國際間科學專家利益衝突管理規範趨向－以美、歐藥品審查機構科學諮詢委員會專家利益衝突解決政策與機制為例

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　基因改造食品的安全性，向來引起全球關注，各界爭議不休。美國農業部在上（5）月29日公開表示，在奧勒岡州（Oregon）的私人農場中發現基因改造小麥，這是否屬於單一個案，還是意味著基改防線已有所瓦解，對於美國基改管理體系具有重大意義。以目前而言，美國尚未核准任何基因改造小麥。 　　美國是全球最大的小麥供應國，每年有4000萬噸小麥輸入亞洲；其中，日本更是美國最重要的海外市場。在本案爆發之後，日本於第一時間暫停來自美國西北的小麥進口至美國境內，這股緊張氣氛預計將快速漫延至其他亞洲國家。 　　事實上，在這事件同時，於綠色和平（green peace）及其他NGO團體串聯下，全球200萬民眾走上街頭，抗議美國孟山都（Monsanto）及其研發的基因改造食品，包括美國、加拿大、阿根廷等，估計共有52國、436個城市響應，一齊表達對於基因改造食品的不安感。在基因改造食品的長期爭議下，美國有若干州考慮採取立法管制，特別是要求基因改造作物或產品必須要標示清楚，以保護消費者的權益。最新的進展是，在本（6）月4日，康乃迪克州（Connecticut）議會以134比3，通過基因改革食物法案，要求各項食物必須明確標示是否含有基因改造成分。在這之後，緬因（Maine）州也立即跟進，以141比4通過類似的基改標示法案。而案件爆發地–奧勒岡州，則還沒有進一步消息。

2025年1月9日美國紐澤西州檢查總長與民權部（Division of Civil Rights, DCR）聯合發布「演算法歧視指引」（Guidance on Algorithmic Discrimination and the New Jersey Law Against Discrimination），指出《紐澤西州反歧視法》（the New Jersey Law Against Discrimination, LAD）亦適用於基於演算法所衍生的歧視。 隨著AI技術日趨成熟，社會各領域已大量導入自動化決策工具，雖然它們能提高決策效率但也增加了歧視發生之風險。指引的目的在於闡述自動化決策工具在AI設計、訓練或部署階段可能潛藏的歧視風險，亦列舉出在各類商業實務情境中常見的自動化決策工具，並說明它們可能會如何產生演算法歧視。以下分別說明《紐澤西州反歧視法》適用範圍，以及與演算法歧視有關的行為樣態。 一、《紐澤西州反歧視法》之適用主體及適用客體 《紐澤西州反歧視法》禁止在就業、住房及公共場所等領域所發生的一切歧視行為，其適用主體相當廣泛，包含但不限於下列對象：雇主、勞工組織、就業仲介機構、房東、房地產經紀人、公共場所之經營或管理者、以及任何教唆或協助歧視行為之個人；而該法之適用客體亦有明確定義，為具有受保護特徵（如性別、族裔、身心障礙等）之自然人或法人。 此外指引特別說明，即便適用主體無意歧視、或其所使用之自動化決策工具係由第三方所開發，只要發生歧視行為依然違反《紐澤西州反歧視法》。這是因為《紐澤西州反歧視法》係針對歧視所帶來的影響進行規範，儘管無意歧視，其所帶來的影響並不一定比故意歧視還要輕微。 二、 歧視行為的三種樣態 1.差別待遇歧視 差別待遇歧視係指適用主體基於受保護特徵而對適用客體施予不同對待。舉例而言，若房東使用自動化決策工具來評估黑人潛在租戶，但不評估其他族裔的潛在租戶，則會因為其選擇性使用自動化決策工具而構成歧視。 2.差別影響歧視 差別影響歧視係指適用主體的政策或行為對適用客體造成不成比例的負面影響，且該政策或行為未能證明具有正當性、非歧視性、或不存在較少歧視性的替代方案，則該政策或行為構成歧視。例如，某商店利用臉部辨識技術來偵測過去曾有偷竊紀錄的顧客，但該系統對配戴宗教頭巾的顧客較容易產生誤判，此亦可能構成歧視。 3.未提供合理調整 合理調整係指身心障礙者、宗教信仰者、懷孕者以及哺乳者，在不會對適用主體造成過度負擔的前提下，得向其提出合理請求，以符合自身的特殊需求。以身心障礙員工為例，若雇主使用了自動化決策工具來評估員工的工作表現（例如監測員工的休息時間是否過長），在未考量合理調整的情況下，該工具可能會過度針對身心障礙員工進而構成歧視。 為減少演算法歧視發生頻率，「演算法歧視指引」特別闡述自動化決策工具可能會出現的歧視行為及歧視樣態。此份指引的另一個意義在於，縱使目前紐澤西州並沒有一部監管AI的專法，但仍可以利用現行的法律去處理AI帶來的種種問題，以利在既有的法律架構內擴充法律的解釋來回應新科技的挑戰，並達到實質管制AI的效果。

　　雲端運算（Cloud Computing），是一種基於網際網路的運算方式，用以共享軟硬體資源、依需求提供資訊給電腦和其他裝置。本質上其實就是分散式運算 Distributed Computing，其主要應用是讓不同的電腦同時協助你處理運算，故只要具備兩台以上電腦，讓他們之間互相溝通，協助您處理工作，就是基本的分散式運算。 　　雲端運算是繼1980年代大型電腦到用戶端-伺服器的大轉變之後的又一種巨變。使用者不再需要了解「雲端」中基礎設施的細節，不必具有相應的專業知識，也無需直接進行控制。雲端運算概念下描繪了一種基於網際網路而新增加的新興IT服務、使用和交付模式，藉由網際網路來提供各種不同的資源、服務功能而且經常是虛擬化的。 「雲端運算」供應模式以及實用定義如下： ‧ 軟體服務化 (SaaS)：透過網際網路存取雲端的應用程式 (例如：Salesforce.com、趨勢科技 HouseCall)。 ‧ 平台服務化 (PaaS)：將客戶開發的應用程式部署到雲端的服務 (例如：Google AppEngine 與 Microsoft Azure)。 ‧ 基礎架構服務化 (IaaS)：有時亦稱「公用運算」(Utility Computing)，意指處理器、儲存、網路以及其他資源的租用服務 (例如：Amazon 的 EC2、Rackspace 以及 GoGrid)。 　　雲端運算服務所涉及的法律議題相當廣泛，包含隱私權、個人資料保護、資料管轄權、契約責任、智慧財產權保護與營業秘密等。在隱私權問題方面，使用者的隱私或機密風險，乃至權利義務狀態會因為雲端供應商所提供之服務與隱私權政策（privacy policy）而有顯著不同，也可能因為資訊型態或雲端運送使用者類型不同而有差異。在雲端運算服務契約方面，發生資訊安全事件導致資料失竊或毀損時，供應商責任或注意義務如何於契約中合理分配風險，亦是契約方面重要議題。