歐盟為提升網路數位化產品之安全性,解決現有網路安全監管框架差距,歐盟執委會於2022年9月提出《網路韌性法案》(EU Cyber Resilience Act)草案,對網路供應鏈提供強制性網路安全標準,並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標:
1.確保製造商對於提升產品之網路安全涵蓋整個生產週期;
2.為歐盟網路安全之合法性創建單一且明確之監管架構;
3.提高網路安全實踐之透明度,以及製造商與其產品之屬性;
4.為消費者和企業提供隨時可用之安全產品。
《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時,須滿足法規要求之網路安全標準,始得於市場上銷售,並應提供清晰易懂之使用說明予消費者,使其充分知悉網路安全相關資訊,且至少應於五年內提供安全維護與軟體更新。
《網路韌性法案》將所涵蓋之數位化產品分為三種類別(產品示例可參考法案附件三):I類別、II類別,以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別,須遵守法規要求之安全標準或經由第三方評估;II類別為與網路安全漏洞具密切關連之高風險產品,須完成第三方合格評估始符合網路安全標準;預設類別則為無嚴重網路安全漏洞之產品,公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品,惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。
若製造商未能遵守《網路韌性法案》之基本要求和義務,將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。
2019年2月澳洲政府依據「我的健康紀錄法」(My Health Records Act 2012),執行全國國民納入「我的健康紀錄系統」(My Health Record System)(下稱系統)之政策,有將近9成的國民被納入系統,為解決急診醫師在緊急救治時,需查看病患醫療資訊的需求;澳洲數位健康局(Australian Digital Health Agency, ADHA)於2019年11月發布了一項全國倡議的政策:急診醫師能使用我的健康紀錄系統,在急迫情形下即時做診斷。因此澳洲健康安全與品質委員會(Australian Commission on Safety and Quality in Health Care)與澳洲急診醫學院(Australasian College for Emergency Medicine, ACEM)共同訂定「急診醫師使用我的健康紀錄之指引」(Emergency Department Clinicians’ Guide to My Health Record)(下稱指引)提供急診科醫師參考,說明如下: 原則上只有病患之家庭醫師或主治醫師才能進入系統查看病患的醫療資訊,其他未經同意的醫師不得隨意查看病患的醫療資訊,但若病患發生急救狀況時,則允許急診醫師得使用系統查看病患之醫療資訊,例如:使用藥物資訊、各醫師之醫療診斷書、照顧資訊、處方簽紀錄,病患用藥歷史、住院紀錄、家族病史、專家建議信(Specialist letters)、器官捐贈與預立醫療決定(Advance care plans)、病理診斷、病人自行輸入的資訊,例如過敏反應等,協助急診醫師能使用病患就醫紀錄迅速的做診斷;允許急診醫師得直接查看病患之醫療資訊,也解決急診醫師在救治時,無法即時與病患之家庭醫師聯繫問題。另外,系統之病歷電子化也為急診醫師帶來益處,例如:醫療資訊的合併,整合病患的就醫資料、減少不必要及重複的檢查,即時傳遞醫療資料等。此外,為了保障國民之資訊自主,醫師必須尊重病患的權利,例如病患得使用取消功能來刪除病歷資訊、限制特定醫療人員或醫療機構查看、限制查看資料的類型等。 這項指引使急診醫師能更了解如何使用系統、在緊急救護時,得隨時能查病歷資料做出最佳的處置、系統化的便利性為急診醫師節省許多處理時間,並促進與提升醫療品質。
日本閣議通過《特定數位平台之透明性及公正性提升法案》,以改善電商交易環境日本閣議通過《特定數位平台之透明性及公正性提升法案》,以改善電商交易環境 資訊工業策進會科技法律研究所 2020年05月11日 日本內閣於2020年2月18日通過《特定數位平台之透明性及公正性提升法案》(特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案),並提交國會,期望能在2021年春季施行[1]。本法案將要求特定數位平台(Digital Platform)業者公開其與透過平台供應商品或服務者之間的契約等各項措施,以提高特定數位平台的透明性與公正性,透過推動公平且自由的競爭環境,為促進經濟發展和國民經濟的健全發展做出貢獻。 