政府採購雲端服務新興模式暨資安一體考量之研析

　　Macy's公司（以下簡稱Macy's）今（2017）年6月在美國俄亥俄州南區聯邦法院控告前執行副總Kristen Cox（以下簡稱Cox）與其競爭對手Burlington公司（以下簡稱Burlington）竊取其具有零售產業競爭優勢的商業機密。Cox原任職於Macy's擔任執行副總與北區商店總監，於今年4月離職，並至Burlington擔任商店資深副總，Macy's主張該行為造成其傳統百貨公司與其他品牌商店的不當競爭。 　　Cox離職時，複印了Macy's的樓層規劃策略，及內含詳細銷售資訊的財務報告。亦在未經授權的情況下，下載儲存了財務績效、產品與品牌趨勢、消費喜好和商業策略有效性評估等資料。而Burlington挖角Cox的行為，不僅使Macy's失去優秀人才，更透過Cox獲知Macy's內部營運與商業策略等營業秘密，使Burlington取得不公平競爭之優勢。 　　由於Cox與Macy's有簽訂禁止競業、禁止招攬與保密條款，Macy's主張前揭行為已違反契約規定與忠實、誠信義務。同時，Macy's亦申請臨時禁制令，禁止Cox持續在Burlington工作，避免對Macy's造成不可彌補的損害。 　　另一方面，Cox也在紐約聯邦法院針對臨時禁制令提起反訴，主張Macy's競業條款要求其2年內不得在其他主要零售業工作之限制範圍太廣，並不合理，且Cox先前工作接觸的營業秘密，與現職工作內容毫無關聯且職掌業務不同，兩家公司的營業模式也有差異，故請求可繼續在Burlington工作。惟Macy's針對Cox選擇之管轄法院提出反駁，認為有任何爭議應以合約約定的俄亥俄州為管轄法院，此案後續值得關注。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　鑑於頻寬市場以及電信市場的競爭愈趨炙熱，不肖資通訊業者對於弱勢消費者，透過詐騙或其他不適當銷售手法而獲利的案例也層出不窮。爰此，英國通訊管理局（Office of Communication/ Ofcom）在2007年2月8日，決定擴張防止固網電信業者對消費者「不正當銷售」（mis-selling）的規範內容（General Condition）。 　　「不正當銷售」指的是電信公司或其雇員，利用不受歡迎或者非法的銷售產品技巧所從事的相關市場活動。其中最嚴重的銷售方式，又以「砰一聲」（slamming）的銷售行為，最令人詬病。因為該銷售行為是在未經消費者明示同意、或者未使其獲得足夠知識與資訊下，逕自將提供的服務轉換到另一家公司。例如：轉換服務提供者，但並未通知你；通知轉換服務提供者，但未經你同意；所簽約的服務與提供的服務不盡相同；銷售人利用使你倍感壓力的方式來銷售服務等等，均屬誤賣行為。 　　此次的規則擴張，在規範對象上也會納入那些使用用戶迴路的服務提供者。Ofcom認為在日益激勵的市場競爭下，這些擴張規則有助於消費者權益，並能保護他們免受不適當的銷售活動干擾，更可確保消費者追求更好消費標的市場信心。

　　澳洲證券投資委員會(Australian Securities and Investments Commission, ASIC) 於2016年12月15日發布第257號法規指導(Regulatory Guide 257，RG 257)-在未持有AFS或信用執照的狀態下測試fintech產品與服務(Testing fintech products and services without holding an AFS or credit licence)。RG 257並包含澳洲的監理沙盒架構。重要內容如下: 1.有別於其他國家的監理沙盒需要申請方能適用，透過法規以及ASIC澳洲已經提供一些鬆綁機制，換句話說並不需要事先申請就可以取得監管沙盒鬆綁。例如非現金支付產品，包含儲值卡，以及某些國外交易服務。 2.ASIC的fintech 執照豁免見諸於ASIC Corporations (Concept Validation Licensing Exemption) Instrument 2016/1175 以及ASIC Credit (Concept Validation Licensing Exemption) Instrument 2016/1176。 3.ASIC也可個別提供客製化的執照豁免以促進產品或服務測試，個別豁免就比較接近其他國家的監管沙盒架構。 　　因此基本上，只要符合法定以及上述兩個instruments的規定，就可以自動取得監管沙盒的鬆綁，而無需另外申請，唯需「通知」ASIC，並提供相關資料。監理沙盒的適用期間為十二個月。但是如果不符法定以及Instrument 2016/1175、Instrument 2016/1176的規定，也可以另外向ASIC申請客製化的豁免。 　　目前可適用Instrument 2016/1175的金融服務包含： •掛牌的澳洲證券； •簡易管理的投資架構； •存款產品； •某些一般的保險商品；以及 •「授權存款取用機構(authorised deposit-taking institutions，ADIs)」發行的支付產品。 　　唯須注意的是，Instrument 2016/1176允許有限的信用協助，但是不得提供借貸。另外，使用監理沙盒的fintech企業最多只能有100個零售客戶，以有效控制風險。

美國聯邦總務署（General Service Administration）於2024年6月27日發布《新興科技優先審查架構》（Emerging Technologies Prioritization Framework），該架構係為回應拜登總統針對AI安全所提出之第14110號行政命令，而在「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，以下簡稱FedRAMP）底下所設置之措施。 一般而言，雲端服務供應商（cloud service providers）若欲將其產品提供予政府單位使用，需依FedRAMP相關規範等候審查。《新興科技優先審查架構》則例外開放，使提供「新興科技」產品之雲端服務供應商得視情況優先審查。 現階段《新興科技優先審查架構》所定義之「新興科技」係為提供下列四種功能的生成式AI技術： 1.聊天介面（chat interface）：提供對話式聊天介面的產品。允許用戶輸入提示詞（prompts），然後利用大型語言模型產出內容。 2.程式碼生成與除錯工具（code generation and debugging tools）：軟體開發人員用來協助他們開發和除錯軟體的工具。 3.圖片生成（prompt-based image generators）：能根據使用者輸入之文字或圖像而產生新圖像或影像的產品。 4.通用應用程式介面（general purpose API）：基於API技術將前述三項功能加以整合的產品。 美國政府為挑選最具影響力的產品，要求雲端服務供應商繳交相關資料以利審查，例如公開的模型卡（model card）。模型卡應詳細說明模型的細節、用途、偏見和風險，以及資料、流程和參數等訓練細節。此外，模型卡應包含評估因素、指標和結果，包括所使用的評估基準。 《新興科技優先審查架構》第一波的申請開放至2024年8月31日，且FedRAMP將於9月30日宣布優先名單。這項措施將使生成式AI技術能夠以更快的速度被導入政府服務之中。