美國加州「Asilomar人工智慧原則決議」
美國加州議會於2018年9月7日通過Asilomar人工智慧原則決議(23 Asilomar AI Principles, ACR-215),此決議表達加州對於「23條Asilomar人工智慧原則」之支持,以作為產業或學界發展人工智慧、政府制定人工智慧政策之指標,並提供企業開發人工智慧系統時可遵循之原則。依此法案所建立之重要指標如下:
(1)於研究原則上,人工智慧之研究應以建立對於人類有利之人工智慧為目標。
(2)於研究資助上,人工智慧之研究資助應著重幾個方向,如:使人工智慧更加健全且可抵抗外界駭客干擾、使人工智慧促進人類福祉同時保留人類價值以及勞動意義、使法律制度可以順應人工智慧之發展。
(3)於科學政策之連結上,人工智慧研究者與政策擬定者間應有具有建設性且健全之資訊交流。
(4)於研究文化上,人工智慧研究者應保持合作、互信、透明之研究文化。
(5)於安全性上,人工智慧研究團隊應避免為了研究競爭而忽略人工智慧應具備之安全性。
(6)人工智慧系統應該於服務期間內皆具備安全性及可檢視性。
(7)人工智慧系統之編寫,應可使外界於其造成社會損失時檢視其出錯原因。
(8)人工智慧系統如應用於司法判斷上,應提供可供專門人員檢視之合理推論過程。
(9)人工智慧所產生之責任,應由設計者以及建造者負擔。
(10)高等人工智慧內在價值觀之設計上,應符合人類社會之價值觀。
(11)高等人工智慧之設計應可與人類之尊嚴、權利、自由以及文化差異相互調和。
(12)對於人工智慧所使用之資料,其人類所有權人享有擷取、更改以及操作之權利。
(13)人工智慧之應用不該限制人類「客觀事實上」或「主觀知覺上」之自由。
(14)人工智慧之技術應盡力滿足越多人之利益。
(15)人工智慧之經濟利益,應為整體人類所合理共享。
(16)人類對於人工智慧之內在目標應享有最終設定權限。
(17)高等人工智慧所帶來或賦予之權力,對於人類社會之基本價值觀應絕對尊重。
(18)人工智慧所產生之自動化武器之軍備競賽應被禁止。
(19)政策上對於人工智慧外來之發展程度,不應預設立場。
(20)高等人工智慧系統之研發,由於對於人類歷史社會將造成重大影響,應予以絕對慎重考量。
(21)人工智慧之運用上,應衡量其潛在風險以及可以對於社會所帶來之利益。
(22)人工智慧可不斷自我循環改善,而可快速增進運作品質,其安全標準應予以嚴格設定。
(23)對於超人工智慧或強人工智慧,應僅為全體人類福祉而發展、設計,不應僅為符合特定國家、組織而設計。
本文為「經濟部產業技術司科技專案成果」
王柏霳
法律研究員 編譯整理
新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網(Internet of Things,簡稱IoT)產品蓬勃發展,伴隨著資通安全之威脅卻也日益加增,新加坡為此陸續訂定國內法規,以強化保障新加坡人民資訊流通之自由,並確立了網路安全標籤機制,藉以提高消費者對於物聯網產品資安的認識。另一方面,標籤制度能於消費者使用物聯網產品時,將產品受到不同層級之網路安全防護,或有別於一般用途使用等資訊,迅速傳達給消費者。據此,本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規,供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1](CSA),陸續為新加坡建立完善之物聯網產品網路安全防護機制,且新加坡於2018年訂定《網路安全法》[2],法案的第一部分已明示將「網路安全」列為實質保障內涵[3],並明訂須透過識別與分析威脅,以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性,首先於亞太地區推出物聯網產品等級評估機制,即新加坡網路安全標籤機制[4](Cybersecurity Labelling Scheme, CLS),致力於保障新加坡的網路空間,並使消費者能夠識別符合網路安全規定之物聯網產品,以利消費者辨認選購。此外,CLS架構下設有驗證中心、通用標準以及標籤分級等措施,以強化物聯網產品資安防護為目的,也能落實《網路安全法》保障新加坡網路安全之精神。 (一)設置網路安全驗證中心[5](Cybersecurity Certification Centre, CCC):為驗證資安相關產品與服務之權責機關,透過CSA建置的驗證標準,成為新加坡企業採用資安產品之參考依據。 (二)建立通用標準(Common Criteria, CC):最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出,以國際標準ISO/IEC 15408(Common Criteria for Information Technology Security Evaluation)作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認,資訊服務業者若經過相關驗證時,較易被新加坡企業採用。 (三)建立網路安全標籤機制(Cybersecurity Labelling Scheme, CLS):CSA針對智慧裝置推出網路安全標籤機制CLS,是以《網路安全法》做為上位精神而訂,但並不具強制力,而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級,使消費者能夠識別符合較高等級網路安全規定的產品,並做出明智的決定。