德國聯邦網路局發布電信網路安全要求要點

我國法制對於AR/VR發展之影響評估 資策會科技法律研究所 法律研究員　王凱嵐 105年06月14日 　　隨著科技的進步，同時在大數據、物聯網及可穿戴式裝置發展下，未來AR/VR技術可運用之層面相當廣泛，諸如遊戲、視訊娛樂、醫療保建、教育、醫療保建等，具有成為繼智慧型手持裝置後另一重要軟硬體平台之潛力。 　　所謂AR即擴增實境，指將虛擬資訊擴增到現實空間中的技術。這並不是完全取代現實之空間，而是在現實生活中融合虛擬資訊，藉由攝影機的辨識技術與電腦程式的結合，使虛擬資訊得以正確的疊加或輔助式出現於現實空間中。另一方面，所謂VR即虛擬實境，指利用電腦技術模擬出一個立體、高擬真的3D空間。當使用者穿戴特殊顯示裝置，會產生身處不同於當下環境之空間，而在此虛擬的空間中，使用者得透過控制器(如搖桿)或鍵盤移動或互動。 　　根據Digi-Captial的預估，到2020年AR加上VR總市場規模可達1,500億美元[1]。由此可知此產業具有非常大的市場規模，未來無論在各個領域中，AR、VR技術將突破過往的模式，將所想像的事物或空間呈現於使用者/消費者眼前。除了提供新型態技術的服務體驗，同時業者也能在成本或資源有限的情況下，突破原有限制，提高產能。以下配合未來假設技術運用上之情境，進行我國法規範之盤點，標示可能涉及或衝突的現行規範，評估其影響並給予建議。 壹、應用領域 　　根據跨國投資銀行高盛集團針對AR、VR之發展趨勢、潛在應用領域進行分析和預測[2]，其中包含遊戲、視訊娛樂、教育及醫療保健四項。 一、　遊戲:遊戲產業為當前在VR發展上最為成功的消費者市場。該技術運用在遊戲上，將給予遊戲玩家沉浸式的虛擬世界，提高遊戲體驗。而在未來VR結合網咖，提供不同的遊戲體驗。此種傳統的連線功能電腦遊戲附上VR虛擬實境的裝置，是否會出現全新的產業或遊戲類別，值得日後持續觀察。 二、　視訊娛樂:除遊戲產業外，視訊娛樂是另一個發展核心。使用者得穿戴VR眼鏡或頭盔，結合影音聲效觀看電影。未來若使用在電影院中，不同於傳統的3D眼鏡，VR給予使用者一全封閉式之虛擬環境，可不再被場地所侷限。惟拍攝此類電影或視訊畫面，須使用全景攝影機設備，造成製作成本較難以預測。 三、　教育:未來學校可運用此技術加強師生間之互動或提升學生學習意願。在遠距教學之運用，突破過去因距離或傳統教學的環境限制，提高整體教育品質。另一方面，在考證照(例如汽車駕訓)時也可透過虛擬實境完成，可不再被場地侷限(例如汽車教練場)。 四、　醫療保健:在醫療運用上，AR、VR的技術能幫助恐懼症或輔助醫學治療。而在遠距治療、診斷或照護行為上，得根據不同之情況提供不同的技術服務。在病患的身體狀況或居住環境，VR技術將給予相關醫護人員更好的判斷依據，增加正確及準確的治療、診斷及照護行為。 貳、涉及法規 一、　遊戲:當VR眼鏡運用在具連線功能之電腦遊戲上，則可能涉及「資訊休閒業管理自治條例」[3]提供場所及設備以連線或非連線方式結合資料儲存裝置，供不特定人從事遊戲娛樂之營利事業(例:網咖使用VR設備)，在場所設置範圍上，將受到相關地方自治條例之限制規範。 　　而在個人或家用透過VR眼鏡與軟體遊結合，針對該遊戲內容，我國「遊戲軟體分級管理辦法」 之規定，對所有數位遊戲軟體發行上市皆須送審核並登錄分級等規範。除遊戲軟體業者須自律分級進行分級登錄，產品包裝與展示露出皆須標示分級。 二、　視訊娛樂:若未來將VR技術結合電影產業，在以營業為目的之電影播放場所使用VR眼鏡觀看電影。目前我國「電影法」[5]對於電影內容及相關行業有作出規範，惟透過穿戴式眼鏡或頭盔僅可視為電影放映之平台或載具。本法目前對於此技術之運用尚無限制。在非電影院之場地運用VR穿戴眼鏡播放電影，若符合電影法第三條電影片映演業定義，應遵守本法之規定。若僅附屬服務(例如民宿、飯店提供婦放映電影免費服務)，若符合相關著作權[6]之規範，應無適用問題，仍得視為電影放映之平台或載具。 三、　教育:運用在遠距教學按現行法規之規定，應可視為符合互動方式之擴充服務，在取得學分問題上，並無疑慮。另一方面，若運用在汽車駕訓考試，目前我國「道路交通安全規則」第65條[7]，駕駛執照考試應考科目為筆試及路考，單以駕駛訓練為目的則不會有影響。