聯合國人權高級專員辦公室發布《數位時代隱私權》調查報告

　　人工智慧目前正快速發展，不論是在醫療、農業耕作、製造生產或是氣候變遷等領域上，均帶來了許多改變，然而在人工智慧應用之同時，其也存在許多潛在風險如決策不透明、歧視或其他倫理與人權議題。 　　歐盟為求在全球競爭激烈的背景下，維護其於人工智慧相關領域的領先地位，並確保人工智慧技術於改善歐洲人民生活的同時，亦能尊重(respecting)人民權利，乃於今年(2020年)2月發布「人工智慧白皮書」(White Paper on Artificial Intelligence)，將採投資及監管併用之方式，促進人工智慧應用與解決其相關風險，其對於未來促進人工智慧的應用(promoting the uptake of AI)與相關風險解決，計畫朝向建立卓越生態系統(An Ecosystem of Excellence)及信任生態系統(An Ecosystem of Trust)兩方面進行。 　　在建立信任生態系統中，歐盟提到因為人工智慧具有變革性的潛力，所以就信任的建立乃至關重要，未來歐洲人工智慧的監管框架除了須確保遵守歐盟法規外(包括基本權利保護與消費者權益維護之規範)，對於高風險性之人工智慧應用，其將強制要求需於銷售前進行合格評定(mandatory pre-marketing conformity assessment requirement)。而有關高風險性之定義，歐盟於該白皮書指出須符合以下兩個要件： 考量人工智慧應用之一般活動特徵，其預計會有重大風險的發生，例如在醫療保健、運輸、能源和可能屬於高風險的公共領域；以及 在預期用途或應用上都可能對個人(individual)或企業(company)帶來重大的風險，特別是在安全性(safety)、消費者權益(consumer rights)與基本權利(fundamental rights)上。 　　歐盟委員會目前針對於以上白皮書之內容與附隨報告，將向公眾徵詢意見至今年5月19日。

　　美國司法部（Department of Justice, DOJ)及聯邦貿易委員會（Federal Trade Commission, FTC)於今（2007）年4月中旬，公布了眾所矚目的「反托拉斯執法與智慧財產權報告」（Antitrust Enforcement and Intellectual Property Rights, Antitrust-IP Report）。本報告綜整歸納DOJ與FTC於2002年所舉行的一系列名為「知識經濟時代之競爭與智慧財產權法制政策」（Competition and Intellectual Property Law and Policy in the Knowledge-Based Economy）公聽會重點，以及來自於不同利益團體與產業代表之看法。 　　DOJ與FTC於1995年曾公布「智慧財產授權之反托拉斯指導原則」（Antitrust Guidelines for the Licensing of Intellectual Property，以下簡稱1995年指導原則），基本上，甫公布的「反托拉斯執法與智慧財產權報告」的內容，重申DOJ與FTC過去依1995年指導原則的執法實務與政策，報告也特別針對幾種經常引起疑義的智慧財產運用態樣，諸如搭售（tying）：專屬交易（exclusive dealing）、特殊授權條款、專利聯盟（patent pools）、交互授權（cross-licenses），肯認其亦有加強競爭並有利於消費者的效果，故DOJ與FTC將會依合理原則（rule of reason）評估個別契約的合法性，而不會逕認其係本質違法（per se unlawful）。所謂合理原則，係指由法院及競爭法主管機關，就特定協議之有利於競爭效果與反競爭效果間進行權衡，以判斷其對整體市場競爭與消費者福祉所產生之影響。 　　此外，DOJ與FTC也針對個別的行為，如單方拒絕授權（unilateral Refusals to License）、標準制定（standard setting）、交互授權（cross-licenses）、專利聯盟（patent pools）、使專利期間延長於法定保護期間之外（extending patent rights beyond the statutory term）等，於報告中揭示其所持的一般管理政策。

　　日前，美國加州公共事業委員會（California Public Utilities Commission, CPUC）一致投票通過「可再生能源招標機制」（Renewable Auction Mechanism, RAM）。該委員會期待藉由此種招標機制的上路實施，在加州境內發展各種中小型可再生能源企劃案，並且針對此種企劃案下所生產之再生能源開放最高收購電力為20MW的採購標準。 　　可再生能源招標機制之實行方式為欲參與該招標機制之企劃案業者，在一年兩次的拍賣期間提出不可議價之拍賣出價，以爭取相關招標企劃案之補助經費。該種企劃案具有1. 符合加州可再生投資組合標準（Renewable Portfolio Standard, RPS）下之20% 投資比例，2.得標企劃案之相關設施地點位於加州境內三大投資人擁有（investor-owned utilities, IOUs）的電力事業服務範圍內，和3. 最高收購再生能源電力為20MW的特性。拍賣出價期間結束後，美國加州公共事務委員會會選擇最小花費之出價企劃案，並與得標之企劃案業者簽署長程契約，而該企劃案業者也會被列於快速發展建設計劃之名單中，以進行後續的計畫發展與相關設備建設。 　　目前加州相關當局針對小型可再生能源企劃案，傳統上適用一固定費率之電力收購制度（feed-in tariff, FIT）。然而，即便可再生能源招標機制之實施方式與FIT類似，卻沒有能源價格因立法管轄權和其他因素所造成之不確定性存在。故此，在可再生能源招標機制下之企劃案業者可依其所能負擔之價格參與競標，此外亦可防止如西班牙和其他地方所發生之FIT市場過熱之情況產生。 　　對於可再生能源招標機制之推行及實施，加州公共事業委員會希望其能產生促進競爭、提供最低花費與促進發展相關資源之結果。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。