OECD發布「促進人工智慧風險管理互通性的通用指引」研究報告

　　因應加密貨幣投資交易盛行，美國貨幣監理局（Office of the Comptroller of the Currency, OCC）於2020年7月22日發布一封解釋函，授權聯邦註冊銀行和聯邦儲蓄協會（federal savings associations）可為客戶的加密貨幣或數位資產提供保管服務，促使銀行持續發揮金融中介功能。此舉將有助於加密貨幣推動發展。 　　依據解釋函內容，聯邦註冊銀行和聯邦儲蓄協會若從事加密貨幣保管業務，主要注意要點包含必須制定健全的風險管理規範；所提供之服務須與銀行的整體業務計劃和策略一致；須以安全可靠之方式進行，包含建立適當系統以識別、衡量、監控和控制其保管服務的風險；審核帳戶是否符合洗錢防制法令；維持適當有效之內部控制制度；確保銀行所保管之資產與自有資產分開存放，並在共同控制的情況進行維護，以確保資產不會被內部或外部人員損失、毀損或挪用；維護有效之資訊安全基礎架構與控制措施，以減少駭客入侵、竊盜和詐騙；判斷是否需要專門的查核程序；提供可靠的財務報告，以及遵守相關法律規範。 　　貨幣監理局表示，加密貨幣保管服務，包含持有與加密貨幣相關連的密鑰，屬傳統銀行保管業務的延伸，為銀行業推動現代化營運的表現。隨著金融市場數位化，銀行與其他服務提供商將需要利用新技術和創新方式，以滿足客戶的金融服務需求。

紐西蘭眾議院（New Zealand House of Representatives）於2023年3月通過數位身分服務信任框架法案（Digital Identity Services Trust Framework Act，以下稱本法案），旨在建立數位身分信任制度。本法案為數位身份服務商提供自願認證計畫，政府將授予符合信任框架規範之服務商認證。數位經濟與通訊部（Minister for the Digital Economy and Communications）指出，數位身份目前缺乏一致的辨識標準，而信任框架的訂定將有助於緩解身份盜用、詐欺與隱私資料外流之風險。茲所附言，本法案如經總督簽署將於2024年生效。 蓋紐西蘭針對政府數位化與數位轉型已擬定多項計畫、策略，其中包含建構安全、分散且以用戶為中心的數位身份管理制度，而本法案的通過與施行將為上述制度奠定基礎，其特性說明如下： 一、去中心化資料儲存：數位身分資料傳遞是由資訊提供者（如政府、銀行或公用事業公司等持有個人資訊者）、用戶（資料所有者）與服務商三方形成連結網絡，而非源自集中保存身分資料之數據資料庫。 二、以用戶為中心：若用戶有驗證或提供身分資訊之需求，經過政府認證符合信任框架規範的服務商，可在用戶的許可與請求下，傳送相關資料給用戶指定之第三方（需求者）。 三、非強制性機制：紐西蘭政府將不會強制服務商、用戶及需求者使用依本法案所建構之數位身分信任機制。 四、交互認證：基於紐西蘭與澳洲的單一經濟市場議程（Single Economic Market, SEM），本法案將符合對應英國、澳洲與加拿大有關數位信任之規範，減少因法規差異產生之成本和歧視。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

德國經濟及氣候保護部科學顧問委員會於2023年2月8日公布《向氣候中和產業轉型：綠色領導市場和氣候保護協議》（Transformation zu einer klimaneutralen Industrie: Grüne Leitmärkte und Klimaschutzverträge）報告，擬透過綠色領導市場（Grüne Leitmärkte）和氣候保護協議（Klimaschutzverträge）兩種工具措施，在基礎⼯業中⼤規模推廣氣候中和⽣產技術。 科學顧問委員會指出，目前僅靠碳定價已無法調整在氣候保護面向的市場失靈問題，加上基礎工業（例如鋼鐵、水泥、合成氨等）的氣候友好型技術投資上缺乏經濟效益，因此政府需要採取額外措施來實現基礎工業的氣候中和。 綠⾊領導市場則是國家建立或支持以氣候中和⽅式⽣產的原物料（例如綠⾊鋼鐵）的市場，政府採購中可優先使⽤綠⾊原料，也可以透過監管措施，規定私⼈和企業在⼀定範圍內只能使⽤含有⼀定⽐例綠⾊原料的產品。氣候保護協議則是國家與企業間，就⽣產氣候友好型產品簽訂契約，保證企業將獲得15年的補償⾦，以補償採行氣候中和⽣產術所產生較⾼的成本，同時亦保護企業免受碳定價波動和其他⾵險的影響。