經濟合作與發展組織(Organisation for Economic Co-operation and Development, OECD)於2023年2月23日發布《促進AI可歸責性:在生命週期中治理與管理風險以實現可信賴的AI》(Advancing accountability in AI: Governing and managing risks throughout the lifecycle for trustworthy AI)。本報告整合ISO 31000:2018風險管理框架(risk-management framework)、美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)人工智慧風險管理框架(Artificial Intelligence Risk Management Framework, AI RMF)與OECD負責任商業行為之盡職調查指南(OECD Due Diligence Guidance for Responsible Business Conduct)等文件,將AI風險管理分為「界定、評估、處理、治理」四個階段:
1.界定:範圍、背景、參與者和風險準則(Define: Scope, context, actors and criteria)。AI風險會因不同使用情境及環境而有差異,第一步應先界定AI系統生命週期中每個階段涉及之範圍、參與者與利害關係人,並就各角色適用適當的風險評估準則。
2.評估:識別並量測AI風險(Assess: Identify and measure AI risks)。透過識別與分析個人、整體及社會層面的問題,評估潛在風險與發生程度,並根據各項基本價值原則及評估標準進行風險量測。
3.處理:預防、減輕或停止AI風險(Treat: Prevent, mitigate, or cease AI risks)。風險處理考慮每個潛在風險的影響,並大致分為與流程相關(Process-related)及技術(Technical)之兩大處理策略。前者要求AI參與者建立系統設計開發之相關管理程序,後者則與系統技術規格相關,處理此類風險可能需重新訓練或重新評估AI模型。
4.治理:監控、紀錄、溝通、諮詢與融入(Govern: Monitor, document, communicate, consult and embed)。透過在組織中導入培養風險管理的文化,並持續監控、審查管理流程、溝通與諮詢,以及保存相關紀錄,以進行治理。治理之重要性在於能為AI風險管理流程進行外在監督,並能夠更廣泛地在不同類型的組織中建立相應機制。
德國聯邦政府(Bundesregierung)於2020年12月16日通過「提升資訊科技系統安全性的第二版法律(Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme)」草案,又稱「資訊科技安全法2.0(IT-Sicherheitsgesetz 2.0)」,該草案概述如下: (1)加強德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)權限: BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序,並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。 (2)加強消費者保護: 導入IT安全標籤(IT-Sicherheitskennzeichen),製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊;此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。 (3)加強企業作為義務: 關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務,該報告義務在草案中將擴張適用於具特定公共利益之公司,如與國防和保密資訊IT產業相關、具經濟上重要性的公司,以及受重大事故條例(Störfallverordnung, StöV)所規範者。 (4)加強國家保護功能: 國家應建立認證機制,並課予關鍵基礎設施的供應者通過該認證的義務,即供應者需確保其設施內的零件不具不適當的技術特性,尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。 該草案目前於德國聯邦議院(Deutscher Bundestag)進行審查。