CLS共可分為4個等級(Level 1~4),第1級為產品滿足相關之基本要求(如密碼要求、提供軟體更新);第2級為該產品係使用安全設計原則進行開發(如進行相關之威脅評估、審驗程序);第3級為該產品經過第三方測試實驗室評估;第4級則經過第三方實驗室之滲透測試。此外,值得注意的是,新加坡亦與德國、芬蘭簽署備忘錄,以相互承認,也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度(IT-Sicherheitskennzeichen)、芬蘭的網路安全標籤制度(Finnish Cybersecurity Label),可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安,透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制,針對物聯網產品資安進行不同層次的保障。此外,採「驗證」方式保障人民生活不受網路威脅侵害,同時提高消費者對於物聯網產品資安之意識,可謂一舉數得之作法。而我國於物聯網產品發展以來,有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章,以供企業或消費者識別,物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後,核發合格證書及資安標章,並依照資安風險高低及安全技術實現複雜度,區分三個等級(L1~L3),分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下,已推出6項產品系列之驗證[7],並且採消費者導向之標章,足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識;但此認驗證機制或有優化空間,今後可以參考新加坡作法,擴增可進行驗證的產品項目,持續提升保障消費者選購物聯網產品之資訊知悉權,同時可參酌國際上其他重點國家之風險評估方式,以系統性建置物聯網產品資安之風險評估通用標準,以確保該制度未來有機會被其他國家直接或間接承認,為國際接軌做準備,作為今後精進物聯網產品資安之目標,方可促使我國與國際產業鏈、海外市場逐步銜接,提升產業競爭力。 [1]新加坡網路安全局CSA(Cyber Security Agency),隸屬於總理辦公室(Prime Minister’s Office, PMO),由新加坡通訊暨新聞部(Ministry of Communications and Information)管理,https://www.csa.gov.sg/,(最後瀏覽日:2023/6/30)。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟(Mobile Application Security Alliance),關於我們〈推動架構〉,https://www.mas.org.tw/about/background,(最後瀏覽日:2023/6/30)。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟(Mobile Application Security Alliance),IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些?〉,https://www.mas.org.tw/iot/questAndAnswer,(最後瀏覽日:2023/6/30)。
美國《代幣分類法》(Token Taxonomy Act)草案目前,美國證券管理委員會(U.S. Securities and Exchange Commission, SEC)對於數位貨幣的態度傾向於將代幣視為有價證券。《代幣分類法》(Token Taxonomy Act)草案則是持反對意見的聲浪¬,由美國眾議員Warren Davidson為首,並且獲得跨黨派多位眾議員的支持。《代幣分類法》主要的訴求是希望可以將數位代幣排除於證券,進而排除虛擬貨幣之稅務。重點有三: 修正《證券交易法》,將數位代幣排除於證券 將「數位代幣」(Digital Token)定義為驗證交易或遵循規則防止交易被竄改之「數位單元」(Digital Unit,以電腦可讀取的形式儲存,用於表彰經濟、財產上權利,或存取權限)。同時,在原先「證券」(Security)的定義中,排除「數位代幣」;另將證券「交易」(Exchange)交易排除數位貨幣適用。 擴張銀行之定義 修改「銀行」之定義。原先《1940年投資顧問法》和《1940年投資公司法》所指之「銀行」,包括「取得存款或執行信託權利(Fiduciary Powers)」等與准許經營銀行執行雷同事業者,是否為公司不在所問(Incorporated)。《代幣分類法》將之擴張為「取得存款、提供保管服務(Custodial Services)或執行信託權利」。 修正將虛擬貨幣視為免課稅對象 虛擬貨幣(Virtual Currency)定義為表彰數位價值之交易媒介且不是貨幣。並修正美國《1986國內所得稅法》(Internal Revenue Code of 1986),將虛擬貨幣交易視為免課稅之交易,並將總額小於600美金的虛擬貨幣買賣或交易之所得,排除於總收入(Gross Income)之外。 