標準必要專利法制發展及對應策略

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

　　麥當勞公司已申請McDonald’s 與Logo- M用於咖啡，更於九月份將其所販售的研磨咖啡與咖啡豆，以 “Mc Café” 申請商標註冊，意味著未來這間全球最大的漢堡連鎖店，將於店內甚或超市販售『麥當勞咖啡』。『如同大部份的企業，我們註冊許多商標用以保護我們的品牌資產！』麥當勞發言人 Danya Proud表示這並非奇聞。   　　 近幾年，麥當勞成功的因素在於擴展它們的飲料事業，引進優質咖啡與水果冰沙，而選擇在全球速食連鎖店成長緩慢的時候，進入袋裝咖啡市場，亦是個創新手法。 星巴克的商標申請亦侵略性的跳脫普遍存在的咖啡廳而進入零售市場，一九九八年即開始自行經營袋裝咖啡事業，今年七月販售於超市、藥妝店、量販店的咖啡市占率更由25.6 %提升至28.2 %。   　　其實，麥當勞早在五年前即以 “Mc Café”，擴張咖啡與特色飲料事業，而此些利潤遠高於原本的速食餐點，且間接促使許多顧客駐足停留店內，也許是眼看Dunkin` Donuts於超市與自家甜甜圈店強力販售袋裝咖啡，讓麥當勞思考複製此模式。然而此舉也可能僅止為預防手段，如果麥當勞無意進入袋裝咖啡市場，“Mc Café ”商標也可以防止競爭者以『麥當勞品牌』販售咖啡。

　　德國聯邦網路局（BNetzA）於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定，與聯邦資訊安全局（BSI）和德國聯邦資料保護與資訊自由委員會（BfDI）達成協議後制定，並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路，因該技術係為未來核心關鍵基礎設施，為確保技術發展之安全性，電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性，故用於構建5G之技術必須符合最高安全標準，且應盡可能排除安全問題，該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下： （1）系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規，且值得信賴之供應商處獲得。 （2）必須定期且持續監控網路流量異常情況，如有疑問，應採取適當的保護措施。 （3）僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件（以下簡稱關鍵核心組件）。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。 （4）安全相關的關鍵核心組）應在交付期間進行適當之驗收測試後方能使用，且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。 （5）在安全相關領域，只能聘用經過培訓之專業人員。 （6）電信網路營運商須證明所使用的產品中，實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。 （7）在規劃和建立網路時，應使用來自不同製造商的網路和系統組件，以避免類似「單一耕作」（Monokulturen），即避免技術生態圈無法均衡發展，以及易受市場波動影響之不良效應。 （8）外包與安全相關勞務時，僅可考慮有能力，可靠且值得信賴的承包商。 （9）對於關鍵且與安全相關的關鍵核心組件，必須提供足夠的冗餘（Redundanzen）。 　　鑑於德國於3月中旬已拍賣5G頻譜，聯邦政府將大力推廣附加要求，並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求，聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範，並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商，應適用於整體供應鏈。此外，德國聯邦政府擬針對聯邦資訊安全局法進行修訂，包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定，將在認證框架內提供可信賴性證明。

澳洲於2024年5月30日正式通過並簽署《2024年數位身分法案》（Digital ID Act 2024）和《2024年數位身分（過渡及相關條文）法案》（Digital ID (Transitional and Consequential Provisions) Act 2024，以下合稱數位身分法案）。數位身分法案將於2024年12月1日開始實施，而相關的支援規範（supporting rule）和資料標準（data standard）也已於同年6月25日完成公眾討論階段。 數位身分法案的實施將分階段進行，澳洲競爭和消費者委員會（Australian Competition and Consumer Commission）被任命為首階段的數位身分主管機關，未來隨著數位身分法案的落實和深化，澳洲政府可能會建立一個更具專業及獨立性的監管機構來負責這項業務。 澳洲將擴展現有的澳洲政府數位身分識別系統（Australian Government Digital ID System, AGDIS），在第一階段myGovID將作為唯一的數位身分識別服務提供給使用者，使其能夠更便利的使用政府線上服務。澳洲政府未來將擴展AGDIS的應用範圍至更多的政府和民營服務，並允許使用者選擇經認證的民營企業來提供數位身分識別服務。 數位身分法案的主要目標包括： 1.為個人提供安全、方便、自願和包容的方式，以在與政府和企業的線上交易中驗證其身分。 2.提供數位身分的識別服務，以幫助各類型的潛在使用者皆可融入數位社會。 3.加強用於驗證個人身分或屬性的個人資訊安全。 4.鼓勵社會使用數位身分識別和線上服務，減少因數位化不足而存在的地理與實體限制及經濟負擔。 5.提升澳洲社會對於數位身分識別服務的信任。 數位身分法案將採取以下措施來達到目標： 1.建立數位身分識別服務提供者的認證機制。 2.向經認證的數位身分識別服務提供更多的隱私保護措施。 3.建立一個安全、易於使用、自願、可訪問、包容和可靠的AGDIS。 4.加強以下三者的監督和管理： (1)數位身分識別服務提供廠商。 (2)AGDIS的使用者。 (3)AGDIS的性能和完整性。 澳洲的數位身分法案嘗試建構一套更加完整且安全的數位身分認證法律規範，並且將這個系統和產業推向整個澳洲社會，由政府促使更多服務提供者和服務使用者加入這個數位生態中，後續可持續關注以作為我國政府攜手民間企業推動國家與社會數位轉型時的參考。