英國公布「調查權法草案」(Investigatory Powers Bill)
英國內政部(Home Office)於2015年11月4日公布一項關於網路監管的「調查權法草案」(Draft Investigatory Powers Bill),其主要目的係為提供執法、國安及情治單位,如英國安全局(MI5)、秘密情報局(MI6)、英國政府通訊總部(GCHQ)對於資通訊內容之掌控能力,用以因應數位時代不斷升高的維安需求,例如防止恐怖攻擊、兒童性剝削、破解跨國犯罪集團、協尋失蹤人口、犯罪現場之定位及嫌疑人相關聯繫對象等,該草案一旦通過,將迫使網路及電信服務業者保留其客戶之通訊數據、瀏覽記錄長達一年,甚至在必要情況下,協助英國政府攔截通訊數據、破解加密訊息。
其條文共計202條,分為九部分,對於通訊數據調查權行使所採取之主要手段包含攔截通訊(Interception)、數據監看(Oversight)、以設備干擾連結(Equipment Interference)、大量蒐集個人通訊資料(Bulk Powers)等,由於法案將擴張英國政府對網路隱私之干涉,對此內政大臣Theresa May表示,新法對於瀏覽記錄著重於使用者到訪過哪些網站,而非其瀏覽過的每一個網頁,同時,對於某些握有他人敏感資料的職業,例如醫生、律師、記者、國會議員及神職人員等,擁有較多的保護。
此外,草案亦闡明將建立政府自我監督及防濫權機制,包含未來將創設調查權利委員(Investigatory Powers Commissioner,簡稱IPC)專責監督政府調查權之行使,以及一套稱為Double Lock的新制度,即前述攔截數據資料權之行使,須有內政大臣親自核發之令狀,且該令狀應獲得司法委員(Judicial Commissioner)之批准。
這項草案無疑將引來公益與私利間之衝突,也在資通訊業界造成極大的反彈,縱然「調查權法案」並未限制相關電信與網路業者不得對其服務加密,卻要求於必要情況下提供解密協助,然而目前許多通訊服務採「點對點加密」(End-to-End Encryption)技術,若非發送及接收兩端之人,即便是提供該服務之公司也無法解密,一旦草案通過,類似WhatsApp或Apple所開發之iMessage將如何在英國使用,將會是未來觀測的重點。
葉小楓
法律研究員 編譯整理
Secretary of State for the Home Department, Draft Investigatory Powers Bill, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/473770/Draft_Investigatory_Powers_Bill.pdf (last visited Nov. 20, 2015)
BBC News, “Will UK spy bill risk exposing people’s porn habits” , http://www.bbc.com/news/technology-34719569 (last visited Nov. 20, 2015)
美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2023年1月26日公布「人工智慧風險管理框架1.0」(Artificial Intelligence Risk Management Framework, AI RMF 1.0),該自願性框架提供相關資源,以協助組織與個人管理人工智慧風險,並促進可信賴的人工智慧(Trustworthy AI)之設計、開發與使用。NIST曾於2021年7月29日提出「人工智慧風險管理框架」草案進行公眾徵詢,獲得業界之建議包含框架應有明確之衡量方法以及數值指標、人工智慧系統設計時應先思考整體系統之假設於真實世界中運作時,是否會產生公平性或誤差的問題等。本框架將隨著各界使用後的意見回饋持續更新,期待各產業發展出適合自己的使用方式。 本框架首先說明人工智慧技術的風險與其他科技的差異,定義人工智慧與可信賴的人工智慧,並指出設計該自願性框架的目的。再來,其分析人工智慧風險管理的困難,並用人工智慧的生命週期定義出風險管理相關人員(AI actors)。本框架提供七種評估人工智慧系統之信賴度的特徵,包含有效且可靠(valid and reliable):有客觀證據證明人工智慧系統的有效性與系統穩定度;安全性(safe):包含生命、健康、財產、環境安全,且應依照安全風險種類決定管理上的優先次序;資安與韌性(secure and resilient);可歸責與資訊透明度(accountable and transparent);可解釋性與可詮譯性(explainable and interpretable);隱私保護(privacy-enhanced);公平性—有害偏見管理(fair – with harmful bias managed)。 本框架亦提出人工智慧風險管理框架核心(AI RMF Core)概念,包含四項主要功能:治理、映射(mapping)、量測與管理。其中,治理功能為一切的基礎,負責孕育風險管理文化。各項功能皆有具體項目與子項目,並對應特定行動和結果產出。NIST同時公布「人工智慧風險管理框架教戰手冊」(AI RMF Playbook),提供實際做法之建議,並鼓勵業界分享其具體成果供他人參考。
美國「能源效率改革法案」簡介 西班牙政府向GOOGLE主張「被遺忘的權利」西班牙政府要求網路搜尋引擎業者Google刪除有關於90位公民之個人資料搜尋結果。西班牙政府主張當事人具有「被遺忘之權利」(the right to be forgotten),但Google認為西班牙政府之要求將衝擊表達自由之權利。目前全案已進入訴訟程序。 該事件之主因為西班牙民眾發現透過網路搜尋引擎,可以搜尋包含地址、犯罪前科等個人資料。經民眾向西班牙隱私權保護機關(Spain Data Protection Agency)提出申訴後,西班牙政府命令Google刪除申訴民眾之個人資料之搜尋結果。 然而,Google的全球隱私顧問Peter Fleischer於個人部落格中提出個人意見,表示目前歐盟並未對於推行之「被遺忘之權利」給予明確定義,此舉將引起資訊科技發展與法律規範間之爭議。 近來歐盟所進行之民意調查指出,多數歐洲人希望能夠隨時要求網路公司刪除於網路上公開之個人資料,也就是希望擁有「被遺忘之權利」。所謂「被遺忘之權利」,係指只要是於網路上流傳且容易被搜尋之個人資訊,例如年代久遠或是令人尷尬的內容,當事人皆有權利要求刪除。 然而,根據1995年歐盟隱私保護指令(EU Data Protection Directive)所制定之各國個人資料保護法,對於「被遺忘之權利」並無著墨。故有些專家認為,為因應資訊科技之發展,應透過個人資料保護法制之修訂,確認此權利之存在,以避免模糊不清之情形。
美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望美國及其他參與國際反勒索軟體倡議(International Counter Ransomware Initiative, CRI)之50個成員(含國家及國際組織),於2023年10月31日至11月1日召開第三次大會,並且發布聲明表示:應積極建立對抗勒索軟體之集體韌性(collective resilience)、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。 CRI於2023年之關鍵成果主要可分以下三個面向: 一、加強資安管理能力 對CRI新成員提供指導及戰術培訓,例如由以色列督導約旦,以確保新成員之資通安全。此外,亦發起利用人工智慧打擊勒索軟體之計畫。 二、促進資訊共享 設立可即時更新之資訊共享平台,使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫(Malware Information Sharing Project, MISP)、以色列及阿拉伯聯合大公國之水晶球平台(Crystal Ball platforms)。 三、反制勒索軟體使用人 CRI發布前所未有之共同政策聲明,闡明成員不應支付贖金,且創設成員間共享之加密貨幣錢包黑名單(blacklist of wallets),以便揭露勒索軟體使用人之非法帳戶,並公開與犯罪組織之金流紀錄。另,CRI於2024年起將持續致力發展前述聲明提及之目標,並優先向潛在成員進行宣導,透過提供量身訂做之資安應變能力培訓,滿足潛在成員之需求。