根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每項資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,資料侵害事故的平均成本也會節省4英磅。
依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。
專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
美國聯邦貿易委員會(FTC)針對國家公路交通安全管理局(NHTSA)的行政命令提出建議,就有關車輛到車輛通信(V2V)之事宜,FTC長期作為負責保護消費者隱私與安全的聯邦機構,FTC認為NHTSA在行政命令中採取隱私和安全問題考慮是非常適當。 在FTC的建議評論指出,FTC針對物聯網的的資訊安全疑慮,同樣也會適用在消費者的車輛收集的隱私和安全問題。FTC認為NHTSA的協商支持作法,基於流程的可解決隱私和安全隱患,其中包括隱私風險評估。該評論還讚揚NHTSA設計一個V2V系統來限制收集和存儲僅是供應其預期的安全目標的數據。 美國每年都會有上千人意外死於汽車意外事故,NHTSA研究指出,汽車相撞的原因多數情況下在於資訊的不透明,如果汽車之間可以「相互溝通」,讓駕駛彼此知悉對方的情況,就能減少碰撞事故。 「V2V」係指vehicle-to-vehicle,是規劃建立於汽車之間的通信網路。在這個網路中,汽車之間能夠互相傳送數據,告訴對方自己的狀態和行為,也了解其他車輛的狀態和行為。但是目前V2V各家發展的標準不一,因此假設福特的車如果不能跟其他廠商的汽車溝通,技術再好也沒用。 也因此,NHTSA在官網上公告規則,宣布將制定「V2V」通信技術標準的法規。也就是說,NHTSA將要制定一個統一的標準,來確保汽車之間溝通使用的是同一種語言。在最新的一份報告中,NHTSA詳細說明了「V2V」通信技術的軟硬體標準。它包括部署該項技術可能需要的硬體設施及其費用,汽車之間溝通的資料類型,以及該技術將如何提醒司機。此外,還覆蓋了「V2V」通信技術的安全細則,以及它將如何加密以避免竊聽和侵犯隱私。 在使用者和廠商都關心的資料外洩方面,NHTSA表示,資料本身將不包含個人身份資訊,並且將會被保密。目前提出的方案裡包含兩套數據,其中一個包含核心資訊:如位置、速度、駕駛方向、剎車狀態、車輛尺寸等。這些資料將即時更新並相互傳播。第二套數據則會更加複雜,只有在數據發生變化時才會相互傳輸。它包括汽車輪胎是否漏氣,前燈是否打開,保險杠的高度,是否行駛在密集人群中等。
落實完善數位資料管理機制,有助於降低AI歧視及資料外洩風險落實完善數位資料管理機制, 有助於降低AI歧視及資料外洩風險 資訊工業策進會科技法律研究所 2023年07月07日 近年來,科技快速發展,AI(人工智慧)等技術日新月異,在公私部門的應用日益廣泛,而且根據美國資訊科技研究與顧問公司Gartner在2023年5月發布的調查指出,隨著由OpenAI開發的ChatGPT取得成功,更促使各領域對於AI應用的高度重視與投入[1],與此同時,AI歧視及資料外洩等問題,亦成為社會各界的重大關切議題。 壹、事件摘要 目前AI科技發展已牽動全球經濟發展,根據麥肯錫公司近期發布的《生成式人工智慧的經濟潛力:下一個生產力前沿(The next productivity frontier)》研究報告指出,預測生成式AI(Generative AI)有望每年為全球經濟增加2.6兆至4.4兆的經濟價值[2]。同時在美國資訊科技研究與顧問公司Gartner對於超過2500名高階主管的調查中,45%受訪者認為ChatGPT問世,增加其對於AI的投資。而且68%受訪者認為AI的好處大於風險,僅有5%受訪者認為風險大於好處[3]。然而有社會輿論認為AI的判斷依賴訓練資料,將可能複製人類偏見,造成AI歧視問題,而且若程式碼有漏洞或帳戶被盜用時,亦會造成資料外洩問題。 貳、重點說明 首先,關於AI歧視問題,以金融領域為例,近期歐盟委員會副主席Margrethe Vestager強調若AI用於可能影響他人生計的關鍵決策時,如決定是否能取得貸款,應確保申請人不受性別或膚色等歧視[4],同時亦有論者認為若用於訓練AI的歷史資料,本身存有偏見問題,則可能導致系統自動拒絕向邊緣化族群貸款,在無形之中加劇,甚至永久化對於特定種族或性別的歧視[5]。 其次,關於資料外洩問題,資安公司Group-IB指出因目前在預設情況下,ChatGPT將保存使用者查詢及AI回應的訊息紀錄,若帳戶被盜,則可能洩露機敏資訊。據統計在2022年6月至2023年5月間,在亞太地區有近41000個帳戶被盜,而在中東和非洲地區有近25000個帳戶被盜,甚至在歐洲地區也有近17000個帳戶被盜[6]。另外在2023年3月時,ChatGPT除了發生部分用戶能夠檢視他人聊天紀錄標題的問題外,甚至發生個人資料外洩問題,即用戶可能知悉他人的姓名、電子郵件,付款地址,信用卡到期日及號碼末四碼等資料[7]。 