然而,目前美國證券管理委員會的態度仍未改變,並且於2019年4月3日發表〈數位資產「投資契約」分析之架構〉(Framework for “Investment Contract” Analysis of Digital Assets)。該分析架構說明:凡符合Howey Test之標準的「投資契約」即屬於「證券」,有《證券交易法》的適用。〈數位資產「投資契約」分析之架構〉甫發表,Warren Davidson與另外五位眾議員隨即重新提起2019年版的《代幣分類法》草案,是繼2018年9月、2018年12月第三度提起相關法案。楊安澤(Andrew Yang,美國首位角逐總統的華裔候選人)在2020年民主黨黨內總統初選政見中,亦援引《代幣分類法》草案,希望可以與連署《代幣分類法》草案的美國國會議員和懷俄明州(Wyoming)的立法者,共同擘畫有利於商業與人民的數位資產框架。
新加坡國家研究基金會推出AI.SG計畫,促進人工智慧技術發展新加坡國家研究基金會(National Research Foundation,以下簡稱NRF)於2017年5月3日宣布AI.SG倡議,並將啟動國家級AI計畫。NRF將於五年內投資新加坡幣1.5億元,整合NRF,智慧國家與數位政府辦公室(Smart Nation and Digital Government),經濟發展委會(Economic Development Board),資通訊媒體發展局(Infocomm Media Development Authority),新加坡創新機構(SGInnovate)及整合健康資訊系統(Integrated Health Information Systems)等數個政府部門,以及位於新加坡的研究機構、AI新創公司與發展AI產品的企業等共同投入。計畫三大目標如下: 利用人工智慧來解決影響社會和產業的重大挑戰 這些應用包括利用人工智慧解決交通尖峰時段壅塞問題,或應付人口老齡化帶來的醫療保健挑戰。IHiS執行長兼衛生部資訊長Mr.Bruce Liang表示:「醫療照護是需要高度知識及人性化的行業。多年來從新加坡在醫療照護數位化的發展中,可預見AI未來對於提升新加坡人民健康有很大幫助。例如在疾病預防、診斷、治療計畫、藥物治療、精準醫療、藥品開發等方面皆可發揮作用。醫護人員再加上AI工具,可以更完善解決未來對於醫療照護需求的增加。」 投入並深化技術能力,以掌握下一波科技創新 其中包括可展現更多人類學習能力的下一代「可解釋的人工智慧」 (Explainable Artificial Intelligence,XAI),以及相關技術,例如電腦系統架構(軟體、韌體、硬體整合)和認知科學(Cognitive Science)。NRF獎助金和研究計畫將會支持相關科學活動。當地人才也將透過參與AI深度功能的開發進行培訓。 擴大產業對於AI和機器學習的使用 AI.SG將與公司合作,利用AI來提高生產力,創造新產品,並輔導相關解決方案從實驗室進入市場。目標將支持100個AI研發項目和概念驗證,以利用戶能快速解決實際問題。並預計針對金融,醫療照護和城市管理解決方案領域具有特殊的潛力者先著手進行。 AI.SG計畫此項推動工作,未來不僅將可激發新加坡的研究人員和用戶利用AI解決社會重大問題,也將影響全世界渴望利用人工智慧技術帶來更便利的生活,值得我國相關機關推動政策之參考依據。
歐洲專利局闡明CRISPR專利優先權認定的裁決理由歐洲專利局(European Patent Office,下簡稱EPO)於2020年11月發布了裁定撤銷歐洲專利EP2771468的書面理由。EP2771468是the Broad Institute of Massachusetts Institute of Technology(以下簡稱Broad Institute)持有的一項關於CRISPR(clustered, regularly interspaced, short palindromic repeats)技術的專利。2020年1月,EPO的上訴委員會(Board of Appeal,下簡稱BoA)裁定在該專利的優先權要求被駁回後,專利應予以撤銷。 CRISPR是相對簡單但功能強大的基因編輯工具,使科學家能夠更改DNA序列並修飾基因功能。它具有改變醫學、診斷、治療和預防多種疾病的潛力,已被用於開發診斷試劑盒,可用於檢測傳染病,例如Covid-19。該技術預估在未來五年的價值將超過50億美元。 一般而言,專利申請日是評估專利有效性的日期,但有的專利可能會要求已揭露該發明之較早專利申請的申請日作為優先權日。在本案裡,專利的優先權日期尤為重要,因為還有許多其他機構和研究人員聲稱在Broad Institute之前就已經發現CRISPR技術。 在2018年,EPO的異議庭(Opposition Division)認為EP2771468專利無權享有部分專利的優先權。因為其主張優先權的美國專利臨時案共有四名申請人,但在EPO提交專利時,有一位申請人未包含其中。因此,異議庭認為,該專利不能主張美國專利的優先權,導致EP2771468因為在申請日前有其他公開文獻而喪失新穎性。 Broad Institute提出上訴,但BoA駁回了上訴,並指出需要所有申請人在初始申請和後續申請中都列出才能享有優先權。 由於優先權制度是在申請專利保護時常會運用的布局手段,後續在運用優先權時,應特別注意申請人的一致性,避免因優先權無法主張而影響專利的有效性。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」