新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施:
(1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。
(2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。
(3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。
(4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。
(5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。
CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
翁嘉璟
副法律研究員 編譯整理
Guidelines and Companion Guide on Securing AI Systems, Cyber Security Agency of Singapore, https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai (last visited Oct. 27, 2024).
Singapore’s Cyber Security Agency issues security guidelines for AI systems, CMS Law-Now, https://cms-lawnow.com/en/ealerts/2024/10/singapore-s-cyber-security-agency-issues-security-guidelines-for-ai-systems?utm_source=lawnow-realtime&utm_medium=email&utm_campaign=Singapore%e2%80%99s%20Cyber%20Security%20Agency%20issues%20security%20guidelines%20for%20AI%20systems&utm_id=4097&utm_term=read_more&utm_content=697002 (last visited Oct. 27, 2024).
許嘉芳,〈美國國家標準暨技術研究院發布「人工智慧風險管理框架:生成式AI概況」〉,資策會科技法律研究所,2024年10月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9263&no=64(最後瀏覽日:2024/10/28)。
澳洲高等法院(澳洲的最高司法機關)在10月7日時做出重要判決,認為單純從人類基因體分離出來的基因序列,不足以作為專利的申請標的。本案的原告是一名69歲曾罹患乳癌的女士,他向法院起訴請求法院宣告Myriad 基因公司所擁有的BRCA1基因專利中部分的專利範圍(claim)無效。BRCA1基因的突變(mutation)或特定的表型被認為與乳癌及卵巢癌的發生機率有關。在先前的審級,法院都判決被告勝訴,但高等法院推翻了先前的見解,以7票贊成0票反對的比數\判決原告的上訴有理由,Myriad基因公司的專利無效。本案由首席法官連同其餘三位法官提出多數意見,另外有兩份協同意見。 本案的主要爭點在於系爭專利是否符合澳洲1990年專利法(Patents Act 1990)中,對專利應屬於一種「生產方式」(manner of manufacture)的規定。多數意見認為系爭的專利範圍只是BRCA1基因的序列,這些資訊並非由人類所「製造」,而僅是由人類所辨別。因此這無法被視為是一種生產的方式,不符合專利法的相關要求。若要將其視為生產方式,則需要進一步擴張生產方式的概念範圍,不適合由法院進行判斷。同時法院認為這個專利可能造成寒蟬效應,使得與BRCA1相關的分離技術變得過於昂貴或形成事實上的壟斷狀態,也與專利法希望促進發明的初衷不符。最後,法院在確認澳洲對於是否應承認此類專利並無國際法上的義務後,宣告此專利無效。 澳洲的學界對此判決表示歡迎,認為此判決將使醫療人員執行職務時免於侵犯智慧財產權的恐懼。但澳洲的生技產業則認為這個判決可能會打擊相關的研究,造成負面影響。澳洲法院的判決與美國先前的判決見解相當類似,同時該判決也可能對於其他國家的類似案件發生影響。例如在加拿大的一個與罕見心臟疾病基因有關的官司,就很可能會受到本判決的影響也宣布該基因專利無效。
美國簽署晶片和科技法案,全球科技業將掀起波瀾美國近日為防堵中國、其他受關注國家如俄羅斯等國掌握半導體等高科技行業關鍵技術,遂致力於加強培養其本土之半導體及高科技通訊產業。於美國時間2022年8月9日美國總統拜登簽署 「2022年晶片和科技法案」 (CHIPS and Science Act 2022),該法案除可作為2021年頒布之「美國電信法案」之補助資金來源,發展開放式無線電接取網路(Open Radio Access Network, ORAN)外,亦有望大幅度提升美國本土晶片生產量。 本法案提高美國聯邦政府對科學技術研究及開發專案之授權,除授權美國商務部(Department of Commerce , DOC)、國防部(Department of Defense, DOD)外,還結合國務院(Department of State, DOS)透過資金補助之方式,發展影響美國競爭力及國家安全至關重要之半導體製造等高科技產業、人工智慧、量子計算等科學研究,本法案整體編列之預算高達2800億美元,至2027年時,授權金額預計將達1740億美元,而其中將挹注超過520億美元之資金用於發展美國本土晶片之生產及研發。 此外,該法案設有靜態限制,禁止接受補助之半導體企業投資以電子設計自動化(Electronic design automation, EDA)工具設計或製造晶片之中國公司,換句話言,即受補助之企業不得於十年內投資或擴大生產中國製低於28奈米之先進晶片。本法案亦提供25%之稅收優惠予於美國建造、裝設晶片廠之業者,以鼓勵企業進駐美國藉以提升美國生產之晶片總量,同時藉由企業之投資帶動美國各地經濟發展,提高就業率。 藉由本法案之制定,有望降低美國對其他國家晶片之依賴,並得藉此發展科技研究,對未來全球高科技產業供應鏈將造成偌大影響,值得持續關注。
日本醫藥品醫療器材等法修正研析―以醫療應用軟體為中心 歐盟執委會認可巴西資料保護能力,啟動適足性認定程序歐盟執委會(European Commission)於2025年9月4日提出對於巴西的適足性認定草案,並且開始啟動相關程序。根據《一般資料保護規則》第45條規定,如歐盟境內之個人資料將傳輸至第三國或國際組織時,須經由歐盟執委會認定該第三國、第三國內之特定部門或國際組織之資料保護水準與歐盟境內基本相同,使得為之。該認定即為「適足性認定」,目前包含日本、韓國、加拿大、阿根廷及烏拉圭皆已取得適足性認定。 本次歐盟執委會所提出之適足性認定草案中,審酌了巴西《一般資料保護法》(Lei Geral de Proteção de Dados, LGPD)當中的目的限制、必要性、透明性、安全性及問責機制等原則,以及個資監管與執法之獨立機構「巴西資料保護局」(Autoridade Nacional de Proteção de Dados, ANPD)之角色,認定巴西國內的個人資料保護水準已達到與GDPR所要保護水準相同。 此外,ANPD於2024年發布,旨在使巴西具有與GDPR等隱私框架相同之跨境傳輸規範之國際資料傳輸規則,ANPS正依照該規則進行對歐盟進行法律評估,認定歐盟屬於符合LGPD之適當司法管轄區。如巴西通過對歐盟評估,將建立起鞏固雙方之間的監管力度及法律承認的互相承認機制。 歐盟執委會提出對於巴西之適足性認定草案,後續須經由歐洲資料保護委員會(European Data Protection Board, EDPB)審查並提出意見,並經過成員國代表參酌EDPB提出之意見並審查批准後,始得由歐盟執委會通過適足性認定。通過適足性認定後,將促進國際資料流動,並加強巴西與歐盟之間資料保護與監管領域方面的合作。