歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。
本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。
報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:
本文為「經濟部產業技術司科技專案成果」
德國經濟與能源部於2017年12月公布數位經濟2017監測報告,就ICT及網路經濟的表現和競爭力統計各產業數位經濟程度,並針對德國數位轉型現況及挑戰進行分析並提出相關建議。 報告資料指出, 在六大創新應用潛力的部分,14%的企業已投入工業4.0改造,集中於機械製造業,數量有逐步上升趨勢;物聯網應用則以服務業居多,特別是知識密集型服務提供者;33%的企業有提供智慧服務,以客戶為導向的企業,例如資通訊業、金融保險業,使用比例更為明顯;19%企業開始利用巨量資料,多集中於大企業或先進產業;11%企業有利用機器人及感測器;人工智慧則尚處於起步階段,而使用者多集中於資通訊產業。就上述資料顯示,推動數位轉型尚待加強。另外,今年監測報告聚焦「數位聯網及合作」議題,結果顯示,約六成的企業與其商業客戶有進行數位聯網,而只有約四成的公司與新創公司有合作,因此尚有許多創新潛力尚未得到充分利用。 國際數位經濟排名第六,落後美國、南韓、英國、日本、芬蘭。在獲得風險資本可能性的表現最佳,整體創新能力也處於相對領先地位,惟電子化政務服務較為落後,有待加強。在關鍵政策需求部分,以寬頻建設促進政策、創建數位化友善法律框架,以及獲取創新基礎的公共知識最受矚目。
歐盟公布2016年歐洲創新計分板報告為確保各會員國能有效執行歐盟科研架構計畫(Horizon 2020),歐盟執委會每年針對各會員國整體創新能力及研發活動進行評估,據此研提創新競爭力排名,並定期公布歐盟創新計分板報告(European Innovation Scoreboard, EIS)。而觀諸最新公布2016歐盟創新計分板報告((European Innovation Scoreboard 2016),可歸納以下三項要點: (一) 2016歐盟創新研發能力成長趨緩 由於研發資金政策之限制以及英國脫歐影響下,相較於去年(2015)歐盟創新計分板報告(European Innovation Scoreboard 2015, EIS)之統計,今年度(2016)歐盟整體之創新研發能力成長趨緩。 (二) 2016創新研發先驅仍為瑞典,部分國家仍有大幅度之成長 而今年之歐盟創新計分板報告在整體創新競爭力排名上,第一名仍為瑞典,其次則為丹麥,芬蘭,德國和荷蘭。而相較於去年之排名,拉脫維亞、馬爾他、立陶宛、荷蘭等國家則有顯著之成長。 (三) 在個別指標項目中,會員國創新表現亦有不同 此外,獨立創新指標項目中,各會員國亦有不同之創新表現,例如:在「創新人力資源」及「學術研究項目」中,由瑞典榮獲最具競爭力之國家;而在「創新財政環境」項目中第一名為芬蘭;「創新私人投資」、「創新網絡」及「中小企業創新」等三大項目中,則分別由德國、比利時及愛爾蘭奪冠。
歐盟對於不可申請專利的基本生物學方法做出新解釋大多數國家是認為動植物為法定不得授予專利之標的,歐盟以往因為歐洲專利公約實施細則(Implementing Regulations to the Convention on the Grant of European Patents,下簡稱實施細則)跟擴大上訴委員會(the Enlarged Board of Appeal,簡稱EBA)決定不一致而造成爭議,EBA於2020年5月做出的新決定,對於動植物是否為可授予專利之標的做出一致性解釋。 在歐洲專利公約(European Patent Convention,簡稱EPC)第53條第2款規定用以生產動植物的基本生物學方法不可授予專利,並於2017年生效的實施細則第28條第2項將其進一步擴張解釋成,僅運用基本生物學方法所產生的動植物不可授予專利,這與EBA在2015年所做出的決定(G 2/12、G 2/13)並不一致,在2015年的決定中提到,運用基本生物學方法來界定動植物的請求項仍可以被接受,因此實施細則第28條第2項與2015年的決定產生衝突。 