美國國家標準與技術研究院公布人工智慧風險管理框架（AI RMF 1.0）

　　標準必要專利（standards-essential patents，SEPs）是國際標準組織所採行的一種專利運用模式，主要係為了使標準共通技術普及之同時平衡專利權人之利益，將技術發展中重要的標準共通技術結合專利保護，同時均要求專利權人須簽署FRAND（Fair，Reasonable and Non-discriminatory）條款，以公平、合理、無歧視之原則收取合理數額之專利授權費供標準化組織成員有償使用。然而，因專利本身即是一種合法壟斷，是以標準必要專利之授權模式可實現利益最大化；但涉及到具高度共通性又難以迴避的技術時，應當避免少數專利權人濫用專利權和市場壟斷。因此，專利權人和被授權人之間，對於收取合理專利授權費之議題，在一直無法取得共識之下，往往訴諸法律解決。從美國聯邦法院涉及標準必要專利侵權之訴訟案例，可看出美國針對標準必要專利目前主要有下列幾種趨勢：(1)合理之專利授權費以該技術佔產品元件之比率計算；(2)標準必要專利之授權費金額逐步降低；(3)專利權人必須先進行授權流程(4)不能直接申請禁制令。

　　由聯合國「國際電信聯盟」（the UN's International Telecommunication Union ,ITU）主持的國際電信世界大會（the World Conference on International Telecommunications ,WCIT）於2012年12月14日在杜拜落幕，此次有193個國家的政府代表與會，主要議題討論是否要更新自1988年以來已經24年未經修改的全球電信規則（the International Telecommunication Regulations ,ITRs），該修正案主要係由中國與俄羅斯所提出，其有意授權政府監管網際網路，盼望各國能合作打擊垃圾郵件並促進網路的普及。 　　這項修正案最大爭議點就在「人權」二字。若政府擁有網路審查權成為普世價值，保護言論自由是否將流於口號，某些習慣高壓政策的國家是否會濫用審查權，控制輿論進行不當審查與管制？ 　　ITU秘書長Hamadoun Touré認為網際網路應該納入全球電信政策框架下，但反對派則認為此舉扼殺了網路自由，美國代表團團長Terry Karamer則主張，網路政策不應由聯合國成員國來定，應該由公民、社群以及更廣大的社會來決定。 　　經過激烈的辯論之後，共有89國支持這項修正案，而包括美國、加拿大、澳洲和英國在內的55個國家已經拒絕簽署，該修正案將於2015年1月1日生效，由於修正後的新規定必須經過所有成員國同意才具全球約束力，大會呼籲未簽署或已經拒絕簽署的55國應盡速簽署。

　　美國聯邦第七巡迴上訴法院於2018年08月16日宣告，美國伊利諾伊州杜佩奇縣內珀維爾市（Naperville）所經營之「獨占性」公用售電業，以裝設智慧電表手段蒐集用電戶即時（Real Time）用電資料，並保存長達三年之行為，並無違反美國憲法第四條修正案以及伊利諾州憲法第一條第六項所宣示之不得以不合理手段對於民眾居住隱私資料進行搜索之限制。 　　美國聯邦第七巡迴上訴法院闡明，本案爭點有二：第一，內珀維爾市（Naperville）所經營之獨占性公用售電業以裝設智慧電表手段蒐集用電戶即時用電資料，並保存長達三年之行為，是否構成美國憲法第四條修正案以及伊利諾州憲法第一條第六項所謂之「對於民眾居住隱私資料之搜索」？第二，如內珀維爾市（Naperville）所經營之獨占性公用售電業以裝設智慧電表手段蒐集用電戶即時用電資料係構成「對於民眾居住隱私資料之搜索」，則內珀維爾市（Naperville）所經營之獨占性公用售電業是否有更高之公益，可合理化此一對於「對於民眾居住隱私資料之搜索」之行為？ 　　美國聯邦第七巡迴上訴法院認定內珀維爾市電業以智慧電表手段蒐集民眾用電資訊，確實是構成美國憲法第四條修正案以及伊利諾州憲法第一條第六項所謂之「對於民眾居住隱私資料之搜索」。但是由於珀維爾市電業蒐集這些用電資訊，是基於更高之公益目的，因此仍屬以合理手段對於民眾居住隱私資料進行搜索。因此判決本案珀維爾市電業勝訴。 　　於第一爭點，美國聯邦第七巡迴上訴法院認定智慧電表之紀錄內容包含「電器負載特徵（load signature）」以及「用電戶電力消耗慣性」，對比Kyllo v. United States, 533 U.S. 27, 31-32（2001）乙案下警方以熱感應器方式偵測住宅整體熱能有無之行為，更高度細緻化、具有侵入性，且智慧電表之設置，於現今尚非普及（not in general public use），因此構成對於民眾居住隱私資料之搜索。又內珀維爾市（Naperville）所經營之獨占性公用售電業雖辯稱用電戶於裝設智慧電表時，皆已經同意電業蒐集其個人用電資訊，然美國聯邦第七巡迴上訴法院認定，內珀維爾市（Naperville）所經營之公用售電業具有高度獨占性，故用電戶裝設智慧電表之同意難謂有效，且用電戶同意用電，不代表用電戶即同意分享其用電資訊。 　　惟於第二爭點，美國聯邦第七巡迴上訴法院認定，由於內珀維爾市（Naperville）所經營之獨占性公用售電業已經聲明不會將此類用電資訊分享予有關政府機關，且本案對於用電戶用電資訊之蒐集，其目的亦與刑事追訴無關，是以應以低密度審查標準看待本案即可，又本案內珀維爾市（Naperville）所經營之獨占性公用售電業裝設智慧電表之目的在於促使電網現代化，並且可使發電業供應更加穩定之電力，並且也可以透過時間電價（Time-Based Pricing）之方式促使用電戶節電，並且減少電網負載，同時也可以使發電業節省查表之人事成本，因此雖然內珀維爾市（Naperville）所經營之公用售電業透過裝設智慧電表之手段蒐集用電戶即時用電資訊係構成對於用電戶之民眾居住隱私資料之搜索，然由於其具有更高之公益性，因此仍可合理化此一對於「對於民眾居住隱私資料之搜索」之行為。 　　綜上，本案美國聯邦第七巡迴上訴法院判定內珀維爾市（Naperville）所經營之獨占性公用售電業勝訴。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。