18F與加州政府共同打造採購新流程
美國的數位服務推動小組18F(Digital service delivery,18F),因辦公室位於華盛頓特區F街18號而得名。2014年3月由總務署(General Service Administration,GSA)成立,透過業界與政府合作模式,幫助政府機關改善流程及增進效率,其所輔導的專案計畫將實際轉變政府機關提供數位服務及科技產品之運作模式,以達跨部會、機關之整合,並使對公眾的數位服務更便於使用。
18F為幫助美國各機關建造、購買及分享現代數位服務以提升政府的使用者經驗,提供了五項服務:(一)就已存的數位規格(digital component)打造訂製化產品(custom products);(二)以創新方式購買科技,使各政府能夠獲得更快、更好及產生更好結果的IT服務。詳細服務內容有代寫委外服務建議書(Request For Proposal,RFP)、開發市場利用現代技術購買IT服務、購買開放源代碼(open source code)以提升專案計畫;(三)替政府建造一安全、可擴展的工具與平台,其能更加符合需求並能夠持續為改善以達需求;(四)協助成為數位化組織,不只是增加組織內部數位化能力,更要形成數位習慣並最終促使組織文化改變;(五)透過討論會、設計工作室、指南及文件工作平台,提供及分享18F實際運用的相關現代數位化服務技術,使政府機關能自行複製及使用。
近期知名成果案例發生於加州。在加州,每一年的孩童福利服務案件管理系統超過2萬名社工利用為追蹤管理超過50萬件虐待及忽視兒童案件,若使用過時系統產生風險將無法估計,故加州政府、美國衛生與人群服務部(Department of Health and Human Services,DHHS)即利用了前述相關服務,與18F共同重新設計該系統的採購流程。從2015年11月至2016年10月,合作建立新系統不到1年的時間,導入了契約文件之簡化、模組化(modular)契約之合併、敏捷性開發(agile development)、使用者中心之設計及開放源(open source)之實踐。
首先,代寫委外服務建議書,18F於其中展示如何將專案計畫為模組化,亦即別於過往採購的傳統模式,非尋找單一開發商去建置整個已預設需求的系統,透過分離的方式,找尋不同開發商以更符合實際需求,亦能避免時間金錢的浪費,降低遲約或違約之風險。再者,聚集可能符合資格的供應商,邀請眾供應商建造以開放源代碼(open source code)方式的原型(prototype)。透過此一過程的激盪,18F從中協助評估所提出的原型、技術等,以了解供應商如何提出及是否符合使用者中心的設計。同時也能減少政府與供應商雙方的招標時間及行政成本。最後,為使加州政府機關能自行複製及使用相關現代數位化服務技術,18F示範敏捷軟體開發(agile software development)專案計畫。從中加州政府不僅瞭解如何為風險評估,且思考相關技術部門於專案計畫中的角色定位。
面臨現代化數位服務,在美國,聯邦與州政府都面臨極大挑戰。18F介入發展新模式,更能達實際需求,亦為內化之協助,利於政府自行發展其他數位服務。18F與加州政府合作之案例,或許能為國家發展數位服務運作之借鏡。
- Alla Goldman Seiffert and Robin Carnahan, California takes a new approach to procurement, 18F Blog, Oct. 28, 2016,
- 18F, What we deliver,
- Chris Cairns and Dr. Robert L. Read, New RFP ghostwriting service to improve contract success, 18F Blog, Mar. 30, 2015,
- Zac Cohn and Greg Boone, Mississippi brings agile and modular techniques to child welfare system contract, 18F Blog, Sep. 20, 2016,
- Mark Headd and Robin Carnahan, Modular procurement resources for state and local government, 18F Blog, Nov. 15, 2016,
陳蔚菁
法律研究員 編譯整理
Alla Goldman Seiffert and Robin Carnahan, California takes a new approach to procurement, 18F Blog, Oct. 28, 2016, https://18f.gsa.gov/2016/10/28/california-takes-new-approach-procurement/ (last visited Nov. 22, 2016).
18F, What we deliver, https://18f.gsa.gov/what-we-deliver/ (last visited Nov. 22, 2016).
Chris Cairns and Dr. Robert L. Read, New RFP ghostwriting service to improve contract success, 18F Blog, Mar. 30, 2015, https://18f.gsa.gov/2015/03/30/new-rfp-ghostwriting-service-to-improve-contract-success/ (last visited Nov. 15, 2016).
Zac Cohn and Greg Boone, Mississippi brings agile and modular techniques to child welfare system contract, 18F Blog, Sep. 20, 2016, https://18f.gsa.gov/2016/09/20/mississippi-agile-modular-techniques-child-welfare-system/ (last visited Nov. 15, 2016).
