美國資訊安全分析新挑戰：巨量資料（Big Data）之應用

　　歐盟執委會於2020年11月25日公布「歐洲資料治理規則」（Proposal for a Regulation on European data governance (Data Governance Act)）草案。本立法草案係延續同年2月發布「歐洲資料戰略」（European data strategy）所提出之立法規劃，針對該戰略所揭示的資料治理政策願景，於制度面予以明文化。而本草案亦為該戰略發布後，首次提出的具體性措施。其制定的主要目的，在於透過強化資料中介機構（data intermediaries）的公信力、以及優化歐盟整體的資料共享機制，來提升資料的可取得性（availability）。 　　依草案條文內容，其主要立法面向如下： （1）界定本法的立法目的，在於規範歐盟內部再利用公部門所持有之特定類型資料的條件，確立資料共享服務的通報與監督框架，並針對基於利他（altruistic）目的蒐集處理資料之實體（entities），建構自願註冊的制度；另一方面則進行本法的名詞定義。 （2）公部門資料再利用機制：整體性規範由公部門所持有、但涉及商業機密、智慧財產權、個資等之資料再利用的一致性標準。其以保護既有的營業秘密、個資、智財權等為前提，確立該些資料再利用的標準作法（如原則以非專屬形式再利用、可收取合理費用）。有意再利用上述資料的公部門，應於技術面保護其隱私與機密性。 （3）針對資料共享服務供應商的通報機制：要求提供資料共享服務的供應商，於正式對外提供其服務前，應先向各成員國的權責機關通報其業務，藉以增加外界對共享個資與非個資之資料機制的信賴度，同時降低資料共享的交易成本。同時，資料共享服務供應商於資料交換應保持中立，不能為其他目的使用資料；其共享服務應以開放及協作的方式進行，並優化自然人或法人查閱與控制其資料的環境，藉以強化個資自主權。 （4）資料利他主義（data altruism）的明文化：定義非營利、具普遍性共同目標之組織，得向歐盟註冊成為資料利他主義組織。透過此認證制度，增加組織公信力，以推動個人或公司出於公共利益，自願提供資料。同時，授權歐盟執委會可制定通用之歐洲資料利他主義同意書（European data altruism consent form），減少個別收集資料使用同意書之成本。 （5）成員國資料共享權責機關之職責：其應公正、透明、一致、及時履行其職責，監督與實施資料共享服務供應商與資料利他主義組織的通報與註冊機制。例如，其有權要求資料共享服務供應商提交必要訊息，以確保其作為是否符合本法要求。同時，權責機關成員不得為資料共享服務的供應商。 （6）歐洲資料創新委員會（European Data Innovation Board）：此為一專家小組之設置要求，負責協助成員國權責機關之作法，遵循資料治理法所訂標準。

　　ITU舉辦之國際電信大會（WCIT2012）甫於2012年12月14日結束，本次會議之重點在於檢討自1988年首次制訂後，便一直都不曾再修訂之國際電信規則（ITRs）。依據會議公布之最終文件內容，修訂包含： 1.網路安全維護：新修訂之規則中，要求各會員國應確保國際電信網路之安全性與穩固性，避免受到技術性損害。 2.管制濫發電子訊息：要求各會國應採取措施，防制未經許可之濫發電子訊息，以減少對國際電信服務之影響。 3.保障身心障礙者獲取電信服務：要求各會員國應參考ITU制訂之標準與建議文件，保障身心障礙者獲取電信服務之權益。 　　在修訂電信規則之外，本次會議尚通過數項決議，包含： 1.安排特別措施，幫助位居內陸或島嶼型的開發中國家，維護接取國際光纖網路的權益與需求。有鑑於開發中國家與國際網路接駁時，無論就成本或實體線路接取，均需已開發國家之幫助，使其在高速光纖網路發展趨勢下，能以合理費用與國際接軌。 2.設立全球統一緊急服務號碼：由於緊急服務對於全球使用者（特別是旅行者）非常重要，ITU於本項決議中責成技術部門與會員國協調，研究建立全球統一之電信緊急服務號碼。 3.建立發展網際網路之有利環境：意識到網際網路成為全球資訊社會化之重要基礎設施，希望各會員國持續發展與確保網際網路之穩定性與安全性，建構有利網際網路持續發展之環境。 　　ITU對國際電信標準與規範具有巨大的影響力，對我國未來電信法制之發展亦將有深遠影響，WCIT會議結束後，新修訂之國際電信規則也正提交各會員國進行簽署，在生效後將對各國電信法制造成影響，我國電信法制亦應及早進行研究，關注新規則發展狀況，並分析不足之處，以與國際接軌。

