日本經產省公布產業版資料契約指引和資安手冊

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

美國賓州（Pennsylvania）眾議院於2024年4月10日通過《人工智慧生成內容的揭露法草案》（House Bill 1598 Disclosure of Artificially Intelligent Generated Content，下稱草案），規範AI生成內容及其利用行為以保護消費者。 草案規定，以AI生成之各種形式內容，在其首次呈現給消費者時應揭露資訊，使消費者知道該內容為AI生成之結果。如果明知或重大過失（Knowingly or recklessly）產出、散布或發布任何未「明確且顯著」（clear and conspicuous）揭露其內容為AI所生成者，即屬「不公平或欺騙性行為或做法」，將被依賓州《不公平貿易行為與消費者保護法》（Unfair Trade Practices And Consumer Protection Law）規定處罰。草案亦說明應如何揭露資訊，方符合條文所謂「明確且顯著」標準，例如針對AI生成之音訊內容，其揭露應以足夠的音量和節奏傳達，以便消費者聽取和理解。 此外，草案也關注兒童保護問題。鑑於AI生成的兒童性剝削圖像通報日益增加，草案最後新增規定，未來不能將「兒童性剝削圖像為AI生成」作為辯護理由，且檢察總長或地區檢察官可起訴製造、持有以及傳播AI生成之兒童色情或性虐待素材等相關行為。 目前草案已在州眾議院通過，由州參議院審議中。草案的提案議員強調，人們有權知道其消費的內容實際上是使用AI產出的成果，因此草案通過後，可望有效遏阻濫用AI的行為，提供賓州民眾更多的保障。

　　繼陳水扁總統於元旦宣示兩岸經貿改採「積極管理、有效開放」後，行政院於 3 月 22 日 的院會中通過兩岸經貿「積極管理、有效開放」配套機制方案，方案執行面向涵蓋經濟、農業、金融、人員及小三通等經貿往來層向，建立管理目標及機制。其中在經濟類部分，為強化對大陸投資之有效管理，企業赴大陸地區超過一定金額或涉及敏感科技的重大投資案，增設「政策面審查」， 但方案中並未進一步指出一定金額與敏感性產業的定義。 　　經經濟部邀集陸委會等相關單位，討論積極管理配套措施中的「重大投資案」界定標準，會中決定政府將參考國內廠商設立晶圓廠的投資規模，制定相關審查辦法，將 1 億美元以上或涉及敏感科技的投資案，進行「兩階段審查」，即政策面審查及投審會委員會議審查，並列舉需要經過政策面審查的產業。 　　所謂政策面審查，依據行政院大陸委員會發布的「兩岸經貿『積極管理、有效開放』配套機制」指出，是由政府邀請企業負責人及經理人，就企業財務計畫、技術移轉、輸出設備、在台相對投資等項目進行協調，在確定企業具體承諾，並由業者出具同意政府於必要時將進行大陸投資事項實地查核的承諾書後，再送投審會開會審查。經濟部表示，業者經核准進行大陸投資後，主管機關應分別針對母公司在國內持續投資與技術升級情況、廠商在大陸營運及增資、擴廠情形，持續追蹤管理，主管機關於必要時並將赴中國實地查核，以落實積極管理。 　　行政院表示，配套機制方案大部份是強調現行作業的「強化管理措施」，至於相關部會提出新增或應加強的執行事項，原則上應在今（ 95 ）年 6 月 30 日前完成，涉及修法及建置資料庫的部分，應在今年年底前執行或規劃完成。

　　世界經濟論壇（World Economic Forum, WEF）於2022年1月18日發布《2022年全球網路安全展望》（Global Cybersecurity Outlook 2022），以面對因COVID-19大流行所致之遠距辦公、遠距學習、遠距醫療等新形態數位生活模式快速發展，以及日漸頻繁之具破壞性網路攻擊事件。為考量國家應優先考慮擴展數位消費工具（digital consumer tools）、培育數位人才及數位創新，本報告說明今年度網路安全發展趨勢及未來所要面對之挑戰包括如下： COVID-19使得工作習慣轉變，加快數位化步伐：約有87%企業高階管理層計畫透過加強參與及管理第三方的彈性政策、流程與標準，提高其組織的網路韌性（cyber resilience）。 企業資安長（chief information security officers, CISO）及執行長（chief executive officers, CEO）之認知差異主要有三點：(1)92%的CEO認為應將網路韌性整合到企業風險管理戰略中，惟僅55%CISO同意此一作法；(2)由於領導層對網路韌性認知差異，導致安全優先等級評估與政策制定可能產生落差；(3)缺乏網路安全人才以面對網路安全事件。 企業最擔心之三種網路攻擊方式為：勒索軟體（Ransomware attacks）、社交工程（social-engineering attacks），以及惡意內部活動。惡意內部活動係指企業組織之現任或前任員工、承包商或業務合作夥伴，以對組織產生負面影響方式濫用其關鍵資產。 憂心中小企業數位化不足：本研究中有88%之受訪者表示，擔心合作之中小企業之數位化程度不足，導致供應鏈或生態系統中使其網路韌性受阻。 網路領導者認為建立明確有效的法規範，將有助於鼓勵資訊共享與促進合作。