跨領域自由流動,並使所有公部門、公民,或新創、中小、大企業都可存取資料及利用。 本戰略就此提出四大戰略行動,重點如下: 1、資料存取(Data Access)和利用的跨部門治理框架 (1)2020年第四季提出「共同歐洲資料空間」(common European data spaces)的治理立法框架:A.加強共同資料空間及其他跨公私部門資料利用方式的治理機制;B.於GDPR基礎下,基於科學研究目的利用敏感個資時,能較容易決定可以由誰如何利用哪些資料;以及使個人更容易同意其個資的公益目的利用。 (2)2021年第一季通過開放資料指令(Directive (EU) 2019/1024)的高價值資料集「施行細則/執行法」(implementing acts)。 (3)2021年提出《資料法》(Data Act)草案促進企業對政府的資料共享;以及解決現今企業間資料共享常遇到的障礙,例如多方合作建置資料時(如物聯網),釐清各方的資料使用權限及各自的法律責任。 2、推動方式:投資歐洲資料空間重大項目,以加強歐洲處理和使用資料的基礎設施及能力、加強資料互通性等。 3、加強個人資料管理:在GDPR第20條的可攜權(portability right)基礎下,於《資料法》賦權個人更能控制自己被政府及企業所掌握的個資,並使個人能自己決定由誰存取和利用。另外,將由數位歐洲計畫開發「個人資料空間」。 4、促進戰略性產業領域及公益領域的共同歐洲資料空間:歐盟執委會將協助建立包含「共同歐洲工業(製造)資料空間」(Common European industrial (manufacturing) data space)在內的9種領域共同歐洲資料空間,本戰略亦於附件介紹各領域的資料共享基礎背景。 另外,雖非戰略主軸,但文件內容及新聞稿皆提及,執委會將於2020年第四季提出《數位服務法》(Digital Services Act),為所有企業進入資料單一市場建立明確的規範、審查現有政策框架、加強線上平台的責任及保護基本權利。 總而言之,本戰略所欲推展的各項行動,將促進公民、企業組織、研究人員和公部門能更輕易的獲得和利用彼此的資料,進而確保歐盟成為資料驅動社會的模範和領導者。
新加坡將推動國家電子醫療紀錄新加坡自今年(2018年)1月5日起推動「醫療服務法案(Healthcare Services Bill)」之制定,該法案預計取代現有「私人醫院和醫療診所法(Private Hospitals and Medical Clinics Act)」。其中「國家電子醫療紀錄(National Electronic Health Record),下稱NEHR」將整合並改善國營醫療機構及非國營醫療機構兩種醫療紀錄無法互通之情形,而行動醫療及遠端醫療亦納入之。 根據目前之諮詢狀況(已於今年2月15日結束),提案單位衛生部(Ministry of Health)表示,由於現代醫療技術已趨近複雜,若能整合各醫療單位之就診紀錄,將可大幅提升醫療效率,特別是在急診的狀況下,整合過的單一病歷將可降低評估所需的時間。 而對於病患之個資方面保護,該部表示,首先,NEHR並不會蒐集全部患者的醫療參數,只有患者之核心醫療參數才會上傳至NEHR之資料庫內,此外亦不提供非醫療目的外之使用(例如就業及保險評估)。而為降低非法使用之機率,非法使用亦將處罰之。 另外為尊重病患個人之資訊自決權,NEHR亦提供了病患選擇退出機制(opt-out)以作為個資保護的最後屏障。然而該退出機制仍不同於一般的退出機制(即退出後不得蒐集、處理及利用),該機制僅禁止各醫療機構讀取該病患之醫療紀錄,但是各該機構依NHER之架構仍應將每次就診紀錄上傳之,此一設計係避免緊急情況下或病患同意讀取電子病歷時,卻無醫療紀錄可供查詢之窘境。