美國白宮呼籲採取行動，打擊利用AI生成影像進行之性虐待行為

　　2014年2月12日，美國發表「網路安全框架(Cybersecurity Framework)」，該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成，其蒐集了全球現有的標準、指引與最佳實務作法，最後由國家標準技術局（National Institute of Standard and Technology, NIST）彙整後所提出。 　　本框架主要可分成三大部份： 1.框架核心（Framework Core） 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期，藉由這五項功能的要求項目與參考資訊的搭配運用，可使組織順利進行網路安全管理。 2. 框架實作等級（Framework Implementation Tiers） 共分成局部（Partial）、風險知悉（Risk Informed）、可重複實施（Repeatable）、合適（Adaptive）四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察，瞭解組織目前的安全防護等級。 3. 框架側寫（Framework Profile） 框架側寫係組織依照本框架實際操作後所產出的結果，可以協助組織依據其企業需求、風險容忍度，決定資源配置的優先順序，進一步調整其網路安全活動。 　　此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考，而針對已有建立網路安全架構者，該框架並未意圖取代組織原先的風險管理程序和網路安全計畫，而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。

從美國政府責任署建議國防部應改善其處理智慧財產的方式初探美國國防部之智財管理 資訊工業策進會科技法律研究所 2022年2月15日 　　根據美國政府責任署（U.S. Government Accountability Office，下稱GOA）於去（2021）年12月發布的報告指出，美國國防部（U.S. Department of Defense，下稱DOD）對智慧財產的管理能力不足，可能降低任務準備程度並導致維運軍武的成本飆升[1]。本文將簡介GOA報告的發現，聚焦於DOD的智財管理情況，藉此一窺美國國防部的智財管理模式。 壹、事件摘要 　　美國國會於2018年通過《國防授權法案》（National Defense Authorization Act，簡稱NDAA），裁示DOD建立智財取得及授權政策，DOD據此訂定其智財指令、規劃智財權責單位、人員及相關培訓機制，嗣後國會於2021年委請GAO檢視DOD之智財指令及其執行情況。 貳、重點說明 一、DOD的智財指令 　　DOD依據以下智財相關法規，設定其智財指令，如：使小型企業、大學和其他非營利組織可保留其發明之專利權的《拜杜法》（Bayh-Dole Act）[2]、授予無論規模大小所有聯邦締約方全部或部分由聯邦資金所獲得的專利權之12,591號行政命令[3]，以及要求DOD應訂定相關規範以解決和締約方間技術資料的相關權利之《國防採購改革法案》（Defense Procurement Reform Act）[4]等，並強調六項核心原則[5]： 1.將智慧財產權規劃整合到採購策略中，以考量對競爭力和可負擔性的長期影響。 2.確保採購專業人員具備履行公務所需的相關智財知識，以支援智財採購規劃期間內進行關鍵的跨職能協調。 3.對智財可交付成果和相關授權進行特別協商，相較標準授權能更有效地平衡DOD和產業界間的利益。 4.就預期智財和維運目標與產業界進行明確有效的溝通。 5.尊重和保護私部門和政府資助的智慧財產權。 6.政府必須確保締約方所交付之智財成果和有相應的授權。 二、GAO檢視DOD之智財指令執行結果 　　應國會要求，GAO對DOD的智財指令進行通盤檢視，並對智財權責單位、人員及負責培訓之機構展開調查，訪談相關人員指令的實際執行情況，其檢視結果如下： （一）DOD的智財指令不足以促進其取得智財的製程細節或處理資料權利之能力 　　DOD智財指令雖整合取得、授權智財的相關法規和指引等要求，並強調其核心原則，然該指令和DOD其它相關的內部指令仍未有更明確的內容可解決取得細部製程或處理資料權利的問題。DOD通常會為其新銳軍武器系統－包含電腦軟體、技術資料、用戶手冊等取得或註冊智財權，而DOD智財指令所指的技術資料，是包括任何科學或技術性質的記錄資訊，如：產品設計或維護資料和電腦軟體檔案（含：執行程式碼、開源碼、程式碼清單、設計細節、流程、流程圖等）；但常未同步取得用於運行和維護武器系統的智財，如：細部製程或技術資料等[6]，倘若未及早取得或獲得相關授權，可能影響軍武系統的操作和維護，從而影響武器的競爭力，並增加管理成本[7]。 　　實際上，GAO已接獲因技術資料取得問題而對任務有不良影響的報告：2021年7月F-35計劃因維修供應商取得的技術資料不足以滿足維護需求，使關鍵的引擎維修時間比預期的更久；2020年3月部分海軍艦艇計劃的維護作業也因缺乏技術資料出問題，而上述情況若在計畫前期就確認包含技術資料和細部製程等所需智財，並在採購過程中及早規劃取得，可因此節省後續衍生的數十億美元維護成本[8]。 （二）DOD尚未為智財人員訂定完善的策略、人員配置規劃和投注足夠的資源，以充分履行智財指令所規定的廣泛職責 　　根據GOA的調查與訪談相關人員，智財人員在以下情況都面臨不確定性： 1.