美國參議員提案規範物聯網設備之資安漏洞
美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。
由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。
2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。
Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注:
- 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。
- 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。
- 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。
- 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。
- 要求所有執行機構清點所有連結物聯網的設備。
- Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device
- Steve Daines, U.S. Senators to Introduce Bill to Secure
- Internet of Things Cybersecurity Improvement Act of 2017
- Dustin Volz, U.S. senators to introduce bill to secure
- Rob Price, US lawmakers are trying to fix the security nightmare that is the
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃上川
法律研究員 編譯整理
Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device, https://www.warner.senate.gov/public/index.cfm/pressreleases?ID=06A5E941-FBC3-4A63-B9B4-523E18DADB36 (last visited Aug. 4, 2017)
Steve Daines, U.S. Senators to Introduce Bill to Secure 'Internet of Things', https://www.daines.senate.gov/news/in-the-news/us-senators-to-introduce-bill-to-secure-internet-of-things (last visited Aug. 4, 2017)
Internet of Things Cybersecurity Improvement Act of 2017, https://zh.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017 (last visited Aug. 4, 2017)
Dustin Volz, U.S. senators to introduce bill to secure 'internet of things', Reuters, http://www.reuters.com/article/us-usa-cyber-congress-idUSKBN1AH474 (last visited Aug. 4, 2017)
Rob Price, US lawmakers are trying to fix the security nightmare that is the 'internet of things', Business Insider, http://www.businessinsider.com/r-us-senators-to-introduce-bill-to-secure-internet-of-things-2017-8 (last visited Aug. 4, 2017)
歐盟執委會發布《受禁止人工智慧行為指引》 資訊工業策進會科技法律研究所 2025年02月24日 歐盟繼《人工智慧法》[1](Artificial Intelligence Act, 下稱AI Act)於2024年8月1日正式生效後,針對該法中訂於2025年2月2日始實施之第5條1,有關「不可接受風險」之內容中明文禁止的人工智慧行為類型,由歐盟執委會於2025年2月4日發布《受禁止人工智慧行為指引》[2]。 壹、事件摘要 歐盟AI Act於2024年8月1日正式生效,為歐盟人工智慧系統引入統一之人工智慧風險分級規範,主要分為四個等級[3]: 1. 不可接受風險(Unacceptable risk) 2. 高風險(High risk) 3. 有限風險,具有特定透明度義務(Limited risk) 4. 最低風險或無風險(Minimal to no risk) AI Act之風險分級系統推出後,各界對於法規中所說的不同風險等級的系統,究竟於實務上如何判斷?該等系統實際上具備何種特徵?