Mark Headd and Robin Carnahan, Modular procurement resources for state and local government, 18F Blog, Nov. 15, 2016, https://18f.gsa.gov/2016/11/15/modular-procurement-state-local-government/ (last visited Nov. 15, 2016)
美國加州行政法辦公室(the Office of Administrative Law)於2019年12月17日宣布,根據日前通過之修訂規範,該州車輛管理局(the Department of Motor Vehicles)將審查州內公共道路上進行輕型自動駕駛(下稱自駕)運輸服務商業化應用測試之申請,換言之,業者如取得車輛管理局之核准,可以測試重量未達10,001磅之自駕運輸車輛(如一般客車、中型貨車、可載運雜貨類商品的客貨兩用車等)服務。另外,業者如欲就該自駕運輸服務收取運輸費用,則必須另向車輛管理局申請佈署(deployment)許可,即商業化或供公眾使用之許可。 不論何種自駕運輸車輛服務之測試,均須遵循現行測試、佈署之申請程序要求,並根據車輛管理局的核准內容進行有或無安全性駕駛人(safety driver)的自駕運輸服務測試,簡要整理不同規範要求如下: 如為有安全性駕駛人之測試與應用,有以下要求: 證明車輛已經曾在符合應用目的之情境(如駕駛環境)下進行測試。 維持測試駕駛人(test driver)的培訓規劃,並且證明每位測試駕駛人均完成培訓。 確保測試駕駛人維持潔淨(clean)的駕駛記錄。 確保測試駕駛人在測試期間乘坐在駕駛座上監控車輛的運行狀況,並在有需要的時候可以即時接管車輛。 須提交年度脫離(或譯為解除自駕)報告(disengagement report),且如有發生碰撞,須於10日內提交碰撞報告予車輛管理局。 如為無安全性駕駛人之測試與應用,有以下要求: 提供測試自駕運輸服務所在地方當局之書面通知以茲證明。 證明自駕測試車輛符合以下要求: (1)車輛與遠端遙控操作者間具有通訊連結。 (2)車輛與執法部門間的通訊方式。 (3)製造商將如何監控測試車輛之說明 提交一份與執法部門如何互動交流的計畫。 證明自駕測試車輛符合聯邦機動車輛安全標準(FMVSS),或提供國家公路交通安全管理局(NHTSA)之豁免監管證明。 證明自駕測試車輛可以在沒有駕駛人存在的情況下可以自主運行,並屬於美國汽車工程師協會(SAE)標準等級4、等級5之車輛。 證明測試車輛已經曾在符合應用目的之情境(如駕駛環境)下進行測試。 通知車輛管理局將要測試營運的區域範圍。 維持遠端遙控操作相關培訓規劃,並證明每位遠端遙控操作者均完成培訓。 須提交年度脫離報告,且如有發生碰撞,須於10日內提交碰撞報告予車輛管理局。 如自駕運輸服務擬商業化或供公眾使用,申請佈署之相關要求如下: 證明車輛: (1)配備自駕車輛資料紀錄器,此技術是根據加州車輛法規(California Vehicle Code)設計來偵測並反應道路實際狀況 (2)符合聯邦機動車輛安全標準或提供國家公路交通安全管理局之豁免監管證明。 (3)符合現行關於網路攻擊、非經授權侵入或錯誤車輛控制指令之防護、偵測與回應等產業標準。 (4)製造商曾進行測試與驗證,並有足夠信心將車輛佈署於公用道路上。 提交一份與執法部門如何互動交流的計畫複本。 如果車輛不需要駕駛員,製造商必須證明其他事項: (1) 車輛與遠端遙控操作者間具有通訊連結。 (2) 當碰撞事故發生時,車輛可以顯示或傳輸相關資訊予車輛所有人或操作員。 綜上所述,若要在加州進行自駕運輸車輛服務測試,須視其服務型態及是否涉及佈署,以遵循不同規範要求,申言之,服務採行有無安全性駕駛人與是否商業化或供公眾使用,二者為併行關係,舉例來說,如業者擬佈署有安全性駕駛人之商業運輸服務,則須同時符合有安全性駕駛人之測試與應用以及佈署等要求。加州對於自駕車輛運輸服務商業化之措舉,值得我國借鏡以完善自駕車輛運輸應用之推動。