歐盟針對數位革命之法制障礙展開討論歐盟布魯塞爾會議規劃組織(QED)在2016年12月針對第四次工業革命法制議題提出討論,呼應2016年4月歐盟執委會提出之歐洲產業數位化政策,加速標準建立,並且預計調整現行法律規制,著重於資料所有權、責任、安全、防護方面等支規定,討論重點如下: 1.目前面臨之法律空缺為何 2.歐洲產業數位化是否須建立一般性法律框架 3.標準化流程是否由由公部門或私部門負責 4.相容性問題應如何達改善途徑 5.資料所有權部分之問題如何因應 6.數位化之巨量資料應如何儲存與應用,雲端是否為最終解決方式 7.如何建立適當安全防護機制。 8.一般資料保護規則是否足以規範機器產生之數據 9.各會員國對於資料保護立法不同,其間如何調合朝向資料自由發展之方向進行 我國2016年7月由行政院通過「智慧機械產業推動方案」,期待未來朝向「智慧機械」產業化以及產業「智慧機械化」之目標進行,未來,相關法制配套規範,如個人資料保護、巨量資料應用、以及標準化等議題,皆有待進一步探討之必要。
單一顏色可否註冊成為商標? --- 英國知名巧克力品牌Cadbury成功將其招牌包裝用色「紫色」註冊為商標英國知名巧克力品牌Cadbury2004年10月向英國智慧財產局提出商標申請,欲將其招牌包裝用色(Pantone 2685C紫色)註冊為商標,指定使用於巧克力相關產品的包裝上,產品包含巧克力條、巧克力片、巧克力糖、包有內餡的巧克力、可可亞飲料、巧克力飲料、巧克力蛋糕。 自此,單一顏色是否可註冊成為商標之爭議不斷出現,努力長達將近8年,Cadbury終於今年4月在英國獲准將該紫色註冊成為商標。 註冊公告後Cadbury最大競爭對手Nestle(雀巢)旋即提出異議,其認為該紫色不具有識別性,且即便有識別性被核准註冊,其被賦予的商標權範圍亦過寬大(該紫色註冊商標指定使用之產品種類眾多)。 此顏色商標註冊爭議戰火持續燃燒,直至今年本月(10月),由英國高院(High Court)判決確認。法官首先說明單一顏色能做為商標保護標的,只要商標申請人明確定義清楚顏色色號(Pantone number)及顏色使用方式。此外,單一顏色註冊成為商標,商標權保護範圍應特別注意,僅限於使用該顏色時具有識別性之特定產品或服務上。 回到本案,法官提及Cadbury從1914年起即使用此紫色於牛奶巧克力棒(Dairy Milk bars),且Cadbury已提出足夠證據證明Pantone 2685C紫色具由識別性,相關消費者看到該紫色會聯想到Cadbury。然而,法官亦同時指出,對相關消費者而言,該紫色使用於牛奶巧克力及飲品時,方具有識別性,使用在其他巧克力相關產品上時,並不具有識別性,故法官就紫色註冊商標保護範圍進行了限縮。 針對判決結果,Cadbury高興地表示取得顏色商標對於品牌識別性及維護有正面作用,除了文字商標外,對品牌又多了一層保護。 此判決出爐後,似乎可預見日後將有更多品牌企業申請註冊顏色商標,加強品牌保護。
立法責令ISP業者留存紀錄之呼聲日益高漲立法強制 ISP 業者記錄客戶使用狀況以供日後調查之用,此等呼聲近來日形高漲。部分行政部門官員業已表態支持此一作為;另有數位國會議員亦主張,應儘速推動聯邦層級之立法,以協助執法部門對付兒童色情( child pornography )問題;甚至在科羅拉多州,目前已有相關法案進入該州參議會接受審理。 立法強制業者留存資料或記錄的作法,固然對於揭發犯罪繩之以法甚有裨益,但由於可能會讓警方得以取得電郵往來、網頁瀏覽、聊天記錄等向來可能經過幾個月之後就會刪除的資料,以致隱私保障人士以及 ISP 業者普遍對此甚感憂慮。歸納而言,其理由主為以下三點:第一,何人始有權限近用相關資料,探查他人上網行為之紀錄,仍待釐清;第二,存留該等資料所需空間勢必可觀,費用究竟由誰支應,亦屬未定;最後,現行法制是否對於警方辦案確實造成障礙,同樣有待探討。 美國司法部( the U.S. Department of Justice )去年即已逐步開始推動相關立法,而歐洲議會( the European Parliament )去年 12 月審議相關條文增修,要求 ISP 業者以及電信業者就其經手傳輸之所有電子訊息以及通話,均須保存相關紀錄 6 個月至 2 年之譜,更是引發諸多關注及討論。美國眾議院( the U.S. House of Representatives )能源商務委員會( the Committee on Energy and Commerce )監控調查組( the Subcommittee on Oversight and Investigations )預計本月 27 日將召開另一次聽證會,持續就此議題詳加探討。