美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理
美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)於2022年7月21日發布更新《網路安全資源指南》(A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd)。本指南源自於1996年美國《健康保險流通與責任法》(Health Insurance Portability and Accountability Act, HIPAA)旨在避免未經患者同意或不知情下揭露患者之敏感健康資料,並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊(electronic protected health information, ePHI),包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者(Covered Healthcare Providers)、使用電子方式傳送任何健康資料的醫療計畫(Health Plans)、健康照護資料交換機構(Healthcare Clearinghouses)及為協助上述對象提供健康照護服務之業務夥伴(Business Associate)均應遵守。
本指南最初於2005年發布並經2008年修訂(NIST SP 800-66r1 ipd),而本次更新主要為整合其他網路安全相關指南,使本指南與《網路安全框架》(Cybersecurity Framework, NIST SP 800-53)之控制措施等規範保持一致性。具體更新重點包括:(1)簡要概述HIPAA安全規則;(2)為受監管實體在ePHI風險評估與管理上提供指導;(3)確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動;(4)列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源,如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施,包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制;技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成,以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。
- NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022
- Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
盧秉羲
專案經理 編譯整理
NIST Updates Guidance for Health Care Cybersecurity, National Institute of Standards and Technology, July 21, 2022, https://www.nist.gov/news-events/news/2022/07/nist-updates-guidance-health-care-cybersecurity(last visited Sept. 2, 2022).
Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide (NIST Special Publication 800-66, Revision 2), National Institute of Standards and Technology, July 21, 2022, https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-66r2.ipd.pdf(last visited Sept. 2, 2022).
施雅薰,〈歐盟執委會發布「歐洲健康資料空間」規則提案,旨在克服健康資料利用之障礙〉,資訊工業策進會科技法律研究所,2022/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8858(最後瀏覽日:2022/9/2)。
邱美蘅,〈美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障〉,資訊工業策進會科技法律研究所,2021/6,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8679&no=64(最後瀏覽日:2022/9/2)。
科法觀點
