英國政府將設立網路兒童保護中心

　　美國行政管理預算局（United States Office of Management and Budget, OMB）於2020年1月發布「人工智慧應用監管指南（Guidance for Regulation of Artificial Intelligence Applications）」備忘錄草案。該備忘錄草案係基於維護美國人工智慧（AI）領導地位之目的，而依據美國總統川普（Donald John Trump）於2019年2月簽署之「維持美國人工智慧領導地位（Maintaining American Leadership in Artificial Intelligence）─行政命令13859號」，並在啟動美國人工智慧計畫後180天內，經OMB偕同科技政策辦公室（Office of Science and Technology Policy, OSTP）、美國國內政策委員會（United States Domestic Policy Council）與美國國家經濟委員會（National Economic Council）與其他相關機構進行協商，最後再由OMB發布人工智慧應用監管指南備忘錄草案，以徵詢公眾意見。 　　該備忘錄草案不僅是為了規範新型態AI應用技術，更希望相關的聯邦機構，在制定AI應用產業授權技術、監管與非監管方法上，能採取彈性的制定方向，以避免過度嚴苛的規定，反而阻礙AI應用的創新與科技發展，繼而保護公民自由、隱私權、基本權與自治權等價值。同時，為兼顧AI創新與政策之平衡，應以十大管理原則為規範制定之依據，十大管理原則分別為： 培養AI公眾信任（Public Trust in AI）； 公眾參與（Public Participation）； 科學研究倫理與資訊品質（Scientific Integrity and Information Quality）； AI風險評估與管理（Risk Assessment and Management）； 獲益與成本原則（Benefits and Costs）； 彈性原則（Flexibility）； 公平與反歧視（Fairness and Non-Discrimination）； AI應用之揭露與透明化（Disclosure and Transparency）； AI系統防護與措施安全性（Safety and Security）； 機構間之相互協調（Interagency Coordination）。 　　此外，為減少AI應用之阻礙，機構制定AI規則時，應採取降低AI技術障礙的方法，例如透過聯邦資料與模型方法來發展AI研發（Federal Data and Models for AI R&D）、公眾溝通（Communication to the Public）、自發性共識標準（Voluntary Consensus Standards）之制定及符合性評鑑（Conformity Assessment）活動，或國際監管合作（International Regulatory Cooperation）等，以創造一個接納並利於AI運作的環境。

　　英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊，造成逾300萬客戶及1000名員工的資料外洩，外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。 　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認為涉及之個人資料嚴重影響個人隱私，使得個人資料有被誤用的風險。ICO進一步調查後並發現，駭客僅是透過有效的登入憑證，就能藉由WordPress軟體存取系統，此事件亦暴露該組織技術安全措施之不足，因受影響系統中使用的軟件的重要元素已過時，且公司未能執行例行的安全測試。ICO認為，像Carphone Warehouse此類規模龐大的公司，應積極評估其資料安全系統，確保系統穩健而避免類似的攻擊。 　　據此，ICO判定該公司缺乏妥善的安全措施保障使用者資訊，已嚴重違反《Data Protection Act 1998》資料保護法，判罰40萬英鎊。 　　從今年5月25日起，隨著GDPR的生效，法律將更加嚴格。對此，ICO亦發布了有用的指導，包括GDPR指南，現在採取的12個步驟和工具包。國家網絡安全中心（NCSC）也為組織為保護自己所採取的步驟提供了有用的指導。

