既有建築改善翻新措施─德國政策參考

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

　　美國眾議院（United States House of Representatives）於2021年10月20日通過安全設備法案（Secure Equipment Act）、通訊安全諮詢法案（Communications Security Advisory Act）、資通訊科技戰略法案（Information and Communication Technology Strategy Act）與國土安全部軟體供應鏈風險管理法案（DHS Software Supply Chain Risk Management Act），以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商，並促進產業供應鏈的經濟競爭力。美國總統拜登（Joseph Robinette Biden Jr.）於同年11月11日完成簽署《安全設備法》。 　　《安全設備法》旨在禁止聯邦通訊委員會（Federal Communications Commission, FCC）頒發設備許可予構成美國國家安全風險之公司，其目的係為防止美國的網路系統遭受中國大陸設備的監控，保護美國公民的隱私與安全。近年來，美國以國家安全與技術、隱私保護為由，逐步以政府禁令或動用政府影響力，防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令，至2021年10月20日美國眾議院通過電信設施基礎安全四大法案，並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定，各種限制手段展現美國保護國土安全之決心。 　　此外，《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性；資通訊技術供應鏈報告（例如：定義何謂「對美國經濟競爭力至關重要的資通訊技術」等）」；以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前，此三大法案皆於參議院二讀後提交至委員會，後續發展應密切關注。

　　德國經濟及能源部於2018年3月8日為企業聯網資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件，協助中小企業提升對於組織及特別領域中的資安風險之意識，並進一步採取有效防護檢測，包括基本安全防護措施、組織資安維護、及法規，並同時宣導德國資料保護法中對於資安保護的法定要求。 　　資通訊安全及其法規係為企業進行數位化時，涉及確保法的安定性（Rechtssicherheit）之議題。例如：應如何保護處理後的資料？如何執行刪除個人資料權利？各方如何保護營業秘密？如果資料遺失，誰應承擔責任？唯有釐清上述相關等問題時，方能建立必要的信任。而在德國聯邦資料保護法，歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則，係為數位創新企業執行資安基礎工作重要法律框架。但是，由於數位化的發展，新的法律問題不斷出現，目前的法律框架尚未全面解決。 　　例如，機器是否可以處理第三方資料並刪除或保存？或是誰可擁有機器協作所產生的資料？因此，未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備，工業4.0的IT法律問題變得複雜。一方面，需要解決中、大型企業的營業祕密，資料所有權和責任主題之實際問題，以促進相關數位化創新。另一方面，為了能夠推導出現實的法律規範，需要更多具體實施案例討論，例如，企業家對產品責任問題，人工智慧使用，外包IT解決方案，及雲端計算等核心等問題，政府應協助為所有公司在安全框架下展開數位計畫合作的機會，並充分利用網路的潛力，而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。

　　藥品專利聯盟（Medicines Patent Pool，下簡稱MPP）2021年2月宣布將和世界智慧財產權組織（World Intellectual Property Organization，下簡稱WIPO）加強合作，因應COVID-19及推動《聯合國2030永續發展議程》（United Nations 2030 Agenda for Sustainable Development）。MPP是聯合國支援的公衛組織，透過與政府、國際組織、企業、患者團體等對象合作，對所需藥品進行排序，並和藥品專利權人簽署協議，將其授權之智財權納入專利庫，以鼓勵製造學名藥和開發新配方，促進中低收入國家的救命藥品取得與研發。 　　雙方將在以下領域共同合作： 一、探索促進以中低收入國家為主的COVID-19醫療技術創新及對應之智財管理策略，並在網頁上共享資訊與工具。 二、和各國專利局合作，透過連結PATENTSCOPE、Pat-INFORMED及MedsPaL等資料庫，提高關鍵藥品的專利透明度和收集資訊，並在各論壇呈現合作成果。 三、安排授權和技術移轉相關活動，包含為WIPO成員國提供的技術支援、WIPO中小企業暨創業支助司（WIPO’s SMEs and Entrepreneurship Support Division）和WIPO學術機構（WIPO Academy）執行的活動和計劃等。 四、在專利法常設委員會（Standing Committee on the Law of Patents，SCP）共享資訊：應WIPO成員國要求，介紹MPP的業務、專利和授權資料庫MedsPaL。 五、為支持被忽視的熱帶疾病（neglected tropical diseases，NTDs）、瘧疾和肺結核的早期研發，將定期協商並在網頁提供相關連結。 六、探索能進一步納入MPP協議中的爭端解決條款。 　　近來MPP更邀請WIPO以無表決權的觀察員身份參與理事會，雙方期望本次合作能為大眾帶來更多的利益。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」