歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

2023年11月7日美國消費者金融保護局（Consumer Financial Protection Bureau, CFPB）發布擬議規則制定通知（notice of proposed rulemaking），計劃將一般性數位支付應用程式提供者的「較大參與者」（larger participants）納入監管，基於非銀行支付市場對消費者的日常金融生活日益重要，考量相關消費者保護風險，而有必要將此類支付公司納入《消費者金融保護法》（Consumer Financial Protection Act, CFPA）的監管範圍。 根據擬議規則，「提供一般性數位支付應用程式」是指消費者藉由應用程式的資金轉帳功能和數位錢包功能，進行「一般性」數位支付交易的應用程式。申言之，該數位支付應用程式係用於一般性產品或服務的消費，而非特定供應商所提供，且僅限用於支付其所提供商品或服務之數位交易手段。 此外，「較大參與者」之定義為透過行動通訊或網路應用程式提供數位錢包或個人對個人（person-to-person, P2P）支付的非銀行機構，並每年完成超過500萬筆支付交易，且該機構不屬於《小型企業法》（Small Business Act, SBA）所定義的小型企業（small business），根據CFPB估計，擬議規則將擴大監管於現行17家非銀行支付機構，其全年交易金額將近130億美元。 有鑑於消費者資訊貨幣化（Monetization）之資料治理議題，及數位支付領域的大型科技公司因持續發展而產生市場壟斷疑慮，CFPB擬藉由此項擬議規則擴大監管措施，將美國大型數位支付科技公司納入監管，要求其遵守CFPA的規範，使數位支付領域的非銀行機構及存款機構同步受到監管，一方面維持數位支付市場之公平競爭環境，並同時確保消費者受到CFPA的保障，降低消費者在使用數位支付時的交易風險。 近年我國因疫情的零接觸政策及數位經濟時代來臨，數位支付應用因而蓬勃發展，我國於2023年11月21日三讀通過《金融消費者保護法》修正案，將電子支付業納入金融服務業，逐步加強金融消費者權益保護，我國應持續追蹤外國金融消費者保障動態，在金融消費者保障上持續前進。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）為管理人工智慧對於個人、組織以及社會所帶來之風險，於2021年7月29日提出將建立「人工智慧風險管理框架」（Artificial Intelligence Risk Management Framework, AI RMF）之規畫並徵詢公眾意見，截止日為9月15日，並預計於10月發布正式報告。 　　依照NIST說明，公眾所建議之人工智慧風險管理框架，可促進人工智慧之可信賴性，其中包含如何應對並解決人工智慧於設計、發展及使用過程中所遭遇之「精確度」（accuracy）、「可解釋性」（explainability）、「偏見」（bias）等議題。此外，上開管理框架預計為非強制性、供企業自願性使用於人工智慧設計、發展、使用、衡量及評估之人工智慧標準。 　　依現有公眾意見徵詢結果，其中DeepMind公司建議於人工智慧設計初期，必須預先構思整體系統之假設是否符合真正社會因果關係。舉例言之，當設計一套可預測民眾健保需求程度之系統時，如輸入參數僅考量民眾於醫療上的花費，將使僅有可負擔較高醫療費用之民眾被歸類為健保需求程度較高者，從而導致健保制度排擠經濟負擔程度較差之公民，故在設計系統時，應從預先設定之假設事實反面（counter-factual）思考並驗證是否會產生誤差或公平性之問題（例如預先思考並驗證「醫療費用支出較低之民眾是否即可被正確歸類為健保需求度低之民眾」）。惟進行上述驗證需要大量社會資料，因此DeepMind也建議NIST應建立相關機制，使這些社會資料可以被蒐集、使用。 　　此外，亦有民眾建議管理框架應有明確之衡量方法以及數值指標，以供工程界遵循。同時鑒於人工智慧發展極為快速，未來可能有不同於以往之人工智慧類型出現，故亦建議NIST應思考如何在「建構一套完整且詳細之人工智慧治理框架」與「保持人工智慧治理框架之彈性與靈活性」之間取得平衡。 　　最後，目前也有許多徵詢意見指出，許多人工智慧治理之目標會相互衝突。舉例言之，當NIST要求人工智慧系統應符合可解釋性，則人工智慧公司勢必需要經常抽取人工智慧系統中之「數據軌跡」（audit logs），惟數據軌跡可能被認為是使用者之個人資料，因此如何平衡或完善不同治理框架下之目標，為未來應持續關注之議題。

