政府採購雲端服務新興模式暨資安一體考量之研析

日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南（下稱《指南》）》，指南分為三大章，第一章為整體資料環境之變化；第二章為資料治理；第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料引領判斷篇，主要為呼籲企業透過資料分析結果改善企業經營。 《指南》資料引領判斷篇指出，在進行資料驅動的判斷流程時，需留意三點事項，分述如下： （一） 提出假說、驗證並進行決策 首先盤點利害關係人，蒐集各自的需求與課題，考量可以適用的技術與服務，並以此為基礎提出與事業相關的假說。其次，盤點必要資料並確認其利用可能性，同時針對所缺乏的資料進行取得可能性之評估。下一步，以所取得的資料為基礎進行假說與資料分析結果之驗證。而後，將假說與資料分析結果的驗證成果提供給利害關係人，並以利害關係人的意見為基礎，進行追加資料的取得並同時修正假說內容。最後，基於資料分析結果進行決策。 （二） 判斷決策所必要之資料的信賴性 企業在盤點必要之資料以進行分析並據此進行決策時，由於資料沒有達到特定數量無法用於分析、資料蒐集需花費時間成本，且判斷時點有時亦有其時效性，因此，在確保必要之資料時，會先檢視企業內部所持有之資料，而後確認政府機關的公開資料，如仍缺乏必要之資料，則會確認從資料市場取得之可能性等。在確保必要之資料後，則會判斷決策所必要之資料的信賴性，其主要分為兩點，一為針對資料本身之信賴性，包含資料是否有偏頗、對於資料產出者的信賴性以及資料取得日期、地區等；一為資料傳輸、編輯的信賴性，包含對於資料仲介者的信賴性、資料編輯程式以及資料整合方針。在無法完全確保資料的信賴性時，則會透過相關聯的資料進行資料正確性的檢驗。 （三） 服務導入與監視 資料分析並不僅侷限於現在資料的分析，亦會涵蓋未來資料的預測。舉例而言，自動駕駛資料不僅會分析車輛狀況以及周圍狀況，亦會預測並自動判斷是否需要剎車。透過資料分析結果導入服務後，亦應透過監視檢視決策成效，方法包含滿意度調查、平均使用時間調查等，並針對調查結果進行改善。 我國企業如欲將其所持有之資料用於分析並依照分析結果進行企業經營決策，除可參考日本所發布之《指南》資料引領判斷篇建立內含PDCA四面向之管理制度以外，亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》，針對自身所持有之資料建立包含PDCA四面向之管理制度。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

歐盟委員會（European Commission）於 2025年2月3日因應將於2025年9月12日施行的資料法（Data Act），就其常見問題說明進行補充與更新為1.2版（Frequently Asked Questions on the Data Act，下稱FAQs），以協助企業面對資料法施行後的挑戰。 於新版FAQs中就資料法進行補充說明，以助企業了解資料法之適用範圍，就資料法所稱之聯網裝置與服務，聯網裝置泛指可以連上網路的裝置，包含智慧型手機，並僅限於由使用者所擁有的聯網裝置，另就聯網服務則須具備雙向資料傳遞且須與聯網產品的操作功能有影響之服務。 就資料持有者有義務提供之資料適用範圍，僅限於聯網裝置與相關服務所產出的原始資料與預處理資料（原始但可用），資料持有者就原始資料或預處理資料進行加值所產生資料，如經分析所產生之衍生資料、經投入重大資源進行清理之資料等，則不在共享義務之範圍內，另就資料的內容有其他法律保護亦不在資料法的範疇中，如網路攝影機之照片/影片有受著作權法保護係屬於資料內容，網路攝影機之使用模式/電池狀態/照明強度等資料才是資料法所規範之資料，惟須留意若影像之內容非屬著作權保護之標的，如網路攝影機因具感測功能而自動就影像判斷是否異常現象或提供建議，此類影像因不具人類創意而不受著作權保護，仍屬資料法所涵蓋範圍。 於FAQs之解釋中，就資料法實際操作與預期有所差異，歐盟委員會後續亦會整合與數位資料相關之法規，如建立資料聯盟策略（Data Union Strategy），以助於企業促進數位資料的使用與共享。國內廠商若有提供歐盟客戶相關聯網設備與服務時，須留意內部資料管理制度能否滿足資料法要求，確保組織有因應相關法規議題的變化進行制度的變更，如何將外部議題與資料管理制度連結，可參資策會科法所創意智財中心就數位資料管理機制所公布之《重要數位資料治理暨管理制度規範（EDGS）》，將組織營運所在國別之法規範變動納入關注之外部議題，並設定對應之資料政策與目標，建立符合法令規範之資料管理制度，如是否得以識別為資料法所適用之資料等，以確保組織資料管理機制符合法令要求。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

