歐盟理事會修正《第428/2009號歐盟理事會規章》,提升歐洲軍民兩用出口管制力度
歐盟理事會與歐洲議會於2020年12月14日,針對歐洲軍民兩用出口管制法規《第428/2009號歐盟理事會規章》(COUNCIL REGULATION (EC) No 428/2009)達成修正協議,並獲得歐盟理事會下設常駐代表委員會(Committee of Permanent Representatives, COREPER)認可後正式通過。《規章428/2009》用以規範歐盟軍民兩用出口管制,監管歐盟涉及「軍民兩用」敏感貨品、服務、軟體和技術的對外出口、內部轉口及過境貿易。因兩用貨品包含軍事用途及商用用途,故此次歐盟調整軍民兩用出口管制的相關規則,主要考量面向包括:英國脫歐對歐洲出口管制的影響;如何確保歐盟出口管制條例與國際反武器擴散制度相一致;以及解決網路監管和新興技術帶來的安全威脅等。本次歐洲軍民兩用出口管制修正重點如下:
- 提升出口管制力度,防止濫用網路監管等新興技術:管制項目具備監視、取得、蒐集或分析資通訊系統資料功能者,因涉及國家內部鎮壓或嚴重違反國際人權和國際人道法(International Humanitarian Law),即使未明列在歐盟軍民兩用法規的附件中,也應加強管制。
- 新增兩項歐盟一般出口許可證(EU General Export Authorisations, EU GEAs):包括集團內部技術轉讓(EU007)及加密(EU008),允許軍民兩用貨品出口至特定目的地。
- 統一歐盟軍民兩用貨品規則:例如技術協助屬於特定軍事用途且與軍民兩用相關者須經授權,歐盟成員國得配合擴張軍民兩用貨品清單。
- 強化企業調查和報告義務,遵守並適用出口管制規則:實施出口及授權作業的出口商,應落實內部合規計劃,確保企業遵守出口管制的政策和程序。
- 歐盟成員國間加強合作機制:促進資訊交流、政策調整和執法行動。
本文為「經濟部產業技術司科技專案成果」
許祐寧
專案經理 編譯整理
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資策會科法所,2020年7月,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8495&no=67(最後瀏覽日:2021/1/6)。
美國總統川普於2019年5月依據「國際緊急經濟權力法」(International Emergency Economic Powers Act, IEEPA)之授權,訂定「保護資通訊技術與服務供應鏈安全」行政命令(Executive Order on Securing the Information and Communications Technology and Services Supply Chain)。目的係為避免因具有競爭關係之外國政府或機構,利用其設計、開發或製造之資通訊技術或相關服務之資安漏洞進行資料竊取或網路攻擊等行為。 川普總統認為,如未能對於相關之資通訊技術、產品或服務進行管制,將有提升美國資安風險之疑慮,進而對美國之國家安全、外交政策及經濟構成威脅,故應針對具有競爭關係之外國政府或機構所提供的相關資訊與通訊技術或服務,進行下列相關之措施: 禁止美國境內之相關單位(包含合夥、協會、信託等機構、合資企業、公司、集團或其他組織)取得、進口、轉讓、安裝、交易或使用具有資安風險而由競爭關係之外國政府或機構所擁有、控制、設計、開發、製造或供應的資通訊技術或服務。 授權由商務部長訂定具有競爭關係之外國政府或機構、資通訊技術或服務及上述禁止措施之相關認定標準及程序。 商務部長應與國務卿向國會提交本命令之經常性及最終報告;而國家情報總監及國土安全部,則應持續針對美國所面臨之相關風險威脅進行定期之識別與評估,並將評估內容提交予總統。
美國能源關鍵基礎設施議題觀察 經濟合作與發展組織發布《促進AI可歸責性:在生命週期中治理與管理風險以實現可信賴的AI》經濟合作與發展組織(Organisation for Economic Co-operation and Development, OECD)於2023年2月23日發布《促進AI可歸責性:在生命週期中治理與管理風險以實現可信賴的AI》(Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI)。本報告整合ISO 31000:2018風險管理框架(risk-management framework)、美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)人工智慧風險管理框架(Artificial Intelligence Risk Management Framework, AI RMF)與OECD負責任商業行為之盡職調查指南(OECD Due Diligence Guidance for Responsible Business Conduct)等文件,將AI風險管理分為「界定、評估、處理、治理」四個階段: 1.界定:範圍、背景、參與者和風險準則(Define: Scope, context, actors and criteria)。AI風險會因不同使用情境及環境而有差異,第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人,並就各角色適用適當的風險評估準則。 2.評估:識別並量測AI風險(Assess: Identify and measure AI risks)。透過識別與分析個人、整體及社會層面的問題,評估潛在風險與發生程度,並根據各項基本價值原則及評估標準進行風險量測。 3.處理:預防、減輕或停止AI風險(Treat: Prevent, mitigate, or cease AI risks)。風險處理考慮每個潛在風險的影響,並大致分為與流程相關(Process-related)及技術(Technical)之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序,後者則與系統技術規格相關,處理此類風險可能需重新訓練或重新評估AI模型。 4.治理:監控、紀錄、溝通、諮詢與融入(Govern: Monitor, document, communicate, consult and embed)。透過在組織中導入培養風險管理的文化,並持續監控、審查管理流程、溝通與諮詢,以及保存相關紀錄,以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督,並能夠更廣泛地在不同類型的組織中建立相應機制。
美國最高法院認定美國環保署須負責管制溫室氣體排放今(2007)年4月2日,美國最高法院以5票對4票之決議,認定美國環保署(the Environmental Protection Agency)必須負責管制美國境內二氧化碳等溫室氣體之排放。過往,美國環保署主張其並無權限去管制溫室氣體排放,因為溫室氣體並不是美國潔淨空氣法(the Clear Air Act)所定義的空氣污染源(air pollutant)。然而,法院指出,在潔淨空氣法中要求美國環保署必須管制可能危害公眾健康或福祉的任何空氣污染源,而溫室氣體符合該法對於空氣污染源之定義,所以除非美國環保署可以斷定溫室氣體並未導致氣候變遷,或者可以提供合理解釋說明為何其無法判斷是否溫室氣體導致氣候變遷,否則美國環保署須依法對溫室氣體採取進一步行動。 判決同時指出,美國環保署不能以氣候變遷之不確定性為理由來迴避其職責,如果該不確定性足以防止美國環保署對於溫室氣體與氣候變遷兩者關聯做出合理判斷,則美國環保署必須說明清楚。 然而,持不同意見的法官則指出,法院應將全球暖化問題留給國會與總統來處理;且州政府(訴訟是由Massachusetts州為首的12個州政府對美國環保署提出)並無立場對美國環保署提出告訴。