美國如何管制新興技術出口

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

　　世界智慧財產權組織（World Intellectual Property Organization, WIPO）於2020年9月2日發表「2020年全球創新指數報告」（Global Innovation Index 2020, GII 2020），報告中比較131個經濟體之最新全球創新趨勢。GII為一年一度發行之報告，除了比較不同經濟體的創新指數外，每年會挑選不同創新議題進行深度研究，2020年研究主題為「誰投資創新？」（WHO WILL FINANCE INNOVATION?）。 　　GII的報告評比，區分為七大指標分別為：組織機構（Institutions）、研發與人力資源（Human capital and research）、基礎建設（Infrastructure）、市場成熟度（Market Sophistication）、企業成熟度（Business sophistication）、知識技術產出（Knowledge and technology outputs）以及創意產出（Creative outputs）。其下再區分為21個次標和80個小標例如政府效能（Government effectiveness）、法規範環境建構（Regulatory environment）、教育支出占GDP比例、外國學生比例、R&D支出占GDP比例、生態永續度、高科技出口、資通訊服務出口等。2020年評比全球創新指數最高的10個國家排名分別為：瑞士、瑞典、美國、英國、荷蘭、丹麥、芬蘭、新加坡、德國和南韓，均為高所得國家；這也是南韓第一次躋身進入前10名。 　　另外報告中亦說明，2020年COVID-19大流行引發前所未有的經濟停滯。在COVID-19爆發之前，研發支出成長明顯快於全球GDP成長，創業投資（Venture capital）和IP應用達到高峰，但疫情發生的現階段全球經濟成長大幅度下降。然而經濟成長停滯之下，突破性技術創新的潛力仍在繼續存在，例如許多仍保有現金流的大型ICT企業仍持續推動數位創新，製藥技術與生物科技產業的研發支出大量增加，健康產業研發也受到重點關注。此外，COVID-19危機亦會促進傳統產業（例如旅遊、教育和零售等）之創新，以及改變企業在本地或全球之生產工作組織方式。而在各國政府為忙於制定緊急救濟計畫（emergency relief packages），以緩解地域封鎖所造成的負面影響和經濟衰退的同時，這些緊急救濟計畫對新創公司之融資多半不夠明確，到目前為止，各國政府並沒有創新研發作為當前刺激經濟計畫中的優先事項（priority）。 　　報告中針對「誰投資創新？」之主題，統計數據顯示創新金融（Innovation finance）雖然受疫情影響有所下降，但金融體系尚屬健全。惟資助新創企業的資金正在枯竭（drying up），北美、亞洲和歐洲地區的創業投資交易也急劇下降，幾乎看不到首次公開發行（IPO）。即使是倖存下來的新創公司，其盈利能力和對創投者（Venture Capitalist）的吸引力也在下降。也因為疫情影響，創投者減少對創新、小型和多元化的新創事業提供資金，取而代之關注所謂的「大型交易」（mega-deals），也就是資助大型企業的發展，並將投資領域轉向健康、線上教育（online education）、大數據、電子商務和機器人科技。此外，報告中亦說明近期創投多半集中在可以短期得到報酬的創新事業，例如資通訊軟體及服務、消費性產品服務、金融商品等，取得創投機構大量資金。相較之下，若研發較為複雜的前瞻科學技術，反而取得之資金較少；同時COVID-19惡化此現象，使研發期較長之產業和企業面臨更嚴峻的財務限制。

　　法國3大出版商5月11日宣稱將起訴Google，因Google未獲出版社允許，掃瞄了成千的書籍上傳到其網路圖書館。法國3大出版社為Gallimard、Flammarion和Albin Michel，在巴黎法院要求98億歐元(美金114億元)的損害賠償。 　　出版商宣稱Google未經同意而用數位掃描將近1萬本書籍內容於網站上，使大眾可以在線上獲得。出版商的法律團隊代表表示每掃描一本出版社書籍就要付1000歐元損害賠償。 　　對此，Google回應，他們堅信書籍掃描計畫是合法的，並且說明，我們非常驚訝收到此種指控，我們確信Google Book計畫符合法國法律和國際著作權法。 　　Google對出版商表示：「Google肩負著繼續與出版商一同工作，並且幫助出版商發展數位服務和讓出版的著作得以讓法國與海外的網路使用者接觸。」 　　另一位法國的出版商La Martiniere，在2009年用同樣的爭議成功的起訴了Google，在美國法院也推翻了Google掃描美國出版書籍內容的經營模式。