日本文化廳發布《人工智慧著作權檢核清單和指引》 資訊工業策進會科技法律研究所 2024年08月21日 日本文化廳為降低生成式人工智慧所產生的著作權風險,保護和行使著作權人權利,於2024年7月31日以文化廳3月發布的《人工智慧與著作權的思考》、內閣府5月發布的《人工智慧時代知識產權研究小組中期報告》,以及總務省和經濟產業省4月份發布的《人工智慧事業指引(1.0版)》的資料為基礎,制訂發布《人工智慧著作權檢核清單和指引》[1]。 壹、事件摘要 日本文化廳的《人工智慧著作權檢核清單和指引》主要分成兩部分,第一部分是「人工智慧開發、提供和使用清單」,依循總務省和經濟產業省4月份發布的《人工智慧事業指引(1.0版)》的區分方式,分為「AI開發者」、「AI提供者」、「AI(業務)使用者(事業利用人)」和「業務外利用者(一般利用人)」四個利害關係人,依不同的身份分別說明如何降低人工智慧開發前後的資料處理和學習等智慧財產權侵權風險的措施,以及提供和使用人工智慧系統和服務時,安全、適當地使用人工智慧的技術訣竅。 第二部分則是針對著作權人及依著作權法享有權利的其他權利人(例如表演人)的權益保護,從權利人的思考角度,建議正確理解生成式AI可能會出現什麼樣的(著作權)法律上利用行為[2]。其次,說明近似侵權的判斷要件、要件的證明、防止與賠償等可主張的法律上請求、可向誰主張侵權、權利主張的限制;於事先或發現後可採取的防止人工智慧侵權學習的可能措施;最後對侵權因應建議權利人可發出著作權侵權警告、進行訴訟、調解等糾紛解決,並提供可用的法律諮詢窗口資訊。 貳、重點說明 日本文化廳於此指引中,針對不同的角色提出生成式AI與著作權之間的關係,除更具體的對「AI開發者」、「AI提供者」、「AI(事業與一般利用人)」,提醒其應注意的侵權風險樣態、可能的合法使用範圍,並提供如何降低風險的對策。同時,從權利人角度提供如何保護權益的指引,並提供可用的法律諮詢窗口資訊。重點說明如下: 一、不符合「非享受目的」的非法AI訓練 日本著作權法第30條之4規定適用於以收集人工智慧學習資料等為目的而進行的著作權作品的複製,無需獲得權利人的授權,但是,該指引特別明確指出「為了輸出AI學習資料中包含的既有作品的內容,而進行額外學習;為讓AI產出學習資料庫中所包含的既有作品的創作表現;對特定創作者的少量著作權作品進行額外個別學習」,這三個情況係同時存有「享受」著作目的,不適用無須授權的規定[3]。 二、不能「不當損害著作權人利益」 從已經採取的措施和過去的銷售紀錄可以推斷,資料庫著作權作品計劃有償作為人工智慧學習的資料集。在這種情況下,未經授權以人工智慧學習為目的進行複製時,屬於「不當損害著作權人利益」的要求,將不適用(日本)著作權法第30條之4規定[4]。在明知某個網站發布盜版或其他侵害著作權的情況下收集學習資料,則使用該學習資料開發的人工智慧也會造成著作權侵權,人工智慧開發者也可能被追究著作權責任[5]。不應使用以原樣輸出作為學習資料的著作權作品的學習方法,如果該已訓練模型處於高概率生成與學習資料中的著作物相似的生成結果的狀態等情況下,則該已訓練模型可能被評價為「學習資料中著作物的複製物」, 對銷毀該模型的請求即有可能會被同意[6]。 三、使用生成式AI即可能被認定為可能有接觸被侵害著作[7] 權利人不一定必須證明「生成所用生成AI的學習資料中包含權利人的作品。如有下述AI使用者認識到權利人的作品的情況之一,權利人亦可透過主張和證明符合「依賴性(依拠性)」要件,例如:AI使用者將現有的著作物本身輸入生成AI、輸入了現有著作物的題名(標題)或其他特定的固有名詞、AI生成物與現有著作物高度類似等。 四、開發與提供者也可能是侵權責任主體[8] 該指引指出,除利用人外,開發或提供者亦有負侵權責任的可能,特別是--人工智慧頻繁產生侵權結果,或已意識到人工智慧很有可能產生侵權結果,但沒有採取措施阻止。於其應負侵權責任時,可能被請求從訓練資料集中刪除現有的著作權作品,甚至是刪除造成侵權的人工智慧學習創建的訓練模型。即便人工智慧學習創建的訓練模型一般並非訓練資料的重製物,不過如果訓練後的模型處於產生與作為訓練資料的著作權作品相似的產品的機率很高的狀態,該指引認為可能會被同意[9]。 參、事件評析 人工智慧(AI)科技迎來契機,其生成內容隨著科技發展日新月異,時常可以看見民眾在網路上分享AI技術生成的圖像和影音。是否能將AI生成的圖案用在馬克杯或衣服販售,或是將Chat GPT內容當作補習班教材,均成為日常生活中的訓練AI的資料與運用AI的產出疑義。 各國固然就存有人類的「創造性貢獻」是人工智慧生成結果是否受著作權法保護、可受著作權保護的條件,單純機械性的AI自動生成,基本上欠缺「人的創造性」,非著作權保護對象,已有明確的共識。如何以明確的法令規範降低AI開發過程的侵權風險或處理成本?賦予AI訓練合法使用既有著作,應有的界限?衡平(賦予)既有著作的著作權人權益?AI服務提供者應負那些共通義務?是否合理課予AI服務提供者應負之侵權損害責任?AI使用者之侵權責任是否須推定符合「接觸」要件?等等諸此進一步的疑義,則仍在各國討論、形成共識中。 而從日本文化廳的《人工智慧著作權檢核清單和指引》,我們可以清楚的看出,在樹立成為AI大國的國家發展政策下,其著作權法雖已賦予AI訓練資料合法的重製,但在指引是明列已屬「享受」目的訓練行為、不合理損害著作權利用的情況、明示開發服務者應負的揭露義務與可能承擔侵權責任,彰顯其對權利人權益平衡保護的努力。值得於我國將來推動落實AI基本法草案中維護著作權人權益原則時,做為完善相關法令機制的重要參考。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1] 文化庁著作権課,「AI著作権チェックリスト&ガイダンス」,令和6年7月31日,https://www.bunka.go.jp/seisaku/bunkashingikai/chosakuken/seisaku/r06_02/pdf/94089701_05.pdf,最後閱覽日:2024/08/20。 [2] 詳見前註,頁31。 [3] 詳見前註,頁7。 [4] 詳見前註,頁8。 [5] 詳見前註,頁9。 [6] 詳見前註,頁9。 [7] 詳見前註,頁35。 [8] 詳見前註,頁36。 [9] 詳見前註,頁42。
