德國聯邦內政部提出「資訊科技安全法」(草案),保障關鍵基礎設施及資訊安全
德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。
該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。
關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。
關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。
若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。
作為企業競爭力泉源的技術資訊其價值日趨高漲,日本經濟產業省(以下簡稱經產省)以企業界為對象,於2020年7月到2021年9月召開超過20場線上「技術外洩防止管理說明會」,以技術資訊管理為核心,推動3種技術資訊管理制度: 一、技術資訊管理認證制度 基於2018年「產業競爭力強化法」修法,推動「技術資訊管理認證制度」,促進企業通過認證,強化企業取得合作夥伴信賴之能力。 二、營業秘密管理制度 基於日本「不正競爭防止法」,推動「營業秘密管理制度」,防止企業外洩自己的機密資訊,強化企業自我保護之能力。 三、安全保障貿易管理制度 基於企業對於「外國交易行為與外國貿易法」或相關法令知識不足,推動「安全保障貿易管理制度」,避免企業輸出高階技術、高性能產品被作為軍事利用而違法,進而面臨被處刑罰、行政罰之風險,強化企業承擔責任之能力。 全球新興科技發展以及嚴峻疫情驅使之下,我國許多企業投入數位轉型、採取遠距辦公,與客戶間傳遞或保管重要技術資訊時,將增加一定程度的資訊外洩風險,日本3種技術資訊管理制度可供我國企業建構技術資訊管理機制、強化企業技術保護力之參考。
預付型商品之規範-以日本法為借鏡 金融穩定委員會報告指出金融領域採用AI之模型、資料品質與治理風險.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 金融穩定委員會(Financial Stability Board, FSB)於2024年11月14日發布《人工智慧對金融穩定的影響》報告,探討人工智慧(Artificial Intelligence, AI)在金融領域的應用進展及對全球金融穩定的影響,分析相關風險並提出建議。 報告指出AI具有提升效率、加強法規遵循、提供個人化金融產品及進階資料分析等益處,但同時可能加劇某些金融部門的脆弱性(Vulnerability),進而構成金融穩定風險。報告特別提出之脆弱性包括:「第三方依賴及服務供應商集中化」、「市場相關性」、「資安風險」,以及「模型風險、資料品質和治理」。 在模型風險、資料品質與治理中,廣泛應用AI可能導致模型風險上升,因某些模型難以驗證、監控及修正,且模型的複雜性與透明性不足將增加尋找具獨立性和專業知識的驗證者的挑戰。此外,在大型語言模型(Large Language Model, LLM),大規模非結構化資料的使用及訓練資料來源的不透明性,使資料品質評估更加困難。特別是在預訓練模型(Pre-trained Model)中,金融機構對眾多資料來源的評估方式不熟悉,進一步增加管理難度。 若金融機構未建立健全的治理架構以審查AI的使用及其資料來源,模型風險與資料品質問題將難以控制。金融機構有責任應對與AI相關的模型風險和資料品質挑戰,包含對模型進行驗證、持續監控、執行結果分析和評估資料品質的預期要求。 報告呼籲各國金融主管機關加強對AI發展的監測,評估現行金融政策框架是否充分,並增強監管能力。建議可定期或不定期調查AI應用情形,並透過報告及公開揭露制度獲取相關資訊。此外,主管機關可考慮利用監督科技(SupTech)及監管科技(RegTech)等AI驅動工具強化監管效能,以應對AI在金融領域帶來的挑戰與風險。
美國國會《促進美國5G國際領導力法案》美國眾議院於2020年1月8日通過《促進美國5G國際領導力法案(Promoting United States International Leadership in 5G Act)》,指示美國國務卿未來應強化美國5G關鍵基礎設施,並在國際標準組織中爭取5G標準制定的領導地位。該法案象徵美國積極對抗中國大陸在5G網路、網際網路設備及雲端設施的控制,以維護國家安全及5G產業競爭力。目前法案還需由美國參議院通過,並經總統簽署後生效。 法案指出,國際標準制定組織(例如國際電信聯盟,第三代合作夥伴計劃3GPP和5G基礎設施協會、5GPPP公私聯盟協會)採用的標準,對於全球經濟及確保網路技術的全球連接至關重要。5G技術標準能帶來更高的智財權收入及技術出口,對未來全球無線通訊技術及標準制定產生強大影響力。中國大陸政府近來鼓勵民間企業在國際5G標準組織中發揮更大作用,企業積極參與並主導5G國際標準制定,試圖重組全球市場並主導經濟戰略性產業。中國大陸官員在國際標準制定組織中,亦擔任更多主導角色,包括建立夥伴關係、分配全球無線電頻率及衛星軌道,建立資通訊技術的國際技術標準等。中國大陸透過「中國製造2025」及「互聯網+」計畫,企圖在國際標準制定組織中稱霸,為中國大陸企業創造5G技術的不公平競爭優勢。 又為加強美國在5G國際標準制定組織中的領導地位,本法案具體列出美國未來5G技術標準與資通訊安全的三項目標:(1)美國與盟國及合作夥伴,應在第五代及下世代行動通訊系統和基礎設施的國際標準制定組織中,保持參與及主導地位。(2)美國應與盟國及夥伴合作,鼓勵並促進第五代及下世代行動通訊系統及基礎設施,發展安全的供應鏈網路。(3)維持美國與盟國及合作夥伴間電信及網路安全標準,維護美國國家戰略和安全利益。