美國CVAA義務豁免之案例介紹與分析

　　為展現對高科技產業的重視，即將於4月1日舉行之行政院科技顧問會議年度會議，會議重點將鎖定「科技人才發展」與「下世代網路環境建構」。在「科技人才發展」方面，林政委逢慶表示，科技人才發展攸關台灣科技核心競爭力，政府必須進行中、長期人才資源規劃運用，放眼到2015年，政府將持續積極推展延攬海外科技人才的計畫；在替代役條例修正納入研發替代役後，未來投入科技的役男員額，將從目前國防訓儲每年3,500名逐年放寬到1萬人。 　　另外，政府將在五年內提撥近320億元，發展軟性電子、RFID（無線射頻）、奈米科技、智慧型機器人、智慧化車輛、智慧化居住空間等六大策略性生活科技產業，今年將先提撥58億元投資這些策略性產業上。此外 行政院科技顧問對於發展台灣成為全球奈米研發中心有高度期許，近日亦在行政院科技會報中確認，今年起到2010年的五年內，將投入200億元於奈米科技生活化相關產業上。這是行政院產業科技策略會議所訂六大策略性科技產業中，編列預算最大的一筆。

美國商務部產業安全局（Bureau of Industry and Security, BIS）於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」（Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles）法規預告（Notice of Proposed Rulemaking, NPRM），旨在透過進口管制措施，保護美國聯網車供應鏈及使用安全，避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公告之法規制定預告（Advanced Notice of Proposed Rulemaking, ANPRM）意見徵詢中的討論，本次法規預告明確指出受進口管制的國家為中國及俄國，並將聯網車輛資通訊技術及服務之定義，限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統，排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態：（1）禁止進口商將任何由中國或俄國擁有、控制或指揮的組織（下稱「中俄組織」）設計、開發、生產或供應（下稱「提供」）的車輛互聯系統（vehicle connectivity system, VCS）硬體進口至美國；（2）禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車；（3）禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 本次法規預告中亦提出兩種例外授權的制度：在特定條件下，例如年產量少於1000輛車、每年行駛公共道路少於30天等，廠商無須事前通知BIS，即可進行交易，然而須保存相關合規證明文件；不符前述一般授權資格者，可申請特殊授權，根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外，為提升供應鏈透明度並檢查合規性，BIS預計要求VCS硬體進口商及聯網車製造商，每年針對涉及外國利益的交易，提交符合性聲明，並附軟硬體物料清單（Bill of Materials, BOM）證明。BIS針對此規範是否有效且必要進行意見徵詢，值得我國持續關注。

　　華盛頓橄欖球隊(Washington Football Team，簡稱D.C. NFL)原名為華盛頓紅皮隊(Washington Redskins)，其名稱”Redskins”因具有種族歧視含意，一直以來都充滿爭議，雖然在漫長的法律程序中，成功的維護了他們的”Redskins”商標，然最終仍不敵輿論的壓力，在2020年7月放棄了這個已使用87年之久的商標。 　　如何為球隊重新命名一個品牌名稱以替代那悠久且著名的原品牌名稱，且新名稱要能夠讓球迷具有認同感，對球隊來說本就不是件容易的事，何況還需要考慮到9月即將開始的NFL(The National Football League)賽季，這更名時程看來就顯得更加緊迫。除了考量到NFL為全球性的賽事，商標命名時所需考量的市場變成全球市場而使這任務更顯艱鉅之外，現在球隊將因為其球迷的行為，使得其新品牌的命名橫添變數。 　　自1980年來即是球隊粉絲的菲利浦•馬丁•麥考利(Philip Martin McCaulay)，已經留意到球隊更名的可能性，近年將可能的名稱先申請商標，除了華盛頓勇士隊(Washington Warriors)外，還包含華盛頓紅狼(Washington Red Wolves)、華盛頓紀念碑(Washington Monuments)、華盛頓熊貓(Washington Pandas)等多達40個商標，而且從美國專利商標局(United States Patent and Trademark Office)資料，麥考利顯然不是唯一一位這樣做的人，究竟是要取得他人的授權，或是經過漫長的命名流程，面對9月就要到來的賽季，已經沒有太多時間留給球隊考慮。 　　隨著時間變遷，商標法中妨害公序良俗的認定亦會改變，因此品牌長期經營亦須時時檢視該商標在當下的涵義，及早變更因應的方向。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。