　　亞馬遜公司所開發的“Rekognition”軟體可以進行照片中的人臉辨識識別，單張圖片中可辨識高達一百人，同時可以圖片進行分析及比對資料庫中的人臉長相。目前亞馬遜公司積極向政府機關推銷這套軟體。可能造成的風險是，公權力機構可透過使用“Rekognition”軟體來辨識或追蹤任何個人，警察機關可以隨時監控人民的行為，各城市的政府機關也可能在無合理理由的狀況下隨時查看人口居住狀況，尤有甚者，美國移民及海關執法局（Immigration and Customs Enforcement, ICE）可以使用該軟體來監控移民的狀況，即使是無任何犯罪疑慮的狀況下亦可進行，將政府打造成巨大的監控系統，有造成隱私權嚴重侵害的疑慮。因此無論亞馬遜公司內外都有反對將“Rekognition”軟體推銷給政府機構的聲浪，尤其美國公民自由聯盟（American Civil Liberties Union, ACLU）更是發起多項連署抗議。 　　支持政府使用“Rekognition”軟體的意見則認為，使用“Rekognition”軟體將可以更有效率地辨識人臉，在尋找失蹤兒童或在公共中辨識出恐怖份子可以發揮更大的作用，不啻是保護公眾法益的進步。 　　佛羅里達的奧蘭多市警察機構曾經使用“Rekognition”軟體後因契約到期而一度停止使用，於7月9日與亞馬遜公司續約繼續測試使用該軟體，奧蘭多市警察機構宣稱以目前測試階段將不會使用一般民眾的照片進行測試，將不會造成人民的隱私權侵害。

2025年9月Mendones v. Cushman and Wakefield, Inc.案（下稱Mendones案），面對生成式AI與深偽（deepfakes）對數位證據真實性的威脅，美國法院特別提到針對後設資料（metadata）的審查。 基於Mendones案原告提交9項涉嫌使用生成式AI的數位證據，其中證詞影片6A與6C影片具備「人物缺乏臉部表情、嘴型與聲音不相符，整體表現像機器人一樣」且「影片內容循環撥放」等AI深偽影片之典型特徵，法院懷疑原告舉證的數位證據為AI深偽影片。 因此，法院要求原告須提出該影片的後設資料，包含文件格式、創建/修改日期、文件類型、拍攝影片的快門速度等客觀資訊。 法院表示，原告提交的後設資料不可信，因為包含許多通常不會出現在後設資料的資訊（非典型的資訊），例如：著作權聲明。且法院進一步指出，許多非典型的資訊被放在不相關的欄位，例如：Google地圖的URL網址、電話號碼、GPS座標及地址等被放在「音樂類型」（musical genre）欄位內。因此法院懷疑，前述「非典型之後設資料」是被有存取文件與編輯權限的人添加的「後設資料」。 原告則主張，其透過iOS 12.5.5版本作業系統的Apple iPhone 6 Plus手機拍攝影片6A。法院指出，直到iOS 18版本作業系統，iPhone才推出可用於生成深偽影片的新功能「Apple Intelligence」相關技術，且該版本需要使用iPhone 15 Pro或更新的手機機型，因此法院發現技術上的矛盾。 法院認為，本案生成式AI影片已超越提交虛假引文（Fictitious Citations，即過往案例曾出現過律師提出AI虛構的判例之情況）的範疇。在訴訟中使用深偽證據，嚴重影響了法院的審理與公眾對司法的信任，並增加法院評估該證據是否為深偽之成本。因此，法院採取嚴厲的永久駁回訴訟（dismissed with prejudice），以表示對企圖以深偽資料為證據的行為持「零容忍」態度。 Mendones案展現法院審理AI深偽數位證據的細節，如「審視後設資料之內容準確、完整」為法院確認數位證據真實性的重要手段。 面對AI時代下數位證據的挑戰，我國司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同推動之「司法聯盟鏈共同驗證平台」，以「b-JADE證明標章」結合區塊鏈技術。「b-JADE證明標章」確保鏈下管理數位資料原檔的機制，以及鏈上的「存證資料」包含「與數位原檔資料最終版本連結的『必要後設資料』」、雜湊值及時戳，如能妥適運用司法聯盟鏈進行證據「驗真」程序，將有助於強化數位信任。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）