紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。
依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。
在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。
在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。
依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。
本文為「經濟部產業技術司科技專案成果」
新加坡將從八月起發行擁有生物認證辨識晶片和更多防偽功能的電子護照。為確保新加坡人使用新護照在國外不會遇到困難,有必要進行周全的測試,從使用者的實際經驗中查知不易察覺的問題,確保新護照不會對出國者在各國出入境時造成不便。因此,新加坡移民與關卡局將從 四月二十九日 開始,讓新加坡官員和新加坡航空公司空服員率先試用。第一階段測試完成後,移民與關卡局將全面推廣電子護照,所有在今年八月以後發出的護照,都將是電子護照,取代現有的傳統護照。 移民與關卡局也將與夥伴國對新加坡電子護照進行測試,以便在新加坡推出電子護照時,外國的入境處判讀儀器能判讀電子護照內的資料。事實上早在今年一月,新加坡即與美國、澳洲和紐西蘭三國聯合展開三個月的電子護照測試,測試將在 五月十五日 結束。如果測試進展順利,相關國家的機場都將安裝可以判讀電子護照的儀器,蓋唯有各國都安裝相關系統配合運作,電子護照才能發揮功效。目前,美國已經確認新加坡電子護照符合美國免簽證入境第二級認證,這意味著美國國土安全部測試證實新加坡電子護照與美國的護照判讀儀器相容。此外,新加坡移民與關卡局也將持續積極參與國際民航組織會議,確保新加坡了解國際電子護照的最新發展與概況,以取得同步進展。
美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書美國《健康保險可攜性及責任法》(HIPAA)係「保護個人電子醫療資訊隱私」的法規。其「受規範對象」(Covered Entity)為:使用電子方式傳送任何醫療資訊的醫療計畫、健康資訊處理機構(Health Care Clearinghouses)或醫療照護提供者。2018年12月14日,美國衛生及公共服務部(下稱:官方)發表〈公眾意見徵詢書:修改HIPAA規則以促進整合醫療照護〉(Request for Information on Modifying HIPAA Rules to Improve Coordinated Care),擬修正方向如下: (一)促進醫療行為、整合醫療照護、專案管理的資料分享 HIPAA原先僅允許受規範機關在醫療行為、支付、營運中揭露受保護健康資訊(PHI)。然而,這並不包含醫療照護或專案管理。官方傾向修法讓醫療照護或專案管理成為允許揭露PHI的情形。同時,也希望修法讓PHI的取得更具時效性,以利於病歷在受規範對象間的流通。 (二)推動親友參與解決當事人鴉片類藥物成癮和精神疾病問題 HIPAA允許受規範對象在特定條件下,向照護者(Caregiver)揭露PHI,包含緊急狀況,也包含嚴重的精神疾病。然而,許多受規範對象因為擔心違反HIPAA,而不願通知當事人的親友。這種狀況相當不利於整合醫療照護和專案管理的發展。目前官方尚未研擬出具體改善方法,希望外界可以提出方案。 (三)會計資料的揭露以存取報告代替 在當事人申請下,受規範對象或其商業夥伴應提供近六年內與PHI相關的會計資料。然而,許多受規範對象的系統無法分離出應提供給當事人的部分,只好提供整份會計資料,因而造成龐大負擔。官方擬修法,只提供當事人「存取報告」(Access Report),該報告會載明誰曾經存取電子紀錄。 (四)隱私權行為通知(Notice of Privacy Practices) 受規範對象在許多狀況下,需取得當事人隱私權行為通知的書面同意書,這次的修法希望可以減少書面同意,以利於受規範對象發展整合醫療照護。