許多內容仍屬概要而不確定,不利於政府、企業遵循,亦不利於各界對人工智慧技術進行監督。是以歐盟本次針對「不可接受風險」之人工智慧系統,推出相關指引,目的在明確化規範內涵規範,協助主管機關與市場參與者予以遵循。 貳、重點說明 一、AI Act本文第5條1(a)、(b)-有害操縱、欺騙與剝削行為 (一)概念說明 本禁止行為規定旨在防止透過人工智慧系統施行操縱與剝削,使他人淪為實現特定目的工具之行為,以保護社會上最為脆弱且易受有害操控與剝削影響的群體。 (二)禁止施行本行為之前提要件 1.該行為必須構成將特定人工智慧系統「投放於歐盟市場」(placing on the market)[4]、「啟用」(putting into service)[5]或「使用」(use)[6]。 2.應用目的:該人工智慧系統所採用的技術具有能實質扭曲個人或團體行為的「目的」或「效果」,此種扭曲明顯削弱個人或團體做出正確決定的能力,導致其做出的決定偏離正常情形。 3.技術特性:關於(a)有害的操縱與欺騙部分,係指使用潛意識(超出個人意識範圍)、或刻意操控或欺騙的技術;關於(b)有害地利用弱勢群體部分,是指利用個人年齡、身心障礙或社會經濟狀況上弱點。 4.後果:該扭曲行為已造成或合理可預見將造成該個人、另一人或某群體的重大傷害。 5.因果關係:該人工智慧系統所採用的技術、個人或團體行為的扭曲,以及由此行為造成或可合理預見將造成的重大傷害之間,具備相當因果關係。 二、AI Act本文第5條1(c)-社會評分行為 (一)概念說明 本禁止行為規定旨在防止透過人工智慧系統進行「社會評分」可能對特定個人或團體產生歧視和不公平的結果,以及引發與歐盟價值觀不相容的社會控制與監視行為。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該人工智慧系統必須用於對一定期間內,自然人及群體的社會行為,或其已知、預測的個人特徵或人格特質進行評價或分類。 3.後果:透過該人工智慧系統所產生的社會評分,必須可能導致個人或群體,在與評分用資料生成或蒐集時無關的環境遭受不利待遇,或遭受與其行為嚴重性不合比例的不利待遇。 三、AI Act本文第5條1(d)-個人犯罪風險評估與預測行為 (一)概念說明 本禁止行為規定之目的,旨在考量自然人應依其實際行為接受評判,而非由人工智慧系統僅基於對自然人的剖析、人格特質或個人特徵等,即逕予評估或預測個人犯罪風險。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該人工智慧系統必須生成旨在評估或預測自然人施行犯罪行為風險的風險評估結果。 3.後果:前述風險評估結果僅依據於對自然人的剖析,或對其人格特質與個人特徵的評估。 4.除外規定:若人工智慧系統係基於與犯罪活動直接相關的客觀、可驗證事實,針對個人涉入犯罪活動之程度進行評估,則不適用本項禁止規定。 四、AI Act本文第5條1(e)-無差別地擷取(Untargeted Scraping)臉部影像之行為 (一)概念說明 本禁止行為規定之目的,旨在考量以人工智慧系統從網路或監視器影像中無差別地擷取臉部影像,用以建立或擴充人臉辨識資料庫,將嚴重干涉個人的隱私權與資料保護權,並剝奪其維持匿名的權利。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該行為以建立或擴充人臉辨識資料庫為目的。 3.技術特性:填充人臉辨識資料庫的方式係以人工智慧工具進行「無差別的擷取行為」。 4.因果關係:建立或擴充人臉辨識資料庫之影像來源,須為網路或監視器畫面。 五、AI Act本文第5條1(f)-情緒辨識行為 (一)概念說明 本禁止行為規定之目的,旨在考量情緒辨識可廣泛應用於分析消費者行為,以更有效率的手段執行媒體推廣、個人化推薦、監測群體情緒或注意力,以及測謊等目的。然而情緒表達在不同文化、情境與個人反應皆可能存在差異,缺乏明確性、較不可靠且難以普遍適用,因此應用情緒辨識可能導致歧視性結果,並侵害相關個人或群體的權利,尤以關係較不對等的職場與教育訓練環境應加以注意。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該系統係用於推斷情緒。 3.因果關係:該行為發生於職場或教育訓練機構。 4.除外規定:為醫療或安全目的而採用的人工智慧系統不在禁止範圍內。例如在醫療領域中,情緒辨識可協助偵測憂鬱症、預防自殺等,具有正面效果。 六、AI Act本文第5條1(g)-為推測敏感特徵所進行之生物辨識分類行為 (一)概念說明 本禁止行為規定之目的,旨在考量利用人工智慧之生物辨識分類系統(Biometric Categorisation System)[7],可依據自然人的生物辨識資料用以推斷其性取向、政治傾向、信仰或種族等「敏感特徵」在內的各類資訊,並可能在當事人不知情的情況下依據此資訊對自然人進行分類,進而可能導致不公平或歧視性待遇。 (二)禁止施行本行為之前提要件 1.該行為必須屬於將特定人工智慧系統「投放於歐盟市場」、「啟用」或「使用」。 2.應用目的:該行為係針對個人進行分類;而其辨識目的係為推斷其種族、政治傾向、工會成員身分、宗教或哲學信仰、性生活或性取向等。 3.技術特性:該系統必須為利用人工智慧,並依據自然人的生物辨識資料,將其歸類至特定類別之生物辨識分類系統。 4.因果關係:前述分類依據為其生物辨識資訊。 5.