美國情報體系發布「情報體系運用人工智慧倫理架構」

美國The Center for Intellectual Property Understanding(CIPU，以提高人們的智慧財產管理素養和提倡阻止侵權行為為宗旨的教育推廣非營利組織)於2025年2月19日發布之「Manager and Entrepreneur IP Experience: The Limitations of On the Job Learning」報告指出，於美國從事智慧財產權的美國商業人士於智慧財產權相關問題時有兩大現象，包括：專利人員具備基本營業秘密素養之重要性與日常商務活動之商標、著作權問題日趨普遍。 針對前者，根據Ocean Tomo發布的市場研究，從1975年到2020年，無形資產佔整公司整體價值從17%提升至90%，可見智慧財產權在國際市場的重要性，這也表示有更多不同領域的專業人士在參與處理專利、著作權及商標之問題，包括非法律專業人士，例如工程師、行銷策略師和其他來自教育領域之人員等，但是這些人員之所學很少涉略智慧財產，將導致無法確實有效的因應智慧財產議題，進而造成付出代價高昂的溝通障礙以及難以認定專利是否具備商業應用等負面影響。而一些從事專利領域的人員指出，當了解營業秘密的重要性，將可使從事處理智慧財產相關工作的人員決定是否要保密抑或揭露公開揭露這些資訊。 至於後者，在本篇報告相關的研究指出，高商標註冊率和高獲利及股票回報價值的整體無形資產間存在正向關係。許多受訪者還提到透徹了解商標法對於發展品牌、降低責任風險的方式至關重要。對於生成式AI的領域的企業家，因為侵權和合理使用問題持續存在，所以著作權意識的重要性也隨之提升。而為公司管理著作權資產的專業人士時常有管理多樣化資產的機會，例如廣播、串流媒體的權利金及整個產業鏈的製作成本等。 因此，對於時常接觸智慧財產之產業之相關人員而言，應提供更多智慧財產權相關課程，開發可存取、使用者友善的資源，以彌平從事任何形式的智慧財產權的專業人員法律素養之差距，進而使這些人員足以應對日常業務上可能面臨的智慧財產問題。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　OECD（經合組織）於2022年9月12日巴黎時間12時至17時召開第一支柱金額A（Amount A of Pillar One）的公開諮詢會議。蓋2021年10月，共137個成員同意自2023年啟用雙柱計畫（Two-Pillar Plan），OECD為提供能協助各國制訂相關內國法之「示範規則（Model Rules）」，已多次並持續公開徵詢意見。 　　其中，作為第一支柱的全球利潤分配稅制，係針對全球收入逾200億歐元且稅前淨利逾10%的大型跨國企業，定其逾10%的利潤為「剩餘利潤」，並取25%依關聯性（Nexus）重新分配至價值創造地，此剩餘利潤即本次會議欲討論之金額A。 　　一旦劃歸金額A將適用高達25%之稅率，故2022年7月11日，OECD所公布第一支柱的「進度報告（Progress Report）」，即針對如何計算大型跨國企業之全球總所得、如何量化系爭所得為金額A之稅基、如何定關連性原則以決定各價值創造地對金額A徵稅權之有無及高低、稅捐競合時如何避免對金額A造成雙重課稅，以及各該要件之定義等核心問題，列出7項標題（Title）作為本次會議討論重點。 　　然而，除了金額A徵稅權之跨國分配所涉利害關係錯綜複雜外，因各國稅制與發展不一致、美國對雙柱計畫之態度似有保留、歐盟成員國迄今仍無法達成一致共識，以及烏俄戰爭引發的通貨膨脹等各種內外因素，均為第一支柱示範規則之訂定，甚至雙柱計畫之實施增加了不確定性。準此，本次會議重要性不言可喻，值得我國持續注意。

