美國對於聯網環境中「關鍵基礎設施」之資訊安全議題展開行動
面對境外網路安全的風險,美國歐巴馬總統於2013年2月12日,正式簽署「改善關鍵基礎設施之網路安全」行政命令(Executive Order 13636–Improving Critical Infrastructure Cyber security),據該行政命令第二款,將「關鍵基礎設施」定義為,「對於美國至關重要,而當其無法運作或遭受損害時,將削弱國家安全、經濟穩定、公共健康或安全之有形或虛擬系統或資產」,遂採取相對廣義之解釋。該行政命令第七款,亦指示美國商務部「國家標準技術研究所」(National Institute of Standard and Technology, NIST),將研議ㄧ個提升關鍵基礎設施資通訊安全之架構(Framework to Improve Critical Infrastructure Cybersecurity),將美國聯邦憲法所保障的企業商業機密、個人隱私權和公民自由等法益納入考量。
針對關鍵基礎設施引發重要之法制議題,美國副司法部長Mr. James M. Cole表示,由於關鍵基礎設施影響所及者,乃人民在法律下的權益,公部門政府將在該項議題上與私部門共同合作(partnership),且未來將研議通過立法途徑(legislation),將隱私權和公民權保護(the incorporation of privacy and civil liberties safeguards)納入關鍵基礎設施資通訊安全法制之全盤考量,相關趨勢殊值注意。
- Deputy Attorney General James M. Cole Addresses the Georgetown Cybersecurity Law Institute, THE US DEPARTMENT OF JUSTICE, May 23, 2013
- Developing a Framework to Improve Critical Infrastructure Cybersecurity, Federal Register Notice 78 FR 13024 (Feb. 26, 2013)
- Exec. Order No. 13636, 78 Fed. Reg. 11737 (Feb. 12, 2013)
個人健康資料共享向為英國資料保護爭議。2017年英國資訊專員辦公室(ICO)認定Google旗下人工智慧部門DeepMind與英國國家醫療服務體系(NHS)的資料共享協議違反英國資料保護法後,英國衛生部(Department of Health and Social Care)於今年(2018)5月修正施行新「國家資料退出指令」(National data opt-out Direction 2018),英國健康與社會照護相關機構得參考國家醫療服務體系(NHS)10月公布之國家資料退出操作政策指導文件(National Data Opt-out Operational Policy Guidance Document)規劃病患退出權行使機制。 該指導文件主要在闡釋英國病患退出權行使之整體政策,以及具體落實建議作法,例如: 退出因應措施。未來英國病患表示退出國家資料共享者,相關機構應配合完整移除資料,並不得保留重新識別(de-identify)可能性; 退出權行使。因指令不溯及既往適用,因此修正施行前已合法處理提供共享之資料,不必因此中止或另行進行去識別化等資料二次處理;此外,病患得動態行使其退出權,於退出後重新加入國家資料共享體系;應注意的是,退出權的行使,採整體性行使,亦即,病患不得選擇部分加入(如僅同意特定臨床試驗的資料共享); 例外得限制退出權情形。病患資料之共享,如係基於當事人同意(consent)、傳染病防治(communicable disease and risks to public health)、重大公共利益(overriding public interest)、法定義務或配合司法調查(information required by law or court order)等4種情形之一者,健康與社會照護相關機構得例外限制病患之退出權行使。 NHS已於今年9月完成國家資料退出服務之資料保護影響評估(DPIA),評估結果認為非屬高風險,因此不會向ICO諮詢資料保護風險。後續英國相關機構應配合於2020年5月前完成病患資料共享退出機制之建置。