歐盟執委會於2025年2月4日發布「關於禁止的人工智慧行為指引」（Commission Guidelines on Prohibited Artificial Intelligence Practices）（下稱「指引」）」，以因應歐盟《人工智慧法》（AI Act，下稱AIA）第5條關於「禁止的人工智慧行為」之規定。該規定自2月2日起正式實施，惟其內容僅臚列禁止行為而未深入闡釋其內涵，執委會特別制定本指引以避免產生歧義及混淆。 第5條明文禁止使用人工智慧系統進行有害行為，包括：利用潛意識技術或利用特定個人或群體之弱點進行有害操縱或欺騙行為、實施社會評分機制、進行個人犯罪風險預測、執行無特定目標之臉部影像蒐集、進行情緒識別分析、實施生物特徵分類、以及為執法目的而部署即時遠端生物特徵識別系統等。是以，指引就各禁止事項分別闡述其立法理由、禁止行為之具體內涵、構成要件、以及得以豁免適用之特定情形，並示例說明，具體詮釋條文規定。 此外，根據AIA規定，前述禁令僅適用於已在歐盟境內「投放市場」、「投入使用」或「使用」之人工智慧系統，惟對於「使用」一詞，並未予以明確定義。指引中特別闡明「使用」之定義，將其廣義解釋為涵蓋「系統投放市場或投入使用後，在其生命週期任何時刻的使用或部署。」 指引中亦指出，高風險AI系統的特定使用情境亦可能符合第5條的禁止要件，因而構成禁止行為，反之亦然。因此，AIA第5條宜與第6條關於高風險AI系統的規定交互參照應用。 AIA自通過後，如何進行條文內容解釋以及法律遵循義務成為各界持續討論之議題，本指引可提升AIA規範之明確性，有助於該法之落實。

　　2016年11月8日印度新德里（New Delhi），在英國首相德蕾莎‧梅伊（Theresa May）及印度總理納倫德拉‧莫迪（Narendra Modi））見證下，由英國智慧財產局（UK Intellectual Property Office；簡稱UK IPO）及產業政策與推廣部（Department of Industrial Policy and Promotion）共同簽署智慧財產權備忘錄。 　　雖然學術上就智慧財產權之保障強度，對於促進創新領域是否具有正面效益，似乎仍然是意見分歧，反思者主要論點在於模仿或抄襲對於某些產業發展，如：時尚設計、金融產品或程式開發等，反而有益於保持源源不絕之創造力，甚且適度開放更有促進市場競爭與減少社會成本，如：避免專利蟑螂崛起或企業壟斷，其中著名案例就是Linux；然而，雖有前述反思浪潮，但目前國際間仍是普遍相信藉由協議或備忘錄形式，試圖架構完善且強健之智慧財產權保護體系，維護權利人之權益，將有助於提升企業或一般民眾投入創新領域之意願。此番論點可見諸於英國所指派至印度擔任高級專員之多米尼克‧阿斯奎斯（Dominic Asquith），即是認為英國與印度簽署智慧財產權備忘錄，對於兩國創新及創意領域之發展，具有高度重要性。 　　針對該備忘錄之重點，內容摘錄如下： 　　1、相互交流智慧財權領域管理優化方式，如：簡化專利、商標、工業設計之註冊處理流程。 　　2、技術交流，此包括主管機關支援及智慧財產權紛爭之司法替代方案。 　　3、宣傳活動，此含有智慧財產權評價與維護之業務諮詢。 　　4、針對公眾舉行教育活動，以提高其對智慧財產權之認識與尊重。