　　在經歷1個多月、共50回合4G(含LTE與Wimax)頻譜拍賣後，英國Ofcom在2月20日宣布Everything Everywhere Ltd(EE)、 Hutchison 3G UK Ltd、 Niche Spectrum Ventures Ltd、 Telefónica UK Ltd (O2)與Vodafone Ltd五家公司取得頻譜執照。這次4G釋照拍賣收入比預期少10億英鎊，但也挹注英國政府23.4億英鎊，使財政得以紓緩。目前，英國民眾最晚於2017年，就可享有更快、更便宜與覆蓋性更佳的4G服務。 　　此次頻譜釋出共有250MHz取自於800MHz與2.6GHz。800MHz之得以釋出，來自於類比電視訊號關閉後，因頻譜重整所取得之「數位紅利」，並採取分頻多工（frequency division duplexing，FDD）；至於，2.6GHz則依頻段不同，而分別採用分頻多工與分時多工（time division duplexing，TDD）。由於，800MHz擁有優良覆蓋性，是故，英國政府藉由800MHz特性，釋放一張2*10MHz之執照，並規定業者覆蓋義務，以達到英國發展行動網路之目標。目前，取得該執照的O2，最晚於2017年須提供98%人口於室內可取得行動寬頻服務、至少95%人口能於英國境內(英格蘭，北愛爾蘭，蘇格蘭和威爾士)取得4G服務。 　　在Ofcom採取組合價格鐘拍賣型式（combinatorial clock auction，CCA）下，目前，業者已完成頻譜標得區塊數目(Eg:EE於800MHz取得一張2*5MHz)，待得標者完成配置(Assignment stage)頻段位址(Eg:EE頻段確定在800 MHz ~805 MHz)，最快於2013年夏天，英國民眾可更普及的享有下述優點： 　　1.網速可達到100Mbp，超越現今3G五至十倍。 　　2.使用智慧型手機、平板觀看電視，雜訊、遲緩的問題將不復見。 　　3.使用高畫質視訊將更為輕鬆，並且，照片與影片上傳於社群網站將非常迅速。 　　4.偏遠地區可因4G的覆蓋性廣而具有網路服務。 　　OFCOM不僅促進4G市場競爭外，並在今(2013)年年底提供報告，告知消費者與企業4G服務發展現況、地理位址，與網路速度，讓使用者有能力作出最好的選擇。而在未來的發展上，許多研究單位估計2030年時，行動網路的傳輸需求將可能是現在80倍，英國亦開始探討釋出頻譜發展5G的可能性，以因應未來供不應求所導致的「容量危機」(capacity crunch )。

論複數決標之廠商競爭關係 資訊工業策進會科技法律研究所 108年5月3日 壹、事件摘要 　　甲機關為共同供應契約採購的訂約機關，負責辦理某財物共同供應契約採購招標事宜。考量廠商供貨能力不同，甲機關將供貨區域區分「全國各公部門」及「特定縣市公部門」，由廠商依其供貨能力擇一型式投標，並在同一採購案之招標程序分為兩個期程辦理。該採購案投標須知重點說明如下： 一、第一期程： 　　本期程先由供貨予「全國各公部門」的廠商投標，廠商如選擇投標本期程，則不得參與第二期程。由於本採購案採最低標及複數決標，由最低價廠商得標，其餘廠商可選擇是否跟進該最低標併列得標，惟本期程可跟進之廠商有家數限制，依廠商報價由低到高排列，取前80%。 二、第二期程： 　　本期程待第一期程決標後，再由有意願供貨予「特定縣市公部門」的廠商參與，廠商至多可選擇五個縣市供貨。第一期程之決標品項及該品項的決標金額，為本期程的採購品項及決標金額，故參與本期程之廠商無庸提出報價，選擇欲跟進併列得標之品項即可。廠商如選擇參與本期程，則不得參與第一期程。本期程可跟進之廠商無家數限制。 　　A廠商及B廠商分別參與本採購案第一期程、第二期程之投標，甲機關審查彼等遞交之投標文件時，發現其上所載聯絡人、傳真、電話號碼相同，投標區域與品項亦有重複，似為同一廠商備標，遂請兩家廠商說明。A廠商及B廠商均表示，兩家廠商為多年合作夥伴，B廠商因廠址遷移致人手不足，而委請A廠商作為聯繫窗口，故記載相同的聯絡資訊。