參、事件評析 對於AI歧視及資料外洩等問題,應透過落實完善數位資料治理與管理機制,以降低問題發生的風險。首先,在收集訓練資料時,為篩選適合作為模型或演算法基礎的資料,應建立資料評估或審查機制,減少或避免使用有潛在歧視問題的資料,以確保分析結果之精確性。 其次,不論對於訓練資料、分析所得資料或用戶個人資料等,均應落實嚴謹的資料保密措施,避免資料外洩,如必須對於資料進行標示或分類,並依照不同標示或分類,評估及採取適當程度的保密措施。同時應對於資料進行格式轉換,以無法直接開啟的檔案格式進行留存,縱使未來可能不慎發生資料外洩,任意第三人仍難以直接開啟或解析資料內容。甚至在傳送帳戶登入訊息時,亦應採取適當加密傳送機制,避免遭他人竊取,盜取帳戶或個人資料。 財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境完善,於2021年7月發布「重要數位資料治理暨管理制度規範(Essential Data Governance and Management System,簡稱EDGS)」,完整涵蓋數位資料的生成、保護與維護,以及存證資訊的取得、維護與驗證的流程化管理機制,故對於不同公私部門的AI相關資料,均可參考EDGS,建立系統性數位資料管理機制或強化既有機制。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]Gartner, Gartner Poll Finds 45% of Executives Say ChatGPT Has Prompted an Increase in AI Investment (May 3, 2023), https://www.gartner.com/en/newsroom/press-releases/2023-05-03-gartner-poll-finds-45-percent-of-executives-say-chatgpt-has-prompted-an-increase-in-ai-investment (last visited June 30, 2023). [2]McKinsey, The economic potential of generative AI: The next productivity frontier (June 14, 2023), https://www.mckinsey.com/capabilities/mckinsey-digital/our-insights/the-economic-potential-of-generative-AI-the-next-productivity-frontier#introduction (last visited June 30, 2023). [3]Gartner, supra note 1. [4]Zoe Kleinman, Philippa Wain & Ashleigh Swan, Using AI for loans and mortgages is big risk, warns EU boss (June 14, 2023), https://www.bbc.com/news/technology-65881389 (last visited June 30, 2023). [5]Ryan Browne & MacKenzie Sigalos, A.I. has a discrimination problem. In banking, the consequences can be severe (June 23, 2023), https://www.cnbc.com/2023/06/23/ai-has-a-discrimination-problem-in-banking-that-can-be-devastating.html (last visited June 30, 2023). [6]Group-IB, Group-IB Discovers 100K+ Compromised ChatGPT Accounts on Dark Web Marketplaces; Asia-Pacific region tops the list (June 20, 2023), https://www.group-ib.com/media-center/press-releases/stealers-chatgpt-credentials/ (last visited June 30, 2023). [7]OpenAI, March 20 ChatGPT outage: Here’s what happened (Mar. 24, 2023),https://openai.com/blog/march-20-chatgpt-outage (last visited June 30, 2023).