於2019年,技術上訴委員會(Technical Board of Appeal)在案例T 1063/18中發現了這個問題,並提到EBA討論,EBA表示,考慮到法條涵義可能因時間產生變化,需要對EPC第53條第2款進行動態解釋(dynamic interpretation),實施細則第28條第2項與EPC第53條第2款並未矛盾,而是進一步擴展為,僅通過基本生物學過程,或是由基本生物學方法界定動植物之情況,皆屬於不可授予專利之情況,而推翻之前的決定。而為維持法律安定性,本決定(G 3/19)對於2017/07/01前生效或申請的案件並不具效力。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
日本發布《資料品質管理指引》,強調歷程存證與溯源,建構可信任AI透明度2025年12月,日本人工智慧安全研究所(AI Safety Institute,下稱AISI)與日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency Japan,下稱IPA)共同發布《資料品質管理指引》(Data Quality Management Guidebook)。此指引旨於協助組織落實資料品質管理,以最大化資料與AI的價值。指引指出AI加劇了「垃圾進,垃圾出(Garbage in, Garbage out)」的難題,資料品質將直接影響AI的產出。因此,為確保AI服務的準確性、可靠性與安全性,《資料品質管理指引》將AI所涉及的資料,以資料生命週期分為8個階段,並特別強調透過資料溯源,方能建立透明且可檢核的資料軌跡。 1.資料規劃階段:組織高層應界定資料蒐集與利用之目的,並具體說明組織之AI資料生命週期之各階段管理機制。 2.資料獲取階段:此步驟涉及生成、蒐集及從外部系統或實體取得資料,應優先從可靠的來源獲取AI模型的訓練資料,並明確記錄後設資料(Metadata)。後設資料指紀錄原始資料及資料歷程之相關資訊,包含資料的創建、轉檔(transformation)、傳輸及使用情況。因此,需要記錄資料的創建者、修改者或使用者,以及前述操作情況發生的時間點與操作方式。透過強化來源透明度,確保訓練資料進入AI系統時,即具備可驗證的信任基礎。 3.資料準備階段:重點在於AI標註(Labeling)品質管理,標註若不一致,將影響AI模型的準確性。此階段需執行資料清理,即刪除重複的資料、修正錯誤的資料內容,並持續補充後設資料。此外,可添加浮水印(Watermarking)以確保資料真實性與保護智慧財產權。 4.資料處理階段(Data Processing):建立即時監控及異常通報機制,以解決先前階段未發現的資料不一致、錯漏等資料品質問題。 5.AI系統建置與運作階段:導入RAG(檢索增強生成)技術,檢索更多具參考性的資料來源,以提升AI系統之可靠性,並應從AI的訓練資料中排除可能涉及個人資料或機密資訊外洩的內容。 6. AI產出之評估階段(Evaluation of Output):為確保產出內容準確,建議使用政府公開資料等具權威性資料來源(Authoritative Source of Truth, ASOT)作為評估資料集,搭配時間戳記用以查核參考資料的時效性(Currentness),避免AI採用過時的資料。 7.AI產出結果之交付階段(Deliver the Result):向使用者提供機器可讀的格式與後設資料,以便使用者透過後設資料檢查AI產出結果之來源依據,增進透明度與使用者信任。 8.停止使用階段(Decommissioning):當資料過時,應明確標示停止使用,若採取刪除,應留存刪除紀錄,確保留存完整的資料生命週期紀錄。 日本《資料品質管理指引》強調,完整的資料生命週期管理、強化溯源為AI安全與創新的基礎,有助組織確認內容準確性、決策歷程透明,方能最大化AI所帶來的價值。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,同樣強調從源頭開始保護資料,歷程存證與溯源為關鍵,有助於組織把控資料品質、放大AI價值。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)