甲機關認為A、B廠商之說明，無法澄清為同一廠商備標疑慮，爰依政府採購法(以下簡稱採購法)第31條第2項第8款、第50條第1項第5款及本案投標須知規定，不決標予A、B廠商，且不予發還押標金。 　　A、B廠商不服，提起異議及申訴。是本案應探究者為，於同一採購案參與不同期程投標的相異廠商，彼等投標文件所載之聯絡人、傳真、電話號碼相同，甲機關是否可認定屬採購法第50條第1項第5款所訂「不同投標廠商間之投標文件內容有重大異常關聯者」？又，因本案係同一採購案區分兩期程投標，且投標須知規定(1)廠商僅得選擇一個期程投標；(2)第二期程的決標金額係依第一期程決標之結果；(3)未限制第二期程可跟進之廠商家數，則本案廠商無法釐清非屬同一廠商備標時，甲機關之處理是否會有不同？ 貳、重點說明 　　行政院公共工程委員會(以下簡稱工程會)民國91年11月27日工程企字第09100516820號令[1]曾就前述採購法第50條第1項第5款所稱「重大異常關聯」，說明「機關辦理採購有下列情形之一者，得依政府採購法第五十條第一項第五款『不同投標廠商間之投標文件內容有重大異常關聯者』處理：……四、廠商地址、電話號碼、傳真機號碼、聯絡人或電子郵件網址相同者。五、其他顯係同一人或同一廠商所為之情形者。」故不同投標廠商間之投標文件倘有聯絡資訊相同，顯係同一人或同一廠商所為之情形，即構成投標文件內容有重大異常關聯，屬影響採購公正之違反法令行為。 　　本案A、B廠商之投標文件有聯絡人、傳真、電話號碼記載相同情形，且該等廠商未能合理說明其緣由，似已符合「重大異常關聯」要件。然採購申訴審議委員會指出本案無採購法第50條第1項第5款規定之適用，其理由為： 一、投標廠商間未有競爭情形存在時，無適用採購法第50條第1項第5款之餘。 　　採購法第50條第1項第5款規定「投標廠商有下列情形之一，經機關於開標前發現者，其所投之標應不予開標；於開標後發現者，應不決標予該廠商：……五、不同投標廠商間之投標文件內容有重大異常關聯者。」該條款係91年2月6日增訂，依立法院交通委員會審查會通過送院會二讀之條文對照表說明欄記載「第1項增訂第5款，以防止假性競爭行為，例如不同廠商間之投標文件內容筆跡相同、押標金由同一人繳納、掛號信連號、地址相同、電話號碼相同之情形……」，復參工程會96年6月25日96工程企傳字第F961354號函(以下簡稱工程會96年函)揭示「關於政府採購法50條第1項第5款規定，係為防止假性競爭之情形。依來函所述個案採分項決標，且地址、傳真、電話相同之二家廠商各投不同項目，尚非彼此互相競爭，自無上開條款之適用」[2]，是採購申訴審議委員會認為，採購法第50條第1項第5款立法目的係為防止假性競爭之行為，倘投標廠商間無須有競爭情形存在時，即無條款之適用。 二、本案第一期程與第二期程之廠商間，以及第二期程之廠商間無須競爭，故無採購法第50條第1項第5款適用。 　　採購申訴審議委員會指出，本採購案採二期程招標方式辦理，投標須知規定：「第二期程之招標於第一期程採購決標後再公告」、「曾參加第一期程投標之廠商，不論是否合格或得標或併列得標，均不得參加第二期程之投標」、「第一期程決標品項即為第二期程之採購項目。第一期程採購各項之決標金額即為第二期程採購之決標金額，廠商僅得就招標機關……公告第一期程決標金額及對應之品項中選擇適合者投標(跟進)，不得報列公告之決標金額以外之價格及非屬第一期程所公告之決標品項」、「第一期程決標項目之決標價格及合格品項，俟決標後本局將另行於第二期程之招標文件公告」、「本案競標機制，……以投標廠商最低價者得標並採複數決標，得跟進最低價併列得標之廠商家數依第一期程全區廠商依報價由低至高排列取前80%為上限，第二期程單區廠商不設上限」。 　　是以，A廠商係參加本案第一期程投標之廠商，不論其是否合格或得標或併列最低標得標，均不得參加第二期程之投標，而參與第二期程之B廠商，係按甲機關公告之第一期程決標品項及金額跟進，且第二期程得標廠商之家數並無限制，故參與第二期程與參與第一期程之廠商彼此間，以及參與第二期程之廠商彼此間，均無須競爭，爰本案無採購法第50條第1項第5款之適用。 