歐盟如何打擊「非現金支付」詐欺?有鑑於「非現金支付」(non-cash payment)──包含信用卡、電子錢包、行動支付和虛擬貨幣──之詐欺犯罪率有增加之趨勢,歐洲議會公民、司法與內政委員會 (Committee on Civil Liberties, Justice and Home Affairs)於2018年9月3日批准一修正草案,更新2001年通過之理事會框架決定(Council Framework Decision)2001/413/JHA,提高非現金支付詐欺之刑責,同時強化被害人保護。此一修正草案旨在消弭歐盟成員國間之法律落差,以強化對非現金支付詐欺之預防、偵查及懲罰。 此一草案最重要者為將虛擬貨幣交易納入犯罪之構成要件,並提高刑責。如法官認定犯罪情節該當國內非現金支付詐欺最重之罪,則最低應處以三至五年之有期徒刑。而其他新增及修正之內容包含: 改善歐盟區域內之合作,以利跨境詐欺之訴追。 強化對犯罪被害人之援助,如心理支持、財務及法律問題之諮詢,並對缺乏足夠資源者提供免費法律扶助。 透過宣導、教育與網路資源(如詐欺之實際案例)提供,提升民眾認知及預防之意識。 於委員會投票批准修正草案後,其後將待歐洲議會通過,並與歐盟理事會開啟非正式對談。
德國向歐盟提交《人工智慧白皮書-歐洲卓越與信任概念》及《人工智慧,物聯網和機器人技術對安全和責任之影響報告》意見德國聯邦政府於2020年6月29日,針對歐盟執委會於2020年2月19日公布的《人工智慧白皮書-歐洲卓越與信任概念》(Weißbuch zur Künstlichen Intelligenz – ein europäisches Konzept für Exzellenz und Vertrauen)及《人工智慧,物聯網和機器人技術對安全和責任之影響報告》(Bericht über die Auswirkungen künstlicher Intelligenz, des Internets der Dinge und der Robotik in Hinblick auf Sicherheit und Haftung) 提交意見,期能促進以負責任、公益導向、以人為本的人工智慧開發及使用行為,並同時提升歐盟的競爭力及創新能力。 歐盟執委會所發布的人工智慧的白皮書及人工智慧對安全和責任的影響報告,一方面可促進人工智慧使用,另一方面則藉此提醒相關風險。本次意見主要集結德國聯邦經濟與能源部、教育與研究部、勞動與社會事務部、內政、建築及社區部以及司法與消費者保護部之意見。德國政府表示,投資人工智慧為重要計畫之一,可確保未來的創新和競爭力,以及應對諸如COVID-19疫情等危機。最重要的是,可透過人工智慧的應用扶持中小型公司。然而在進行監管時,必須注意應促進技術發展而非抑制創新。 在《人工智會白皮書-歐洲卓越與信任概念》中指出,人工智慧發展應在充分尊重歐盟公民的價值觀和權利的前提下,實現AI的可信賴性和安全發展之政策抉擇,並於整體價值鏈中實現「卓越生態系統」(Ökosystem für Exzellenz),並建立適當獎勵機制,以加速採用AI技術為基礎之解決方案。未來歐洲AI監管框架將創建一個獨特的「信任生態系統」(Ökosystem für Vertrauen),並確保其能遵守歐盟法規,包括保護基本權利和消費者權益,尤其對於在歐盟營運且具有高風險的AI系統更應嚴格遵守。此外,應使公民有信心接受AI,並提供公司和公共組織使用AI進行創新之法律確定性。歐盟執委會將大力支持建立以人為本之AI開發方法,並考慮將AI專家小組制定的道德準則投入試行階段。德國政府指出,除了要制定並遵守歐洲AI的監管政策外,應特別注重保護人民之基本權,例如個人資料與隱私、消費者安全、資料自決權、職業自由、平等待遇等,並呼籲國際間應密切合作,運用人工智慧技術克服疫情、社會和生態永續性等挑戰。另外,德國政府亦支持將人工智慧測試中心與真實實驗室(監理沙盒場域)相結合,以助於加速企業實際運用,也將帶頭促進AI在公部門之運用。 在《人工智慧,物聯網和機器人技術對安全和責任之影響報告》中則指出,歐洲希望成為AI、IoT和機器人技術的領導者,將需要清楚、可預測的法律框架來應對技術的挑戰,包括明確的安全和責任框架,以確保消費者保護及企業合法性。AI、IoT和機器人技術等新數位技術的出現,將對產品安全性和責任方面出現新挑戰,而在當前的產品安全法規上,缺乏相關規範,特別是在一般產品的安全指令,機械指令,無線電設備指令等,未來將以一致地在各框架內針對不同法律進行調修。在責任方面,雖然原則上現有法令尚仍可應對新興技術,但人工智慧規模的的不斷變化和綜合影響,將可能增加對受害者提供賠償的困難度,導致不公平或效率低下的情形產生,為改善此一潛在不確定性,可考慮在歐盟層級調修產品責任指令和國家責任制度,以顧及不同AI應用所帶來的不同風險。德國政府除了支持歐盟作法,在創新與監管取得平衡,更強調應不斷檢視產品安全和產品責任法是否可滿足技術發展,尤其是對重要特定產業的要求,甚至修改舉證責任。並可透過標準化制定,加速人工智慧相關產品與服務的開發。另外,應依照風險高低擬定分類方法,並建議創建高風險AI系統之註冊與事故報告義務,以及相關數據保存、記錄及資料提供之義務,針對低風險AI應用則採自願認證制度。