政府採購雲端服務新興模式暨資安一體考量之研析

美國商務部（U.S. Department of Commerce）於2026年3月16日宣布，將依據第14320號總統行政命令（Executive Order 14320），進一步推動「美國AI出口計畫」（American AI Exports Program），徵集由產業界主導的「全端AI技術」（full-stack AI technology）出口提案，旨在透過對外提供整體AI解決方案維持並擴大美國在全球AI領域的領導地位，並降低國際市場對美國競爭對手AI技術依賴。 本次提案申請期間為2026年4月1日至6月30日，徵集對象主要為美國產業核心成員統籌的「預設型聯盟」（pre-set consortia），其組成無特定法律形式或人數限制，惟須具備持續對國際或特定區域市場提供全端AI技術完整方案之能力，並得於特定情況下納入外國企業。 此外，相關提案須涵蓋五大AI技術層面：經AI強化之硬體與基礎設施、資料管道與標記系統、AI模型與系統、資通安全措施，以及特定領域或功能之AI應用。其中硬體部分須具至少51%的美國本土價值。 後續提案選定將由商務部長會同國務卿、戰爭部長、能源部長及白宮科技政策辦公室主任進行評估。提案獲選後，全端AI技術方案即可列入美國政府向外國買家推廣的官方清單中。獲選之產業聯盟亦將取得美國政府的優先支持，包含政府間的優先推展、出口管制許可審查的優先處理程序，以及聯邦融資協調等，然並不保證取得出口許可或實質財務補助。

　　日本《科學技術指標》為文部科學省直接管轄之國立實驗研究機關「科學技術與學術政策研究所（NISTEP）」於每年度發布，主要為讓閱讀者基於客觀而定量的數據，體系性地掌握日本國內科學技術活動的基礎資料，將科學技術活動區分為「研究開發費」、「研究開發人才」、「高等教育與科技人才」、「研究開發產出」、以及「科技與創新」等5個類別，同時制定約180個指標以表達日本國內狀況。本年度公布的《科學技術指標2019》，則新增了「日本與美國各部門擁有博士學位者」、「各產業研究人才集中度與高端研究人才活用程度間之關係」、「主要國家取得博士學位之人數的變動狀況」、「運動科學研究類論文動向」、「主要國家貿易額度的變動狀況」、「各國與各類型獨角獸企業數」等20個指標。 　　依《科學技術指標2019》分析，日本的研究開發費與研究者人數於日、美、俄、法、英、中、韓等七個國家中皆位居第三，論文數則為世界排名第四，受高度矚目的論文數世界排名第九，專利家族（Patent Family）數世界排名第一而與去年相同。就產業的部份，研究者中擁有博士學位者之比例依據產業類型的不同而有所差異，與美國相較，高階人才之實際就業情況未能充分發揮其所學。另一方面，就每一百萬人中有取得博士學位的人數，在各主要國家當中，僅有日本呈現減少的趨勢。

　　美國眾議院於2015年4月22日以307票同意，116票反對，通過網路保護法（The Protecting Cyber Networks Act）。本法之立法目的在於移除法規障礙，美國公司藉此將得以與其他公機關或私人分享資安威脅的相關資訊，以防範駭客攻擊。 　　本法之重點內容主要係為對於網路威脅指標與防禦辦法之分享。依網路保護法第102條與第104條之規定，分享的客體包括「網路威脅指標」（cyber threat indicator）與「防禦辦法」（defensive measures），分享之對象則分為非聯邦機構（non-Federal entities）以及（國防部或國安局之外的）適當之聯邦機構（appropriate Federal entities）。本法第102條規定，在符合機密資訊、情報來源與方法、以及隱私及公民自由之保護下，國家情報總監（the Director of National Intelligence, DNI）經與其他適當聯邦機構諮商後，應展開並頒布相關程序，以促進下列事項之進行：「（一）與相關非聯邦機構中具有適當安全權限之代表，及時分享（timely sharing）聯邦政府所有之機密網路威脅指標；（二）與相關非聯邦機構及時分享聯邦政府所有，且可能被解密並以非機密等級分享之網路威脅指標；（三）於適當情況下與非聯邦機構分享聯邦政府所有，且與該些機構即將或正在發生之網路安全威脅（cybersecurity threat）有關之資訊，以防止或降低該網路安全威脅所造成之負面影響。」 　　以及，對於隱私權與公民自由之保障亦非常重要，就隱私權與公民自由之保障，網路保護法主要在第103條第4項設有相關規定。對於資訊安全，該項第1款規定，依本法第103條之規定進行資訊系統之監控、執行防禦辦法、或提供或取得網路威脅指標或防禦辦法之非聯邦機構，應實施適當之安全管控，以保護該些網路威脅指標或防禦辦法免遭未經授權之近用或取得。同項第2款則更進一步規定了特定個人資料在一定條件下應被移除。該款規定，依本法進行網路威脅指標分享的非聯邦機構，於分享前應合理地對該網路威脅指標進行復核，以評估該指標是否含有任何令該機構合理相信（reasonably believes）與網路安全威脅非直接相關，且於分享時（at the time of sharing）屬於特定個人之個人資訊或指向特定個人之資訊，並移除該等資訊。

　　德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件，協助中小企業提升對於組織及特別領域中的資安風險之意識，並進一步採取有效防護檢測，包括基本安全防護措施、組織資安維護、及法規，並同時宣導德國資料保護法中對於資安保護的法定要求。 　　資通訊安全及其法規係為企業進行數位化時，涉及確保法的安定性（Rechtssicherheit）之議題。加強資安保護，除可增進銷售及生產力，並使商業貿易間有更大的透明度和靈活性，和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求，提供相關服務，並使共享資料得到完善的保護。例如：應如何保護處理後的資料？如何執行刪除個人資料權利？各方如何保護營業秘密？如果資料遺失，誰應承擔責任？唯有釐清上述相關等問題時，方能建立必要的信任。而在德國聯邦資料保護法，歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則，係為數位創新企業執行資安基礎工作重要法律框架。但是，由於數位化的發展，新的法律問題不斷出現，目前的法律框架尚未全面解決。例如，機器是否可以處理第三方資料並刪除或保存？或是誰可擁有機器協作所產生的資料？因此，未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備，工業4.0的IT法律問題變得複雜。一方面，需要解決中、大型企業的營業祕密，資料所有權和責任主題之實際問題，以促進相關數位化創新。另一方面，為了能夠推導出現實的法律規範，需要更多具體實施案例討論。 　　據研究顯示，企業家對產品責任問題，人工智慧使用，外包IT解決方案，及雲端計算等核心問題的新法規以顯示出極大的興趣，並進一步列入既有或規劃中研究項目。未來，政府將協助為所有公司在安全框架下展開數位計畫合作的機會，並充分利用網路的潛力，而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。