除外規定:本項禁止規定未涵蓋對合法取得的生物辨識資料進行標記(Labelling)或過濾(Filtering)行為,如用於執法目的等。 七、AI Act本文第5條1(h)-使用即時遠端生物辨識(Remote Biometric Identification, RBI)系統[8]執法[9]之行為 (一)概念說明 本禁止行為規定之目的,旨在考量在公共場所使用即時RBI系統進行執法,可能對人民權利與自由造成嚴重影響,使其遭受監視或間接阻礙其行使集會自由及其他基本權利。此外,RBI系統的不準確性,將可能導致針對年齡、族群、種族、性別或身心障礙等方面的偏見與歧視。 (二)禁止施行本行為之前提要件 1.該行為必須涉及對即時RBI系統的「使用」行為。 2.應用目的:使用目的須為執法需要。 3.技術特性:該系統必須為利用人工智慧,在無需自然人主動參與的情況下,透過遠距離比對個人生物辨識資料與參考資料庫中的生物辨識資料,從而達成識別自然人身份目的之RBI系統。 4.因果關係:其使用情境須具備即時性,且使用地點須為公共場所。 參、事件評析 人工智慧技術之發展固然帶來多樣化的運用方向,惟其所衍生的倫理議題仍應於全面使用前予以審慎考量。觀諸歐盟AI Act與《受禁止人工智慧行為指引》所羅列之各類行為,亦可觀察出立法者對人工智慧之便利性遭公、私部門用於「欺詐與利用」及「辨識與預測」,對《歐盟基本權利憲章》[10]中平等、自由等權利造成嚴重影響的擔憂。 為在促進創新與保護基本權利及歐盟價值觀間取得平衡,歐盟本次爰參考人工智慧系統提供者、使用者、民間組織、學術界、公部門、商業協會等多方利害關係人之意見,推出《受禁止人工智慧行為指引》,針對各項禁止行為提出「概念說明」與「成立條件」,期望協助提升歐盟AI Act主管機關等公部門執行相關規範時之法律明確性,並確保具體適用時的一致性。於歐盟內部開發、部署及使用人工智慧系統的私部門企業與組織,則亦可作為實務參考,有助確保其自身在遵守AI Act所規定的各項義務前提下順利開展其業務。 [1]European Union, REGULATION (EU) 2024/1689 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL (2024), https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689 (last visited Feb. 24, 2025). [2]Commission publishes the Guidelines on prohibited artificial intelligence (AI) practices, as defined by the AI Act., European Commission, https://digital-strategy.ec.europa.eu/en/library/commission-publishes-guidelines-prohibited-artificial-intelligence-ai-practices-defined-ai-act (last visited Feb. 24, 2025). [3]AI Act, European Commission, https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai (last visited Feb. 24, 2025). [4]依據本指引第2.3點,所謂「投放於歐盟市場」(placing on the market),係指該人工智慧系統首次在歐盟市場「提供」;所謂「提供」,則係指在商業活動過程中,以收費或免費方式將該AI系統供應至歐盟市場供分發或使用。 [5]依據本指引第2.3點,所謂「啟用」(putting into service),係指人工智慧系統供應者為供應使用者首次使用或自行使用,而於歐盟內供應人工智慧系統。 [6]依據本指引第2.3點,「使用」(use)之範疇雖未在AI Act內容明確定義,惟應廣義理解為涵蓋人工智慧系統在「投放於歐盟市場」或「啟用」後,其生命週期內的任何使用或部署;另參考AI Act第5條的規範目的,所謂「使用」應包含任何受禁止的誤用行為。 [7]依據AI Act第3條(40)之定義,生物辨識分類系統係指一種依據自然人的生物辨識資料,將其歸類至特定類別之人工智慧系統。 [8]依據AI Act第3條(41)之定義,RBI系統係指一種在無需自然人主動參與的情況下,透過遠距離比對個人生物辨識資料與參考資料庫中的生物辨識資料,從而達成識別自然人身份目的之人工智慧系統。 [9]依據AI Act第3條(46)之定義,「執法(law enforcement)」一詞,係指由執法機關或其委任之代表,代替其執行目的包括預防、調查、偵測或起訴刑事犯罪,或執行刑事處罰,並涵蓋防範與應對公共安全威脅等範疇之行為。 [10]CHARTER OF FUNDAMENTAL RIGHTS OF THE EUROPEAN UNION, Official Journal of the European Union, https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:12012P/TXT (last visited Feb. 24, 2025).
