日本「u-Japan政策」簡介

　　日本A-STEP計畫係指研發成果最適展開支援事業計畫，由國立研究開發法人科學技術振興機構負責辦理，主要目的在於兼顧大學研究成果之學術價值及實用性，同時透過產學合作推展大學的研發成果，帶動創新產生。計畫針對產業技術瓶頸，為民間企業不易涉入的高風險研發領域，由科學技術振興機構中介民間企業與公私立大學、公私立技術學院、公立研究機構、國立研究開發法人、公益法人共同執行產學研種子研發計畫，再依據不同的目的、技術性質規劃不同類型的產學研合作研究計畫進行資助。 　　研究成果最適展開支援事業有兩個特色：單一申請窗口、以及採取接續模式分段申請。其流程為，大學研究人員向國立研究開發法人科學技術振興機構申請研究成果最適展開支援事業，在研究開發階段中，若被補助的種子計畫在結束後，想持續進行研究，可申請另一階段-委託開發實用挑戰之計畫補助，國立研究開發法人科學技術振興機構將透過外界研究人員對計畫進行審核，決定是否延長計畫以及延長的期程。一般研究開發可區分為三階段：可能性驗證、實用性驗證與實證驗證，故研究人員在申請A-STEP計畫時，研究計畫中需提及所申請計畫的現在發展情況與條件及想申請何種項目，以利國立研究開發法人科學技術振興機構決定後續的處理方式。

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

　　美國國防部（Department of Defense）於2020年2月採納由美國國防創新委員會（Defense Innovation Board, DIB）所提出之「人工智慧國防運用倫理準則（AI Principles: Recommendations on the Ethical Use of Artificial Intelligence by the Department of Defense）」，以衡平倫理與人工智慧於國防帶來之增益。 　　美國國防創新委員會為美國聯邦政府下之獨立委員會，設置目的在於依美國新創科技，提供意見予美國國防部，與美國國防部並無隸屬關係。有鑑於人工智慧之運用範疇日益增廣，美國國防創新委員會遂提出旨揭「人工智慧國防運用倫理準則」，以因應人工智慧於國防之應用所產生之問題。 　　倫理準則適用於「戰爭或非戰爭用途之人工智慧之設計以及應用」，對於「人工智慧」之定義，倫理準認為人工智慧並無精確之範疇，只要「對於資訊有所處理並旨在達到所賦予任務之資訊系統」，皆為本準則下之人工智慧。倫理準則指出，「人工智慧」與美國國防部3000.09指令下之「自動化武器系統（Autonomous Weapon System）」之定義不同，但有可能重疊，而所謂「自動化武器系統」為「一經人類選擇啟動，即可在無人類監督之情形下，自動針對目標進行鎖定或進行攻擊之自動化武器系統」。 　　美國國防創新委員會表示，該準則旨在切合美國既有憲法、法律、國際公約之傳統標準下，融入現代化對於人工智慧之要求，如國際公約中之戰爭法（Law of War）即為本準則之傳統標準之一，舉例而言，如人工智慧被裝置於武器中，其設計及應用應符合最小傷亡原則、避免傷及無辜原則等。 　　除此之外，準則亦包含以下現代化對於人工智慧之要求：（1）人類對於人工智慧系統之設計、應用以及使用應善盡判斷以及注意義務，且人類應該對於人工智慧系統因瑕疵所帶來之傷害負擔最終責任；（2）對於目標之選擇或分類，應維持公平性，且不得有歧視性；（3）對於人工智慧之設計、應用以及使用，應有明確之工程標準以及資料保存程序，此一工程標準以及資料保存程序應為一般具有專業知識之工程人員可據以理解、分析、追蹤問題所在並加以改善；（4）「戰爭或非戰爭用途之人工智慧」應有明確之應用領域，且完善之檢測、維修，應適用於該人工智慧之全部生命週期。

　　愛爾蘭資料保護委員會（Ireland's Data Protection Commission）於今（2020）年2月公布控制者資料安全指引（Guidance for Controllers on Data Security），愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施，分別為：（1）資料蒐集與留存政策（Data Collection and Retention Policies）；（2）存取控制（Access Controls）；（3）螢幕保護程式（Automatic Screen Savers）；（4）加密（Encryption）；（5）防毒軟體（Anti-Virus Software）；（6）防火牆（Firewalls）（7）程式修補更新（Software Patching）；（8）遠端存取（Remote Access）；（9）無線網路（Wireless Networks）；（10）可攜式設備（Portable Devices）；（11）檔案日誌及軌跡紀錄（Logs and Audit Trails）；（12）備份系統（Back-Up Systems）；（13）事故應變計畫（Incident Response Plans）；（14）設備汰除（Disposal of Equipment）；（15）實體安全（Physical Security）；（16）人為因素（The Human Factor）；（17）認證（Certification）。 　　此外，愛爾蘭資料保護委員會還強調，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）第25條與第32條有關資料控制者之義務，可透過「從設計與預設機制著手資料保護（Data protection by design and by default）」，與適當的技術及組織措施等方式，並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素，以確保其安全措施符合相應資料風險之安全等級。 　　最後，愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守，資料控制者應於制定其資料安全政策時考量到本指引所列各項目，以履行其保護資料安全之義務。