壹、事件摘要 近年來資通訊技術領域的革命性進展,讓數位平台有效幫助商品與服務供應者更易於進入各商品或服務市場,如大型網路商城透過蒐集分析用戶的購買紀錄、商品瀏覽紀錄、搜尋關鍵字紀錄、位置資訊等,能夠更精準投放廣告至消費者的搜尋頁面,增加賣家商品或服務的曝光機會,減輕新手賣家觸及潛在消費者的負擔。賣家越多、越容易搜尋到所需商品或服務,甚至能同時推薦優惠組合的網路商城,能夠提高消費者的黏著度,賣家對該平台也會更加依賴,使得數位平台產業成為寡占市場。 面對數位平台市場的寡占現象,日本政府於2018年6月15日公布之《未來投資戰略2018》中說明擬透過整備規則以活化競爭環境,因此經濟產業省、總務省及公平交易委員於同年7月組成「數位平台業者交易環境整備檢討會」(デジタル・プラットフォーマーを巡る取引環境整備に関する検討会),將以實現透明性及公正性為目的,進行相關規範之整備,並規劃進行大規模調查,藉此掌握實際交易狀況[2]。 因此公平交易委員會(公正取引委員会)於2019年1月針對大型網路購物商城,如Amazon、Yahoo Shopping、樂天市場等,以及應用程式商店,即App Store、Google Play展開「數位平台業者之交易習慣等相關實態調查」。根據同年4月17日公布的上開調查中間報告(デジタル・プラットフォーマーの取引慣行等に関する実態調査についての中間報告),使用樂天市場及Amazon的賣家中,各有超過72%的賣家被平台單方變更使用條款,且各有超過69%的賣家認為使用條款的改變對其不利,三大網路商城中只有Yahoo Shopping的表現稍佳;大多數的賣家都遇過不明原因被停權或商品被下架的情形,但其中僅有約一半的賣家在解決問題後能夠再上架[3]。應用程式商店方面的調查結果也大同小異[4]。同年10月31日公布的調查報告印證數位平台業者的「未提前說明即變更條款」或「未說明理由即拒絕交易」等行為,以及商品與服務供應者聯繫客服提出意見、申請等機制不夠完善,均有妨礙市場透明性和公正性之疑慮[5]。除此之外,也恐有《獨占禁止法》(私的独占の禁止及び公正取引の確保に関する法律,又稱「独占禁止法」)上不公平競爭之疑慮,如數位平台業者透過變更使用條款提高手續費、強制使用平台新服務等行為,可能適用《獨占禁止法》第2條第9項第5款濫用相對優勢地位之要件;此外,若數位平台業者自行推出與該平台其他賣家同類的商品及服務,由於數位平台業者可得知賣家銷售紀錄、消費者交易紀錄等資訊,容易推出更加吸引消費者的優惠活動,亦可透過更改關鍵字及顯示結果排序等方式,取得較其他賣家優勢之地位,可能適用《獨占禁止法》第2條第9項第5款阻礙競爭對手交易之要件。 除上述狀況外,實務上亦存在其他問題。例如,平台上之賣家因依賴平台且意欲獲取消費者關注,此時面對數位平台業者種種不公平行為,如單方面變更使用條款,或針對相同商品或服務,要求賣家必須設定與其他平台相同或更加優惠價格,賣家多會選擇接受而非改換使用其他數位平台。另一方面,應用程式商店的寡占現象,反倒成為App開發者拓展用戶的一大阻力[6]。 為使數位平台業者自主且積極地提高數位平台上交易透明度與公正性,日本政府認為應在不阻礙創新及尊重自主性的原則下,制定要求數位平台業者公開交易條款、營運狀況等資訊之法規,並進行監督和審查[7]。因此由內閣官房長官主導,與主責IT政策、網路安全戰略、消費者與食品安全、公平交易、個人資料保護等之大臣,以及總務大臣、經濟產業大臣,共同召開數位市場競爭會議(デジタル市場競争会議),根據前述實態調查報告所統整的各項課題,研擬《特定數位平台之透明性及公正性提升法案》[8]。 貳、重點說明 提高數位平台的交易透明度與公正性,除能增進用戶利益,亦有助於提升整體經濟社會活力及永續發展,因此本法案從讓數位平台業者自主且積極提升數位平台透明性與公正性出發,將國家的干預及其他管制的影響降到最低,旨在使數位平台業者可充分發揮其創意及努力,並促進數位平台業者和商品與服務供應者的相互理解[9]。 本法案的規範對象為「特定數位平台業者」(特定デジタルプラットフォーム提供者),數位平台業者係指使用數位科技為「商品與服務供應者」(商品等提供利用者)及「一般利用者」提供網路平台,且其服務具網路效應(Network Effect)的特性[10]。未來法案通過後,經濟產業大臣會先參考來自數位平台的資訊,透過政令區分行業別,並在該業種的範圍內考量各項指標,諸如該數位平台對國民生活及國民影響程度、用戶對該數位平台的使用集中程度、根據交易實際狀況及動向判斷保護商品與服務供應者的必要性、商品與服務供應者對該數位平台其他規範及措施之反應、營業額等。若一數位平台的上述指標超出政令所規定之範圍,經濟產業大臣會將該數位平台之業者指定為「特定數位平台業者」,即特別應盡力提升其數位平台透明性及公正性者[11]。另外,經濟產業大臣在制定或修正政令所需之範圍內,得要求數位平台業者,甚至是商品與服務供應者提出所需資料及說明[12]。 