歐盟通過經濟安全關鍵技術領域建議,以利會員國進行關鍵技術風險評估
歐盟執委會(European Commission)於2023年10月3日公布「關於歐盟經濟安全關鍵技術領域之建議」(Recommendation on Critical Technology Areas for the EU’s Economic Security),以便與各會員國進行經濟安全關鍵技術之風險評估。該建議源自於歐盟於6月發布之「歐盟經濟安全戰略」(European Economic Security Strategy)目的在於地緣政治緊張之局勢下,將最大限度的減少經濟流動所帶來之風險,為歐盟經濟安全制定全面的戰略方針。此「建議」列出十大關鍵技術領域的清單,係根據以下標準進行風險評估:
(1)技術是有促成及轉型之本質(Enabling and Transformative Nature of the Technology)。
(2)民用與軍用融合技術之風險(The Risk of Civil and Military Fusion)。
(3)科技可能被用於侵害人權之風險(The Risk the Technology Could Be Used in Violation of Human rights)。
根據上述標準所列出十個關鍵技術領域後,其中有四個領域項目被認定是最敏感之技術領域,分別有半導體、人工智慧技術、量子技術及生物技術四大類別。
歐盟積極制定此計畫,以確保先進技術不落入敵國手中,減少對於如中國等國家單一供應商之依賴;歐盟預計於今年年底與會員國進行廣泛的風險評估,以確保下一步可能所採取的措施,可能包含出口管制及對外之審查投資,預計於2024年初提案。
本文為「經濟部產業技術司科技專案成果」
- Commission recommends carrying out risk assessments on four critical technology areas: advanced semiconductors, artificial intelligence, quantum, biotechnologies, European Commission, Oct 3, 2023
- COMMISSION RECOMMENDATION of 3.10.2023 on critical technology areas for the EU's economic security for further risk assessment with Member States, European Commission, Oct 3, 2023
- ANNEX to the Commission Recommendation on critical technology areas for the EU's economic security for further risk assessment with Member States, European Commission, Oct 3, 2023
劉心妍
副法律研究員 編譯整理
Commission recommends carrying out risk assessments on four critical technology areas: advanced semiconductors, artificial intelligence, quantum, biotechnologies, European Commission, Oct 3, 2023, https://ec.europa.eu/commission/presscorner/detail/en/IP_23_4735 (last visited Nov 1, 2023).
COMMISSION RECOMMENDATION of 3.10.2023 on critical technology areas for the EU's economic security for further risk assessment with Member States, European Commission, Oct 3, 2023, https://defence-industry-space.ec.europa.eu/system/files/2023-10/C_2023_6689_1_EN_ACT_part1_v8.pdf (last visited Nov 1, 2023).
ANNEX to the Commission Recommendation on critical technology areas for the EU's economic security for further risk assessment with Member States, European Commission, Oct 3, 2023, https://defence-industry-space.ec.europa.eu/system/files/2023-10/C_2023_6689_1_EN_annexe_acte_autonome_part1_v9.pdf (last visited Nov 1, 2023).
阮韻蒨,〈美國白宮發布「國家安全策略」〉,《科技法律透析》,第35卷第6期,頁4(2023)。
吳彬詣,〈美國《2022保護美國智慧財產權法》之簡析與我國國家核心關鍵技術營業秘密之借鏡〉,《科技法律透析》,第35卷第8期,頁48~72(2023)。
陳奕夫,〈美國歐盟貿易和技術委員會發布第四次聯合聲明,強化高科技技術及貿易安全合作〉,資訊工業策進會科技法律研究所,2023/6,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9019(最後瀏覽日:2023/11/1)。
科法觀點
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施: (1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。 (2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。 (3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。 (4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。 (5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。 CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
