歐盟創新採購機制觀測

2025年2月7日，經濟合作暨發展組織（Organization for Economic Cooperation and Development，OECD）正式啟動《開發先進人工智慧系統組織的報告框架》（Reporting Framework for the Hiroshima Process International Code of Conduct for Organizations Developing Advanced AI Systems，簡稱G7AI風險報告框架）。 該框架之目的是具體落實《廣島進程國際行為準則》（Hiroshima Process International Code of Conduct）的11項行動，促進開發先進人工智慧系統（Advanced AI Systems）的組織建立透明度和問責制。該框架為組織提供標準化方法，使其能夠證明自身符合《廣島進程國際行為準則》的行動，並首次讓組織可以提供有關其人工智慧風險管理實踐、風險評估、事件報告等資訊。對於從事先進人工智慧開發的企業與組織而言，該框架將成為未來風險管理、透明度揭露與國際合規的重要依據。 G7 AI風險報告框架設計，對應《廣島進程國際行為準則》的11項行動，提出七個核心關注面向，具體說明組織於AI系統開發、部署與治理過程中應採取之措施： 1. 組織如何進行AI風險識別與評估； 2. 組織如何進行AI風險管理與資訊安全； 3. 組織如何進行先進AI系統的透明度報告； 4. 組織如何將AI風險管理納入治理框架； 5. 組織如何進行內容驗證與來源追溯機制； 6. 組織如何投資、研究AI安全與如何降低AI社會風險； 7. 組織如何促進AI對人類與全球的利益。 為協助G7推動《廣島進程國際行為準則》，OECD建構G7「AI風險報告框架」網路平台，鼓勵開發先進人工智慧的組織與企業於2025年4月15日前提交首份人工智慧風險報告至該平台（https://transparency.oecd.ai/），目前已有包含OpenAI等超過15家國際企業提交報告。OECD亦呼籲企業與組織每年定期更新報告，以提升全球利益相關者之間的透明度與合作。 目前雖屬自願性報告，然考量到國際監理機關對生成式AI及高風險AI 系統透明度、可問責性（Accountability）的日益關注，G7 AI風險報告框架內容可能成為未來立法與監管的參考作法之一。建議企業組織持續觀測國際AI治理政策變化，預做合規準備。

