美國國家標準與技術研究院公布人工智慧風險管理框架(AI RMF 1.0)

美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2023年1月26日公布「人工智慧風險管理框架1.0」(Artificial Intelligence Risk Management Framework, AI RMF 1.0),該自願性框架提供相關資源,以協助組織與個人管理人工智慧風險,並促進可信賴的人工智慧(Trustworthy AI)之設計、開發與使用。NIST曾於2021年7月29日提出「人工智慧風險管理框架」草案進行公眾徵詢,獲得業界之建議包含框架應有明確之衡量方法以及數值指標、人工智慧系統設計時應先思考整體系統之假設於真實世界中運作時,是否會產生公平性或誤差的問題等。本框架將隨著各界使用後的意見回饋持續更新,期待各產業發展出適合自己的使用方式。

本框架首先說明人工智慧技術的風險與其他科技的差異,定義人工智慧與可信賴的人工智慧,並指出設計該自願性框架的目的。再來,其分析人工智慧風險管理的困難,並用人工智慧的生命週期定義出風險管理相關人員(AI actors)。本框架提供七種評估人工智慧系統之信賴度的特徵,包含有效且可靠(valid and reliable):有客觀證據證明人工智慧系統的有效性與系統穩定度;安全性(safe):包含生命、健康、財產、環境安全,且應依照安全風險種類決定管理上的優先次序;資安與韌性(secure and resilient);可歸責與資訊透明度(accountable and transparent);可解釋性與可詮譯性(explainable and interpretable);隱私保護(privacy-enhanced);公平性—有害偏見管理(fair – with harmful bias managed)。

本框架亦提出人工智慧風險管理框架核心(AI RMF Core)概念,包含四項主要功能:治理、映射(mapping)、量測與管理。其中,治理功能為一切的基礎,負責孕育風險管理文化。各項功能皆有具體項目與子項目,並對應特定行動和結果產出。NIST同時公布「人工智慧風險管理框架教戰手冊」(AI RMF Playbook),提供實際做法之建議,並鼓勵業界分享其具體成果供他人參考。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 美國國家標準與技術研究院公布人工智慧風險管理框架(AI RMF 1.0), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8974&no=64&tp=1 (最後瀏覽日:2026/07/02)
引註此篇文章
你可能還會想看
何謂「氣味商標」?

  商標權之意義本在於增進商品及服務的識別程度,促進消費者對特定品牌商品或服務的購買慾望,而商標權之立法目的在於維護市場公平競爭,促進工商企業正常發展;是以在社會快速變遷發展之下,各國亦逐漸開放商標之型態,從傳統之文字、圖型,乃至於聲音商標,發展至動態圖、全像圖,以及氣味商標等等。   以氣味申請商標之案例始於1990年美國的櫻桃香味機油(CHERRY SCENT, Registration)案;歐盟則是在1993年通過歐盟商標規則(European Community Trademark Regulation, CMTR)之後,方開放以氣味聲請為歐盟商標;歐盟成員國以英國為例,則是於1994年修正商標法(Trade-marks Act),接軌CMTR之規範後,於1996年首次通過玫瑰花香輪胎與啤酒味飛鏢遊戲之商標申請。   我國則是於2011年6月修正通過之商標法中,開放任何足以識別商品、服務來源之標示,皆可註冊商標,其中即包括氣味在內。至今(2016年8月)已有4項氣味商標取得商標權。   此外,於美國主導之國際經貿協定:環太平洋夥伴協定 (Trans-Pacific Partnership, TPP)中,亦要求其各締約方應盡最大努力接受氣味商標之註冊。是以可知,開放氣味型態之商標註冊已為國際趨勢,可以預期未來將會有更多國家開放氣味商標之註冊申請。

智慧聯網時代巨量資料法制議題研析-以美國隱私權保護為核心

Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。 依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應: 1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性; 2.實施並持續更新消費者資料近用限制相關政策和程序; 3.遠端近用資源和資料應使用多重要素驗證; 4.定期更新近用資源和資料的憑證; 5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料; 6.對所有儲存或傳輸的消費者資料進行加密; 7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。

英國資訊專員辦公室強調歐盟資訊保護改革成本充滿不確定性

  英國資訊專員辦公室進行獨立調查時發現, 1、40%的企業沒有充分認識提出的主要條文; 2、87%的企業無法估計公司中業務為因應改革可能支出的成本; 3、82%的受訪者是無法量化其當前資訊保護的開支; 4、在少數的大型組織觀測調查中發現,估計資訊保護的平均花費時常會受到扭曲; 5、當公司擁有超過250名員工或處理超過10萬筆個資紀錄時,絕大多數都已經聘請資訊保護專人; 6、重點業別包括服務業、金融保險業以及公共管理等,需要針對資訊管理有所計畫。   而調查報告在2013年5月14日於柏林舉辦的第三次歐洲資訊保護日會議中提出,資訊專員Christopher Graham表示「必須說,有少數人不同意為面臨21世紀的挑戰,而需要修訂歐洲資訊保護法。但真正進步之實現在於,今日或將來的法律面,針對個人資料有更好的體現。關鍵點在於確實地衡平理論面與執行面中資訊保護權利之平衡點。」   「已經談論過很多關於『什麼是最好的商業』,但這必須基於合法證據。此次的改革的結果會是非常重要的,我們希望敦促歐盟委員會可以考慮並將重點放在制定法律,為消費者提供真正的保障。」   「同樣的,企業和其他的利益相關者必須參與具建設性的義務與隱私權權利的重要性改革,在此過程中仍然可以受到影響」

TOP