遠距健康照護之法律議題研析

歐盟「人工智慧法」達成政治協議， 逐步建立AI準則 資訊工業策進會科技法律研究所 2023年12月25日 隨著AI(人工智慧)快速發展，在各領域之應用日益廣泛，已逐漸成為國際政策、規範、立法討論之重點。其中歐盟人工智慧法案(Artificial Intelligence Act, AI Act，以下簡稱AIA法案)係全球首部全面規範人工智慧之法律架構，並於2023年12月9日由歐洲議會及歐盟部長歷史會達成重要政治協議[1]，尚待正式批准。 壹、發佈背景 歐洲議會及歐盟部長理事會針對AIA法案已於本年12月9日達成暫時政治協議，尚待正式批准。在法案普遍實施前之過渡期，歐盟執委會將公布人工智慧協定(AI Pact)，其將號召來自歐洲及世界各地AI開發者自願承諾履行人工智慧法之關鍵義務。 歐盟人工智慧法係歐盟執委會於2021年4月提出，係全球首項關於人工智慧的全面法律架構，該項新法係歐盟打造可信賴AI之方式，將基於AI未來可證定義(future proof definition)，以等同作法直接適用於所有會員國[2]。 貳、內容摘要 AIA法案旨在確保進入並於歐盟使用之AI人工智慧系統是安全及可信賴的，並尊重人類基本權利及歐盟價值觀，在創新及權利義務中取得平衡。對於人工智慧可能對社會造成之危害，遵循以風險為基礎模式(risk-based approach)，即風險越高，規則越嚴格，現階段將風險分為：最小風險(Minimal risk)、高風險(High-risk)、無法接受的風險(Unacceptable risk)、特定透明度風險(Specific transparency risk)[3]。與委員會最初建議版本相比，此次臨時協定主要新增內容歸納如下： 臨時協議確立廣泛域外適用之範圍，包含但不限於在歐盟內提供或部署人工智慧系統的企業[4]。但澄清該法案不適用於專門用於軍事或國防目的之系統。同樣，該協定規定不適用於研究和創新目的之人工智慧系統，也不適用於非專業原因之個人AI使用。 臨時協議針對通用AI(General purpose AI)[5]模型，訂定相關規定以確保價值鏈之透明度；針對可能造成系統性風險之強大模型，訂定風險管理與重要事件監管、執行模型評估與對抗性測試等相關義務。這些義務將由執委會與業界、科學社群、民間及其他利害關係人共同制定行為準則(Codes of practices)。 考量到人工智慧系統可用於不同目的之情況，臨時協議針對通用AI系統整合至高風險系統，並就基礎模型部分商定具體規則，其於投放市場之前須遵守特定之透明度義務，另強調對於情緒識別系統有義務在自然人接觸到使用這種系統時通知他們。 臨時協議針對違反禁止之AI應用，罰款金額自3,500萬歐元 或全球年營業額7%(以較高者為準)。針對違反其他義務罰款1,500萬歐元或全球年營業額3%，提供不正確資訊罰 款750萬歐元或全球年營業額1.5%。針對中小及新創企業違反人工智慧法之行政罰款將設定適當之上限。 參、評估分析 在人工智慧系統之快速發展衝擊各國社會、經濟、國力等關鍵因素，如何平衡技術創新帶來之便利及保護人類基本權利係各國立法重點。此次歐盟委員會、理事會和議會共同對其2021年4月提出之AIA法案進行審議並通過臨時協議，係歐洲各國對於現下人工智慧運作之監管進行全面的討論及認可結果，對其他國家未來立法及規範有一定之指引效果。 此次臨時協議主要針對人工智慧定義及適用範圍進行確定定義，確認人工智慧系統產業鏈之提供者及部署者有其相應之權利義務，間接擴大歐盟在人工智慧領域之管轄範圍，並對於人工智慧系統的定義縮小，確保傳統計算過程及單純軟體使用不會被無意中禁止。對於通用人工智慧基礎模型之部分僅初步達成應訂定相關監管，並對基礎模型之提供者應施加更重之執行義務。然由於涉及層面過廣，仍需業界、科學社群、民間及其他利害關係人討論準則之制定。 面對AI人工智慧之快速發展，各國在人工智慧之風險分級、資安監管、法律規範、資訊安全等議題持續被廣泛討論，財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境，將持續觀測各國法令動態，提出我國人工智慧規範之訂定方向及建議。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI,https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai (last visited December 25, 2023). [2]European Commission, Commission welcomes political agreement on Artificial Intelligence Act,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473 (last visited December 25, 2023). [3]Artificial intelligence act,P5-7,https://superintelligenz.eu/wp-content/uploads/2023/07/EPRS_BRI2021698792_EN.pdf(last visited December 25, 2023). [4]GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2 (last visited December 25, 2023). [5]General purpose AI-consisting of models that “are trained on broad data at scale, are designed for generality of output, and can be adapted to a wide range of distinctive tasks”, GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2(last visited December 25, 2023).