美國NSF研究基金申請之利益衝突管理機制簡介美國NSF研究基金申請之利益衝突管理機制簡介 財團法人資訊工業策進會科技法律研究所 法律研究員 吳建興 106年07月17日 壹、事件摘要 國家科研計畫投入大量資金研發,旨在產出符合一定品質之研究成果,而無論其研究成功與否,需具備研究成果之客觀中立性[1]。為達成此目的,研究計畫申請時(含產學研究計畫),申請研究單位需已建立財務利益衝突管理機制,確保其研究人員能避免因其自身財務利益,而影響國家科研計畫所資助之研究客觀成果。以美國National Science Foundation Awards(以下簡稱:NSF)研究基金為例,NSF要求申請機關就其執行研究人員需揭露重大財務利益,並具備相關〈利益衝突管理機制〉[2]。以下將根據the NSF Proposal & Award Policies & Procedures Guide[3] (以下簡稱:PAPPG)簡介此機制內容及運作方式。 貳、NSF研究基金下財務利益衝突管理機制之特色 一、機制首重事前(Ex ante)揭露、審查及管理 美國NSF研究基金之機制,首重利益衝突管理,除非有不能管理之利益衝突存在,否則不會影響研究基金之申請。申請單位於NSF研究基金申請前即需管理利益衝突,主要參與研究計畫之人員,需事前揭露重大財務利益,並由申請機關審查有否利益衝突存在,若認定有財務利益衝突時,需提出管理利益衝突方法。 二、執行計畫研究人員需受利益衝突教育訓練義務。 NSF研究基金依據聯邦法規[4]規定,要求申請NSF研究基金之研究機關需在其計畫書中載明單位如何使參與研究人員接受教育訓練,明瞭何謂負責之研究行為(Responsible Conduct of Research:簡稱RCR),亦即如何避免研究上發生重大財務利益衝突行為。 三、重大財務利益[5]揭露需超越一定門檻 程序上需定義何為需揭露之重大財務利益,包括揭露主體、時機及揭露關係人範圍,以下分述之。 揭露主體:符合聯邦基金計畫下定義之主要研究計畫主持人(All Principal Investigators, Project Directors,Co- Principal Investigators)或其他負責研究計畫之設計、執行及報告之研究人員[6]。皆有填寫一份NSF財務揭露表單之義務。 揭露時機:於提出研究計畫書予NSF研究基金時,相關研究計畫主持人即需提交所需財務揭露表,而於執行計畫期間,研究計畫主持人或其配偶及同居人及未成年子女,仍有揭露新重大財務利益之義務[7]。 揭露關係人範圍:前揭揭露主體之配偶及同居人及未成年子女之所有超過美金一萬元之重大財務利益或持有受研究計畫影響公司之所有權利益超過百分之五皆須申報揭露。 NSF研究基金下所謂之重大財務利益概念係指[8]: 研究主持人及其配偶或未成年子女接受任何超過美金一萬元之合理市價股權利益(equity interest)(含股票、證券、其它所有權利益other ownership interests)或持有任何公司超過5%之所有權利益[9]。 研究主持人及其配偶或未成年子女,於申請前一年內從公司接受任何總計超過美金一萬元之薪資、智財權收入(含權利金)及其他收入[10]。 四、專人審查利益揭露及利益衝突需具備直接及重大性 NSF研究基金規定申請機關得指派一人或多人審查財務揭露[11]並認定是否存在利益衝突,審查型式可以委員會型式[12]呈現或由研究機關指派大學內院長等專人為之,無硬性規定。 關於如何認定重大財務利益衝突存在,NSF研究基金規定若審查人合理認定重大財務利益(SFI)可直接(Directly)或重大(Significantly)影響由NSF所資助研究計畫之設計、執行及報告時,即可認為存在利益衝突[13]。 五、利益衝突管理措施具多樣性,非只有當事人迴避一途 當審查人認定有利益衝突存在,審查人可決定採取限制措施或條件,以管理、降低及移除利益衝突[14]。其可能採取管理措施計包括但不限於:對公眾揭露重大財務利益、獨立審查人控管研究計畫、更改研究計畫、斷絕產生利益衝突關係、脫離重大財務利益及不參與研究計畫[15]。 參、事件評析 (一)美國NSF研究基金制度於有利益衝突時首重衝突管理,而目前臺灣科研計畫無所謂管理利益衝突概念,而採事前一律迴避義務[16]。 我國在研究計畫申請時就已採當然迴避規定,並要求計畫主持人及共同人主持人填寫利益迴避聲明書[17],但就研究執行期間發生利益衝突情況之處理方式並無規定[18]。 以今年2017科技基本法修法通過後為例,其立法意旨雖明確指出擬規範技術移轉的利益迴避,〈讓科研過程更加透明,以避免學研機構及人員在技轉時不慎踩線違法〉[19],然而此利益迴避機制仍是針對研發成果管理後端之技轉過程為利益迴避審查,尚未導入研發階段之利益衝突管理機制。目前子法的修訂仍正在進行中,且公布草案中有要求執行研究發展單位於其研發成果管理機制,建立技術移轉的〈利益迴避管理機制〉,惟對於研發前端的〈利益衝突管理機制〉仍未如NSF基金有一樣之制度建立[20]。 (二)目前臺灣對前端科研計畫之申請並無要求執行機關需對參與研究人員有財務利益衝突認識之教育與訓練 雖就目前科研計畫申請無要求,然在今年2017科技基本法修正後,在其子法預計要求執行研究發展單位需導入針對研發後端之技術移轉時所涉及利益迴避為教育訓練[21]。 (三)臺灣科研研究計畫申請前,仍需在研究前端導入利益衝突管理機制,目前修法僅預計在觸及技轉新創公司時,在研究成果管理機制中新增〈利益迴避管理機制〉,是從研究成果後端導入機制。 近年來,產學合作研究增加研究機關與產業之互動,然而此互動關係也漸趨複雜。為不影響產學研究成果之科學上之客觀性,研究計畫之財務利益衝突管理也需為適時調整。惟有加強此產學合作關係上透明性,確保利益衝突規範之遵行,且加強執行單位之自我監控,做好利益衝突管理及主責機關之監督,方可避免因日漸複雜的產學合作關係,使得其合作成果受到質疑[22]。