政府採購雲端服務新興模式暨資安一體考量之研析

　　2014年3月25日，巴西下議院通過編號2126/2011號法案，稱為網際網路公民權力法案（Marco Civil da Internet），是國際少見針對網際網路基本權利的立法例。該法律包含網際網路使用者權利、網路服務業者（ISP）責任、保障網際網路言論自由、保障隱私權、資料所有權及網際網路的普及化。 　　在數個月前，美國國家安全局被揭露監控全球網路流量的作法，引起國際間的軒然大波。許多國家均表達對於美國侵害其隱私及資訊安全，感到非常不滿。巴西政府自2011年以來，便逐步推動網路網路基本權利保障之立法，經過多年的程序，終於完成此次具代表意義的立法。該法律的規範對象涵蓋使用網際網路之個人、政府及企業，主要目的在保障網際網路的開放性、可接取集中立性。其主要規範重點在言論自由、網路中立性、隱私及個資保護、網路中介者責任等四部分。 　　在基本言論自由部分，該法律承諾保障言論及表達的自由，促進網路企業的競爭，維護公民使用網際網路的權利，促進網路服務的普及化；在網路中立性方面，則規範ISP不得對於網路內容及應用之傳輸有差別待遇，除非基於安全或技術支援的情形，而ISP進行差別待遇時，必須告知使用者；而在個人資料及隱私保護上，除了配合巴西既有的個資法處理資料收集、分析、處理及利用外，尚規範資訊保存與資訊所有權，對於ISP所保留有關使用者的資訊，除明訂各種隱私資料的保存期限外，也規範必須經過法院授權才能加以調閱，使用者對其資料也擁有所有權，ISP對於使用者資料必須嚴格保密；最後則是網路中介機構的責任，當發現網路上有侵害著作權之傳輸行為時，必須透過法院授權，ISP業者才能加以阻斷或刪除，而相對的，ISP業者只要遵守法院授權，便無需為網路上的侵權行為負擔連帶賠償責任，避免了業者因為用戶的侵權行為而連帶受到賠償責任。 　　巴西本次制訂的網際網路法律在國際上相對少見，例如其中的網路中立性規範也是屬於國際上少數將網路中立性加以明文規範的國家，對於網際網路上自由的維護可以說是非常的具有示範性。目前，國際上針對網際網路的規範模式也一直爭執未定，加強管制或放鬆管制的聲音也不斷的拉鋸，此次巴西的創新立法也可說相當具有參考性。

　　伴隨IoT和AI等技術發展，業者間被期待能合作透過資料創造新的附加價值及解決社會問題，惟在缺乏相關契約實務經驗的狀況下，如何締結契約成為應首要處理的課題。 　　針對上述狀況，日本經濟產業省於2017年5月公布「資料利用權限契約指引1.0版」（データの利用権限に関する契約ガイドラインVer1.0），隨後又設置AI、資料契約指引檢討會（AI・データ契約ガイドライン検討会），展開後續修正檢討，在追加整理資料利用契約類型、AI開發利用之權利關係及責任關係等內容後，公布「AI、資料利用契約指引草案」（AI・データの利用に関する契約ガイドライン（案）），於2018年4月27日至5月26日間公開募集意見，並於2018年6月15日正式公布「AI、資料利用契約指引」（「AI・データの利用に関する契約ガイドライン）。 　　「AI、資料利用契約指引」分為資料篇與AI篇。資料篇整理資料契約類型，將資料契約分為「資料提供型」、「資料創造型」和「資料共用型（平台型）」，說明個別契約架構及主要的法律問題，並提示契約條項及訂定各條項時應考慮的要點，希望能達成促進資料有效運用之目的。 　　AI篇說明AI技術特性和基本概念，將AI開發契約依照開發流程分為（1）評估（assessment）階段；（2）概念驗證（Proof of Concept, PoC）階段；（3）開發階段；（4）進階學習階段，並針對各階段契約方式和締結契約時應考慮的要點進行說明，希望達成促進AI開發利用之目的。