美國總統拜登簽署「改善國家網路安全」行政命令美國總統拜登於2021年5月12日簽署「改善國家網路安全」總統行政命令(Executive Order on Improving the Nation’s Cybersecurity),旨在增進美國政府與私部門在網路安全議題的資訊共享與合作,以加強美國對事件發生時的因應能力。本命令分從數個面向達成前述目標,分別為: (1)情資共享之強化:消除威脅政府與私部門之間資訊共享的障礙,要求IT與OT服務者偵測到可疑動態時,與政府共享相關資訊與相關安全漏洞資料,簡化並提高服務商與聯邦政府系統服務合約之資安要求。 (2)現代化聯邦政府網路安全:針對聯邦政府網路,建構更現代化與嚴格的網路安全標準,並採取零信任架構,例如應強化雲端服務與未加密資訊之共享機制,包括由公眾直接透過WiFi連網取得或下載之資訊網頁等,針對其建構安全機制、更新加密金鑰與建構新的安全工具。 (3)強化軟體供應鏈安全:提高軟體供應鏈安全性,包括要求開發人員提高其軟體透明度、公開安全資料、利用聯邦資源促進軟體開發市場,以及建構軟體認證,使市場更容易確定該軟體的安全性。 (4)建立資安審查委員會:建立由公私部門共同合作的資安審查委員會(Cybersecurity Safety Review Board),針對重大資安事件做及時的回應、,並進行獨立第三方之審查與建議。 (5)標準化聯邦政府應對資安弱點及資安事件的教戰手冊:建構聯邦政府因應資安事件之資安事件教戰手冊,使聯邦政府得以及時並一致地回應網路攻擊事件。 (6)改進對聯邦政府網路資安弱點及資安事件之偵測:清查聯邦政府端點,改善聯邦政府對資通安全事件的偵查能力,並進一步布建強大的端點監測和回應系統(Endpoint Detect and Response, EDR)。 (7)提升聯邦政府調查與補救之能力:提升資訊安全事件調查與補救能力,並透過更頻繁與一致的資安事件日誌來減緩駭客對聯邦政府網路的入侵。 (8)建制國家安全系統:要求聯邦政府部門採用符合相關網路安全要求之國家安全系統。 本行政命令是美國政府在美國油管遭駭事件後,對相關事件之具體因應。本行政命令雖主要著眼於聯邦政府的網路安全,但亦透過總統行政命令鼓勵私部門在網路安全核心服務上加強合作與投資。預計美國在此總統行政命令基礎上,將有進一步強化公私合作的措施與資源挹注。
日本發布利用AI時的安全威脅、風險調查報告書,呼籲企業留意利用AI服務時可能造成資料外洩之風險日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。 隨著生成式AI的登場,日常生活以及執行業務上,利用AI的機會逐漸增加。另一方面,濫用或誤用AI等行為,可能造成網路攻擊、意外事件與資料外洩事件的發生。然而,利用AI時可能的潛在威脅或風險,尚未有充分的對應與討論。 本調查將AI區分為分辨式AI與生成式AI兩種類型,並對任職於企業、組織中的職員實施問卷調查,以掌握企業、組織於利用兩種類型之AI時,對於資料外洩風險的實際考量,並彙整如下: 1、已導入AI服務或預計導入AI服務的受調查者中,有61%的受調查者認為利用分辨式AI時,可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。 2、已導入AI利用或預計導入AI利用的受調查者中,有57%的受調查者認為錯誤利用生成式AI,或誤將資料輸入生成式AI中,有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。 日本調查報告顯示,在已導入AI利用或預計導入AI利用的受調查者中,過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務,或未來預計導入AI服務之我國企業,如欲強化AI資料的可追溯性、透明性及可驗證性,可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範;如欲避免使用AI時導致營業秘密資料外洩,則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範,以降低AI利用可能導致之營業秘密資料外洩風險。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國國際貿易委員會(USITC)發布「全球數位貿易報告」,推動數位經濟新機會2014年8月,美國國際貿易委員會(USITC)發布「美國與全球經濟體之數位貿易」政策報告,該報告係應美國國會參議院財政委員會(Senate Committee on Finance)之要求所進行之調查,期能夠深入了解數位貿易(Digital Trade)在美國與全球經濟體之間的發展,無論係透過網際網路(Internet)所進行之在地化商業行為抑或國際貿易,能夠有效指認出阻礙美國進入全球數位貿易市場之阻礙。 報告指出,數位貿易當有助於整體經濟之正面發展,例如促進通訊、加快商業交易、增進資訊近取,並能夠增進中小企業之市場機會。然而,根據所回收之調查數據顯示,目前存在著影響國際間數位貿易若干法制障礙,分別為:在地化的要求(localization requirements)、市場進入的限制(market access limitations)、資料隱私與保護規範要求(data privacy and protection requirements)、智慧財產權侵害(IPR infringement)、不確定之法律責任(uncertain legal liability)、公部門網路管制(censorship),以及在地消費者之不同要求(compliance with customs requirements)。 然而,報告也指出十項對於企業與消費者的新機會: 第一,在內容產業,將有助於扶持獨立的創作者;第二,在旅遊與住宿產業,可促進更佳的利用率;第三,網際網路有助降低求職摩擦,降低失業率;第四,增進線上服務之合作與整合,例如應用軟體介面經濟面之貢獻;第五,保險產業界運用巨量資料分析帶動之創新發展;第六,透過M2M通訊,改善製造流程;第七,農業界之數位創新;第八,網路使用者之資料蒐集,在隱私權考量與相關正面效益間取得平衡;第九,增進美國網路公司之全球競爭力;第十,促進中小企業之出口。 因此,對於欲進軍全球聯網市場之我國資通訊高科技業者來說,應當留意相關之法制障礙,遵循不同國家之法律規範,掌握聯網新興科技所帶動之下一波龐大商機。