事前的事故應變計畫得降低資料外洩成本

　　日本內閣府在2020年7月17日發布「2020年統合創新戰略（統合イノベーション戦略2020，下稱創新戰略2020）」政策文件。創新戰略為內閣府轄下綜合科學技術與創新會議（総合科学技術・イノベーション会議）依據日本科學技術基本計畫，自2018年起固定於每年度發布。其目的係自全球性的觀點出發，提出含括科研創新之基礎研究至應用端的整體性策略。本年度創新戰略著眼於COVID-19疫情流行與世界各地大規模災害頻仍下，日本科研與創新政策所面臨的課題以及應採取的對策，並擴大科研領域，納入人文社會科學。 　　創新戰略2020指出，因COVID-19疫情影響，醫療體系、社經生活與研發活動皆受到程度不等的衝擊，包含零接觸經濟興起、社交方式改變與實體研究室關閉等。與此同時，美中科技對抗、GAFA數位壟斷爭議、極端氣候與天然災害等國內外情勢變遷快速。在此背景下，日本的首要課題為建構不間斷且強韌的醫療、教育、公共事業等社會服務體系，維繫國內外社會的鏈結。為此，應透過加速數位化，促成創新活動，同時強化研發能量，實現以人為本的「Society5.0」之社會。 基此，創新戰略2020提出了以下四項具體對策： （1）建立足以應對疫情困境、具韌性的社會經濟體系：在公衛醫療體系，進行疫苗與醫療儀器之研發，並運用數位科技傳遞訊息；因應科研創新與產學合作受疫情影響停擺，給予及時資助，如培育年輕創業者、提供推動引導研發補助（開発研究促進助成金，通稱Gap Fund）等；推動教育、研究、物流等各領域的數位化，同時自經濟安全保障的觀點，強化供應鏈韌性。 （2）創新創造：透過官民合作，實踐智慧城市的構想；同時持續推動「STI for SDGs路線圖（STI for SDGsロードマップ）」政策；藉由實踐研究誠信（研究インテグリティ），加強與國際網路合作；另一方面，應發展post 5G與Beyond 5G等前瞻數位基礎技術，並持續建置各領域的資料流通基礎設施。 （3）強化科研與創新之研究能量：建立能充分吸引年輕人才挑戰、進行創新研發的研究環境，同時成立基金以建構世界級的研究基礎設施；以充分活用大學研發成果為目標，檢討智財制度發展的願景；結合人文社會科學領域研究，並活用射月型研發（ムーンショット型研究開発）制度，發展社會問題解決方案。 （4）重要科技發展項目：於基礎技術層次，包含AI、生化科技、量子技術、材料等，對此應優先投入研發、培育相關人才；於應用科學層次，則包含防災、防疫、資安、能源、健康醫療、航太、糧食、農漁產業等。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