美國能源部針對住宅洗衣機及洗碗機公布新的能源效率標準美國能源效率標準的制定,是依據「能源政策管理法」(The Energy Policy and Conservation Act, EPCA)之規定,授權美國能源部針對設備產品制訂能源效率標準;後因「2007年能源獨立與安全法」(The Energy Independence and Security Act (EI SA) of 2007)修正EPCA之部分內容,要求能源部秘書長(Secretary of Energy)檢視是否需修正相關設備產品之能源效率標準後,再進行修正,同時並應將待機(standby mode)及關機(off mode)之能源耗用標準納入測試程序中。 基於此,能源部於2012年5月,針對住宅洗衣機及洗碗機,公布新的能源效率標準,訂立洗衣機及洗碗機產品的最低能源標準,並分別自2015年及2013年開始施行。此亦為美國總統歐巴馬「all-of-the-above」能源政策的重要部分,透過能源效率標準的制訂,以合理的方式逐步減少家庭的支出並同時減少能源消費。 目前美國家庭洗衣機及洗碗機的用電量約占住宅用電量的3%,用水量則占室內用水的20%。根據新的標準,前置式洗衣機(front-loading clothes washers)將可節省15%的電力消費以及35%的水費,上置式(top-loading washers)洗衣機更可節省33%的電力使用及19%的用水量。洗碗機則可節省約15%的電力及20%的用水。 自2009年起至今,已有約40種產品訂有能源效率標準,預計至2030年,總共可節省約3500億美元的帳單花費。這些標準的制訂,是透過能源部的「能源效率與再生能源」(Energy Efficiency and Renewable Energy (EERE) Program)計畫提供技術面的相關建議,並與製造商、消費者團體及環保團體等的共同協商,達成一致的共識,希望提供消費者更多的選擇並減少對製造者的衝擊。
德國交通部與歐洲道路安全資料工作組簽署多方協議,透過車聯網分享交通狀況資料以提升道路安全德國聯邦交通及數位基礎設施部(Bundesministerium für Verkehr und digitale Infrastruktur, BMVI)於2020年12月2日公布與道路安全資料工作組(Data Task Force for Road Safety)成員簽署多方協議,以促進交通資料於道路維運單位、聯網車、智慧基礎設施間傳輸交換,進而透過最新技術識別道路危險狀況,以提升交通安全。 道路安全資料工作組係由歐盟成員國、車輛製造商、相關應用服務提供商所組成的公私合營夥伴關係,其任務為透過政府與產業相關利益者之合作,促進道路安全性資料可跨品牌和跨國界共享,並於公平可靠的合作夥伴關係下,促進公平競爭。 而在多方協議中,歐盟成員國,道路交通管理單位,汽車製造商和供應商以及地圖服務提供商等成員,承諾進行長期資料交換,並於協議中定義如何在安全相關交通資訊(Safety Related Traffic Information, SRTI)生態系統內,以公平、可靠的方式近用相關資料,並規定合作夥伴於SRTI價值鏈中應扮演的角色與責任,和透過分享安全相關的的資料,進而提供安全性服務。而在簽署本協議前,已成功完成可行性研究,在2019年6月至2020年10月間,不斷地測試SRTI系統並交換共數百萬筆資料,包括危險事故現場、暫時性濕滑路面、視野受限、特殊天候狀況等資訊。而在初步測試報告指出,透過上述資料交換,可發出相關危險交通狀況警告,能迅速有效因應各狀況作出適當的決策。
任天堂將自YOUTUBE影片上傳者收取利潤YOUTUBE遊戲頻道 - Rooster Teeth’s Let’s Play的建立者Lewis Turner近期擁有111部上傳遊戲剪輯並超過74890次瀏覽量,現被任天堂(NINTENDO)控訴侵害著作權。 任天堂依YOUTUBE的Content ID政策,向Lewis Turner主張凡運用任天堂遊戲剪輯而賺取收益的部分,一旦這些剪輯被識別包含Content ID所認定之完整或部分的內容,均被要求需支付獲利予任天堂。Content ID為YOUTUBE 的著作權政策,有助保護企業並控制相關影片上傳的內容,藉識別使用者上傳的相關影片(視訊或音訊)的內容,與著作權人提供的內容比對是否侵權的功能,進而採取預先選擇的處理方式,如:透過影片賺取收益或封鎖這類的影片。 許多玩家習慣將時下流行的遊戲闖關歷程上傳至社群網站與其他玩家分享,展現如何破解高難度關卡,或進階的闖關技巧,任天堂此舉,招來許多玩家的不滿,甚至表示再也不玩任天堂的遊戲或上傳更多的遊戲歷程剪輯。一名”Let’s play”玩家表示:「電動遊戲非如電影或電視;當我看到別人正在看的影片,我可能不會再去看;但當我看到別人正在玩的遊戲,我會想自己體驗。每個遊戲過程,都有其獨特視覺經驗,藉由瀏覽遊戲歷程能夠引起購買慾望。」 對此,任天堂則聲明,若是為了持續推動並確保為任天堂的遊戲,仍可透過社群平台分享,即玩家仍可繼續在YOUTUBE上分享任天堂的遊戲歷程;而非像對待娛樂公司一樣,阻止玩家使用任天堂智慧財產權(著作權)的原因。