美國奧克拉荷馬州修正《個資事故通報法》，擴充個資定義範圍並強化通報機制 資訊工業策進會科技法律研究所 2025年07月22日 現行我國關於非公務機關就個資事故進行通報之規定，散落於各中央目的事業主管機關制定之各業別個人資料檔案安全維護管理辦法或相關辦法中，且前揭各辦法對於通報之標準不盡相同。各國主管機關紛紛強化個資治理法制，而美國奧克拉荷馬州修正關於個人資料定義、適當防護措施及個資事故通報機制等事項，以建立更完善之規範。 壹、事件摘要 美國奧克拉荷馬州議會業於2025年5月20日通過第626號法案（Senate Bill 626）[1]，修正《個資事故通報法》（Security Breach Notification Act）[2]，其目的係為補充現行治理規範之不足，修正重點涵蓋：擴充法定用詞之定義，針對「個人資料」（Personal Information）與「適當防護措施」（Reasonable Safeguards）等條文予以補充與增列；強化個資事故（Breach of the security of a system）之通報機制與設立豁免條款，並釐清與其他法規間之適用關係；以及修訂違法情事之民事裁罰。此外，本次修法亦明定，若機構或個人已採取適當防護措施，得作為民事訴訟中之抗辯理由。本法將自2026年1月1日起正式生效，並適用於自該日起所發現、判定或通報之個資事故，相關單位應即早進行法遵準備，以確保制度落實。 貳、修法重點 本次修法主要包含三大核心面向，簡要說明如下： 一、擴充法定用詞之定義 （一）個人資料 於現行法規對個人資料之定義下，再增加新資料類別： 1.與驗證碼、存取碼或密碼結合使用時，可用以登入特定個人金融帳戶之專屬電子識別碼（Electronic Identifier）或路由代碼（Routing Code）； 2.用以辨識特定自然人之獨特生物特徵資料，例如指紋、視網膜或虹膜影像，或其他具體實體或數位形式之生物辨識資料。 （二）適當防護措施 適當防護措施係指，為確保個人資料安全而考量組織或機構之規模、產業別、以及保有之個資類別與數量所制定之政策及作業實務。此概念包括但不限於：進行風險評估、建立技術面及實體面之多層次保護機制、對人員實施教育訓練，及建立個資事故應變計畫等。 二、強化事故通報機制與設立豁免條款 本法要求於發現系統個資事故並已通知受影響之當事人後，應於60日內向州檢察總長（Attorney General）提交書面通報，載明涉及之個人資料類別、事故性質、受影響人數、預估之財務損失、所採行之適當防護措施等必要內容。惟若事故影響人數低於500名州民，或事故發生於徵信機構且影響人數未達1,000人，則可免除向檢察總長通報之義務。 此外，本法明確規範，若特定機構已依據其他法律，如《奧克拉荷馬州醫療資安保護法》（Oklahoma Hospital Cybersecurity Protection Act of 2023）或聯邦《健康保險可攜及責任法》（Health Insurance Portability and Accountability Act of 1996）等履行相關通報義務，則視為已符合本法之要求。 三、民事裁罰 本法明定，民事罰鍰之裁量將審酌事故規模、事故發生後組織之因應作為及是否履行事故通報義務等因素而定，以確保裁量之比例原則。裁量情形說明如下： 1.若機構已採行適當防護措施且依法進行事故通報者，得免除民事責任； 2.若未採取適當防護措施，惟仍依規定完成事故通報者，則須負擔實際損害賠償責任並處以最高75,000美元罰鍰； 3.未落實適當防護措施與事故通報法定義務者，最高處以150,000美元罰鍰。 參、事件評析 本次修法可見奧克拉荷馬州就數位時代資安威脅所採行之積極因應作為，其修正重點包含：擴充個人資料之定義並明定適當防護措施之內容，俾利降低企業法遵成本及法律適用之不確定性；強化事故通報機制並設置合理豁免條款，以確保資訊透明度；於罰則規範中明定民事罰鍰之裁量，應審酌事故規模及是否履行事故通報義務等因素，以符合比例原則。 有鑑於本法修正後所課予之法定義務，建議企業應採行下列因應措施：(1)全面盤點所保有之個人資料，尤應注意新增納管之電子識別碼及生物特徵等資料；(2)檢視並強化現有防護機制，確保符合適當防護措施之要求；(3)建立標準化通報應變程序；(4)強化教育訓練。此外，企業宜定期檢視法規動態，以確保持續符合法規要求。 [1] Bill Information for SB 626, OKLAHOMA STATE LEGISLATURE, http://www.oklegislature.gov/BillInfo.aspx?Bill=sb626&Session=2500 (last visited June 1, 2025). [2] BILL NO. 626, OKLAHOMA STATE LEGISLATURE, https://www.oklegislature.gov/cf_pdf/2025-26%20ENR/SB/SB626%20ENR.PDF (last visited June 2, 2025).

英國政府於2025年1月31日發布「人工智慧網路資安實務守則」（Code of Practice for the Cyber Security of AI，以下簡稱「實務守則」），目的是提供人工智慧（AI）系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引，以期降低人工智慧所面臨的網路資安風險，並促使人工智慧系統開發者與供應商落實基本的資安措施，以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同，因此產生新的資安風險，主要包含以下： 1. 資料投毒（Data Poisoning）：在AI系統的訓練資料中蓄意加入有害或錯誤的資料，影響模型訓練結果，導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆（Model Obfuscation）：攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為，以增加系統漏洞、引發混亂或防礙資安管理，可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令（Indirect Prompt Injection）：藉由輸入經精心設計的指令，使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性，實務守則涵蓋了人工智慧生命週期的各階段，並針對相關角色提出指導。角色界定如下： 1. 人工智慧系統開發者（Developers）：負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈（Supply chain）：涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則，以確保人工智慧系統的安全性與可靠性： 1. 風險評估（Risk Assessment）：識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理（Data management）：確保AI系統整個資料生命週期中的資料安全及有效利用，並採取完善管理措施。 3. 模型安全（Model Security）：在模型訓練、部署和使用階段，均應符合當時的技術安全標準。 4. 供應鏈安全（Supply chain security）：確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針，期望各角色能有效落實AI系統安全管控，促進人工智慧技術在網路環境中的安全性與穩健發展。