　　醫療物聯網（The Internet of Medical Things, IoMT）之意義為可通過網路，與其它使用者或其它裝置收集與交換資料之裝置，其可被用來讓醫師更即時地瞭解病患之狀況。 　　就運用的實例而言，於診斷方面，可利用裝置來連續性地收集關鍵之醫學參數，諸如血液生化檢驗數值、血壓、大腦活動和疼痛程度等等，而可幫助檢測疾病發作或活動的早期跡象，從而改善反應。於療養方面，由於患者的手術後恢復時間是整個成本花費之重要部分，故縮短療養時間是減少成本之重要要素。可利用穿戴式感測器來幫助運動、遠端監控，追蹤各種關鍵指標，警示護理人員及時作出回應，並可與遠距醫療相結合，使加速恢復更加容易。於長期護理方面，可藉由裝置之測量與監控來避免不良結果與延長之恢復期。 　　由於機器學習和人工智慧之共生性增長，醫療物聯網之價值正在增強。於處理來自於感測器醫療裝置之大量連續資訊流時，資料分析和機器學習可更快地提供可據以執行之結論以幫助治療過程。惟醫療物聯網亦可能面臨安全與標準化之挑戰。由於醫療保健的資料是駭客的主要目標，任何與網路連接之設備都存在安全性風險。此外，隨著相關裝置被廣泛地運用，即需要標準化以便利裝置之間的通訊，製造商和監管機構皆需尋找方法來確保裝置可在各種平台上安全地通訊。

揭露智財資訊，展現永續發展之動能 資訊工業策進會科技法律研究所 2024年04月02日 隨著ESG議題持續醞釀，永續資訊揭露已成為國際間政策規劃所討論的重點，各國亦逐漸重視這股永續浪潮。 另一方面，企業價值的來源已轉變為智慧財產和無形資產，成為企業競爭力的來源，對於實現永續轉型（Sustainable transformation，SX）或推動永續發展具有重要意義，因此如何揭露企業對於智慧財產權與無形資產的投資於永續報告書中更顯重要。 壹、事件摘要 日本針對智慧財產與無形資產對於永續發展的政策推動始於《公司治理守則》的修訂。在制定出《智財與無形資產管理指引》後，日本智慧財產權戰略本部強調企業對於智慧財產與無形資產的投資與利用，以加速企業價值提升和獲取投資資金的良性循環，並強化公司、投資者和金融機構之間的「合作」。近期，日本智慧財產權戰略本部更開始評估有關國際永續準則委員會（International Sustainability Standards Board，以下簡稱ISSB）的資訊揭露要求[1]。 貳、重點說明 日本《公司治理守則》於2021年6月的修訂要求上市公司揭露具體、易於理解的智慧財產投資資訊。為回應前述修訂，日本智慧財產權戰略本部於2022年1月制定《智財與無形資產管理指引1.0》，指出投資者將智財與無形資產資訊視為評估公司未來價值的重要標準，因此鼓勵公司建構與實施符合ESG要求的智財和無形資產的投資與利用策略，並透過揭露明確其地位，以產生長期正向的價值評價。有鑑於揭露未能達到預期的效果，於2023年3月修訂《智財與無形資產管理指引2.0》，促使與智財和無形資產相關的公司舉措和揭露能體現其價值，以利公司與投資者的溝通，並展現出公司之未來價值。 考量到國際永續準則委員會（ISSB）於2023年6月公布了兩大國際永續資訊揭露框架準則，象徵全球永續財務與非財務資訊的揭露已逐步整合為全球通用的標準，日本智慧財產權戰略本部於2023年8月召開會議，確認智財資訊的揭露符合ISSB之要求，因而提案ISSB評估是否將智財、無形資產、人力資本等都納入永續資訊揭露應揭露之範疇。 