為協助特定數位平台業者採取適當且有效的措施,以促進和商品與服務供應者的相互理解,依本法案規定經濟產業大臣應制定指針供業者遵循,內容中則應說明以下事項︰建立可和商品與服務供應者妥善溝通之機制,如指派國內業務的專責窗口;制定可確保交易公正性的程序及機制;整備爭端處理機制及程序[13]。在交易條件等資訊公開方面,本法案規定特定數位平台業者有義務向用戶公開契約條款且變更條款前應先通知用戶,並規定因安全等理由而無法公開的例外情形[14]。本法案也規定特定數位平台業者應每年向經濟產業大臣提出報告,內容應包含其事業概況,以及自我評估前述指針、資訊公開等規定的遵循狀況,經濟產業大臣會依業者提供之報告進行評定並公布結果,業者則應依該評估結果盡力提高該數位平台的透明性及公正性[15]。 另外,對於有阻礙數位平台的透明性和公正性之行為,以及違反獨占禁止法疑慮之特定數位平台業者,則會交由公平交易委員會依該法之規定及個案具體事實採取措施[16]。 參、事件評析 本法案之制定源於數位平台業者和商品與服務供應者間由於資訊、立場不對等而引發紛爭,但本法案並未選擇從保護賣家權益立場出發,而是期望由業者採取自主措施等方式,達到提升數位平台市場透明性和公正性,以消弭紛爭之目的。又,雖然本法案有由政府評估並公布特定數位平台之營運是否具備透明性及公正性之規定,但該評估是基於特定數位平台業者提出之「自我評估」報告,故官方評估結果是否具實質參考意義有待商榷。 綜觀而言,本法案並未嚴格規範數位平台業者,對應法案內有關增進用戶利益和提升整體經濟社會活力等語,可發現本法案本質上應為一部振興數位平台產業的法案,故是否真能解決平台和商品與服務供應者間因資訊不對等而引發糾紛的問題,將是未來關注的焦點。 我國對網購糾紛之討論主要聚焦於買賣雙方,依循的是「零售業等網路交易定型化契約應記載及不得記載事項」及《消費者保護法》等規範,對於數位平台業者和商品與服務供應者間之權利義務關係則尚未有明確規範。在數位平台業者的透明性規範方面,目前僅有2017年11月20日通過之《數位通訊傳播法草案》,於第11及第12條規範數位通訊傳播服務提供者[17]應以適當方式,公開揭露營業相關資訊,並應依其服務之性質,以得清楚辨識之方式公告其服務使用條款。從規範平台業者之角度出發,雖然日本法令看來稍嫌寬鬆,但從促進產業發展角度而言,不啻為重要參考對象,有助我國在相關法制整備上,於數位經濟產業發展與保障平台用戶權益間取得平衡。 [1]日本經濟新聞,〈巨大IT支配に監視の目 議論進むデジタル規制〉,2020/05/06,https://www.nikkei.com/article/DGXMZO58702670R00C20A5947M00/(最後瀏覽日:2020/05/06)。 [2]〈(令和元年10月31日)デジタル・プラットフォーマーの取引慣行等に関する実態調査(オンラインモール・アプリストアにおける事業者間取引)について〉,公正取引委員会,https://www.jftc.go.jp/houdou/pressrelease/2019/oct/191031_2.html(最後瀏覽日:2020/03/22)。 [3]〈オンラインモール運営事業者の取引実態に関するアンケート調査(詳細)〉,公正取引委員会,https://www.jftc.go.jp/houdou/pressrelease/2019/apr/kyokusou/190417besshi1.pdf(最後瀏覽日:2020/05/19)。 [4]〈アプリストア運営事業者の取引実態に関するアンケート調査(詳細)〉,公正取引委員会,https://www.jftc.go.jp/houdou/pressrelease/2019/apr/kyokusou/190417besshi2.pdf(最後瀏覽日:2020/05/19)。 [5]〈デジタル・プラットフォーマーの取引慣行等に関する実態調査報告書(オンラインモール・アプリストアにおける事業者間取引)(概要)〉,公正取引委員会,https://www.jftc.go.jp/houdou/pressrelease/2019/oct/191031c.pdf(最後瀏覽日:2020/03/22)。 [6]同前註。 [7]〈デジタル市場のルール整備〉,首相官邸,https://www.kantei.go.jp/jp/singi/digitalmarket/kyosokaigi/dai1/siryou1.pdf(最後瀏覽日:2020/03/22)。 [8]〈「デジタル・プラットフォーマー取引透明化法案(仮称)の方向性」に関する意見募集に寄せられた御意見について〉,首相官邸,https://www.kantei.go.jp/jp/singi/digitalmarket/kyosokaigi/dai3/sankou1.pdf(最後瀏覽日:2020/03/22)。 [9]〈「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案」が閣議決定されました〉,経済産業省,https://www.meti.go.jp/press/2019/02/20200218001/20200218001.html(最後瀏覽日:2020/03/22)。 [10]〈特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案の概要〉,経済産業省,https://www.meti.go.jp/press/2019/02/20200218001/20200218001-1.pdf(最後瀏覽日:2020/05/18)。 [11]特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案(第201回閣法第23号)第2条、第4条。 [12]特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案第15条。 [13]特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案第7条、第8条。 [14]特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案第5条、第6条。 [15]特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案第9条。 [16]特定デジタルプラットフォームの透明性及び公正性の向上に関する法律案第13条。 [17]依數位通訊傳播法草案第二條之規定,數位通訊傳播服務提供者係指提供公眾或他人使用有線、無線、衛星或其他電子傳輸設施傳送數位格式之聲音、影像、文字、數據或其他訊息的服務之自然人、商號、法人或團體。
歐盟「人工智慧法」達成政治協議,逐步建立AI準則歐盟「人工智慧法」達成政治協議, 逐步建立AI準則 資訊工業策進會科技法律研究所 2023年12月25日 隨著AI(人工智慧)快速發展,在各領域之應用日益廣泛,已逐漸成為國際政策、規範、立法討論之重點。其中歐盟人工智慧法案(Artificial Intelligence Act, AI Act,以下簡稱AIA法案)係全球首部全面規範人工智慧之法律架構,並於2023年12月9日由歐洲議會及歐盟部長歷史會達成重要政治協議[1],尚待正式批准。 壹、發佈背景 歐洲議會及歐盟部長理事會針對AIA法案已於本年12月9日達成暫時政治協議,尚待正式批准。在法案普遍實施前之過渡期,歐盟執委會將公布人工智慧協定(AI Pact),其將號召來自歐洲及世界各地AI開發者自願承諾履行人工智慧法之關鍵義務。 歐盟人工智慧法係歐盟執委會於2021年4月提出,係全球首項關於人工智慧的全面法律架構,該項新法係歐盟打造可信賴AI之方式,將基於AI未來可證定義(future proof definition),以等同作法直接適用於所有會員國[2]。 貳、內容摘要 AIA法案旨在確保進入並於歐盟使用之AI人工智慧系統是安全及可信賴的,並尊重人類基本權利及歐盟價值觀,在創新及權利義務中取得平衡。對於人工智慧可能對社會造成之危害,遵循以風險為基礎模式(risk-based approach),即風險越高,規則越嚴格,現階段將風險分為:最小風險(Minimal risk)、高風險(High-risk)、無法接受的風險(Unacceptable risk)、特定透明度風險(Specific transparency risk)[3]。與委員會最初建議版本相比,此次臨時協定主要新增內容歸納如下: 臨時協議確立廣泛域外適用之範圍,包含但不限於在歐盟內提供或部署人工智慧系統的企業[4]。但澄清該法案不適用於專門用於軍事或國防目的之系統。同樣,該協定規定不適用於研究和創新目的之人工智慧系統,也不適用於非專業原因之個人AI使用。 臨時協議針對通用AI(General purpose AI)[5]模型,訂定相關規定以確保價值鏈之透明度;針對可能造成系統性風險之強大模型,訂定風險管理與重要事件監管、執行模型評估與對抗性測試等相關義務。這些義務將由執委會與業界、科學社群、民間及其他利害關係人共同制定行為準則(Codes of practices)。 考量到人工智慧系統可用於不同目的之情況,臨時協議針對通用AI系統整合至高風險系統,並就基礎模型部分商定具體規則,其於投放市場之前須遵守特定之透明度義務,另強調對於情緒識別系統有義務在自然人接觸到使用這種系統時通知他們。 臨時協議針對違反禁止之AI應用,罰款金額自3,500萬歐元 或全球年營業額7%(以較高者為準)。針對違反其他義務罰款1,500萬歐元或全球年營業額3%,提供不正確資訊罰 款750萬歐元或全球年營業額1.5%。針對中小及新創企業違反人工智慧法之行政罰款將設定適當之上限。 參、評估分析 在人工智慧系統之快速發展衝擊各國社會、經濟、國力等關鍵因素,如何平衡技術創新帶來之便利及保護人類基本權利係各國立法重點。此次歐盟委員會、理事會和議會共同對其2021年4月提出之AIA法案進行審議並通過臨時協議,係歐洲各國對於現下人工智慧運作之監管進行全面的討論及認可結果,對其他國家未來立法及規範有一定之指引效果。 