產業創新與管制革新－日本國家戰略特區制度等之啟示

　　為重塑美國先進製造技術領導地位，發展創新研發與就業，美國總統歐巴馬陸續啟動先進製造國家戰略計畫、先進製造夥伴計畫（Advanced Manufacturing Partnership, AMP）與國家製造創新網絡（National Network of Manufacturing Innovation, NNMI）等框架計畫，並於2014年10月由美國總統執行辦公室和科技顧問委員會發布「先進製造夥伴2.0」（Advanced Manufacturing Partnership 2.0, AMP2.0）。 　　其中新版的先進製造夥伴計畫，除續行原先之計畫目標，例如：對於「研發技術政策形成」、「區域創新機構」與「全國製造創新網絡」等要項外，「先進製造夥伴2.0」框架強調「製造業資源如何有效匯集」，另透過「組織角度設計」、「法制環境建構」與「商業化運用促進」等面向提出具體執行建議。

日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》（IoT製品に対するセキュリティ適合性評価制度構築方針），以順應國際IoT產品資安政策趨勢，因應日益嚴重的資安威脅。 本制度為自願性認證制度，由情報處理推進機構（情報処理推進機構，簡稱IPA）擔任認證機構進行監督。以IoT產品為適用對象，制定共通因應資安威脅之最低標準，再依不同產品特性需求，制定不同符合性評鑑等級，依評鑑結果進行認證，授予認證標章。不同評鑑等級差異如下： 1.等級一：為共通因應資安威脅之最低標準，可由供應商進行自我評鑑，並以評鑑結果檢查清單申請認證標章，IPA僅會針對檢查清單進行形式確認。 2.等級二：係考量產品特性後，以等級一為基礎，制定應加強之標準，與等級一相同係由供應商評鑑，自我聲明符合標準，IPA僅會針對檢查清單進行形式確認。 3.等級三：係以政府機關或關鍵基礎設施業者為主要適用對象，須經過獨立第三方機構評鑑，並以IPA為認證機構進行認證，確保產品值得信賴。 本制度可協助採購者及使用者依資安需求，選用合適的IoT產品，亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作，達成相互承認，減輕IoT產品供應商輸出海外之負擔。

紐約州州長於2024年12月21日簽署《政府自動化決策監督法》（Legislative Oversight of Automated Decision-making in Government Act, LOADinG Act），用以規範紐約州政府使用人工智慧自動決策系統的方式以及相關義務，成為美國第一個通過這類法律的州。 該法所定義之「自動化決策系統」係指任何使用演算法、計算模型或人工智慧技術，或其組合的軟體，用於自動化、支援或取代人類決策；這類系統亦包括應用預定義規則或機器學習演算法進行資料分析，並在自動產生結論、建議、結果、假設、預測。 針對政府使用自動化決策系統之情形，《政府自動化決策監督法》有三大重點：人類監督、影響評估以及資訊揭露。 一、人類監督 州政府在提供社會福利資源或其他可能實質影響人民權益與法定權利的業務時，除非是在「有意義的人工審查」下進行操作，否則不得使用自動化決策系統。同時，此法也強調，州政府亦應確保其員工現有權利不會受到自動化決策系統的影響，例如不得因此受到解雇、調職或減薪等。 前述有意義的人工審查，係指對自動化決策流程進行審查、監督及控制的工作人員，必須是受過訓練、對該系統有一定之了解且擁有權力干預、變更系統最終決策的人。 二、影響評估 州政府如欲使用自動化決策系統，應進行影響評估且每兩年應至少重新評估一次；系統在進行重大更新前，也應重新進行影響評估。若評估發現系統產生歧視性或有偏見的結果，機關必須停止使用該系統及其生成的資訊。 影響評估的項目除了性能、演算法及訓練資料外，亦應進行準確性、公平性、偏差歧視、以及個人資料安全等相關測試。 三、資訊揭露 影響評估需在系統實施前至少30天提交給州長與州議會，並在相關機關的網站上公布；僅機關在特殊情況下（例如涉及公共安全考量），州政府可針對報告揭露之資訊進行必要的刪改，但必須說明做出此決定的原因。此外，州政府亦需於本法通過後向州議會提交報告，說明包括系統描述、供應商資訊、使用開始日期、用途、人類決策的支持或取代情況、已進行的影響評估摘要等。 本法強調對人工智慧技術的審慎應用，特別關注其對勞工權益的影響。該法明確規定，禁止在無人類監督的情況下，使用自動化系統進行失業救濟或育兒補助等福利的審核決策，並保障州政府員工不因人工智慧的實施而減少工作時間或職責。此類規定在現行立法中較為罕見，顯示出立法者對勞工權益的高度重視。該法的實施效果及影響，值得未來持續保持關注。

　　英國資訊專員辦公室（Information Commissioner’s Office, ICO）於2018年10月24日公告針對臉書公司（Facebook Ireland Ltd. & Facebook Inc.）之劍橋分析（Cambridge Analytica）個資外洩事件，依據英國資料保護法（Data Protection Act 1998）第55A條之規範，裁罰臉書公司50萬英鎊之罰鍰。 　　自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來，估計約有8700萬筆臉書上的個人資料遭到違法使用，引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中，也包含了歐盟以及英國臉書使用者的個資，因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。 　　根據英國ICO的調查，自2007年至2014年間，臉書公司對於其平台上的個資處理（processed）有所不當，違反資料保護法之資料保護原則（Data Protection Principle，DPP），包含未適當處理個人資料（DPP1），以及未採取足夠的技術與作為防止未經授權或違法使用個資（DPP7），致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。 　　由於劍橋分析事件發生時，歐盟GDPR（General Data Protection Regulation）尚未正式上路，因此英國ICO依據事件發生時之法律，亦即基於歐盟資料保護指令（Directive 95/46/EC）所訂定之英國資料保護法，裁處臉書公司50萬英鎊的罰款；若依據基於GDPR之新版英國資料保護法（Data Protection Act 2018），臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。