日本發布利用AI時的安全威脅、風險調查報告書,呼籲企業留意利用AI服務時可能造成資料外洩之風險
日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。
隨著生成式AI的登場,日常生活以及執行業務上,利用AI的機會逐漸增加。另一方面,濫用或誤用AI等行為,可能造成網路攻擊、意外事件與資料外洩事件的發生。然而,利用AI時可能的潛在威脅或風險,尚未有充分的對應與討論。
本調查將AI區分為分辨式AI與生成式AI兩種類型,並對任職於企業、組織中的職員實施問卷調查,以掌握企業、組織於利用兩種類型之AI時,對於資料外洩風險的實際考量,並彙整如下:
1、已導入AI服務或預計導入AI服務的受調查者中,有61%的受調查者認為利用分辨式AI時,可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。
2、已導入AI利用或預計導入AI利用的受調查者中,有57%的受調查者認為錯誤利用生成式AI,或誤將資料輸入生成式AI中,有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。
日本調查報告顯示,在已導入AI利用或預計導入AI利用的受調查者中,過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務,或未來預計導入AI服務之我國企業,如欲強化AI資料的可追溯性、透明性及可驗證性,可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範;如欲避免使用AI時導致營業秘密資料外洩,則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範,以降低AI利用可能導致之營業秘密資料外洩風險。
本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
王柏元
副法律研究員 編譯整理
IPAテクニカルウォッチ「AI利用時のセキュリティ脅威・リスク調査報告書」,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/reports/technicalwatch/20240704.html,最後瀏覽日:2024年8月3日。
AI利用時のセキュリティ脅威・リスク調査調査報告書,独立行政法人情報処理推進機構セキュリティセンター企画部調査グループ,https://www.ipa.go.jp/security/reports/technicalwatch/eid2eo00000022sn-att/report.pdf,最後瀏覽日:2024年8月3日。
2007年3月舊金山聯邦法院受理Oracle軟體公司對競爭對手SAP及其關係企業TomorrowNow提出濫用電腦詐欺、商業間諜行為告訴。 Oracle公司表示,自2006年底起便發現公司網站中與PeopleSoft、J.D. Edwards有關的客戶支援與維護部分出現流量暴增的現象。犯罪者冒用客戶的ID進入網站中竊取重要軟體與資料,目前已發現超過一千萬筆的違法下載紀錄,而犯罪者IP位址是來自於SAP德州辦公室所在地。 訴狀中指出,SAP員工涉嫌冒用多名PeopleSoft及J.D. Edwards的客戶帳號,登入並存取Oracle的重要資料與客戶連繫系統。因此,Oracle要求法院對SAP發出禁制令,以阻止其違法行為,另聲請法院下令要求SAP歸還非法竊取之資料與文件。 面對Oracle指控,SAP公司發言人Steve Bauer表示公司目前仍在瞭解與檢視該案件,因此不便就整起事件發表評論,但公司保證將全力回擊Oracle的指控。
加拿大針對奈米科技提出評估與建議報告在奈米產品開創新生活態樣的同時,也因為奈米材料相異之運用途徑,產生了管理上的困難。儘管如此,新興科技仍應就風險而設計因應之道,並著眼於鑑別奈米材料潛在之危險性、瞭解人體暴露於奈米微粒環境之程度,以及確認適當之評估策略。 加拿大學術議會(Council of Canadian Academies)於2008年7月公佈奈米研究報告「微小即不同:由科學觀點看奈米法制之挑戰(Small is Different: A Science Perspective on the Regulatory Challenges of the Nanoscale)」;目的係針對奈米科技之學術研究、風險評估與管理監控等三部份奠定法制基礎。該報告由加拿大健康部擔任召集人,並成立奈米專家小組,共歷時八個月完成;內容分為三項:彙整該小組對於奈米議題所累積之科學成果、擷取網路使用大眾對於奈米材料相關法規之諮詢與對話,以及奈米專家針對該新興科技所提出之建議與發展方針。 然而,就法規面而言,該研究小組認為,根據現下奈米材料之特性,尚無制定新法之必要,僅需延伸現有法規機制即可,並提供建議如下: (1) 設定專門用語和分級以便於奈米材料之EHS研究。 (2) 建立標準安全控制程序或技術。 (3) 重新思考以工作場域、消費者及環境為主軸之監督方式。 (4) 使用得宜之生命週期途徑以分析奈米材料之相關風險。 該報告指出,現有的科技法規與風險處理機制,著實因侷限於奈米材料諸多之未知而遭受挑戰,並引發各界對於相應管理策略之大規模研究,故無論中央或地方政府,應更加關注國內各部會於奈米議題下之協調、科學環境之變化,及他國法制之更替。
英國正式提出人類組織與胚胎法草案英國可算是對人類胚胎研究最積極的國家之一,目前其胚胎相關研究係根據「人類受精與胚胎學法」(Human Fertilisation and Embryology Act 1990,HF&E Act)及「人類受精與胚胎學規則」(Human Fertilisation and Embryology (Research Purposes) Regulations 2001,Research Purposes Regulations)之規定,並授權「人類受精與胚胎學管理局」(Human Fertilisation and Embryology Authority,HFEA)加以管理。 然面對胚胎研究日益多樣化,英國健康部於今(2007)年5月正式提出「人類組織與胚胎法草案」(Human Tissues and Embryos (Draft)Bill,以下簡稱草案),期能加強現有管理體系並促進相關技術之發展,而草案特別針對體外受精(in vitro fertilization)及胚胎研究之相關規定,作一徹底檢視及翻修。 進一步觀察,胚胎儲存、胚胎篩選、精卵捐贈及主管機關均屬草案規定範圍,另近來於英國國內討論熱烈的人類動物混合胚胎議題,亦於草案中有所規定,草案准許三種類型之人類動物混合胚胎得以被製造,分別是:將動物細胞注入至人類胚胎中、將動物DNA注入至人類胚胎中及將人類細胞核植入動物卵子中等。至於人類精卵與動物精卵之結合,則是被禁止之行為。 草案後續將送交國會專門委員會審查,但由於草案涉及極為爭議的人類動物混合胚胎議題,社會輿論的壓力及保守派議員會產生何種影響,值得持續關注。
馬來西亞個人資料保護法之發展仍有諸多不確定因素馬來西亞於2010年6月即通過個人資料保護法,延宕經年,該法終於自2013年底開始正式施行,而數項配套規範亦同步施行。前個資保護部門首長Abu Hassan Ismail則被任命為新設之個資保護專員,受通訊及多媒體部部長之指揮監督。 從規範內容架構觀察,馬國此部個資法之範疇堪稱恢弘,不但包括了諸多的實質行為規定,例如,在行為規範的面向上,馬國個資法要求其所謂的資料使用者(data user) 必須遵守多項個資保護原則並尊重當事人權利;此外,該法亦有不少與個資保護相關之組織及程序規則,例如,該法設有行政救濟法庭,如對個資保護專員之決定有所不服者,即可在此提出救濟。惜該法之適用對象不包括公部門,且在適用情形方面,除排除了純粹因個人或家庭目的而蒐集、處理、利用個人資料外,亦針對諸多情形分別排除該法所設之不同個資保護原則之適用,且更賦予個資保護專員另行指定排除適用情形之權限,因而除將相當程度限制該法影響範圍外,並使該法之適用與發展增加許多不確定之因素。