人工智慧採購指南草案
人工智慧作為一前瞻性技術,運用於公部門,可以降低成本、提高管理品質、節省基層公務人員時間,整體改善政府公共服務。然而AI技術進化以及市場發展過於快速,現有採購類型沒有可以直接適用AI採購的判斷標準範本。因此,英國人工智慧辦公室(Office for Artificial Intelligence)與產官學研各界進行研商後,於2019年9月20日發表人工智慧採購指南草案(Draft Guidelines for AI procurement),作為公部門採購AI產品與服務之準則。該指南旨在加強公部門採購人員能力、協助採購人員評估供應商,讓廠商可以隨之調整其產品和服務內容。
該指南提供採購人員規劃政府AI採購的方向,包含招標、公告、評選、決標到履約。但指南強調無法解決採購AI產品與服務時遇到的所有挑戰。
指南內容簡述如下:
- 在制定規範時應重視如何清楚闡述面臨到的問題,而非只是說明解決方案;
- 評估AI帶來的風險時應緊扣公共利益,在招標階段敘明以公共利益為核心,並有可能在招標、評選和決標階段變動評估標準;
- 在招標文件中確實引用法規和AI相關實務守則;
- 其他包含將AI產品的生命週期納入招標和履約考慮、為提供AI產品和服務的廠商創造公平競爭環境、需與跨領域的團隊進行採購討論、確保採購流程從一開始就建立資料管理機制等。
本文為「經濟部產業技術司科技專案成果」
劉芷宜
法律研究員 編譯整理
依日本2017年5月30日修正施行之個人資料保護法的最新規定,家長會、同學會、管委會等,就個人資料的蒐集、處理、利用,應與以蒐集、處理、利用個人資料為業之公司行號,在法律上承擔相當之責任、義務。 因此自2017年5月30日起,家長會蒐集、處理、利用個人資料,需要注意以下四點: 一、經當事人請求,應刪除其個人資料。 修正後的個人資料保護法施行後,明知未經或不確定是否經學生監護人同意,而取得其個人資料,都是違法的行為。但目前已經取得的個人資料,即使明知未經或不確定是否經學生監護人同意,也不需要立即刪除。惟若當事人請求刪除,則必須立即刪除。 二、學校應善盡告知之義務,取得學生監護人之同意後,方得將其個人資料轉交家長會蒐集、利用、處理,。 修正後的個人資料保護法允許由學校取得學生監護人之同意後,將其個人資料轉交家長會蒐集、利用、處理。但如果校方未充分盡到告知義務,則有違法之虞。實務上在九州的熊本曾經發生過這樣的案例,由於家長會未依法蒐集、處理、利用其個人資料,監護人提起告訴,最後雙方在二審達成和解。 三、經過監護人同意,方得將其個人資料造冊並刊登照片 由於須明確取得學生監護人之同意,方得將其個人資料造冊並刊登照片。因此為避免學校未善盡告知義務,建議家長會直接請監護人填妥加入家長會之同意書,並於同意書上載明授權蒐集、處理、利用其個人資料之範圍。 四、遵從個人情報保護委員會的指導 若家長會有非法蒐集、利用、處理個人資料之虞,個人情報保護委員會可以檢查並限期改正。屆期如未改正,可裁處罰金或懲役。
以「公私夥伴關係(PPP)」發展科技之作法近來常聽聞各國以公私夥伴關係(Public-Private Partnership, PPP)之模式發展產業科技,PPP故名思義,係指結合公私部門之力量,以共同達成公共政策目標之合作模式。公部門可借重私部門的專業、經驗與品質,使其服務更有效率,私部門也可得到政府與政策之支持。 如今科技進步程度往往可代表ㄧ國之競爭力,惟科技研發需投入大量成本,因此各國多有針對科研補助之相關政策,從早年的單方補助,到如今強調公私合作進行科研的PPP模式。各國亦提出各種產官學合作研發的模式或組合之立法或相關政策。例如成立獨立非營利法人讓各項研發活動進行更方便、研究設施設備共享更容易的日本「技術研究組合」、芬蘭之SHOKs。荷蘭近來亦大力推行PPP研發之策略。德國之高科技領先戰略計畫( Spitzencluster-Wettbewerb)亦以區域聚落(該區域聚落即包含產業界、大學及其他相關學術機構)為單位,藉競爭給予補助的方式,促成該地區產官之緊密合作。
美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。 該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。 OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
醫療記錄能否受到著作權保護澳洲法院近來持續在著作權相關案件中強調個人精神智慧投入的重要性,在Primary Health Care Limited v Commissioner of Taxation一案中([2010] FCA 419)再度強調了這樣的趨勢。在本案中,原告Primary Health Care為一信託受益人,透過信託取得醫療與牙醫業務,原告主張相關的醫療記錄文件如:處方籤、健康記錄、轉診信(referral letters)以及諮詢意見都有著作權,而於計算稅基時,應從信託的淨收益中加以扣除。 本案法官則指出,醫療記錄必須要達到語文著作的創作性實質要求,才能主張著作權的存在。針對本案的相關醫療記錄法官分別分析如下: 一、 諮詢記錄 所有的諮詢紀錄中,法官認定只有一份諮詢記錄受到著作權的保護,該份記錄從頭到尾只有一個作者,並以連續記述的方式呈現出個人精神智慧的投入;而本案中其他的諮詢記錄則有多個作者,僅僅標記姓名、醫療狀態、藥物治療以及生理、病理資料,難以呈現出個人精神智慧的表現,僅為病人的診斷與治療資訊,因此法官認定這些記錄無法受到著作權的保護。 二、 處方籤與健康記錄 作為本案證據的處方籤,只有姓名、藥物治療、劑量以及制式醫囑等資訊,而健康記錄則只有一連串的病史與醫療程序。因此,法官認定本案中所有的處方籤與健康記錄都不足以作為著作權的保護的客體。 三、 轉診信 法官認定在本案中的轉診信都有一些個人精神智慧的投入,儘管轉診信都是依循固定的格式,但基於轉診信的目的考量,固定的格式與內容都是合理的,因此本案中的轉診信都可以受到著作權的保護。 在Primary Health Care一案中,法官認定相關的醫療記錄文件並不必然一律受到著作權的保護,必須個別的加以認定。在醫療記錄中,只有當所有作者是能夠被辨識、特別是在只有單一作者的醫療紀錄中,能達到著作權法中語文著作對於個人精神智慧投入的要求時,才會受到著作權的保護。