為持續推動企業積極實踐永續發展，我國金融監督管理委員會亦於2022年3月發布「上市櫃公司永續發展路徑圖」，以四大主軸、五項重點協助上市櫃公司邁向永續發展，提升國際競爭力。其中「精進永續資訊揭露」、「推動ESG評鑑及數位化」更納入階段性目標，顯示出資訊揭露、永續報告書、ESG評鑑之推動三者已成為我國政策推動的重要評估事項[2]。 參、事件評析 在永續議題的持續發酵下，如何透過政策確保企業邁向永續發展乃一大議題，又由於對智財與無形資產之投資與利用乃企業競爭力的根源，更顯企業揭露此類資訊之重要性，不可輕易忽視。以往，我國企業會透過公司治理評鑑的2.27指標[3]，彰顯要求上市上櫃公司公開揭露智財管理資訊。近年來，伴隨著永續發展等相關政策之推動，企業應進一步評估如何在永續報告書中呈現與智財相關的資訊，以順應未來評鑑制度之轉換，並呈現智財是企業創新的關鍵。 在智慧局公布的2023年專利百大排名中，前十大[4]無一例外地依全球報告倡議組織（Global Reporting Initiative，以下簡稱GRI）所推出的國際標準永續報告書撰寫框架，且所有廠商都有在「GRI 3重大主題」中揭示與智財相關之資訊，凸顯其創新研發連結永續發展之動能。換言之，透過「GRI 3重大主題」將智財資訊揭露予更多利害關係人知悉，可謂我國標竿廠商展現其核心企業價值的主要管道。企業可參考上述企業於永續報告書揭露智財資訊模式，將智財議題形塑成一項重大主題，並揭露於特定章節以回應利害關係人之關注。首先，鑑別出各類利害關係人。接著，辨別相關衝擊因子，以篩選永續議題。然後，評估永續議題對企業之實際或潛在的正、負面衝擊。最後，確立企業所揭露之重大主題，並回應利害關係人所重視之資訊。 在永續發展、資訊揭露對於企業的衝擊下，財團法人資訊工業策進會科技法律研究所創智中心(以下簡稱創智中心)2023年針對我國上市上櫃企業進行企業智財現況調查，調查發現超過一半企業願意公開揭露智財資訊，而這些企業認為，公開揭露智財資訊有助於外界客觀評估公司之真實價值與競爭力，亦能協助公司落實ESG永續經營。為協助企業將智財資訊分別連結至永續發展之環境保護(E)、社會責任(S)以及公司治理(G)面向，創智中心將持續觀測各國法令動態以及國內外智財揭露案例，推動企業將智財資訊完整呈現於永續報告書。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈知財投資・活用戦略の有効な開示及びガバナンスに関する検討会第22回〉，首相官邸，https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/tousi_kentokai〈最後瀏覽日：2024/4/2〉。 [2]金管會發布「上市櫃公司永續發展行動方案(2023年)」〉，金融監督管理委員會，https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0%2C2&mcustomize=news_view.jsp&dataserno=202303280001&dtable=News〈最後瀏覽日：2024/4/2〉。 [3]〈公司治理評鑑〉，公司治理中心，https://cgc.twse.com.tw/evaluationCorp/listCh〈最後瀏覽日：2024/4/2〉。