美國發表網路安全框架

歐洲執委會（European Commission）根據2022年6月23日生效的資料治理法（Data Governance Act, DGA）第11條及第17條，於2023年8月9日公布資料治理法及實施規則（Commission Implementing Regulation (EU) 2023/1622 of 9 August 2023），該規則明定可用於識別「受認證的歐盟資料中介服務提供者（data intermediation services providers）及資料利他主義組織（data altruism organisations）」的通用標章（Common logos）之細節，且該通用標章已申請商標註冊，以保護其免於遭受不當利用。 經歐盟認證的「資料中介服務提供者」向服務利用者提供服務時，應確保服務利用者（個人及公司）可以有效的控制自己的資料，包含共享資料的對象及時間、可在不同裝置間共享資料等。經歐盟認證的「資料利他主義組織」則應以全歐盟通用之統一格式的歐洲利他主義同意書（data altruism consent form）在各成員國之間蒐集資料，並應確保資料主體（data subject）可以隨時撤回其同意。 識別受認證的「資料中介服務提供者」及「資料利他主義組織」是實施資料治理法的一環。受認證的「資料中介服務提供者」及「資料利他主義組織」選擇使用通用標章時，不僅須將通用標章清楚標示在所有線上的出版品上，亦須將通用標章清楚標示在所有線下的出版品。經歐盟認證的「資料利他主義組織」在標示通用標章時須附上可連結到「歐盟認證的『資料利他主義組織』之公開登記資料庫（public register of data-altruism organisations）」的QR code，歐盟將於2023年9月24日開始提供該公開登記資料庫。在歐盟層面，這些通用標章的利用可以易於識別被認證的「資料中介服務提供者」及「資料利他主義組織」與其他未經認證的服務提供者，有助於提高整體資料市場的透明度。 由於數位資料具有易於竄改、複製等特性，因此需要透過「可信任工具」來證明其來源正確、內容真實等，歐盟即以「通用標章」來識別「資料中介服務提供者」及「資料利他主義組織」。我國法務部、司法院、高等檢察署、法務部調查局和內政部警政署等機關共同推動司法聯盟鏈，並於2022年推出「b-JADE證明標章」，透過認證機制確保鏈下之數位資料於上鏈前具有可信任性。通過驗證並取得「b-JADE證明標章」的機關、機構或團體等組織，對外可證明其具備資料治理暨管理能力及保護數位資料之能力，且可取得申請加入「司法聯盟鏈」之機會。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　2018年06月07日，歐盟執委會對2021年到2027年期間擬定單一市場計畫和預算，該計畫預計支用40億歐元保護歐盟消費者和促進歐洲中小企業（SME）競爭力，同時加強歐盟內部市場管理，促進人類、動植物健康和動物福利，並建立歐洲金融數據統計框架。 　　新的單一市場計劃包括： 1. 增加中小企業競爭力，促進產業升級、擴大產業規模並幫助中小企業有跨境競爭的能力； 2. 落實消費者保護政策，確保產品安全，並在產品和服務有疑義時，確實協助消費者獲得補償； 3. 支持食品安全生產，預防及根除動植物疾病，以及改善歐盟的動物福利，而歐盟公民得以繼續在歐洲單一市場取得安全和優質的食品，同步提高人類和動植物健康之水平； 4. 加強歐盟執委會和會員國之間的合作，確保歐盟法規範得到適當實施和執行； 5. 響應市場發展，幫助歐盟執委會加強運用資訊科技產業工具與知識（例如大數據和演算法等等）。 6. 補助會員國的統計機構，提供資金給政策領域中與數據相關的發展、製作和傳播，提高歐洲統計數據品質。 　　歐洲單一市場讓歐洲人民能自由旅行、工作和生活，同時擁有更多的選擇和更低廉的價格，能在歐盟境內更輕鬆地進行商品服務交易。因此，歐洲單一市場可說是歐洲最佳資產，可以促進歐洲企業成長且在全球化市場中培養競爭力。而2021-2027年計畫將確保當地有效達成單一市場連續性，為歐盟人民和企業提供更好的投資與生活環境。

　　隨著網路技術的進步，資安事件亦日益加增，為了因應日趨頻繁的網路攻擊，美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令（PRESIDENTIAL POLICY DIRECTIVE/PPD-41），該指令不僅提出聯邦政府對於資安事件回應的處理原則，並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。 　　指令中就資安事件及重大資安事件進行了定義：資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行；而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外，就遭遇資安事件時，列舉出下列幾點作為聯邦政府因應資安事件時之原則：（A）責任分擔；（B）基於風險的回應；（C）尊重受影響者；（D）政府力量之聯合；（E）促進重建及恢復。 　　聯邦政府機關於因應資安事件時，需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應；國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分，而情報支援部分，則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響，則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時，為使聯邦政府能有效率因應，指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外，指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。 　　該指令加強了現有政策的執行，並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。

美國平等就業機會委員會（Equal Employment Opportunity Commission, EEOC）於2023年5月18日發布「根據 1964 年《民權法》第七章評估就業篩選程序中使用軟體、演算法和AI之不利影響」（Assessing Adverse Impact in Software, Algorithms, and Artificial Intelligence Used in Employment Selection Procedures Under Title VII of the Civil Rights Act of 1964）之技術輔助文件（下簡稱「技術輔助文件」），以防止雇主使用自動化系統（automated systems）對求職者及員工做出歧視決定。 該技術輔助文件為EEOC於2021年推動「AI與演算法公平倡議」（Artificial Intelligence and Algorithmic Fairness Initiative）計畫的成果之一，旨在確保招募或其他就業決策軟體符合民權法要求，並根據EEOC 1978年公布之「受僱人篩選程序統一指引」（Uniform Guidelines on Employee Selection Procedures, UGESP），說明雇主將自動化系統納入就業決策所應注意事項。 當雇主對求職者與員工做出是否僱用、晉升、終止僱傭，或採取類似行動之決定，是透過演算法決策工具（algorithmic decision-making tool），對特定種族、膚色、宗教、性別、國籍或特定特徵組合（如亞洲女性），做出篩選並產生不利影響時，除非雇主能證明該決策與職位工作內容有關並符合業務需求，且無其他替代方案，否則此決策將違反《民權法》第七章規定。 針對如何評估不利影響，雇主得依UGESP「五分之四法則」（four-fifths rule），初步判斷演算法決策工具是否對某些族群產生顯著較低的篩選率。惟EEOC提醒五分之四法則推導出之篩選率差異較高時，仍有可能導致不利影響，雇主應依個案考量，使用實務常見的「統計顯著性」（statistical significance）等方法進一步判斷。 其次，當演算法決策工具係由外部供應商所開發，或由雇主授權管理人管理時，雇主不得以信賴供應商或管理人陳述為由規避《民權法》第七章，其仍應為供應商開發與管理人管理演算法決策工具所產生之歧視結果負責。 最後，EEOC鼓勵雇主應對演算法決策工具進行持續性自我評估，若發現該工具將產生不利影響，雇主得採取措施以減少不利影響或選擇不同工具，以避免違反《民權法》第七章。