惟在取得駕駛執照的考試，並無法透過VR取得駕駛執照。 四、　醫療保健:在遠距醫療運用上，「醫師法」第十一條[8]中關於遠距診斷僅限於特定情況下方可行之，透過VR技術模擬實地效果之遠距治療或診斷，將受到法規上之限制。 參、結論建議 　　根據以上法規之彙整，首先在遊戲上與AR、VR技術的導入最具關聯性，不僅在內容上具備多元性且可獨立存取於顯示裝置外，與一般大型機台之儲存設備不同。其營業模式，可藉由出租顯示裝置及其周邊設備，供使用者連接各種平台上之各種內容或應用程式，類似資訊休閒業。 　　然而目前資訊休閒業者所提供或使用之遊戲軟體，必須依遊戲分級管理辦法規定，其內容須符合分級級別、登錄分級。未來建議可針對遊戲機類別可參考「遊戲軟體分級管理辦法」做出區分標準，將呈現內容由內容分級法令規範。同時藉此修法契機得釐清與「資訊休閒業」(目前無中央法規，僅各地方以自治條例形式進行規範)之認定關係(例如由中央增訂資訊休閒業專法)。 　　另在遠距治療、診斷、照護法規上，「醫師法」僅開放符合特定條件下(如偏遠地區或特殊急迫情形)以通訊方式詢問病情或診察。為避免日後認定上可能產生違法疑慮，得建議中央主管機宜用行政函釋之方式，釐清模糊空間利於相關產業之發展。未來AR/VR的技術運用層面上，是否排除在法規之特定條件下方可適用之規定?此點仍須考量該技術上發展能進展到何地步。 　　最後，在技術驗證上運用VR(例如汽機車駕駛訓練或考試)，根據我國「道路交通安全規則」駕駛執照考試應考科目為筆試及路考。建議可透過行政函釋釐清路考得否透過虛擬實境為之，並可在訓練時加進虛擬實境項目，提升學員在考照前、通過後更好的準備。利用行政函釋得消除法規適用上之疑義。 　　透過分析未來新科技運用所產生出的法制障礙，預先設想可能對該產業造成之影響。AR/VR技術未來勢必會帶給人們新的社會生活型態，相關的技術廠商也不斷推層出新。而台灣不可在這個領域錯失先機，故在法規與運用上須取得平衡點，用以增進未來我國在虛擬實境產業上發展之實力。 [1] 鉅亨網，＜VR產品迎密集上線潮 虛擬現實產業全球盛宴開啟＞，2016/03/01，http://news.cnyes.com/Content/20160301/20160301160032997491410.shtml (最後瀏覽日期:2016/05/27) [2] VREYES，＜vr來了，行業標準今年形成?＞，2016/03/18，http://www.vreyes.cn/observation/topics/4341.html(最後瀏覽日期:2016/05/30) [3] 目前僅部分地方政府針對資訊休閒業制定專法。 [4] 遊戲軟體分級管理辦法第十條「發行或代理遊戲軟體之人於其遊戲軟體上市前，應依本辦法之規定標示分級資訊。但非由前述之人所供應之遊戲軟體，應由實際供應者依本辦法之規定負分級義務。前項之人應將遊戲軟體分級級別及情節登錄於中央目的事業主管機關之資料庫，供分級查詢。遊戲軟體產品包裝及遊戲軟體說明、下載或起始網頁之內容，不得逾越該遊戲軟體之分級級別。」 [5] 電影法第九條「申請電影片、電影片之廣告片審議分級者，應填具申請書，並檢附相關文件、資料，報中央主管機關核准。電影片、電影片之廣告片非經中央主管機關審議分級並核准者，不得映演。但教育行政機關主管之教學電影片，不在此限。電影審議分級不得逾越比例原則。為辦理電影片之審議分級業務，中央主管機關應組成電影片分級審議會，其成員應包括政府機關代表、各相關領域具有學術或實務經驗之學者、專家。前項電影片之審議分級業務，中央主管機關得委託民間專業團體辦理。電影片分級審議會之審議結論應予公開，並逐項具體敘明理由。」 [6] 著作權法第25條「著作人專有公開上映其視聽著作之權利。」 [7]道路交通安全規則第六十五條「申請汽車駕駛執照考驗者，其應考科目為筆試及路考。筆試不及格者，不得參加路考，但依第六十九條核准在原訓練機構辦理考驗者，其結業學員得先參加路考，及格後再行筆試。」(節錄) [8]醫師法第十一條「醫師非親自診察，不得施行治療、開給方劑或交付診斷書。但於山地、離島、偏僻地區或有特殊、急迫情形，為應醫療需要，得由直轄市、縣 (市) 主管機關指定之醫師，以通訊方式詢問病情，為之診察，開給方劑，並囑由衛生醫療機構護理人員、助產人員執行治療。前項但書所定之通訊診察、治療，其醫療項目、醫師之指定及通訊方式等，由中央主管機關定之。」