　　德國聯邦資訊技術，電信和新媒體協會於2018年2月6日在更安全的網路研討會中針對利用人工智慧及自動決策技術利用提出建議指南（Empfehlungen für den verantwortlichen Einsatz von KI und automatisierten Entscheidungen），旨在提升企業數位化與社會責任，並提升消費者權益保護。 本份指南提出六項建議： 促進企業內部及外部訂定相關準則 例如規定公司在利用演算法和AI時，必須將影響評估列入開發流程，並列為公司應遵守的道德倫理守則，以確保開發的產品或服務符合公平及道德。 提升透明度 使用者如有興趣了解演算法及其含義，企業應協助調查並了解使用者想獲知的訊息，並透過相關訊息管道提升產品及服務透明度。因此，企業應努力使演算法及其操作和含義能夠被使用者理解。此亦涉及即將實施的歐盟一般資料保護規則中的透明度義務。在機器學習或深度學習情況下，可能會增加理解性和可追溯性難度，但有助於分析流程並使其更接近人類理解的方法在科學和商業實踐中，應特別關注並進一步討論。另外，透過教育及使用說明協助及控制功能，教導消費者係建立雙方信任的重要手段。企業應在第一線中說明產品或服務中使用的手段（演算法，機器學習，AI）。除了解釋使用那些技術來改進產品和服務外，應一併解釋如何從技術控制過程中獲得相關知識以及提供那些後援支持。另外，例如透過幫助頁面，儀表板或部落格，解釋發生什麼以及如何做出某些影響深遠的自動化決策，使用戶更了解有關使用自動決策相關訊息。因此建議企業採取強制有效以建立信任的措施，使用戶理解是否及如何使用相關演算法，此可能包括使用自動化決策，使用特定資料組和使用技術的目的，亦即使用戶對演算法，機器學習或AI支持的決策有基本的了解。 為全體利益使用相關技術 人工智慧等新技術之重要性不應被低估，目前在生活和工業等眾多領域皆有廣泛應用。對於個人和集體而言，將可帶來巨大的利益，因此應該充分利用。例如，人工智慧可降低語言障礙，幫助行動不便的人可更加獨立自主生活，改善醫療診斷，提升能源供應效率，甚至是交通規劃和搜索停車位，都只是人工智慧偉大且已被使用的案例。為促進技術發展，應公平地利用其優勢並預留商業應用模式的空間，同時充分解決涉及的具體風險。產業特定的解決方案十分重要，但應兼顧受影響者的利益，並與廣大公眾利益找出妥協平衡點，且應排除不適當的歧視。建議在使用決策支持技術時，應事先檢查相關後果並與其利益比較。例如，可以在資料保護影響評估的框架進行。作為道德準則的一部分，必須確保演算法盡可能量準確地預測結果。 開發安全的資料基礎 資料係人工智慧支援決策的基礎。與人為決策者相同，資料不完整或錯誤，將導致做出錯誤的決定。因此決策系統的可靠性仍取決資料的準確性。但資料質量和資料來源始終不能追溯到源頭，如果可能的話，只有匯總或非個人資料可用於分析或分類用戶群組。因此，確切細節不可被使用或揭露。因此建議企業應考慮要使用的資料、資料的類別和在使用AI系統前仔細檢查資料使用情況，特別是在自我學習系統中資料引入的標準，並根據錯誤來源進行檢查，且儘可能全面記錄，針對個人資料部分更應謹慎處理。 解決機器偏差問題 應重視並解決所謂機器偏差和演算法選擇和模型建立領域的相關問題。解釋演算法，機器學習或AI在基層資料選擇和資料庫時所產生決策偏見相當重要，在開發預期用途的演算法時必須納入考量，對員工應針對道德影響進行培訓，並使用代表性紀錄來創建可以識別和最小化偏差的方法。企業並應該提高員工的敏感度並培訓如何解決並減少機器偏見問題，並特別注意資料饋送，以及開發用於檢測模式的內、外部測試流程。 適合個別領域的具體措施和文件 在特別需要負責的決策過程，例如在車輛的自動控制或醫療診斷中，應設計成由責任主體保留最終的決策權力，直到AI的控制品質已達到或高於所有參與者水平。對類人工智慧的信任，並非透過對方法的無條件追踪來實現，而是經過仔細測試，學習和記錄來實現

　　西班牙隱私保護專責機構「資料保護專員」（Data Protection Commissioner；一般多以其西班牙文縮寫AEPD簡稱之 ），針對Google街景服務（Street View）攝影過程中不當蒐集網路用戶資訊一事，於2010年10月18日對Google發動刑事制裁程序（criminal sanction procedure）。AEPD於其網站上發表聲明，其已經掌握Google涉及五項犯罪活動的證據，其中包括蒐集Wi-Fi用戶資訊並將相關資料傳送回美國等，AEPD已將相關證據資料提交馬德里法院。 　　Google街景服務提供全球諸多地區的地理圖片，但此一服務也引發人們對於侵犯個人隱私之擔憂。儘管Google先前已多次針對街景攝影車攫取Wi-Fi用戶未經加密訊息之行為進行道歉，但仍有諸多國家對於Google是否違反內國隱私保護法規展開調查。 　　此次AEPD採取法律行動前，事實上西班牙網路用戶權利協會已就相同問題Google提起訴訟，而西班牙法院亦於今年8月展開調查。AEPD對外表示，一旦法院認定Google犯罪情事屬實，各個犯罪行為將可處以6萬至60萬歐元之罰金。無獨有偶，加拿大政府亦於10月19日認定Google收集Wi-Fi用戶資料之舉動，屬於違法行為。

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。