　　歐盟執委會（ EC ）一名資深官員 30 日大聲抨擊幾家美國的大型 IT 企業，指控他們對開放原始碼社群的發展產生過多影響。 　　EC 的資訊社會與媒體理事會軟體科技首長 Jesus Villasante 表示，如 IBM 、惠普（ HP ）和昇陽（ Sun Microsystems ）這些大公司，只是把開放原始碼社群當作承包商，而非鼓勵他們開發獨立的商業產品。 　　Villasante 在阿姆斯特丹舉行的荷蘭開放軟體大會（ Holland Open Software Conference ）中指出：「 IBM 會問顧客：你要專有或開放軟體？（如果他們選擇開放原始碼）然後他們會說：好，你要的是 IBM 的開放原始碼軟體。開放原始碼都將變成 IBM 、惠普或昇陽的財產。」 　　Villasante 說：「這些公司以承包商的模式，利用（開放原始碼）社群的潛能 – 當今的開放原始碼社群，等於是美國跨國企業的承包商。」他呼籲開放原始碼社群應發展更大的獨立性。 　　他表示：「開放原始碼社群需要看重自己，並瞭解他們對本身和社會都已作出貢獻。從他們瞭解自己是推動社會進化的一部分，並試圖發揮影響的那一刻起，我們才能朝正確的方向前進。」 　　Villasante 的看法令其他參與討論的成員頗為意外，包括 Sun One Consulting 的首席設計師 James Baty 。業界專家曾表示， IBM 等大公司對開放原始碼軟體的發展，作出相當大的貢獻，他們幫助說服企業與 IT 專業人員相信開放軟體與專有軟體一樣可靠。 　　Baty 並未直接回應 Villasante 的評論，但表示包括他的雇主在內的大型企業，都有責任奉獻給開放原始碼社群。昇陽捐助若干開放原始碼計劃，包括生產力應用軟體 OpenOffice.org 。 　　Baty 說：「有些公司僭取了開放原始碼社群的成果，其他公司則抱持他們必須奉獻的態度。（開放原始碼）應被視為一個機會，不是供人奪取和濫用的東西。」 　　Villasante 也利用稍早的演說，表達對歐洲軟體業的擔憂。他說：「我的看法是，歐洲目前根本沒有軟體產業 – 當今唯一的軟體產業只存在美國，未來或許還會出現在中國或印度。我們應該決定將來是否要建立歐洲的軟體產業。」 　　Villasante 認為開放原始碼是歐洲軟體產業發產的重要部分，但這種過程卻受到智慧財產遊說團體與傳統軟體業的壓力，及開放原始碼社群本身的分裂所壓抑。他說：「開放原始碼處於徹底的混亂 – 許多人作很多不同的東西。造成現在完全的混亂。」 　　一位聽眾指出， EC 也要為推動可能損害開放原始碼的軟體專利規章負責。 Villasante 回答，並非所有 EC 的成員都自動支持該規章。他說：「首先，我不負責軟體專利 – 軟體專利規章是由內部（市場）局長管理。資訊協會（ Villasante 工作的單位）局長的意見，不一定與內部局長相同。」（陳智文）

　　歐盟理事會（Council of the European Union）於2022年5月16日正式通過了資料治理法（Data Governance Act, 簡稱DGA），本法是歐盟執委會（European Commission）於2020年11月提案，經過一年多的意見徵詢與協商，歐盟議會（European Parliament）於今（2022）年4月6日以501票贊成通過，隨後由歐盟理事會通過公布，本法預計將於2023年8月正式生效。 　　DGA包含幾大面向，除了針對資料中介服務（data intermediation）、資料利他主義（data altruism）、歐盟資料創新委員會（European Data Innovation Board）等機制建立的規定外，在第二章特別針對公部門所持有之特定類別資料的再利用（reuse）進行規定。當公部門持有的資料涉及第三方受特定法律保護的權利時（如涉及第三方之商業機密、智慧財產、個資等），本法規定公部門只要符合特定條件下可將此類資料提供外界申請利用；若為提供符合歐盟整體利益的服務且具有正當理由和必要性的例外情況下，得授予申請對象專有權（exclusive rights），但授權期間不得超過12個月；歐盟應以相關技術確保所提供資料之隱私和機密性。 　　再者，各會員國應指定現有機構或創建一個新機構擔任提供上述資料類型的單一資訊點（Single Information Point, SIP），以電子方式公開透明地提供資料清單，包含可申請利用之資料的來源及相關描述（至少包含資料格式、檔案大小、再利用的條件等），以提供中小企業、新創企業便利、可信的資料查詢管道。此外，歐盟執委會應建立一個單一近用點（Single Access Point, SAP），提供一個可搜尋公部門資料的電子登記機制（a searchable electronic register of public-sector data），讓使用者得直接搜尋各會員國單一資訊點（SIP）中所提供的資料及相關資訊。 　　DGA是歐盟2020年2月發布歐盟資料戰略（European Data Strategy）後的第一個立法，歐盟希望透過本法建立一套能提升資料可利用性和促進公私部門間資料共享的機制，以創造歐盟數位經濟的更高價值。 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」