強化驗證技術以遏止網路犯罪
美國聯邦財政機構檢測委員會 —包括聯邦儲備(Federal Reserve)和聯邦存款保險公司(Federal Deposit Insurance Corp.,FDIC)等管理者在內,要求銀行2006年底皆必須加強網上身份驗證措施,如給每個顧客一份加密的憑證,這些憑證會向銀行證明用戶的真實身份。且該加密的憑證不會向發放該憑證的其它網站做出回應,這樣既保護了用戶,也保護了銀行。此外,美國聯邦財政機構檢測委員會審查員亦會定期檢查銀行的執行情況;而以美國芝加哥直銷協會為例,其要求會員於交易時所使用之電子郵件,須取得電子郵件系統的驗證,以確保電子郵件係由該協會成員所發出。
如同美國芝加哥直銷協會執行長 John A. Greco 所言,消費者可藉由此種驗證方式增加更多信心,對於其所取的資訊係來自可靠來源並具有合法性,可使市場減低網路犯罪之產生並對於政府、企業及消費者有更多保障。
美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
強化政府橫向協調,提升AI治理—澳洲擬於2026年初設立AI安全研究所澳洲政府於2025年11月25日宣布,將於2026年初設立AI安全研究所(AI Safety Institute)。澳洲AI安全研究所的設立目標,為提供相關的專業能力,以監管、測試與共享AI在技術、風險、危害層面的資訊。經由辨識潛在的風險,提供澳洲政府與人民必要的保護。AI安全研究所將以既有之法律與監管框架為基礎,因應AI風險,協助政府各部門調整相關規範。其主要業務如下: .協助政府掌握AI技術的發展趨勢,動態應對新興的風險與危害; .強化政府對先進AI技術發展及潛在影響的理解; .共享AI資訊與作為協調政府各部門的樞紐; .經由國家AI中心(National AI Centre,NAIC)等管道,提供事業、政府、公眾與AI相關的機會、風險和安全的指導; .協助澳洲履行國際AI安全協議的承諾。 AI安全研究所並為2025年12月2日,工業、科學與資源部(Department of Industry, Science and Resources)發布的國家AI計畫(National AI Plan,下稱澳洲AI計畫)中,保障應用AI安全性的關鍵項目。澳洲AI計畫指出,AI安全研究所將關注AI的上游風險(upstream AI risks),與下游危害(downstream AI harms)。所稱之上游風險,係指AI模型和系統的建構、訓練方式,與AI本身的能力,可能產生的疑慮。下游危害,則係指使用AI系統時,可能的實質影響。 AI安全研究所將支援與國際、政府各部門間之合作;並共享新興的AI技術能力,以及對AI上游風險的見解,發布安全研究成果,提供產業與學術界參考。AI安全研究所監測、分析與共享資訊,提出政府各部門,對AI下游危害,可採取的一致性應對建議。 綜上所述,澳洲政府提出國家AI計畫,於既有的法制體系,滾動調整相關規範,以應對AI風險。並成立AI安全研究所,追蹤國際AI發展脈動,及時提供澳洲政府應對建議,協調各部門採取一致性的行動。澳洲政府對新興AI技術,所採取策略的具體成效,仍有待觀察。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
英國Royal Free國家健康服務基金信託與Google DeepMind間的資料分享協議違反英國資料保護法英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2017年7月公告Royal Free國家健康服務基金信託(Royal Free London NHS Foundation Trust)與Google人工智慧研究室DeepMind之間的資料分享協議,違反資料保護法(Data Protection Act)。 該協議之目的在使DeepMind利用Royal Free所提供的醫療資料,開發一款名為Streams的應用程式,透過人工智慧系統分析得知病患惡化之情況,並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人,協議的合法性,尤其在資料分享是否經病患同意方面,受到質疑。 Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護,具有病患默示同意(implied consent)之正當基礎,且資料經加密後才傳給DeepMind。惟經ICO調查結果如下: 就資料將被使用作為應用程式測試一事,病患未獲充分告知亦無合理期待; 雖執行隱私影響評估,惟僅於資料傳給DeepMind後才進行,無法發揮事前評估作用; 應用程式尚在測試階段,無法說明揭露160萬病患紀錄的必要性與手段合理性。 目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。
德國巴伐利亞邦政府聲明其執行DSGVO(GDPR)的方式─對中小企業及協會友善的輔導今年7月31日最新一期的巴伐利亞邦政府公報(Allgemeines Ministerialblatt, AllMBl),揭露今年6月5日的巴伐利亞內閣會議紀錄─關於巴伐利亞邦執行DSGVO的方式。 公報內容指出幾個重點: 業餘體育俱樂部(Amateursportverein)、樂隊(Musikkapelle)或由志願者投入者組成的協會(Verein),不須任命資料保護官員(Datenschutzbeauftragten, DSB)。 如果因為對法律的不熟悉而初次違反DSGVO,並不會被罰款;相關單位的指示和建議將優先於處罰。因依據DSGVO第83條第1項規定,處罰應該是有效、適當且具有懲戒性的。故對於非第一次違反的情況,就可能直接依據DSGVO第83條規定處以罰款。 巴伐利亞邦不能接受「警告律師」(Abmahnanwälten)告誡企業資料保護行為違規的做法。 邦政府將向有關單位進一步確認DSGVO中的相關規定,其應用尤其必須能夠確保正確且適當的符合DSGVO的目標。 邦政府將與協會和中小企業進行進一步有關DSGVO適用的討論。 在巴伐利亞邦政府公布的新聞稿中,總理馬庫斯索德進一步表示:「DSGVO實現了更大程度的隱私保護,但不應該成為官僚主義的怪物。巴伐利亞將提供對協會及中小企業都友善的DSGVO適用方式。我們提供的是幫助,而不是懲罰。」內政部長Joachim Herrmann則表示:「DSGVO希望促使人民接受,但不是在人民的日常生活製造更多的困擾和額外的官僚主義。最重要的是,所有的協會、許多有志願者投入的地方或中小企業,必須透過適當和正確地應用DSGVO,來保護其免受過度的資料保護要求。」 巴伐利亞資料保護監督辦公室(BayLDA, Bayerische Landesamt für Datenschutzaufsicht)並進一步公布了對許多中小企業,如:協會、醫療診所(Arztpraxis)、稅務顧問(Steuerberater)……等行業,遵循DSGVO的參考指引,提供進一步的遵循指示。