日本內閣府研議「網路資訊安全判斷基準草案」並將作為未來機關處理共同標準

　　人工智慧即服務（AIaaS）之定義為由第三方提供人工智慧（AI）外包服務，其可使個人和公司基於各種目的進行AI相關實驗，同時毋須於初期即大規模投資或承受高度風險。著名之四大AIaaS供應商為Amazon AWS雲端運算服務、Microsoft Azure 雲端運算平台與服務、Google雲服務、以及IBM雲服務。 　　AIaaS之優點主要有：（1）降低成本：一般公司無須投資軟體、硬體、人員、維護成本以及不同任務之修改成本，AIaaS供應商可供應不同之硬體或機器學習供公司嘗試運用。（2）即用性：AIaaS供應商提供之AI服務為即用性，無須太多專家介入修改即可使用。（3）可擴展性：可由較小之項目開始試驗，逐步擴張調整服務，因此具有戰略靈活性。然而，AIaaS亦有以下潛在缺點：（1）降低安全性：公司必須交付大量資料給AIaaS供應商，因此資料之機密保護與預防竄改即為重要。（2）增加依賴度：若發生問題時，必須等待AIaaS供應商進行處理。（3）降低透明度：由於是即用性之AI服務，對於內部演算法之運作則屬於未知之黑盒子領域。（4）限制創新：因AIaaS供應商所供應之AI服務需一定程度之標準化，因此限制公司創新發展之可能。

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）（舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security）於2020年2月4日發布資通安全驗證標準化建議（Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act），以因應2019/881歐盟資通安全局與資通安全驗證規則（簡稱資通安全法）（Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act）所建立之資通安全驗證框架（Cybersecurity Certification Framework）。 　　受到全球化之影響，數位產品和服務供應鏈關係複雜，前端元件製造商難以預見其技術對終端產品的衝擊；而原廠委託製造代工（OEM）亦難知悉所有零件的製造來源。資通安全要求與驗證方案（certification scheme）的標準化，能增進供應鏈中利害關係人間之信賴，降低貿易障礙，促進單一市場下產品和服務之流通。需經標準化的範圍包括：資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 　　ENISA認為標準化發展組織或業界標準化機構，在歐盟資通安全之協調整合上扮演重要角色，彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎： ISO/IEC 15408/18045–共通準則與評估方法：由ISO/IEC第1共同技術委員會（JTC1）及第27小組委員會（SC27）進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分：作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全：由歐洲電信標準協會（ETSI）所建立，並與歐洲標準委員會（CEN）、歐洲電工標準化委員會（CENELEC）協議共同管理。 　　然而，資通訊產品、流程與服務種類繁多，實際需通過哪些標準檢驗才足以證明符合一定程度的安全性，則有賴驗證方案的規劃。為此，ENISA亦提出資通安全驗證方案之核心構成要件（core components）及建構方法論，以幫助創建歐盟境內有效的驗證方案。

　　美國《雲端法》（CLOUD Act），全名為《釐清境外合法利用資料法》（Clarifying Lawful Overseas Use of Data Act），於2018年3月23日頒布生效，該法更新《1986年儲存通訊紀錄法》（Stored Communications Act of 1986），並釐清海外資料合法取得：無論資料儲存地在美國境內或境外，美國執法機構均可合法請求通訊紀錄的保存或揭露。 　　《雲端法》有兩大重點：首先，《雲端法》授權美國與其他值得信賴的國家進行雙邊協議，以取得重大犯罪之電子證據。其他國家必須擁有相應的完善法規、隱私、公民權利之保護，方具備與美國簽署雙邊協議的資格。透過雙邊協議，締約雙方可憑對方國家的搜索票等法律文件，直接對通訊服務提供者強制執行。其二，《雲端法》闡明美國與相當多國家長久以來的原則─假設一間公司在特定國家的司法管轄權範圍內，則其所產生的資料應接受該國的管制，資料儲存地為何，在所不問。 　　《雲端法》的立法背景可以追溯到2013年美國聯邦調查局（Federal Bureau of Investigation, FBI）進行緝毒受阻。當時，涉案美國公民的電子郵件存於微軟境外伺服器，FBI持有搜索令，但是微軟以《1986年儲存通訊紀錄法》管轄範圍不及於美國境外為由，拒絕提供系爭電子郵件。2016年聯邦第二巡迴上訴法院於Microsoft Corp. v. United States判決微軟勝訴─美國政府不得強制取得境外伺服器資料。然而，此訴訟存在相當多爭議，復有2018年《雲端法》之制定，微軟亦對《雲端法》表示支持。《雲端法》通過時，最高法院尚未做出判決；最終，最高法院於2018年4月17日撤銷Microsoft Corp. v. United States。2019年4月10日，美國司法部發布雲端法白皮書，匯集刑事和國家安全專業的律師之意見，並回答常見的問題，希望提升全球的公共安全、隱私及法治。

　　美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於今（2008）年初完成700MHz頻譜拍賣後，在8月份針對空白頻段(white space)中可用以抗干擾之技術進行測試，並於8月11日完成測試。完整的測試報告預計將在9月份公布。FCC並可望在未來幾個月內表決是否開放空白頻段。 　　所謂「空白頻段」係指無線電視數位化之後，位於各電視頻道之間未被使用之閒置頻段。Google、Motorola、Microsoft等公司近一、二年來持續遊說FCC開放空白頻段(white space)免執照使用，以促進無線寬頻服務之發展。 　　儘管數位無線電視台及Verizon等正使用該頻段之業者有干擾疑慮，然主張開放空白頻段之公司深信開放空白頻段對於新興無線寬頻服務之發展將大有助益，且透過感測技術(sensing technology)或地理定位科技(geolocation technology)，即可使得無線裝置於使用空白頻段之同時，不至於干擾數位無線電視台或其他取得執照使用該頻段之業者。 　　關於試驗結果，無線麥克風業者Shure之資深公關經理Mark Brunner 表示，感測技術幾乎完全無法準確偵測使用中之無線麥克風或電視頻道是否正播送中，自然無法避免干擾發生。支持開放空白頻段之Motorola公司則表示，儘管感測技術無法避免干擾發生，但是Motorola所使用之地理偵測科技則在測試中被證實可有效避開正在使用中之頻段，避免干擾情況發生。