英國民用航空局（United Kingdom Civil Aviation Authority, CAA）於2024年12月3日發布「CAA對新興AI驅動自動化的回應」（The CAA's Response to Emerging AI-Enabled Automation）、「航空人工智慧與先進自動化監管策略」（Part A:Strategy for Regulating AI and Advanced Automation in Aerospace）以及「CAA 應用AI策略」（Part B: Strategy for Using AI in the CAA）等三份文件。首先，前者概述CAA對於AI應用於航空領域之總體立場，強調以確保安全、安保、消費者保護及環境永續等前提下，促進AI技術在相關航空領域之創新與應用；其次，「航空人工智慧與先進自動化監管策略」著重說明如何於航空領域監管AI技術之使用，以兼顧推動創新並維持安全性及穩健性；最後，「CAA 應用AI策略」則聚焦於CAA內部使用AI技術提升監管效率與決策能力的策略。 由於AI正迅速成為航空產業之重要技術，其應用範圍包含航空器、機場、地面基礎設施、空域、航太、消費者服務等，具有提高航空安全性、運作效率、環境永續性與消費者體驗之潛力。然而，相關技術風險與監管挑戰亦伴隨而至，仍需新的監管框架應對潛在風險。因此，總體而言CAA以推動AI創新技術、提升航空產業效率與永續性為目標，透過了解技術前景、建立AI通用語言，並以航空領域之五大原則為監管框架之制定核心，建立靈活的AI監管體系，維持最高水準的安全保障。五大原則及案例分述如下： （1） 安全、安保與穩健性（Safety, Security and Robustness），例如：使用AI分析航空器感測器資料進行預測維護，以利提早發現問題。 （2） 透明與可解釋性（Transparency and Explainability），例如：清楚記錄AI系統如何提出空中交通路線建議。 （3） 可質疑性與矯正機制（Contestability and Redress），例如：制定一套明確的流程，以便航空公司查詢並了解AI生成的安全建議。 （4） 公平與偏見（Fairness and Bias），例如：確保自動化旅客篩查安檢系統公平對待所有旅客。 （5） 問責與治理（Accountability and Governance），例如：明確界定AI系統在機場運營中的監管角色與職責。 .Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em}

新加坡金融管理局（Monetary Authority of Singapore，下文簡稱MAS）於2024年5月29日發布《資料治理與管理實務》（Data Governance and Management Practices: Observations and Supervisory Expectations From Thematic Inspections）文件。此文件係根據MAS於2022年至2023年期間針對國內系統性重要銀行（Domestic Systemically Important Banks，下文簡稱D-SIBs）進行「資料治理與管理架構」的主題式檢查結果加以研究與分析而作成，其內容包含MAS對於資料治理的期望、受檢銀行的優良實踐範例及缺失，希望未參與檢查的銀行與金融機構也能根據這份文件進行適當的改善措施。 MAS在《資料治理與管理實務》文件中提出關於五大主題的監管期待，簡要說明如下： 1.董事會和高階管理層的監督： 董事會和高階管理層應加強監督資料治理。例如，定期向董事會報告資料管理領域的重要問題；高階管理層應即時獲得準確且完整的相關資訊，並對資料風險進行分析。 2.設置資料管理單位： 銀行應建立資料管理單位，並為資料管理辦公室提供明確的任務授權，以利其監測資料的品質。 3.資料品質之管理與控制： 銀行應建立資料品質管理架構與流程，以確保資料在整個生命週期中是有品質的。