　　歐盟執委會（European Commission）於2022年5月3日發布「歐洲健康資料空間」（European Health Data Space, EHDS）規則提案，其旨在克服健康資料利用之障礙，以充分發揮數位健康與健康資料之潛力。EHDS為一個專門用於健康之資料共享框架（health-specific data sharing framework），針對患者以及用於研究、創新、政策制定、患者安全、統計或監管目的等電子健康資料之運用，建立明確規則、通用標準與實務、基礎設施與治理框架，無論是個人、醫療人員、健康照護提供者、研究人員、監管人員、產業界皆可由此受益。 　　EHDS之具體內容主要包括九個章節： （1）第一章為一般條款（General provisions），內容包括本規則之主題與範圍，並闡明定義、以及與其他歐盟法規之關係； （2）第二章為電子健康資料之原始利用（Primary use of electronic health data），其針對歐盟一般資料保護規則（GDPR）所載權利，增訂補充性之配套保護機制，並設定醫事人員及其他健康從業人員針對EHD之義務； （3）第三章為EHR系統與福祉應用（EHR systems and wellness applications），其主要重點為EHR系統之強制性自我認證計畫（mandatory self-certification scheme），要求其需符合可互通性與安全性等基本要求，並界定EHR系統中各經濟營運商（economic operator）之義務、EHR系統合規（conformity）要求，並負責EHR系統市場監督機構之義務； （4）第四章為電子健康資料之二次利用（Secondary use of electronic health data），如將資料用於研究、創新、政策制定、患者安全或監管活動。本章定義一組資料類型，規範可利用之既定目的以及受禁止之目的（如商業廣告、增加保險、開發危險產品），並規定會員國必須建立健康資料近用機構（health data access body），以便電子健康資料的二次利用，並確保由資料持有者所產生之電子資料可提供給資料使用者； （5）第五章為其他行動（Additional actions），其旨在提出其他措施以促進會員國之能量建構（capacity building），以配合EHDS之發展，包括數位公共服務之資訊交換、資金，並規範於EHDS下非個人資料之國際近用規定； （6）第六章為歐洲治理與協調（European governance and coordination），其創建「歐洲健康資料空間委員會」（European Health Data Space Board, EHDS Board），促進數位健康當局及健康資料近用機構之間的合作，特別是電子健康資料之原始與二次利用間之關係，並包含歐盟基礎設施聯合管理小組（joint controllership groups for EU infrastructure）相關規定，其任務在於就電子健康資料之原始與二次利用所需之跨境數位基礎建設進行相關決策； （7）第七章為授權與委員會（Delegation and Committee），其允許歐盟執委會通過關於EHDS之授權法案（delegated acts），並希望根據C (2016) 3301號決定成立一個專家小組，以便於準備授權法案、實施本規則時提供建議與協助； （8）第八章為附則（Miscellaneous）規定，其中包含關於合作與處罰之規定，以及要求於本規則實施後進行評估與檢視之條款； （9）第九章為延遲適用與最終條款（Deferred application and final provisions），其規定本規則與個別條款之生效日。

　　英國於2020年1月31日正式脫歐，同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定（Free Trade Agreement, FTA）。然而，美國認定中國大陸華為的5G設備存在資安風險，可能被用於間諜活動進而威脅國家安全，故主張美英貿易合作與情報共享的前提，必須建立在英國排除使用華為5G網路基礎建設之上，對此英國嘗試透過政策研擬，在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心（National Cyber Security Centre, NCSC）於2020年1月28日，即針對使用「高風險供應商（High risk vendors簡稱HRV）」之電信網路，提出風險管理建議，說明如何因應HRV帶來的網路安全風險及挑戰（須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor，必須透過關鍵與否及風險高低兩個變動因素加以細部區分）。目前英國5G及光纖到戶（Fiber To The Home, FTTH）計畫推動處於關鍵階段，NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議，將有助於保護營運商免於外部攻擊，並降低英國電信網路的國家安全風險。 　　NCSC在報告中，針對何謂高風險供應商，及如何管理這些供應商帶來的特定安全風險，提出詳盡判斷標準包括：供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點：包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管，進而與英國法律相抵觸甚至進行外部指導等。 　　又為減少由HRV引起的網路安全風險，NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務，並將高風險廠商供應上限設定為35％，有效進行網路安全風險管理，平衡安全性風險和市場供應多樣化彈性需求。另外，其他具備敏感性的網路營運模式，例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統（BNG / BRAS）等，必須根據具體情況，對HRV進行限制；且不得在與政府營運或重要國家基礎設施，及任何與安全系統直接相關的敏感網路中使用HRV設備。目前，中國大陸華為是英國NCSC唯一認定的HRV廠商，華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制；華為亦需遵守NCSC要求，訂定風險緩解策略，確保產品及服務不致威脅英國網路即國家安全。