日本經產省提出創新政策落實方向

　　美國網路購物龍頭業者亞馬遜（Amazon）於2010年3月宣布，肇因於科羅拉多州（Colorado）最新通過的網路稅法，該公司將中止與科羅拉多州當地網路業者之間的合作關係，消息披露後，隨即對4000位以上科羅拉多州民眾之生計產生劇烈影響。   　　亞馬遜於全美各州均推動所謂的「亞馬遜合夥事業」（Amazon Associates），參加此一合作模式的各州網路業者，只要網路使用者透過業者建置的網路連結而於亞馬遜網站進行消費時，業者便可自亞馬遜收取特定之佣金。而亞馬遜此次選擇退出科羅拉多州前，事實上該公司亦曾因網路課稅問題，而陸續退出北卡羅來納州（North Carolina）與羅得島州（Rhode Island）之網路購物市場。   　　然而，相較於先前北卡羅來納州與羅得島州網路營業稅課徵之對象，以設籍於該州的網路業者為主；此次科羅拉多州（Colorado）通過的新法，應被徵收營業稅之網路業者，則不以設籍該州為限，凡與該州居民進行交易而設籍於其他州的網路業者，亦須向該州納稅。同時，科羅拉多州當地居民進行網路購物時，將須繳交2.9％之網路消費稅。   　　亞馬遜表示，新法將使迫使該公司每年上繳約460萬元的稅額，以彌補科羅拉多州現階段13億元之預算赤字。無獨有偶，深受預算赤字所苦的加州，近來亦積極討論應否制定網路稅法，支持者表示新法若順利通過，可望每年為州政府貢獻超過1.5億美元的稅收，有助於彌補該州高達20億美元之預算缺口。

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　歐盟執委會人工智慧高級專家小組（High-Level Expert Group on Artificial Intelligence）於2019年4月8日公布「具可信度之人工智慧倫理指引」（Ethics Guidelines For Trustworthy AI）。該指引首先指出，具可信度之人工智慧需具備三個關鍵特徵：（1）合法（Lawful）：應遵守所有適用於人工智慧之法規；（2）合乎倫理（Ethical）：確保人工智慧符合倫理原則與價值；（3）健全（Robust）：自技術與社會層面觀之，避免人工智慧於無意間造成傷害。 　　該指引並進一步指出人工智慧應遵守以下四項倫理原則： (1) 尊重人類之自主權（Respect for Human Autonomy）：歐盟之核心價值在於尊重人類之自由與自主，與人工智慧系統互動之個人，仍應享有充分且有效之自我決定空間。因此，人工智慧之運用，不應脅迫、欺騙或操縱人類，人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害（Prevention of Harm）：人工智慧不應對人類造成不利之影響，亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性，技術上則應健全，且確保不會被惡意濫用。此外，弱勢族群應於人工智慧運用中受到更多關注，並被視為服務對象。 (3) 公平（Fairness）：人工智慧系統之開發、布建與利用，必須具備公平性。除了透過實質承諾與規範，進行平等與公正之利益與成本分配外，亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害，並可對人工智慧之自動化決策結果提出質疑，且獲得有效之補救。 (4) 可解釋性（Explicability）：人工智慧應盡量避免黑箱（Black Box）決策，其系統處理程序須公開透明，並盡可能使相關決策結果具備可解釋性，分析特定訊息可能導致之決策結果，此外亦需具備可溯性且可接受審核。

　　美國國會於今年（2009）11月18日提出「聯邦檔案安全分享法案（Secure Federal File Sharing Act）」，內容主要是限制所有政府部門員工（包含約聘制人員），在未經官方正式同意之前，不得下載、安裝或使用任何點對點傳輸（Peer to Peer, P2P）軟體。期望藉由該法案的通過實施，徹底防堵政府及相關個人機敏資料的外洩。 　　該法案的制定，最初來自於政府部門對其財務資料保護的要求，早於2004年白宮管理及預算辦公室（The White House Office of Management and Budget）即已建議聯邦政府的各個單位應禁止其職員使用P2P軟體，以防止資料外洩。而於將近一個月前，國會道德委員會取得多位國會議員的財務狀況、經歷及競選贊助金額，並作成調查報告，未料一位新進職員將該份未經加密保護的報告存於自家裝有前述P2P軟體的電腦硬碟中，從而導致該份報告內容全部外洩。此一事件立即對向來注重政府及個人資料保護的美國投下了震撼彈，也促使該法案正式浮出檯面。 　　歐此項法案的提出毫無意外地得到視聽娛樂產業界的正面支持。主因來自多數人藉由此種軟體在網際網路上分享音樂、影片或其他應用軟體，時常侵害他人的智慧財產權，而法案的內容則是要求政府部門員工無論是在工作或是家中使用P2P軟體都須取得官方授權，無疑是直接限制了上述的分享行為。娛樂業者更進一步指出，P2P軟體對資訊安全的危害在於多數人無法明確知道該軟體的運作方式，而無法對其做正確的設定，使得軟體一旦被啟動，電腦內的所有資料：包含個人的社會安全卡號碼、醫療及退稅紀錄等，就立即暴露於網際網路之中！對此，除了推動此項法案的官員大聲疾呼：「用個人自律的方式防止資料外洩已經失敗，證明國會應該有所行動。 　　美國錄音產業協會（Recording Industry Association of America）則是預測前述國會調查報告的外洩，將會是資安法案重整的強力催化劑。