例如，建立有效控制資料流的機制；建立資料品質指標或計分卡；使用終端使用者運算工具（end-user computing tools）處理資料時，應納入風險評估和控制架構來管理。 4.資料品質控制資料之問題識別與升級： 銀行應制定升級標準和行動計畫，以改善資料品質。另外MAS也建議銀行應該要有強大且完整的資料譜系（data lineage）來辨識資料問題並將之改善。 5.BCBS 239原則之擴大適用：BCBS 239原則係巴賽爾銀行監理委員會（the Basel Committee on Banking Supervision）第239號規範：《有效風險資料聚合及風險報告原則》（Principles for effective risk data aggregation and risk reporting），適用於全球的系統性重要銀行（Global Systemically Important Banks），巴賽爾銀行監理委員會同時建議D-SIBs宜遵循此原則，因此MAS亦要求新加坡境內7家D-SIBs須遵守BCBS 239原則的相關規範。此外，MAS仍期待各銀行與金融機構可以擴大BCBS 239原則的適用範圍，例如在範圍內報告（in-scope reports，或稱主要風險報告）中納入反洗錢、稅務管理等面向。由於金融服務是一個由資料驅動的產業，資料已然是金融業重要的戰略資產。MAS期盼這份文件能夠讓所有銀行及金融機構提升其資料治理能力，並針對內部的問題進行改善。

　　美國國家標準暨技術研究院（National Institute of Standard and Technology, NIST）2024年7月26日發布「人工智慧風險管理框架：生成式AI概況」（Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile），補充2023年1月發布的AI風險管理框架，協助組織識別生成式AI（Generative AI, GAI）可能引發的風險，並提出風險管理行動。GAI特有或加劇的12項主要風險包括： 1.化學、生物、放射性物質或核武器（chemical, biological, radiological and nuclear materials and agents, CBRN）之資訊或能力：GAI可能使惡意行為者更容易取得CBRN相關資訊、知識、材料或技術，以設計、開發、生產、使用CBRN。 2.虛假內容：GAI在回應輸入內容時，常自信地呈現錯誤或虛假內容，包括在同一情境下產出自相矛盾的內容。 3.危險、暴力或仇恨內容：GAI比其他技術能更輕易產生大規模煽動性、激進或威脅性內容，或美化暴力內容。 4.資料隱私：GAI訓練時需要大量資料，包括個人資料，可能產生透明度、個人資料自主權、資料違法目的外利用等風險。 5.環境影響：訓練、維護和運行GAI系統需使用大量能源而影響碳排放。 6.偏見或同質化（homogenization）：GAI可能加劇對個人、群體或社會的偏見或刻板印象，例如要求生成醫生、律師或CEO圖像時，產出女性、少數族群或身障人士的比例較低。 7.人機互動：可能涉及系統與人類互動不良的風險，包括過度依賴GAI系統，或誤認GAI內容品質比其他來源內容品質更佳。 8.資訊完整性：GAI可能無意間擴大傳播虛假、不準確或誤導性內容，從而破壞資訊完整性，降低公眾對真實或有效資訊的信任。 9.資訊安全：可能降低攻擊門檻、更輕易實現自動化攻擊，或幫助發現新的資安風險，擴大可攻擊範圍。 10.智慧財產權：若GAI訓練資料中含有受著作權保護的資料，可能導致侵權，或在未經授權的情況下使用或假冒個人身分、肖像或聲音。 11.淫穢、貶低或虐待性內容：可能導致非法或非自願性的成人私密影像或兒童性虐待素材增加，進而造成隱私、心理、情感，甚至身體上傷害。 12.價值鏈和組件整合（component integration）：購買資料集、訓練模型和軟體庫等第三方零組件時，若零組件未從適當途徑取得或未經妥善審查，可能導致下游使用者資訊不透明或難以問責。 　　為解決前述12項風險，本報告亦從「治理、映射、量測、管理」四大面向提出約200項行動建議，期能有助組織緩解並降低GAI的潛在危害。