歐盟執委會啟動《關於標示與標籤AI生成內容之行為準則》之相關工作,以協助生成式AI之提供者與部署者履行其透明度義務2025年11月5日,歐盟執委會啟動《標示與標籤人工智慧生成內容之行為準則》(a code of practice on marking and labelling AI-generated content,下稱行為準則)之相關工作,預計將於2026年5月至6月間發布行為準則。此行為準則與《歐盟人工智慧法案》(EU AI Act)之透明度義務規定相關。這些規定旨於透過促進對資訊生態系的信任,降低虛假訊息、詐欺等風險。 《歐盟人工智慧法案》第50條第2項及第4項之透明度義務,分別規定 1. 「『提供』生成音檔、圖像、影片或文本內容的AI系統(包括通用AI系統)」的提供者(Providers),應確保其輸出係以機器可讀的形式標示(marked),且可被識別屬於AI所生成或竄改(manipulated)的內容。 2. 「『使用』AI系統生成或竄改以構成深度偽造之影像、音訊或影片內容」的部署者(Deployers),應揭露該內容係AI所生成或竄改。 前述透明度義務預計於2026年8月生效。 後續由歐盟AI辦公室之獨立專家透過公眾資訊與徵選利害關係人意見等方式,推動起草行為準則。此行為準則不具強制性,旨於協助AI系統提供者更有效地履行其透明度義務,且可協助使用深偽技術或AI生成內容的使用者清楚地揭露其內容涉及AI參與,尤其是當向公眾通報公共利益相關事項時。 AI應用蓬勃發展,同時AI也可能生成錯誤、虛構的內容,實務上難以憑藉個人的學識經驗區分AI幻覺。前文提及透過標示AI生成的內容,以避免假訊息孳生。倘企業在資料源頭以標示等手段控管其所使用之AI的訓練資料,確保資料來源真實可信,將有助於AI句句有理、正向影響企業決策。企業可以參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,從資料源頭強化數位資料生命週期之管理。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
論我國廣播電視與電信事業跨業經營相關規範 日本IT總合戰略本部提出數位程序修正法案,簡化行政流程並提高使用便利性日本IT總合戰略本部於2019年3月18日公告提出「數位程序法案(デジタル手続法案)」,本法案係集結多部法律修正案之包裹法案,包含行政程序網路化法(行政手続オンライン化)、居民基本簿冊法(住民基本台帳法)、官方個人認證法(公的個人認証法)、及個人編號法(マイナンバー法)。該法案的目的,在於應用資通訊技術簡化行政運作並提高使用便利性,藉此增進行政效率,因此在相關法令中明文擬定行政數位化的基本原則,增修推動行政程序線上辦理的共通規定與配套措施,賦予行政機關應履行的各項法定義務,同時為落實各領域推展行政數位化的規劃,制定個別具體規範。 於制定行政數位化基本原則、與增訂推動行政程序線上辦理的共通規定與配套措施之部分,主要為修正原「行政程序網路化法」,更名為「數位行政推進法(デジタル行政推進法)」,定位該法目標與功能為促進社會整體數位化,使國家、地方公共團體、民間業者、國民與其他人於從事各種社會活動時,均能享受到資通訊技術帶來的便利性。該法要求的基本原則,包含數位優先(digital first, 藉由數位手段一體化完成各項手續或服務)、免去重複提供資訊(once only,曾提供的資訊得被保留供再次使用)以及一步到位(connected one-step,謀求複數的程序或服務簡化為一步到位)。至於推動行政程序線上辦理的共通規定與配套措施,則包含要求地方公共團體須致力於達成行政程序線上辦理的目標,授權主管機關訂定得辦理網路身分認證與支付手續費等數位化法定程序、要求行政機關提出實現行政程序線上辦理與廢除紙本附件流程的資訊系統整備計畫等。 另一方面,針對各領域推展行政數位化的具體規範,該法案預備修正「居民基本簿冊法」、「官方個人認證法」以及「個人編號法」,主要內容包含:1. 保存個人電子認證資訊等相關官方服務的適用對象擴及旅外國民,同時得發行旅外國民之官方個人認證之電子證明書與個人編號卡,使其得透過網路使用相關的行政電子化服務;2. 長期且確實保存本人過去的居住遷徙紀錄,增設住民票註銷後原有相關記錄仍予以保留的「除票」制度,使國民過去的居住地紀錄,不會因為變更戶籍、依法註銷原戶籍地的住民票而消失;3. 過去使用官方個人認證之電子證明書與個人編號卡時須輸入密碼,官方個人認證法修正案則授權主管機關增設其他不需輸入密碼的使用方式,以呼應擴大電子證明書使用範圍的政策規劃;4. 賦予個人編號IC卡(マイナンバーカード)作為獨立有效之身分證明文件的地位,廢止原依法需和個人編號IC卡併用的紙本通知卡(通知カード)制度,免去個人住所等基本資料變更時,需同步更正通知卡紙本登載資訊的行政程序,減輕主管機關負擔。