此次臨時協議主要針對人工智慧定義及適用範圍進行確定定義,確認人工智慧系統產業鏈之提供者及部署者有其相應之權利義務,間接擴大歐盟在人工智慧領域之管轄範圍,並對於人工智慧系統的定義縮小,確保傳統計算過程及單純軟體使用不會被無意中禁止。對於通用人工智慧基礎模型之部分僅初步達成應訂定相關監管,並對基礎模型之提供者應施加更重之執行義務。然由於涉及層面過廣,仍需業界、科學社群、民間及其他利害關係人討論準則之制定。 面對AI人工智慧之快速發展,各國在人工智慧之風險分級、資安監管、法律規範、資訊安全等議題持續被廣泛討論,財團法人資訊工業策進會科技法律研究所長期致力於促進國家科技法制環境,將持續觀測各國法令動態,提出我國人工智慧規範之訂定方向及建議。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI,https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai (last visited December 25, 2023). [2]European Commission, Commission welcomes political agreement on Artificial Intelligence Act,https://ec.europa.eu/commission/presscorner/detail/en/ip_23_6473 (last visited December 25, 2023). [3]Artificial intelligence act,P5-7,https://superintelligenz.eu/wp-content/uploads/2023/07/EPRS_BRI2021698792_EN.pdf(last visited December 25, 2023). [4]GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2 (last visited December 25, 2023). [5]General purpose AI-consisting of models that “are trained on broad data at scale, are designed for generality of output, and can be adapted to a wide range of distinctive tasks”, GIBSON DUNN, The EU Agrees on a Path Forward for the AI Act,https://www.gibsondunn.com/eu-agrees-on-a-path-forward-for-the-ai-act/#_ftn2(last visited December 25, 2023).
美國《聯邦採購規則》(FAR)2019年8月7日,美國總務署(General Services Administration, GSA)、國防部(Department of Defense, DoD)及航空暨太空總署(National Aeronautics and Space Administration, NASA)共同發布一項暫行規定(interim rule),依據2019美國《國防授權法》(National Defense Authorization Act, NDAA)修正美國《聯邦採購規則》(Federal Acquisition Regulation, FAR),以公共及國家安全為由,禁止美國聯邦機構購買或使用包括華為、中興通訊、海康威視、海能達及大華科技等5家中國大陸企業、子公司與關係企業所提供之電信或視頻監控設備及服務。禁令並擴及經美國國防部長與國家情報局局長或聯邦調查局局長協商後,合理認為屬特定國家地區所擁有或控制之實體,或與該國家地區的政府有聯繫者。該暫行規定已於2019年8月13日生效,美國政府有權為不存在安全威脅的承包商提供豁免直至2021年8月13日。並預計在2020年8月,全面禁止美國聯邦機構與使用該中國大陸企業設備與服務之公司簽訂契約。 2019美國《國防授權法》第889(a)(1)(A)條,明文禁止美國聯邦機構採購或使用特定企業所涵蓋之電信設備或服務,並禁止將該類產品作為設備、系統、服務或關鍵技術的實質或必要組成。本次修正美國《聯邦採購規則》,即配合新增第4.21小節「禁止特定電信和視頻監控服務或設備的承包」,並於52.204-25中明訂「禁止簽訂與特定電信和視頻監視服務或設備契約」。故除非有例外或豁免,禁止承包商提供任何涵蓋特定中國大陸企業之電信設備或服務,作為設備、系統、服務或關鍵技術的實質或必要組成部分。承包商及分包商必須在契約履行過程中,報告有無發現任何使用此類設備、系統或服務之情形。