2024年9月1日，澳洲生效《政府負責任地使用人工智慧的政策》（Policy for the responsible use of AI in government，下稱政策）。澳洲數位轉型局（Digital Transformation Agency，以下稱DTA）提出此政策，旨於透過提升透明度、風險評估，增進人民對政府應用AI的信任。 1. AI之定義 此政策採經濟合作暨發展組織（OECD）之定義：AI系統是一種基於機器設備，從系統接收的資訊進而產出預測、建議、決策內容。 2.適用範圍 (1)此政策適用於「所有非企業的聯邦個體（non-Corporate Commonwealth entities, NCE）」，非企業的聯邦個體指在法律、財務上為聯邦政府的一部分，且須向議會負責。此政策亦鼓勵「企業的聯邦實體」適用此政策。 (2)依據2018年國家情報辦公室法（Office of National Intelligence Act 2018）第4條所規定之國家情報體系（national intelligence community, NIC）可以排除適用此政策。 3.適用此政策之機構，須滿足下列2要件 (1)公布透明度聲明 各機構應在政策生效日起的6個月內（即2025年2月28日前）公開發布透明度聲明，概述其應用AI的方式。 (2)提交權責人員（accountable official，下稱AO）名單 各機構應在政策生效日起90天內（即2024年11月30日前）將AO名單提供給DTA。 所謂AO的職責範圍，主要分為： I.AO應制定、調整其機構採取之AI治理機制，並定期審查、控管落實情況，並向DTA回報；鼓勵為所有員工執行AI基礎知識教育訓練，並依業務範圍進行額外培訓，例如：負責採購、開發、訓練及部署AI系統的人員，使機構內的利害關係人知道政策的影響。 II.當既有AI 應用案例被機構評估為高風險AI應用案例時，通知DTA該機構所認定之高風險AI應用案例，資訊應包括：AI的類型；預期的AI應用；該機構得出「高風險」評估的原因；任何敏感性資訊（any sensitivities）。 III.擔任機構內協調AI的聯絡窗口 IV.AO應參與或指派代表參與AI議題之政策一體性會議（whole-of-government forums）。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國證券交易委員會（The Securities and Exchange Commission，以下簡稱SEC）於2018年11月8日發出聲明，依據1934年的證券交易法（下稱證交法）第21C條對EtherDelta 創辦人Zachary Coburn 提起訴訟，並做出要求其停止交易之禁止令。 　　EtherDelta 乃為一線上交易平台，允許買家和賣家在其平台上交易「以太幣」和其他虛擬貨幣。其平台特徵有： 提供平台，促成虛擬貨幣交換 EtherDelta之網站提供一線上平台予買賣雙方，對經過平台認證的虛擬貨幣進行交易，促成虛擬貨幣交換。於網站成立之一年半中，其促成了360萬筆訂單。 以智慧合約自動驗證進行交易 EtherDelta以智慧合約（smart contract）維持網站運作，其智慧合約檢查用戶發出之訊息是否有效，於確認買賣雙方帳戶都有足夠資金後，自動進行交易。 提供資訊且對用戶資格未設限 EtherDelta於網站上提供虛擬貨幣之資訊，以及個別虛擬貨幣之每日交易量，同時於網站上顯示前500筆買方和賣方之交易資訊，以價格和顏色進行分類。而其對於成為網站用戶之資格並無限制。 　　SEC於本案中認為，EtherDelta並未註冊成為證券交易所，卻執行與證券交易相關之業務，已違反證交法，其論述理由為： EtherDelta平台上之虛擬貨幣屬於證券性質 本案SEC使用Howey Test—美國聯邦最高法院於1946年在SEC v. W. J. Howey Co. 一案中所確立之測試要件，來判斷是否符合證券。由於用戶以金錢購買虛擬貨幣，該金錢投資行為建立共同事業，且具有藉由他人努力而獲利之期待，故屬於證券性質之虛擬貨幣。 EtherDelta性質上為交易所，但未為註冊 EtherDelta 作為平台聚集大量投資人，並以智慧合約促成買賣雙方進行虛擬貨幣交換，已屬於實現證券交易之行為，具有證交所功能，故於不具有豁免情形下，其未註冊已違反證交法第5條規定。 　　本案就SEC之主張，EtherDelta並未為否認或承認之表示，但同意該禁止交易之命令，並同意支付SEC行使歸入權之30萬美元及其他判決前利息和罰款。 　　觀察目前美國對於虛擬貨幣買賣行為之監管，並無立專法規範，僅以證交法為準則，就個別虛擬貨幣之性質以Howey Test為檢驗，個案認定是否屬於證券。倘若屬於證券，則對於進行交易之平台課予證券交易所之責任，而對於虛擬貨幣而言，被認定為證券勢必被課予義務俾利增加投資人之保障，可能增加公開度及透明度，然其快速籌資之功能亦可能有所減損，SEC對於虛擬貨幣之監管影響與成效均值得繼續觀察之。另外，SEC曾於2017年7月25日針對The DAO做出一調查報告，其於報告中認為證券型之虛擬貨幣需要受到監管，從而本案作為DAO報告之後被裁罰之虛擬貨幣交易平台首例，有其作為里程碑之重要意義。首先其確立了SEC自DAO報告之後對於證券性質虛擬貨幣需監管之見解，再者表達SEC認為就算採用去中心化、分散式節點之方式進行證券交易，同樣屬於證交法所稱之「證交所」，不因此而豁免監管。