美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
南韓通訊傳播委員會(Korea Communications Commission, KCC)與國家資訊社會局(National Information Society Agency, NIA) 於2009年7月24日共同宣佈「Giga網路促進計劃」的開展,預計在2012年開始提供商轉服務。Giga網路可在十秒鐘內下載一部DVD影片,較既有的光纖區域網路快上十倍。 南韓政府選定Giga網路作為國家型計畫乃係為了在「寬頻匯流網路」(BcN)計畫後,能繼續提供世界上一流的廣播通訊基礎建設。另一目的是希望藉此能有效利用高品質、大容量與匯流之資訊。 為了發展與Giga網路相關的技術、設備及服務,「Giga網路促進計劃」的參與者包括南韓的資通訊大型企業,包括一類、二類電信業者、相關軟業體、終端設備商與研究機構。藉此以全面且有體系性地逐步於未來四年內推行此計劃。該計畫預計於在2012年底,提供3D與多角度IPTV、HD家庭閉路電視(CCTV)與電視多媒體訊息服務給2,000家戶 。 KCC常委Tae-Gun Hyung預測:該計畫不將止是促進產業發展,也增加了全球資通訊匯流的科技競爭力,提供了新的市場進入領域,改變人們生活型態,並且帶給社會極大的催化效力。 南韓未來四年推動Giga網路取代BcN的成效,相當值得資通訊產業與發展型態屬性相近的台灣參考,作為我國推動數位匯流的重要借鏡。
英國發布《AI保證介紹》指引,藉由落實AI保證以降低AI系統使用風險英國發布《AI保證介紹》指引,藉由落實AI保證以降低AI系統使用風險 資訊工業策進會科技法律研究所 2024年03月11日 人工智慧(AI)被稱作是第四次工業革命的核心,對於人們的生活形式和產業發展影響甚鉅。各國近年將AI列為重點發展的項目,陸續推動相關發展政策與規範,如歐盟《人工智慧法》(Artificial Intelligence Act, AI Act)、美國拜登總統簽署的第14110號行政命令「安全可靠且值得信賴的人工智慧開發暨使用」(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)、英國「支持創新的人工智慧監管政策白皮書」(A Pro-innovation Approach to AI Regulation)(下稱AI政策白皮書)等,各國期望發展新興技術的同時,亦能確保AI使用的安全性與公平性。 壹、事件摘要 英國科學、創新與技術部(Department for Science, Innovation and Technology,DSIT)於2024年2月12日發布《AI保證介紹》(Introduction to AI assurance)指引(下稱AI保證指引),AI保證係用於評測AI系統風險與可信度的措施,於該指引說明實施AI保證之範圍、原則與步驟,目的係為讓主管機關藉由落實AI保證,以降低AI系統使用之風險,並期望提高公眾對AI的信任。 AI保證指引係基於英國政府2023年3月發布之AI政策白皮書提出的五項跨部會AI原則所制定,五項原則分別為:安全、資安與穩健性(Safety, Security and Robustness)、適當的透明性與可解釋性(Appropriate Transparency and Explainability)、公平性(Fairness)、問責與治理(Accountability and Governance)以及可挑戰性 與補救措施(Contestability and Redress)。 貳、重點說明 AI保證指引內容包含:AI保證之適用範圍、AI保證的三大原則、執行AI保證的六項措施、評測標準以及建構AI保證的五個步驟,以下將重點介紹上開所列之規範內容: 一、AI保證之適用範圍: (一)、訓練資料(Training data):係指研發階段用於訓練AI的資料。 (二)、AI模型(AI models):係指模型會透過輸入的資料來學習某些指令與功能,以幫助建構模模型分析、解釋、預測或制定決策的能力,例如GPT-4。,如GPT-4。 (三)、AI系統(AI systems):係利用AI模型幫助、解決問題的產品、工具、應用程式或設備的系統,可包含單一模型或多個模型於一個系統中。例如ChatGPT為一個AI系統,其使用的AI模型為GPT-4。 (四)、廣泛的AI使用(Broader operational context):係指AI系統於更為廣泛的領域或主管機關中部署、使用的情形。 二、AI保證的三大原則:鑒於AI系統的複雜性,須建立AI保證措施的原則與方法,以使其有效執行。 (一)、衡量(Measure):收集AI系統運行的相關統計資料,包含AI系統於不同環境中的性能、功能及潛在風險影響的資訊;以及存取與AI系統設計、管理的相關文件,以確保AI保證的有效執行。 (二)、評測(Evaluate):根據監管指引或國際標準,評測AI系統的風險與影響,找出AI系統的問題與漏洞。 (三)、溝通(Communicate):建立溝通機制,以確保主管機關間之交流,包含調查報告、AI系統的相關資料,以及與公眾的意見徵集,並將上開資訊作為主管機關監理決策之參考依據。 三、AI保證的六項措施:主管機關可依循以下措施評測、衡量AI系統的性能與安全性,以及其是否符合法律規範。 (一)、風險評估(Risk assessment):評測AI系統於研發與部署時的風險,包含偏見、資料保護和隱私風險、使用AI技術的風險,以及是否影響主管機關聲譽等問題。 (二)、演算法-影響評估(Algorithmic-impact assessment):用於預測AI系統、產品對於環境、人權、資料保護或其他結果更廣泛的影響。 (三)、偏差審計(Bias audit):用於評估演算法系統的輸入和輸出,以評估輸入的資料、決策系統、指令或產出結果是否具有不公平偏差。 (四)、合規性審計(Compliance audit):用於審查政策、法律及相關規定之遵循情形。 (五)、合規性評估(Conformity assessment):用於評估AI系統或產品上市前的性能、安全性與風險。 (六)、型式驗證(Formal verification):係指使用數學方法驗證AI系統是否滿足技術標準。 四、評測標準:以國際標準為基礎,建立、制定AI保證的共識與評測標準,評測標準應包含以下事項: (一)、基本原則與術語(Foundational and terminological):提供共享的詞彙、術語、描述與定義,以建立各界對AI之共識。 (二)、介面與架構(Interface and architecture):定義系統之通用協調標準、格式,如互通性、基礎架構、資料管理之標準等。 (三)、衡量與測試方式(Measurement and test methods):提供評測AI系統的方法與標準,如資安標準、安全性。 (四)、流程、管理與治理(Process, management, and governance):制定明確之流程、規章與管理辦法等。 (五)、產品及性能要求(Product and performance requirements):設定具體的技術標準,確保AI產品與服務係符合規範,並透過設立安全與性能標準,以達到保護消費者與使用者之目標。 五、建構AI保證的步驟(Steps to build AI assurance) (一)、考量現有的法律規範(Consider existing regulations):英國目前雖尚未針對AI制定的法律,但於AI研發、部署時仍會涉及相關法律,如英國《2018年資料保護法》(Data Protection Act 2018)等,故執行AI保證時應遵循、考量現有之法律規範。 (二)、提升主管機關的知識技能(Upskill within your organisation):主管機關應積極了解AI系統的相關知識,並預測該機關未來業務的需求。 (三)、檢視內部風險管理問題(Review internal governance and risk management):須適時的檢視主管機關內部的管理制度,機關於執行AI保證應以內部管理制度為基礎。 (四)、尋求新的監管指引(Look out for new regulatory guidance):未來主管機關將制定具體的行業指引,並規範各領域實踐AI的原則與監管措施。 (五)、考量並參與AI標準化(Consider involvement in AI standardisation):私人企業或主管機關應一同參與AI標準化的制定與協議,尤其中小企業,可與國際標準機構合作,並參訪AI標準中心(AI Standards Hubs),以取得、實施AI標準化的相關資訊與支援。 參、事件評析 AI保證指引係基於英國於2023年發布AI政策白皮書的五項跨部會原則所制定,冀望於主管機關落實AI保證,以降低AI系統使用之風險。AI保證係透過蒐集AI系統運行的相關資料,並根據國際標準與監管指引所制定之標準,以評測AI系統的安全性與其使用之相關影響風險。 隨著AI的快速進步及應用範疇持續擴大,於各領域皆日益重要,未來各國的不同領域之主管機關亦會持續制定、推出負責領域之AI相關政策框架與指引,引導各領域AI的開發、使用與佈署者能安全的使用AI。此外,應持續關注國際間推出的政策、指引或指引等,研析國際組織與各國的標準規範,借鏡國際間之推動作法,逐步建立我國的AI相關制度與規範,帶動我國智慧科技產業的穩定發展外,同時孕育AI新興產應用的發展並打造可信賴、安全的AI使用環境。
英國通訊局Ofcom公布網路電話VOIP之新規範過去一年相關的VOIP服務以及對VOIP的需求大大的升高,產業也預估在今年底,英國將有超過三百萬的使用者。因此,Ofcom在2007年3月29日宣布了一項管制VOIP服務業者之新規範。該法將確保消費者取得使用VOIP服務該有的重要資訊,所有的服務業者也應從2007年6月起遵守相關對於消費者保護的相關要求。 這些規定包括業者應對消費者清楚解釋:一、服務內容是否包含緊急服務;二、該服務倚賴家用電源的程度;三、服務內容是否包含電話黃頁;四、如果消費者欲移轉業者,原有號碼是否可攜。如果消費者選擇的是沒有提供緊急電話或者倚賴外接電源的VOIP服務,該法也要求業者確保消費者在消費時,能確實瞭解選購VOIP服務之該項限制(例如在包裝盒外標記號);透過在設備上貼實體標籤、抑或在電腦螢幕上顯示該項資訊;並在消費者每次嘗試撥打緊急電話時,宣告不提供緊急電話服務之聲明。 隨著VOIP使用者以及市場的不斷成長,Ofcom也將持續不斷檢視VOIP服務的相關規範,以期符合消費者的最大利益。
日本經濟產業省公布創業支援計畫「J-Startup」最新獲選為新創企業之名單日本經濟產業省於2021年10月20日公布第3屆「J-Startup」新創企業獲選名單。本次共選出50間企業,產業所涉及領域包含醫療、數位轉型、能源、太空等。獲選的企業將獲得政府及合作的民間組織所提供之支援,例如協助國內外活動展出、援助研究開發、增加投標機會、商談與其他企業合作等,預期創造出新創企業的成功範例。 「J-Startup」新創企業之選拔分為二階段,第一階段是由具備創業經驗之推薦委員(推薦委員由頂級風險投資人、大企業中與創新有相關之人才、學術單位專家等人員組成)基於新創企業的經營理念、國際性、成長發展性、對於社會議題的應對措施等考量,推薦在全球市場快速發展、具備有領導日本創新潛力之新創企業。第二階段由第三方外部審查委員(律師、學術專家等組成)審查選拔程序後,確定「J-Startup」新創企業名單。 「J-Startup」於2018年6月是由日本經濟產業省、日本貿易振興機構(JETRO)、新能源產業技術綜合開發機構(NEDO)共同創立營運,目的為培養出活躍於全球之新創企業。第1屆「J-Startup」(2018年6月)選拔出92間企業,第2屆(2019年6月)選拔出49間企業,再加上今年度所選拔出之50間企業,目前為止共計有188間新創企業獲選為「J-Startup」(第1屆、第2屆獲選企業中,有3間企業已解散或被併購)。