若申請單位本身能提出財務利益衝突管理方法,落實預防性保護措施,自能保證研究成果之客觀性。 為達前述科研成果之客觀性,此利益衝突管理之導入時機,需在研發前端為之,也就是在研發申請前,執行研究發展單位就需為利益衝突管理。 臺灣似可參考NSF研究基金作法,由於其出自另一種思維,除消極防弊外,更積極將重大財務利益事前發現及揭露,並於揭露後判斷是否會直接及重大影響研究成果,若為肯定,則採行適當管理措施以減輕,消弭或管理利益衝突,達到研究成果客觀性目的。此項利益衝突管理思維,可為如何思考改進現行我國在研發計畫申請時只採當然迴避機制為參考。 [1]指科研計畫不受研究人員利益衝突而影響研究成果之科學上真實性。 [2] 本文用〈利益衝突管理機制〉文字來指稱NSF基金所設立之模式,在認定有重大利益衝突時,需採取一定措施來管理、減輕及移除利益衝突,迴避只是其中一種管理手段,與另一種〈利益迴避管理機制〉模式有所不同,該機制雖有利益揭露,及專人審查,然其審查結果只導向當事人需不需迴避之結果,無採取其他管理措施可言。 [3] Proposal & Award Policies & Procedures Guide, National Scence Foundation,https://www.nsf.gov/pubs/policydocs/pappg17_1/sigchanges.jsp (Last visited, June 14, 2017) [4]其法源依據為:Section 7009 of the America Creating Opportunities to Meaningfully Promote Excellence in Technology, Education, and Science (COMPETES) Act (42 USC 1862o–1) [5] Significant Financial Interest:以下簡稱SFI [6]A. Conflict of Interest Policies, 2., PAPPG, https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [7] 參NSF之財務揭露表 [8] 原文請參照:‘The term "significant financial interest" means anything of monetary value, including, but not limited to, salary or other payments for services (e.g., consulting fees or honoraria); equity interest (e.g., stocks, stock options or other ownership interests); and intellectual property rights (e.g., patents, copyrights and royalties from such rights).’. 參A. Conflict of Interest Policies, 2., PAPPG, https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [9]原文請參照:‘A.2.e. an equity interest that, when aggregated for the investigator and the investigator’s spouse and dependent children, meets both of the following tests: does not exceed $10,000 in value as determined through reference to public prices or other reasonable measures of fair market value, and does not represent more than a 5% ownership interest in any single entity;’由此段文字反推而出。 https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [10]原文請參照:‘A.2.f. salary, royalties or other payments that, when aggregated for the investigator and the investigator’s spouse and dependent children, are not expected to exceed $10,000 during the prior twelve-month period.’由此段文字反推而出。 https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [11] A. Conflict of Interest Policies, 4. PAPPG, https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [12] 加州柏克萊大學設有利益衝突委員會而史丹佛大學則由學院長指定專人審查。 [13] 原文為:‘‘A conflict of interest exists when the reviewer(s) reasonably determines that a significant financial interest could directly and significantly affect the design, conduct, or reporting of NSF-funded research or educational activities.’’ A. Conflict of Interest Policies, 4. supra note 6.(黑體字為本文所強調) [14]原文為:‘‘4.An organizational policy must designate one or more persons to review financial disclosures, determine whether a conflict of interest exists, and determine what conditions or restrictions, if any, should be imposed by the organization to manage, reduce or eliminate such conflict of interest.’’ A. Conflict of Interest Policies, 4. supra note 6. (黑體字為本文所強調) [15] A. Conflict of Interest Policies, 4. supra note 6. [16]參科技部補助產學合作研究計畫作業要點第一章通則之六、(迴避規定)以下。 [17]參科技部補助產學合作研究計畫書第三頁,https://www.most.gov.tw/folksonomy/list?menu_id=4dda1fd8-2aa9-412a-889b-9d34b50b6ccd&l=ch(最後瀏覽日:2017/06/14) [18] 經查科技部補助產學合作研究計畫作業要點無相關規定。 [19] 黃麗芸,〈科技基本法三讀,行政教職可兼新創董事〉,中央社,2017/05/26,https://finance.technews.tw/2017/05/26/administrative-staff-can-be-start-up-company-director/ (最後瀏覽日:2017/07/17) [20]請參照科技部公告〈政府科學技術研究發展成果歸屬及運用辦法部分條文修正草案對照表〉內修正條文第五條第三項之四、利益迴避、資訊揭露管理:受理資訊申報、審議利益迴避、公告揭露資訊 等程序,並落實人員、文件及資訊等保密措施。及修正條文第五條之一及修正條文第五條之二等相關條文。 https://www.most.gov.tw/most/attachments/61706f66-80b1-4812-9d6a-3fb140ab21f9 (最後瀏覽日:2017/07/17) (粗體字為本文強調所加)。 [21]請參照科技部公告〈從事研究人員兼職與技術作價投資事業管理辦法部分條文修正草案對照表〉內修正條文第七條學研機構應就依本辦法之兼職或技術作價投資設置管理單位,訂定迴避及資訊公開之管理機制,包括設置審議委員會、適用範圍、應公開揭露或申報事項、審議基準及作業程序、違反應遵行事項之處置、通報程序及教育訓練等。https://www.most.gov.tw/most/attachments/db227464-b0f8-4237-ae7c-d6eb712ff3f7 (最後瀏覽日:2017/07/17)(黑體字為本文強調所加)。 [22] 參美國聯邦衛生部(HHS)於2011年修改旗下PHS之研究基金申請規則之背景說明(42 CFR part 50, subpart F and 45 CFR part 94 (the 1995 regulations), that are designed to promote objectivity in PHSfunded research.)。Responsibility of Applicants for Promoting Objectivity in Research for Which Public Health Service Funding Is Sought and Responsible Prospective Contractors, 76 Fed. Reg.53,256,53,256(Aug. 25, 2011)(to be codified at 42 CFR Part 50 and 45 CFR Part 94).
美國賓州眾議院通過《人工智慧生成內容揭露法》美國賓州(Pennsylvania)眾議院於2024年4月10日通過《人工智慧生成內容的揭露法草案》(House Bill 1598 Disclosure of Artificially Intelligent Generated Content,下稱草案),規範AI生成內容及其利用行為以保護消費者。 草案規定,以AI生成之各種形式內容,在其首次呈現給消費者時應揭露資訊,使消費者知道該內容為AI生成之結果。如果明知或重大過失(Knowingly or recklessly)產出、散布或發布任何未「明確且顯著」(clear and conspicuous)揭露其內容為AI所生成者,即屬「不公平或欺騙性行為或做法」,將被依賓州《不公平貿易行為與消費者保護法》(Unfair Trade Practices And Consumer Protection Law)規定處罰。草案亦說明應如何揭露資訊,方符合條文所謂「明確且顯著」標準,例如針對AI生成之音訊內容,其揭露應以足夠的音量和節奏傳達,以便消費者聽取和理解。 此外,草案也關注兒童保護問題。鑑於AI生成的兒童性剝削圖像通報日益增加,草案最後新增規定,未來不能將「兒童性剝削圖像為AI生成」作為辯護理由,且檢察總長或地區檢察官可起訴製造、持有以及傳播AI生成之兒童色情或性虐待素材等相關行為。 目前草案已在州眾議院通過,由州參議院審議中。草案的提案議員強調,人們有權知道其消費的內容實際上是使用AI產出的成果,因此草案通過後,可望有效遏阻濫用AI的行為,提供賓州民眾更多的保障。