英國資訊委員辦公室（ICO）發布沙盒執行過程中所觀察到的關鍵議題

2024年5月17日，科羅拉多州州長簽署了《人工智慧消費者保護法》（Consumer Protections for Artificial Intelligence Act，Colorado AI Act，下簡稱本法），其內容將增訂於《科羅拉多州修訂法規》（Colorado Revised Statutes，簡稱CRS）第6篇第17部分，是美國第一部廣泛對AI規範的法律，將於2026年2月1日生效。 本法旨在解決「高風險人工智慧系統」的演算法歧視（Algorithmic Discrimination）的問題 ，避免消費者權益因為演算法之偏見而受到歧視。是以，本法將高風險AI系統（High-risk Artificial Intelligence System）定義為「部署後作出關鍵決策（Consequential Decision）或在關鍵決策中起到重要作用的任何AI系統」。 而後，本法藉由要求AI系統開發者（Developers）與部署者（Deployers）遵守「透明度原則」與「禁止歧視原則」，來保護消費者免受演算法歧視。規定如下： (一)系統透明度： 1.開發者應向部署者或其他開發者提供該系統訓練所使用的資料、系統限制、預期用途、測試演算法歧視之文件以及其他風險評估文件。 2.部署者應向消費者揭露高風險人工智慧系統的預期用途，也應在高風險人工智慧系統做出決策之前向消費者提供聲明，聲明內容應該包含部署者之聯絡方式、該系統的基本介紹、部署者如何管理該系統可預見之風險等資訊。 (二)禁止歧視： 1.開發者應實施降低演算法歧視之措施，並應協助部署者理解高風險人工智慧系統。此外，開發者也應該持續測試與分析高風險人工智慧系統可能產生之演算法歧視風險。若開發者有意修改該系統，應將更新後的系統資訊更新於開發者網站，並須同步提供給部署者。 2.部署者應該實施風險管理計畫，該風險管理計畫應包含部署者用於識別、紀錄降低演算法歧視風險之措施與負責人員，且風險管理計畫應定期更新。在制定風險管理計畫時，必須參考美國商務部國家標準暨技術研究院（National Institute of Standards and Technology, NIST）的《人工智慧風險管理框架》（AI Risk Management Framework, AI RMF 2.0）與ISO/IEC 42001等風險管理文件。 美國普遍認為科羅拉多州的《人工智慧消費者保護法》為目前針對人工智慧系統最全面之監管法規，可作為其他州有關人工智慧法規的立法參考，美國各州立法情況與作法值得持續關注。

　　歐盟對於體外診療器材（In Vitro Diagnostic Medical Devices，以下簡稱IVDs）之管制，最早起始於1998年的體外診療器材指令（Directive 98/79/EC on In Vitro Diagnostic Medical Devices，以下簡稱「1998年IVDD指令」)，該指令依IVDs是否具有侵入性、接觸病人的時間長短及是否需要能源加以驅動等條件，進一步區分為四種風險等級：第1級（Class I）－低風險性、第2a級（Class IIa）－低至中風險性、第2b級（Class IIb）－中至高風險性、第3級（Class III）－高風險性。Class I因風險性最低，故1998年IVDD指令僅要求廠商建立品管系統、保留產品技術檔案、並自為符合性聲明後，即得於市場上流通；Class IIa與Class IIb則由於風險略高，所建立之品管系統需經過「符合性評鑑」；而Class III的風險最高，故其品管系統除須符合前述要求外，更應由經歐盟認證的代檢機構（Notified Body）進行審查，通過前述評鑑及審查後，始可於歐洲市場流通使用。 　　然而，隨著科學及技術的進步，市場上不斷出現創新性的產品，使得1998年IVDD指令已逐漸無法滿足管理需求，輔以各會員國對於指令的解釋和實施各有不同，致使歐盟內部在病患及公共健康的保護上有程度不一的落差，為歐盟單一市場的運作埋下隱憂。因此，歐盟執委會（European Commission）於2012年9月26日提出新的管制架構（Proposal for a Regulation of the European Parliament and of the Council on in vitro diagnostic devices），其主要變革包括： 1. 擴大IVDs的定義：將IVDs的範圍擴及用以獲取醫療狀況或疾病罹患傾向資訊（如基因檢測）的器材及醫療軟體（medical software）等。 2. 新的分類標準及評估程序：將診療器材重新分為A、B、C、D四類，A類為風險最低，D類為風險最高。A類維持原先1998年IVDD指令中的廠商自我管控機制，但當A類器材欲進行臨床測試（near-patient testing）、具備評量功能或用於殺菌者，須先由代檢機構就其設計、評量功能及殺菌過程進行驗證。B類器材因風險略高，故須通過代檢機構之品管系統審查；C類產品除品管系統審查外，需再提交產品樣本的技術文件；而D類由於風險最高，除前述品管系統審查外，需經過核准使能進入市場。至於A、B、C、D類產品進入市場後，代檢機構會定期進行上市後（the post-market phase）監控。 3. 導入認證人員（qualified person，簡稱GP）：診療器材製造商應於組織內導入GP人員，負責確保製造商組織內部的一切法令遵循事宜。 4. 落實提升透明度（transparency）之相關措施：為確保醫療器材的安全性和效能，要求：(1) 歐盟市場內之經濟經營商（economic operator）應能夠辨認IVDs的供應者及被供應者；(2) 製造商應將單一裝置辨識碼（Unique Device Identification）導入產品中，以利日後之追蹤；(3) 歐盟單一市場中的所有製造商及進口商，應將其企業及產品資訊於歐洲資料庫（European database）中進行註冊；(4) 製造商有義務向大眾公開高風險性裝置的安全性與效能等相關說明資訊。 　　歐盟執委會已提交新管制架構予歐洲議會，若順利通過將可望於2015年起正式實施，未來將對歐洲IVDs產業有何影響，值得持續觀察之。

　　德國聯邦政府（Bundesregierung）於2020年12月16日通過「提升資訊科技系統安全性的第二版法律（Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme）」草案，又稱「資訊科技安全法2.0（IT-Sicherheitsgesetz 2.0）」，該草案概述如下： (1)加強德國聯邦資訊安全局（Bundesamt für Sicherheit in der Informationstechnik, BSI）權限： BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序，並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。 (2)加強消費者保護： 導入IT安全標籤（IT-Sicherheitskennzeichen），製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊；此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。 (3)加強企業作為義務： 關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務，該報告義務在草案中將擴張適用於具特定公共利益之公司，如與國防和保密資訊IT產業相關、具經濟上重要性的公司，以及受重大事故條例（Störfallverordnung, StöV）所規範者。 (4)加強國家保護功能： 國家應建立認證機制，並課予關鍵基礎設施的供應者通過該認證的義務，即供應者需確保其設施內的零件不具不適當的技術特性，尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。 　　該草案目前於德國聯邦議院（Deutscher Bundestag）進行審查。