資金和人員配置 　　DOD目前計劃在2023財會年度前，為智財主任及其在國防部長辦公室（Office of the Secretary of Defense，下稱OSD）的團隊提供五個職位的資金，但其中四個為臨時職位，這可能在招聘人才的過程中造成反效果，不利於未來的人員配置。 2.連結其他計劃專家支援不足之處 　　OSD的智財人員希望DOD中其他計畫的智財專家庫能提供支援，協助訂定智財策略並與承包商進行談判等事宜，但DOD尚未針對 OSD智財團隊將如何和其他專家合作提出具體作法。 3.專業知識 　　DOD的智財指令指出智財人員應該具備：採購、擬定契約、工程學、法律、後勤、財務分析以及估值等領域的專業知識，但受訪談的人員表示，該部門目前在智財權估值和財務分析這兩個關鍵領域仍有不足，仍須進行補強[9]。 （三）智財培訓涵蓋多項活動但未安排優先順序，且未具體確定哪些人員應該接受培訓 　　DOD的智財培訓由其設立的美國國防武獲大學（Defense Acquisition University，又譯為國防軍需大學，下稱 DAU）執行，該大學專為國防相關之政府人員、承包商提供採購、技術和後勤等專業培訓[10]。為改善智財培訓，DAU展開為5年期的智財策略計畫，計有60多項活動待執行，但該策略計劃缺乏重點，沒有排出活動的優先順序，也未具體提出DOD的哪些智財人員應該接受培訓[11]。 （四）DOD須致力發展追蹤已取得／授權智財之後續使用情況的能力 　　DOD目前的智財指令指示相關政府單位須管理智財相關的契約及智財文件，以避免在採購智財及其相關授權時重複採購，或隨時間流逝而喪失智財權，然而根據訪談結果，相關人員表示DOD採購極大量的智財或相關授權，但不具備追蹤各個智財獲授權使用情形的能力[12]。 三、GAO對DOD的建議 　　GAO彙整其檢視DOD智財指令執行情況的結果後，對DOD提出下列四個建議[13]，建議內容不外乎是指定與智財管理相關的重要項目須指定負責人，且該負責人須為對應智財相關單位的較高管理階層，確保待改善項目有監督與執行者。 （一）完善智財指南 　　採購及維護次長（The Under Secretary of Defense for Acquisition and Sustainment）應確保DOD智財指南已闡明DOD人員將如何取得細部製程或技術資料。 （二）確保跨部門合作與資源連結 　　國防部長（The Secretary of Defense)應確保部長辦公室和各部門所需的合作、人員配置和資源，以連結各計畫智財相關專家、人員。 （三）確認智財活動優先順序 　　採購助理部長（Assistant Secretary of Defense for Acquisition）應確保智財主任（Director of the IP Cadre）與DAU主席合作，為DAU在2023年至2025年間主責與智財相關活動確定優先順序。 （四）確保智財培訓效益 　　採購助理部長（Assistant Secretary of Defense for Acquisition）應確保智財主任訂定補充指引，以協助部門負責人和採購職業管理主任（Director of Acquisition Career Management，DACM）確定國防部人員在關鍵專業領域接受之智財培訓和取得的證書能使其有最大的獲益。 參、事件評析 　　綜觀GAO的檢視結果，雖然DOD的智財管理仍有改善空間，但以足見美國聯邦政府對其智財管理之重視程度，不僅指示部會自行管理智財，更透過部會外的公正單位，從規範到組織實際執行情況進行通盤檢視；而部會內部對於智財管理的程度，已經從訂定和整合智財相關規範，進一步到落實在日常任務中，不只重視部會所需技術本身的智財取得或保護，更欲推進到策略計劃前期，將維護軍武相關的細部製程和技術資料等相關內容及權利也納入採購範圍，甚至為此盤點智財所需的專業能力、規劃培訓專門人員，以促進智財管理的量能，其對智財管理深化及重視的程度值得我國借鏡。 [1] GAO, Defense Acquisitions: DOD Should Take Additional Actions to Improve How It Approaches Intellectual Property, (Nov. 30, 2021), available at https://www.gao.gov/products/gao-22-104752 (last visited Feb. 7, 2022) [2] The Patent and Trademark Law Amendments Act of 1980 (Bayh-Dole Act), 35 U.S.C.§§ 200–211, 301–307. [3] President’s Memorandum to the Heads of the Executive Departments and Agencies,Government Patent Policy (Feb. 18, 1983); Exec. Order No. 12,591, § 1(b)(4), 52 Fed. Reg. 13,414 (Apr. 10, 1987) [4] Defense Procurement Reform Act, 1984, Pub. L. No. 98-525, § 1201. [5] Supra note 1, 17-18. [6] Id., 7, footnote 21. [7] Id., 1. [8] Id., 1. [9] Id., 24-28. [10] DAU, About DAU, at https://www.dau.edu/about (last visited Feb., 7, 2022) [11] Id., 29-30. [12] Id., 32-33. [13] Id., 33-34.

