美國FDA醫療器材與放射健康中心發布2024財政年度醫療器材指引

英國技術大臣（U.K. Secretary of State for Science）蜜雪兒·多尼蘭（Michelle Donelan）和美國商務部長（U.S. Secretary of Commerce）吉娜·雷蒙多（Gina Raimondo）於2024年4月1日在華盛頓特區簽署一份合作備忘錄（MOU），雙方將共同開發先進人工智慧（frontier AI）模型及測試，成為首批就測試和評估人工智慧模型風險等進行正式合作之國家。 此備忘錄之簽署，是為履行2023年11月在英國的布萊切利公園（Bletchley Park）所舉行的首屆人工智慧安全峰會（AI Safety Summit）上之承諾，諸如先進AI的急速進步及濫用風險、開發者應負責任地測試和評估應採取之適當措施、重視國際合作和資訊共享之必要性等等，以此為基礎羅列出兩國政府將如何在人工智慧安全方面匯集技術知識、資訊和人才，並開展以下幾項聯合活動： 1.制定模型評估的共用框架（model evaluations），包括基礎方法（underpinning methodologies）、基礎設施（infrastructures）和流程（processes）。 2.對可公開近用模型執行至少一次聯合測試演習（joint testing exercise）。 3.在人工智慧安全技術研究方面進行合作，以推進先進人工智慧模型之國際科學知識，並促進人工智慧安全和技術政策的一致性。 4.讓英、美兩國安全研究所（AI Safety Institute）間的人員互相交流利用其團體知識。 5.在其活動範圍內，依據國家法律、法規和契約規定來相互共享資訊。 換言之，兩國的機構將共同制定人工智慧安全測試之國際標準，以及適用於先進人工智慧模型設計、開發、部署、使用之其他標準。確立一套通用人工智慧安全測試方法，並向其他合作夥伴分享該能力，以確保能夠有效應對這些風險。就如英國技術大臣蜜雪兒·多尼蘭強調的，確保人工智慧的安全發展是全球性問題，只有通過共同努力，我們才能面對技術所帶來的風險，並利用這項技術幫助人類過上更好的生活。

經濟合作發展組織（Organisation for Economic Co-operation and Development，下稱OECD）於2023年11月公布「促進AI風險管理互通性的通用指引」（Common Guideposts To Promote Interoperability In AI Risk Management）研究報告（下稱「報告」），為2023年2月「高階AI風險管理互通框架」（High-Level AI Risk Management Interoperability Framework，下稱「互通框架」）之延伸研究。 報告中主要說明「互通框架」的四個主要步驟，並與國際主要AI風險管理框架和標準的風險管理流程進行比較分析。首先，「互通框架」的四個步驟分別為： 1. 「定義」AI風險管理範圍、環境脈絡與標準； 2. 「評估」風險的可能性與危害程度； 3. 「處理」風險，以停止、減輕或預防傷害； 4.「治理」風險管理流程，包括透過持續的監督、審查、記錄、溝通與諮詢、各參與者的角色和責任分配、建立問責制等作法，打造組織內部的風險管理文化。 其次，本報告指出，目前國際主要AI風險管理框架大致上與OECD「互通框架」的四個主要步驟一致，然因涵蓋範圍有別，框架間難免存在差異，最大差異在於「治理」功能融入框架結構的設計、其細項功能、以及術語等方面，惟此些差異並不影響各框架與OECD「互通框架」的一致性。 未來OECD也將基於上述研究，建立AI風險管理的線上互動工具，用以協助各界比較各種AI風險管理框架，並瀏覽多種風險管理的落實方法、工具和實踐方式。OECD的努力或許能促進全球AI治理的一致性，進而減輕企業的合規負擔，其後續發展值得持續追蹤觀察。

　　根據2005年一項統計調查指出，員工超過一千人的公司中，36.1％對員工從公司內部外寄的電子郵件加以監視，而同時亦有26.5％的公司正準備對員工由公司內部發送的電子郵件加以監視。若是以員工超過二萬人的公司來看，更有高達40％的公司已然利用過濾科技對員工外寄的電子郵件加以監視，而正準備利用相關科技對員工外寄的電子郵件加以監視的公司亦高達32％。 　　然而根據歐洲人權法院近日所做出的判決，不論公司是否訂有清楚的員工使用政策，一旦公司並未告知員工其在公司內的通訊或電子郵件往來可能會受到公司的監視，則該公司將可能違反歐洲人權公約(European Convention on Human Rights)。 　　該案例乃是由於一位任職於英國南威爾斯之卡馬森學院(Carmarthenshire College)的員工—Lynette Copland發現自己的網路使用情形及電話均遭到工作單位之監視，憤而向歐洲法院提出告訴。由於卡馬森學院並未提醒員工在工作場合之電子郵件、電話或其他通訊可能遭到監視，因此Lynette Copland之律師主張當事人在工作場合之電話、電子郵件、網路使用等其他通訊都應具有合理的隱私權期待，而受到歐洲人權公約第8條的保障。歐洲法院判決Lynette Copland可獲得約5910美元之損害賠償以及1,1820美元之訴訟費用。

　　歐盟為提升網路數位化產品之安全性，解決現有網路安全監管框架差距，歐盟執委會於2022年9月提出《網路韌性法案》（EU Cyber Resilience Act）草案，對網路供應鏈提供強制性網路安全標準，並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標： 　　1.確保製造商對於提升產品之網路安全涵蓋整個生產週期； 　　2.為歐盟網路安全之合法性創建單一且明確之監管架構； 　　3.提高網路安全實踐之透明度，以及製造商與其產品之屬性； 　　4.為消費者和企業提供隨時可用之安全產品。 　　《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時，須滿足法規要求之網路安全標準，始得於市場上銷售，並應提供清晰易懂之使用說明予消費者，使其充分知悉網路安全相關資訊，且至少應於五年內提供安全維護與軟體更新。 　　《網路韌性法案》將所涵蓋之數位化產品分為三種類別（產品示例可參考法案附件三）：I類別、II類別，以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別，須遵守法規要求之安全標準或經由第三方評估；II類別為與網路安全漏洞具密切關連之高風險產品，須完成第三方合格評估始符合網路安全標準；預設類別則為無嚴重網路安全漏洞之產品，公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品，惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。 　　若製造商未能遵守《網路韌性法案》之基本要求和義務，將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。