參、事件評析 　　就本案申訴審議委員會提出之理由及所為之結論，筆者以為有下述二點得再為細部討論： 一、本案第二期程雖可跟進最低標併列得標廠商之家數未設上限，惟廠商於履約階段與相同供貨區域之其他得標廠商仍具有競爭關係，自有適用採購法第50條第1項第5款規定必要。 　　查，採購申訴審議委員會以採購法第50條第1項第5款立法理由，以及工程會96年函內容，認為廠商間有競爭情形始得適用該條款，此見解固屬正確，然採購申訴審議委員會認為B廠商不適用採購法第50條第1項第5款規定，係因第二期程之廠商彼此間無須競爭，實有討論空間。蓋本案爭議應為參與不同期程之廠商間，如彼等投標文件有聯絡資訊記載相同情形，甲機關得否以採購法第50條為處理。故採購申訴審議委員會就本案B廠商不適用上開法條所提理由，似未解決本案爭執之點。 　　次查，採購申訴審議委員會以採購法第50條第1項第5款立法理由，以及工程會96年函文，似認為僅在投標階段始禁止廠商彼此間假性競爭，而本案投標須知既然未限制第二期程之得標廠商家數，第二期程之廠商彼此間自無競爭問題。惟本案第二期程之廠商間，是否確無競爭關係，以及是否僅需於投標階段討論競爭關係，筆者均認有待商榷。 　　觀諸採購申訴審議委員會援引之採購法第50條第1項第5款立法理由及工程會96年函文，並未排除履約階段之適用。甚且，由政府採購法第1條規定「為建立政府採購制度，依公平、公開之採購程序，提升採購效率與功能，確保採購品質，爰制定本法」，以及採購法施行細則第33條第1項前段規定「同一投標廠商就同一採購之投標，以一標為限」可知，政府採購各程序均應維持公平、公正之秩序，故無論於投標、開標、決標乃至履約階段，自應防止廠商間有假性競爭可能，廠商不得利用人頭在同一採購案分別投標，以維護各個投標廠商及得標廠商間之平等，始為恰當。 　　經查，因本案第二期程可跟進最低標併列得標廠商之家數未設上限，當同一採購項目之得標廠商愈多，各廠商於該項目獲得訂單之機會將被稀釋。則某一廠商為了使其有更多適用機關之訂單，而利用多數人頭參與第二期程投標，且均跟進成為得標廠商，自難謂未牴觸政府採購要求之公平及公正。而此競爭關係存在於履約階段，如將之排除於採購法第50條第1項第5款之適用範圍，即可能成為法規漏洞而導致廠商有投機行為，自非採購法所允許。 　　準此，尚不得以本案可跟進最低標併列得標廠商之家數未設上限，即可逕認第二期程投標廠商間無須競爭，蓋本案第二期程廠商之競爭關係存在於履約階段，為確保採購程序公平、公正秩序，本案第二期程仍應適用採購法第50條第1項第5款規定。 二、參與本案第一期程及第二期程投標廠商間有競爭關係，適用採購法第50條第1項第5款規定。 　　本案雖區分二種投標型式，然均屬同一採購案；無論是第一期程之「全國各公部門」或第二期程之「特定縣市公部門」，皆允許有二家以上之得標廠商；參與第一期程「全國各公部門」之得標廠商可供貨至全國各縣市，自會與第二期程「特定縣市公部門」之供貨區域重疊，是若第一期程之廠商與第二期程之廠商於本案之投標品項重複時，於彼此相同供貨區域即屬相互競爭關係。 　　再者，本案針對第一期程「全國各公部門」設有跟進廠商家數上限，復規定參與第一期程投標之廠商不得參與第二期程，是參與第一期程之廠商如為避免無法跟進，或為增加取得適用機關訂單之機會，自有可能與第二期程廠商透過共謀投標文件而營造假性競爭之可能，確保其能進入本採購案。 　　準此，本案第一期程之A廠商與第二期程之B廠商因供貨區域及投標品項有重複情形，故A、B廠商於履約階段具有競爭關係，倘彼等無正當理由釐清投標文件何以所載聯絡人、傳真、電話號碼相同，投標區域均相同，甲機關自得依採購法第50條第1項第5款規定處理。末查，前述採購法施行細則第33條第1項前段規定同一投標廠商就同一採購以投一標為限，依此法理，自須禁止參與第一期程廠商以人頭方式再參與第二期程投標，以迂迴手法規避上揭規定而於同一採購案投標二次，併此敘明。 [1] 〈行政院公共工程委員會令 工程企字第○九一○○五一六八二○號〉，政府採購法規解釋函令及相關函文，http://plan3.pcc.gov.tw/gplet/mixac.asp?num=1673（最後瀏覽日：2019/04/11）。 [2] 〈行政院公共工程委員會令 96工程企傳字第F961354號〉，政府採購法規解釋函令及相關函文，http://plan3.pcc.gov.tw/gplet/mixac.asp?num=2516（最後瀏覽日：2019/04/11）。