評鑑指標2.27：公司是否制訂與營運目標連結之智慧財產管理計畫，並於公司網站或年報揭露執行情形，且至少一年一次向董事會報告？ [4]〈智慧局公布112年專利百大〉，經濟部智慧財產局，https://www.tipo.gov.tw/tw/cp-87-932910-26c76-1.html〈最後瀏覽日：2024/4/2〉。在專利申請方面，前十大分別是台積電、聯發科、友達、宏碁、南亞科、英業達、群創、工研院、瑞昱、台達電，其中除了工研院外，剩餘九家皆為我國專利申請之標竿廠商。

日本國家網路安全辦公室（国家サイバー統括室）於2026年3月5日，代表日本連署了「AI、機器學習供應鏈風險與緩和措施」（Artificial intelligence and machine learning Supply chain risks and mitigations）之國際文書（下稱本文書），並公布本文書內容。本文書是由隸屬於澳洲訊號局（Australian Signals Directorate，簡稱ASD）之澳洲網路安全中心（Australian Cyber Security Centre，簡稱ACSC）主導訂定，主要針對有導入或開發 AI、機器學習系統與元件等需求的組織，揭示其可能存在供應鏈風險與提升整體網路安全之重要性，並就AI開發或採購階段，組織應留意相關風險與可採行之緩和措施。有關連署國家，除了日本與澳洲以外，也包括加拿大、紐西蘭、韓國、新加坡、英國與美國等共八個國家皆已完成連署。 本文書內容強調組織於管理 AI、機器學習等風險時，應將 AI 供應鏈視為整體網路安全戰略的一環，同時評估產品或服務之整體生命週期風險，不應著重於單一技術，而是組織需要掌握整體供應鏈的全貌，包括特定關係事業者、活用AIBOM（AI物料清單，主要用來記錄AI模型相關資產與資訊，提供快速定位與管控AI問題模型功能）或SBOM（軟體物料清單，主要記錄軟體相依元件，用於漏洞管理與供應鏈透明度）、意識到是否已針對AI、機器學習系統可能帶來的風險，進行漏洞管理，以及針對AI、機器學習系統所導致之網路安全事件建立應處機制等。 本文書將AI、機器學習供應鏈風險大致區分為五類：AI 數據、機器學習模型、AI 軟體、AI 基礎設施（含硬體），以及第三方服務，本文書指出AI、機器學習應用於供應鏈時可能產生之風險，其中包括數據品質不良、資料受竄改、模型遭植入惡意程式碼、軟體元件複雜導致難以保證其安全、硬體與韌體擴大攻擊面，以及導入第三方服務致使供應鏈產生弱點等。 此外，本文書也針對各類風險提出可行的因應方法，例如： 1.數據面：需做標準化搜集、外部資料檢疫、資料前處理與完整性驗證。​ 2.模型面：需從可信來源取得透明模型，實施性能驗證與惡意程式偵測。​ 3.軟體面：需做完整性驗證、元件審核，並透過 SBOM 掌握已知弱點。 4.硬體面：需確認設備無惡意內容，並在網路中適當分區。 5.第三方服務面：需持續評估與監控供應商的資安實務與脆弱性管理。 總結來說，日本已意識到國家網路安全治理下，針對AI、機器學習的安全，不單是模型安全，而是涉及整體性供應鏈安全。日本藉由與他國連署國際文書，不僅強化國際合作，同時建立供應鏈網路安全共識，因應AI對於國家供應鏈之網路安全挑戰，從資料、模型、軟體、硬體到第三方服務等視角提出具體因應方法，作為全面提升國家整體網路安全環境之參考指引。日本透過強化與他國合作，提升國家網路安全治理之作法，值得我國未來借鏡參考。