英國Ofcom公佈光纖網路備援電池之管制指引因預期超高速網路在英國將被廣泛佈建,Ofcom於2011年6月啟動諮詢程序,徵詢各界光纖網路備援電池的管制指引,以確保消費者的緊急電話服務;並於同年12月公佈諮詢結果與更新管制指引。 英國境內光纖到終端(FTTP)服務的覆蓋率已達到58%,雖得以提供消費者更高速的上網與影音內容,但卻有停電時無法運作的先天缺陷。由於傳統電話運作所需的電力係經由業者機房透過銅絞線供應,故即便消費者終端停電,仍能緊急電話。因此Ofcom曾於2009年要求公眾電話業者(PATS)確保消費者終端有維持供電4小時以上的備援電池,以保障民眾的身家安全。而此項管制則是納入ECN/ECS業者之第3項一般條件的管制中,業者有因而有遵守的義務。 此次徵詢結果,Ofcom確立了以下兩點管制指引: 1. PATS必須確保提供備援電池:PATS若由消費者選擇是否安裝備援電池,將被認為不符義務。若PATS選擇由消費者負擔更換電池之責任,應提供適切指引並確保易於取得電池;若責任由PATS承擔,則應建立適切處理程序。 2. 備援電池最低供電時數降為1小時:主要理由為英國大部分的斷電事件都不超過1小時;且行動電話相當普及,增加了安全保障。而備援電力降為1小時後,將使其電池更輕便和更易分離,因而更易於產製購買、取得與安裝。不過對於歷史上曾發生斷電超過1小時的家戶,PATS仍有義務確保較長時間的備援電力。
從歐洲法院Case C-527/15看新興數位裝置對著作權指令詮釋範圍之影響 德國制定衛星資料保護專法,約束衛星地理資料商業性的利用今年年初德國聯邦政府向參議會提出「衛星資料保護法(SatDSiG)草案」,為國家以外的衛星資料利用,制定明確的規範。該草案將是歐洲第一個針對此議題所提出的草案。 該草案指出,利用「地表遙感偵查系統(Erdfernerkundungssystem)」所得資料或其所衍生的產品,不僅對國家軍事、外交安全帶來威脅,也可能造成個人隱私權的侵害。 該草案其他內容包括,所有「地表遙感偵查系統」的經營均須經過政府許可且受公權力監督。業者在接受客戶委託時,須特別注意是否有任何危害到德國國家安全的可能。其中判斷的標準如,所得資料涉及的內容、委託者身分、受委託偵測的地區、受委託的時間。如經衡量有涉及國家安全,則該資料的散佈須得政府的同意。 草案所稱衛星資料衍生產品例如照片、雷達資料以及其他經數位化商品如手機定位系統服務。違反者將面臨最高5年徒刑或50萬歐元罰金。 德國國會經濟委員會在9月10日針對該草案舉辦公聽會。會中隱私權保護團體也表達支持制定該法,各界亦贊同以專法約束具商業性的衛星資料取得利用,以保護個人隱私權。隱私權團體進一步表示,所有的衛星資料都涉及到地理資料,當衛星地理資料與其他可供識別個人身分的資料結合,則威脅到個人隱私權,而這些資料不當使用對於公眾人物格外敏感。 Google則表示,該草案適用客體應明確排除如搜索引擎等服務,且Google針對搜尋結果的圖片上網前,均會檢查其內容是否不當或違法。