　　5G汽車協會（5G Automotive Association, 5GAA）於2020年8月24日發布「弱勢道路使用者保護白皮書」（Vulnerable Road User Protection），點出目前道路交通安全對相關道路使用者保護不足，同時揭示未來車聯網（V2X）可提供整體用路人更安全之道路交通環境。 　　白皮書指出，道路安全是交通政策關鍵，應透過科技技術與政策制定，共同實現道路安全目標。而根據目前統計數據，弱勢道路使用者（Vulnerable Road User，以下簡稱VRU），包含：「行人」、「騎自行車者」、「騎電動車者」、「道路施工者」、「輪椅使用者」及「滑板或是單輪車使用者」，其占交通事故之傷亡比例最高，幾乎超過半數之死亡人數均為VRU，未來更可能因環境或與健康因素，使道路交通使用者數量不斷提升，對VRU之保護將成為未來各國交通之關鍵。 　　技術層面，則是車輛感測器偵測VRU、路側設備（Roadside Unit, RSU）、行動邊緣計算技術（Mobile Edge Computing, MEC）等，並進一步應用於車聯網下之不同案例情況：（1）高度風險區域：例如車輛進入行人密度極高的地區，透過感測器發出警訊，以即時警惕人車彼此存在，降低視線死角之事故發生率。（2）VRU與車輛透過裝置溝通：如車輛與VRU之間透過手機等設備傳輸相關資料並通訊。（3）車輛透過安全演算系統與VRU及各項設施交換訊息：此項涉及車聯網通訊應用下，車與車（V2V）和車與交通基礎設施（V2I）通訊，透過C-V2X PC5通訊技術軟體，使車輛、基礎設施與VRU之隨身電子設備之間得以進行通訊，降低事故碰撞發生。 　　綜上，未來應建立國際通用的車聯網之弱勢道路使用者保護標準，而非因區域而不同之標準，如目前美國汽車工程師協會之個人安全訊息標準（Personal Safety Messages, SAE PSM）及歐盟電信標準協會之弱勢道路使用者分布（Vulnerable Analysis Mapping , ETSI VAM），兩者在保護上即有所差異。VRU之保護服務是未來車聯網應用之關鍵與道路交通安全核心目標之一，相關系統與感測技術亦在不斷提升，未來更能融合感測器技術，並預測行人可能路徑，將全面提升道路安全。

　　美國聯邦上訴法院哥倫比亞巡迴分院（US Court of Appeals for the District of Columbia Circuit）於2010年1月12日，針對網路中立議題召開口頭辯論聽證會。該案上訴人為美國目前電視及網路服務市佔率最高的Comcast所提出，系爭案由為聯邦通信委員會（Federal Communication Commission, FCC）於2008年禁止網路服務提供者（Internet Services Provider, ISP）限制其用戶使用BitTorrent。 　　BitTorrent為一種常見的點對點傳輸程式，多用以線上檔案分享。該公司認為，FCC並沒有足夠的權力要求其不分用戶等級，全部提供毫無限制的服務；而FCC卻從保護消費者及網路應開放自由進入的角度辯述，從而使FCC是否有權力規範網路中立（Internet Neutrality）之議題邁入更激烈的討論。 　　所謂「網路中立」，意指網路服務提供者不得因傳送或下載資訊種類差異而提供不平等的流量服務。早在2005年，FCC即有一套管制網路服務提供者侵害網路中立的審查標準，但該標準並非為一體適用的法律位階，而FCC是否得依職權制定網路中立的規範，一直以來亦有所爭議，是故此次其與Comcast對簿公堂，FCC最終目的即是在尋求法院之見解，希冀獲得聯邦法院的支持而使其立法行動名正言順。 　　對此，聯邦最高法院原則上認同FCC以往對於「資訊服務」的見解，亦即，由於傳統電信服務往往與重大基礎建設相關，尤其是網路開放接取的相關規定，FCC應提高其管制密度；而屬低度管制的資訊服務（Lightly Regulated Information Service）則不應與電信服務有相同的對待；是故Comcast據認在網路中立尚未有明確權責規劃前，FCC實無權插手管控Comcast所提供之資訊服務。此外，該公司亦提出，類似BitTorrent的點對點傳輸應用程式往往用於大量檔案的交換，無限制地提供所有用戶使用，不但造成整體網路服務效能下降，由於傳輸的內容往往為影音檔案，亦間接侵害了Comcast本身的電視業務。 　　對此，雙方目前仍各執一詞，由於案件目前尚在上訴法院審理，FCC此次投石問路的策略是否成功還在未定之天，但可以確定的是，不論法院的見解為何，網路中立的爭議恐將持續發酵，並對後續網路服務提供之發展產生一定影響。