美國國際貿易委員會(USITC)指出中國大陸對侵害智財權執法不力成為美國企業嚴重問題美國國際貿易委員會(United States International Trade Commission)最新公布一份報告指出,中國大陸對於侵害智慧財產權(中國大陸稱知識產權)的立法與執法不力,在中國市場降低了美國企業的獲利能力,例如產品被非法與低成本的仿冒。 報告指出,中國大陸因為重大的結構性與體制性障礙,妨礙了對智慧財產權侵害的執法效果,包括地方政府對侵害企業的保護,各政府單位間缺乏協調,執法的資源與人員訓練不足,相關的民刑事法令也缺乏嚇阻效果。 由於中國大陸對智慧財產權侵害的執法不力,助長中國境內廣泛的侵害美國公司的商標、專利、營業秘密等權利,對於許多美國公司,特別是小公司而言,智慧財產權是重要資產,但缺乏在中國境內保護自己智慧財產權的資源。 報告還指出,在2009年所有美國海關扣押貨物的案件中,來自中國大陸佔79%,來自香港佔10%,整體金額達到2.047億美元。中國大陸有24萬家網咖,使用非法軟體。中國大陸的產品與商標仿冒問題仍十分常見,就算是支付權利金,與其他國家比較,中國大陸所支付的智慧財產權利金僅是一小部分。
美國將修法全力圍堵政府資料外洩美國國會於今年(2009)11月18日提出「聯邦檔案安全分享法案(Secure Federal File Sharing Act)」,內容主要是限制所有政府部門員工(包含約聘制人員),在未經官方正式同意之前,不得下載、安裝或使用任何點對點傳輸(Peer to Peer, P2P)軟體。期望藉由該法案的通過實施,徹底防堵政府及相關個人機敏資料的外洩。 該法案的制定,最初來自於政府部門對其財務資料保護的要求,早於2004年白宮管理及預算辦公室(The White House Office of Management and Budget)即已建議聯邦政府的各個單位應禁止其職員使用P2P軟體,以防止資料外洩。而於將近一個月前,國會道德委員會取得多位國會議員的財務狀況、經歷及競選贊助金額,並作成調查報告,未料一位新進職員將該份未經加密保護的報告存於自家裝有前述P2P軟體的電腦硬碟中,從而導致該份報告內容全部外洩。此一事件立即對向來注重政府及個人資料保護的美國投下了震撼彈,也促使該法案正式浮出檯面。 歐此項法案的提出毫無意外地得到視聽娛樂產業界的正面支持。主因來自多數人藉由此種軟體在網際網路上分享音樂、影片或其他應用軟體,時常侵害他人的智慧財產權,而法案的內容則是要求政府部門員工無論是在工作或是家中使用P2P軟體都須取得官方授權,無疑是直接限制了上述的分享行為。娛樂業者更進一步指出,P2P軟體對資訊安全的危害在於多數人無法明確知道該軟體的運作方式,而無法對其做正確的設定,使得軟體一旦被啟動,電腦內的所有資料:包含個人的社會安全卡號碼、醫療及退稅紀錄等,就立即暴露於網際網路之中!對此,除了推動此項法案的官員大聲疾呼:「用個人自律的方式防止資料外洩已經失敗,證明國會應該有所行動。 美國錄音產業協會(Recording Industry Association of America)則是預測前述國會調查報告的外洩,將會是資安法案重整的強力催化劑。
歐盟發布未成年網路安全指引歐盟執委會於2025年7月發布《確保未成年網路高度隱私、安全和保障的措施指引》(Guidelines on measures to ensure a high level of privacy, safety and security for minors online,下稱指引),依據《數位服務法》(Digital Services Act)第28條未成年網路保護規定,未成年人可存取的網路平臺提供者應採取適當措施確保未成年人享有高度隱私及安全保障,且不應迫使數位平臺提供者為評估使用者是否為未成年人而處理額外的個人資料,前述指引目的即為協助數位平臺提供者遵守《數位服務法》第28條之規定。 數位平臺的條款及條件允許未成年人使用該服務,及其服務面向包含未成年人或主要由未成年人使用,或其提供者知曉部分接收者為未成年人,則該數位平臺可被視為提供未成年人存取,數位平臺提供者即應符合比例適當性、保護兒童權利、隱私安全保障設計、年齡適宜設計等一般性原則。指引要求數位平臺提供者需要以準確、可靠和穩定的方式確認使用者的年齡,常見的年齡確認方式有三種:自我聲明、年齡估測、年齡驗證,數位平臺提供者應評估所採方式之必要性及適當性,以最小侵害措施達成高度安全性,並以準確性、可靠性、韌性、低侵害、不歧視為原則。 但指引也引發對於其技術可行性及執法的疑慮,歐洲數位權利組織(European Digital Rights, EDRi)認為政府忽略數位平臺設計與商業模式的根本性問題,依賴年齡認證可能限制未成年人的權利,且對於誤判、規避風險、互通性、與會員國身分系統的整合等問題仍有諸多疑問。雖然指引非法規不具強制性,但歐盟執委會已將指引作為合規評估標準,使數位平臺提供者面臨實施成本及合規證明的壓力。面對日新月異的網路世界,該如何避免未成年人接觸不良網路內容成為許多國家關心的議題,值得持續追蹤相關動態作為我國未成年網路安全政策之參考。