歐盟將公布精準醫療國際合作發展倡議

　　美國財政部外國資產控制辦公室（The US Department of the Treasury’s Office of Foreign Assets Control, OFAC）於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告（Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments）。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險，期待企業可以採取相關之主動措施以減輕風險，此類相關之主動措施即緩減風險之因素（mitigating factors）。 　　該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為，故若企業對勒索軟體支付，或代替受害企業支付贖金，未來則有受到制裁之潛在風險，OFAC將依據無過失責任（strict liability），發動民事處罰（Civil Penalty制度），例如處以民事罰款（Civil Money Penalty）。 　　OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構，應實施合規之風險管理計畫以減少被制裁之風險，例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體，以及啟用身分驗證協議等；並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構，例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。

　　歐盟執委會於2022年1月27日宣布批准Meta（原Facebook）對Kustomer的併購案。Kustomer公司本身為向企業銷售客戶關係管理（customer relation management, CRM）整合軟體之公司，故本項併購可能影響Meta對消費者資訊的掌握能力，進而提升廣告市場影響力。因之，歐盟執委會基於自去（2021）年8月起深入調查本併購案有無影響公平競爭的結果，作成批准本併購案之決定，但要求Meta應遵守其提出的條件。 　　依據歐盟執委會的調查結果，主要擔憂本併購案可能阻礙CRM整合軟體之供給市場、以及CRM整合軟體售後客戶服務之供給市場的公平競爭。同時，調查中亦確認到Meta限制Kustomer公司的潛在競爭對手、以及新參與上述市場的業者近用Meta的訊息傳遞路徑應用程式介面（message channel API）。上述潛在競爭對手與業者和Kustomer公司相同，以中小企業為其主要銷售客群。而Meta採取此種經營方式，則可能會劇烈減少CRM整合軟體供給市場、以及CRM整合軟體售後客戶服務供給市場的競爭，導致相關軟體產品或服務的價格上揚，並伴隨品質與創新能量的下降，更可能將之轉嫁予消費者。 　　對上述調查結果所提出違反公平競爭秩序的疑慮，Meta則提案追加以下約款，作為條件以圖本併購案能夠獲准：（1）Meta保證於10年內，將其訊息傳遞路徑應用程式介面以無償、非歧視的方式，公開予存在競爭關係之客戶服務CRM整合軟體供應商、與新參與市場的業者取用；（2）Kustomer公司之客戶所使用Messenger、Instagram之私人通訊服務，以及WhatsApp之功能未來有進行改良或更新時，Kustomer公司之競爭對手與新進業者同樣得使用該些更新的功能。歐盟執委會最終認為Meta若踐行上述約款，將能消除其違反公平競爭秩序的疑慮，而以Meta履行該些約款為條件批准本併購案。

2024年9月1日，澳洲生效《政府負責任地使用人工智慧的政策》（Policy for the responsible use of AI in government，下稱政策）。澳洲數位轉型局（Digital Transformation Agency，以下稱DTA）提出此政策，旨於透過提升透明度、風險評估，增進人民對政府應用AI的信任。 1. AI之定義 此政策採經濟合作暨發展組織（OECD）之定義：AI系統是一種基於機器設備，從系統接收的資訊進而產出預測、建議、決策內容。 2.適用範圍 (1)此政策適用於「所有非企業的聯邦個體（non-Corporate Commonwealth entities, NCE）」，非企業的聯邦個體指在法律、財務上為聯邦政府的一部分，且須向議會負責。此政策亦鼓勵「企業的聯邦實體」適用此政策。 (2)依據2018年國家情報辦公室法（Office of National Intelligence Act 2018）第4條所規定之國家情報體系（national intelligence community, NIC）可以排除適用此政策。 3.適用此政策之機構，須滿足下列2要件 (1)公布透明度聲明 各機構應在政策生效日起的6個月內（即2025年2月28日前）公開發布透明度聲明，概述其應用AI的方式。 (2)提交權責人員（accountable official，下稱AO）名單 各機構應在政策生效日起90天內（即2024年11月30日前）將AO名單提供給DTA。 所謂AO的職責範圍，主要分為： I.AO應制定、調整其機構採取之AI治理機制，並定期審查、控管落實情況，並向DTA回報；鼓勵為所有員工執行AI基礎知識教育訓練，並依業務範圍進行額外培訓，例如：負責採購、開發、訓練及部署AI系統的人員，使機構內的利害關係人知道政策的影響。 II.當既有AI 應用案例被機構評估為高風險AI應用案例時，通知DTA該機構所認定之高風險AI應用案例，資訊應包括：AI的類型；預期的AI應用；該機構得出「高風險」評估的原因；任何敏感性資訊（any sensitivities）。 III.擔任機構內協調AI的聯絡窗口 IV.AO應參與或指派代表參與AI議題之政策一體性會議（whole-of-government forums）。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國接連發生電腦仲介商 ChoicePoint 與 NexisLexis 分別於 2004 年 10 月及 2004 年 4 月電腦遭入侵，數以百萬計的個人資料被竊取之事件，使得個人資料外洩的問題，受到美國國會的強烈關注。此一事件的發生，同時讓大家注意到加州資料庫外洩通知法（ SB1386 ）對於消費者保護的重要性。 SB13866 法要求持有個人敏感資料的組織、企業，當資料外洩時，需立即通知當事人。 Choice point 此次即是迫於加州州法的規定，於 2005 年 2 月通知了 3 萬 5 千名加州州民關於其個人資料遭受竊取的的消息。 　　鑑於個人資料保護的重要性，美國國會議員 Charles Schumer ( 紐約州 ) and Bill Nelson ( 佛羅里達州 ) 仿照 SB1386 加州立法，於 2005 年 4 月 12 日舉辦了「 2005 年個人資料保護風險通知義務法案」（ Notification of Risk to Personal Data Act of 2005 ）的公聽會。草案建議成立聯邦性法律，要求企業或政府，一旦其持有之個人資料遭到竊取，即需通知當事人。本草案同時明訂企業或政府應通知的事項；並擬允許，讓資料遭竊的個人，可於其信用報告中顯示其 7 年內可能遭受詐欺警告的紀錄。 　　本法案中除了包含 SB1386 的規定外，也對販賣個人敏感資料進行規範，並要求聯邦貿易委員會（ Federal Trade Commission ）設立相關組織，以協助資料遭竊之被害者。