網路中立管制在美國與歐盟的新發展

　　世界衛生組織（World Health Organization, WHO）於2021年6月底公布「人工智慧於健康領域之倫理與治理」（Ethics and governance of artificial intelligence for health）指引。目前人工智慧於在改善診斷、治療、健康研究、藥物開發及公共衛生等健康領域皆有廣泛之應用與前景，而該指引首先指出人工智慧應用於健康領域中最相關之法律與政策外，並強調相關應用皆須以「倫理」及「人權」作為相關技術設計、部署與使用之核心，最後則提出人工智慧應用於健康領域之六大關鍵原則： 一、保護人類自主性（autonomy）：本指引認為人類仍應該掌有關於醫療保健系統之所有決定權，而人工智慧只是輔助功能，無論是醫療服務提供者或患者皆應在知情之狀態下作決定或同意。 二、促進人類福祉、安全與公共利益：人工智慧不應該傷害人類，因此須滿足相關之事前監管要求，同時確保其安全性、準確性及有效性，且其不會對患者或特定群體造成不利影響。 三、確保透明度、可解釋性與可理解性（intelligibility）：開發人員、用戶及監管機構應可理解人工智慧所作出之決定，故須透過記錄與資訊揭露提高其透明度。 四、確立責任歸屬（responsibility）與問責制（accountability）：人工智慧在醫學中所涉及之內部責任歸屬相當複雜，關於製造商、臨床醫師及病患間相關之問責機制之設計將會成為各國之挑戰，故須存在有效之機制來確保問責，也應避免責任分散之問題產生。 五、確保包容性（inclusiveness）與衡平性（equity）：應鼓勵應用於健康領域之人工智慧能被廣泛且適當地使用，無論年齡、性別、收入及其他特徵而有差別待遇，且應避免偏見之產生。 六、促進具適應性（responsive）及可持續性之人工智慧：人工智慧應符合設計者、開發者及用戶之需求與期待，且能充分具適應性之回應且符合使用環境中之要求。

　　為因應近來智慧聯網（IoT）、巨量資料及雲端運算發展趨勢，為強化線上隱私權利及促進歐盟數位經濟的發展，歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案：「保護個人有關個人資料處理及自由流通規章（一般資料保護規章）」（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)），以取代並廢除（repealed）原有「個人資料保護指令」規範，並修改（amend）「隱私與電子通訊指令」，預計在2013年6月進入歐洲議會、理事會及執委會的三方協商，若順利將在2014年通過，並在2016年生效。 　　「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應，重要規範內容有(1)追蹤（tracking）與特徵分析（profiling）：訂定第20條「特徵分析措施」（Measures based on profiling）規範條文，保障每個當事人皆有主張不被採取特徵分析措施（如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度）而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權（right to be forgotten and to erasure）：訂定第17條，創設新的權利「被遺忘及刪除權」，用以幫助民眾處理線上資料，當其不希望自己的資料被利用且無合法理由保留時，資料將被刪除(3)資料可攜權利（the right to data portability）：訂定第18條，當資料處理是以電子化方法，且使用結構性、通用的格式時，資料當事人有權利可以取得該結構性、通用格式下的個人資料，更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件：第4條第8款明定，不論何種資料處理情況時所需的同意，增列必須是明確（explicitly）同意之要件(5)「設計階段納入隱私考量」（privacy by design）、「預設隱私設定」（privacy by default）：訂定第30條，要求資料控制者及處理者應實行適當的技術性、組織性措施，並考量科技發展水準，制定特定領域及特定資料處理情況的標準及條件，並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。 　　歐盟此次對於「一般資料保護規章」(草案)的修法進程，以及世界各重要國家的立場及反應態度，均值得後續密切觀察研析。

　　美國能源部於今年（2012）6月28日發布一套新的網路安全自我評估調查工具（Cybersecurity Self-Evaluation Survey Tool），以強化保護公共事業的業者避免遭受網路安全的攻擊，這套工具也是能源部為施行其於5月31日公布的網路安全能力成熟度模型（Cybersecurity Capability Maturity Model）的一部分，同時此模型的發展也是為了支持白宮的電力網路安全風險管理成熟度倡議（ Electricity Subsector Cybersecurity Risk Management Maturity Initiative）。 　　網路安全成熟度模型的發展乃係由能源部與國土安全部共同領導，並且與業界、其他聯邦機構以及卡內基大學軟體工程研究所合作進行，該模型的四個目標在於：加強電力網路安全能力、使相關業者可以有效並持續設立網路安全能力的基準、分享知識、解決的方法與其他相關的參考資料、使業者得以排定對於改善網路安全的行動以及投資上的優先順序，以幫助業者發展並且評估他們的網路安全能力。 　　此次發佈的評估工具則是以問卷的方式，著重在情境式的認知與威脅及弱點的管理，而後能源部將針對自願提供評估結果的業者提供個案報告，幫助業者改善其網路安全能力，同時，能源部也建議業者，建立優先行動方案，以解決差距的問題，並且定期評估追蹤網路安全能力的改善進度，能源部也提醒業者注意網路威脅環境上與技術上的改變，以進行應變的評估。

　　歐盟執委會（European Commission）設有6區域中小企業智慧財產服務台（IP SME Helpdesk），其中歐洲智慧財產服務台（European IP Helpdesk）以及中華區小企業智慧財產服務台（China IP SME Helpdesk）於2022年9月聯合推出「網路犯罪與營業秘密保護指南」（Cybercrimes and trade secret protection : guide，下稱本指南），最大特色之處即在企業如何回應營業秘密遭網路竊取時之事後應對手段。 　　中華區中小企業智慧財產服務台透過提供免費資訊服務，支援歐盟（EU）中小企業（SME）在中國大陸、香港、澳門和臺灣保護和執行其智慧財產權（IPR），陸續發布如2020年「保護你在中華區的營業秘密」（Protecting your trade secrets in China）等一系列指導企業如何於中華區保護智財之指南。 　　本指南首先揭示企業營業秘密之事前保護手段，包括(1)技術手段：加強網路安全（加密資料、安裝防毒軟體、辨識雲端風險、制定網路安全策略）以及利用區塊鏈技術作為資料、證據保存的手段；(2)內外部人員管制手段：內部員工培訓與管理、第三方（市場、競爭對手）監控。而營業秘密遭竊之事後應對手段，包括(1)回應手段：確認資訊外洩原因、建立緊急處理機制（回報、蒐證流程）、採取法律步驟；(2)回復手段：控制損害（端視營業秘密是否被公開而有不同做法）、亡羊補牢（重新檢視企業智財布局、資安措施、緊急處理計畫），對於在中華區之企業，本指南作法具參考價值之外，資策會科法所發布之營業秘密管理指針2.0版亦可同步參考。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）