新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施:
(1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。
(2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。
(3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。
(4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。
(5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。
CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
翁嘉璟
副法律研究員 編譯整理
Guidelines and Companion Guide on Securing AI Systems, Cyber Security Agency of Singapore, https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai (last visited Oct. 27, 2024).
Singapore’s Cyber Security Agency issues security guidelines for AI systems, CMS Law-Now, https://cms-lawnow.com/en/ealerts/2024/10/singapore-s-cyber-security-agency-issues-security-guidelines-for-ai-systems?utm_source=lawnow-realtime&utm_medium=email&utm_campaign=Singapore%e2%80%99s%20Cyber%20Security%20Agency%20issues%20security%20guidelines%20for%20AI%20systems&utm_id=4097&utm_term=read_more&utm_content=697002 (last visited Oct. 27, 2024).
許嘉芳,〈美國國家標準暨技術研究院發布「人工智慧風險管理框架:生成式AI概況」〉,資策會科技法律研究所,2024年10月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9263&no=64(最後瀏覽日:2024/10/28)。
近年來,由於(European Food Safety Authority, 簡稱EFSA)對GM產品之管理並未能進行足夠之科學分析,同時,亦過份仰賴業者所提供之數據資料等原因,而造成歐盟某些會員國家對EFSA所作出之評估報告於公正及客觀性方面產生質疑;甚至,歐洲食品業者亦對目前EFSA是否將會因為專家人力不足而導致整體風險評估能力下降之問題表示關切。一位EFSA官員指出:我們需要更多科學專家來協助處理與風險評估有關之事務。 其次,隨著各界因對GMO產品不當之批判與歐洲整體食品安全評估工作量增加等因素,EFSA於日前決定,欲透過建立一外部專家資料庫(External Expert Database),來協助其風險評估工作之執行並促進評估專家招募過程之透明化,以達成免除外界對於歐洲食品安全評估過程疑慮之目的。不過,這些將提供協助之專家,並不會因此而真正成為EFSA科學評估小組成員(其將被視為是由人民主動對該小組執行評估工作提供協助)。除EFSA擬徵求歐盟境內專家學者外,未來其亦將邀請歐盟以外其他國家並在該領域為重要研究先驅之專家提供協助,以增加風險評估之品質與客觀性。 再者,綠色和平組織歐洲發言人Mark對於EFSA現階段執行之工作狀況也表示意見並指出:目前EFSA是在一種配備不良(ill-equipped)之狀態下,來勉強執行其所執掌之事務;不過,更讓人感到憂心者,則是由EFSA科學評估小組所做出科學性之意見,於不同會員國家間或於歐盟以外其他國家其是否仍將會被完全採納之問題。有鑒於此,相關人士認為:應再次強化EFSA於風險評估方面之能力! 最後,一位非政府機組織專家也提醒:僅單純地透過專家庫之建立,其實,並不能圓滿地解決當前EFSA於決策機制中所遭遇之困難;而只有當EFSA在未來欲邀請外部專家提供協助與支援時,一併將資金及相關政策配套措施納入考量後,才是此問題真正解決之道。
美國科技公司指控六名中國人竊取科技公司營業秘密美國司法部起訴六名中國大陸公民,包含三名大學教授,在美從事商業間諜活動,自兩間科技公司竊取有關行動通訊技術的敏感資料,並已經提供中國大陸的大學及企業預備產製。如果罪名成立,最多可判刑15年。被竊取營業秘密包括載有薄膜體聲波共振器(FBAR)的原始碼、規格、配方等文件,主要應用在行動通訊,如平版、智慧型手機、GPS設備等消費性產品及軍事、國防通訊技術,其作用在於過濾無線訊號,改善通訊品質。 據報導,其中兩名被告張浩與龐慰為天津大學的教授,在美國南加州的一所大學攻讀電子工程學博士學位相識,期間獲得國防高等研究計劃署 (DARPA)提供的研究經費,研究FBAR技術。2005年取得學位後,分別進入Avago Technologies與Skyworks Solutions科技公司擔任FBAR工程師,並竊取分別屬於二公司的營業秘密。2006至2007年間,更開始接觸中國大陸的大學,尋找生產FBAR技術的可能性,最終得到天津大學支援,在中國大陸建立FBAR技術中心,更在2009年分別自二科技公司離職,擔任天津大學的全職教授,同時合資成立ROFS精密儀器公司,計畫生產FBAR產品,並已和企業和軍方簽訂契約。 美國政府表示,外國機構利用在美國活動的個人從事商業間諜活動,竊取美國企業投入高額成本開發的技術資料,將造成美國企業的重大損失,削弱市場競爭力,最終損害美國在全球經濟的利益,故將持續調查、蒐集不法證據,以打擊商業間諜活動與制止竊取營業秘密為首要任務。
歐盟《醫藥品包裹》修法草案將使用市場保護機制鼓勵藥品創新、提升藥品可及性歐盟執委會(European Commission)於2023年提出《醫藥品包裹》(Pharmaceutical Package)修訂多項歐盟藥品法規。其中也調整資料保護期(period of data protection)和市場獨占期(market exclusivity)等制度,激勵藥品創新、增加藥品可及性、並強化歐盟面對全球公衛挑戰的能力。修訂草案由環境、公共衛生與食品安全委員會(Committee on Environment, Public Health and Food Safety)通過後,目前已於2024年4月由歐洲議會(European Parliament)投票一讀通過,若歐洲理事會決議通過,即完成修法。為協助產業界提早因應布局,本文擬介紹歐洲議會一讀通過的草案中,資料保護期與市場獨占期的運作方式。 一般新藥 一般新藥的資料保護期由現行的8年縮減至7年半。但符合以下條件時,則能將資料保護期延長:滿足未滿足醫療需求(12個月);含有新活性物質並進行比較性臨床試驗(6個月);於歐盟境內與歐盟研究實體合作開發(6個月),若同時符合多項條件時,最多可將資料保護期延長1年。此外,新藥與現有療法相比具有顯著的臨床優勢時,還能將資料保護期結束後的市場獨占期由2年延至3年,但僅限一次。 針對抗藥性微生物抗生素 引入資料專屬期券(Data Exclusivity Voucher),獲授權的產品最多可將資料保護期延長12個月,該權利能轉讓給其他醫藥產品,但轉讓僅限一次。 孤兒藥 一般孤兒藥的市場獨占期由現行的10年縮減至9年,然而滿足「高度未滿足醫療需求」的罕病孤兒藥最長可享有11年的市場獨占期。但在非額外的市場獨占期剩餘2年以內時,不得阻擋學名藥與生物相似藥之上市申請。 本次修法加速一般的學名藥與生物相似藥進入市場,但同時也加強高品質與創新藥品的保護進行支持;而對於市場機制未能激勵投入的重要需求,如新型抗生素,則提供具可轉讓性的額外獎勵,增添靈活度和價值,以吸引更多企業投入研發。 本文同步刊載於stli生醫未來式網站(https://www.biotechlaw.org.tw)