新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施:
(1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。
(2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。
(3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。
(4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。
(5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。
CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
翁嘉璟
副法律研究員 編譯整理
Guidelines and Companion Guide on Securing AI Systems, Cyber Security Agency of Singapore, https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai (last visited Oct. 27, 2024).
Singapore’s Cyber Security Agency issues security guidelines for AI systems, CMS Law-Now, https://cms-lawnow.com/en/ealerts/2024/10/singapore-s-cyber-security-agency-issues-security-guidelines-for-ai-systems?utm_source=lawnow-realtime&utm_medium=email&utm_campaign=Singapore%e2%80%99s%20Cyber%20Security%20Agency%20issues%20security%20guidelines%20for%20AI%20systems&utm_id=4097&utm_term=read_more&utm_content=697002 (last visited Oct. 27, 2024).
許嘉芳,〈美國國家標準暨技術研究院發布「人工智慧風險管理框架:生成式AI概況」〉,資策會科技法律研究所,2024年10月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9263&no=64(最後瀏覽日:2024/10/28)。
日本內閣為實現「Super City」的構想,於2020年2月4日通過《國家戰略特別區域法》部分條文修正案並提交國會審議,擬透過自駕車、無人機物流、遠距醫療等結合社區總體營造,以因應高齡化社會和解決人力不足等課題為目標。 「Super City」係指充分活用第四次工業革命中,人工智慧及大數據等各項最先進技術,領先實現未來生活方式的「完全的未來都市」。不僅在複數領域的智慧化措施中導入管制革新,同時也於生活中實踐,旨在解決社會中的各項課題。「Super City」可說是較早推動的「Smart City」進化版。Smart City具體推動範圍侷限於能源、交通等個別領域的尖端技術實證,而Super City則是以未來都市的整體創建為目標。即Super City的推動至少會同時涵蓋5個領域以上的生活中各項智慧科技,如物流、支付、行政、醫護、教育、環境、防災等;不僅有技術上的實證,更看重先行於未來社會的生活中實現;最重要的是會從居民的角度,而非從技術開發端、供給端,來追求理想的未來社會。 不過現行法規對於Super City的實現是有所侷限的,目前日本雖可依《國家戰略特別區域法》,由國家指定特定地區並實施管制鬆綁、制度改革等特例措施,但在推動管制革新以執行各種近未來技術之實證方面,尚需個別與相關主管機關協商,因此經常耗費數月至數年的時間成本。本次修法將強化各相關主管機關的合作,將制定基本方針明定具體的合作程序,而城市間的合作強化則將會整備開放API(Open Application Programming. Interface)規則及法規;另外Super City的實現需要蒐集、整理各領域之資料,因此擬將「資料協作基盤整備事業」列為法定計畫,且事業實施主體可要求國家及地方政府提供其所擁有的資料;由於Super City的推動將會同時涵蓋多個不同領域,為使各領域的管制革新具整體性且能同時實現,修正案中也規範Super City事業計畫的認定程序。
揭露智財資訊,展現永續發展之動能揭露智財資訊,展現永續發展之動能 資訊工業策進會科技法律研究所 2024年04月02日 隨著ESG議題持續醞釀,永續資訊揭露已成為國際間政策規劃所討論的重點,各國亦逐漸重視這股永續浪潮。 另一方面,企業價值的來源已轉變為智慧財產和無形資產,成為企業競爭力的來源,對於實現永續轉型(Sustainable transformation,SX)或推動永續發展具有重要意義,因此如何揭露企業對於智慧財產權與無形資產的投資於永續報告書中更顯重要。 壹、事件摘要 日本針對智慧財產與無形資產對於永續發展的政策推動始於《公司治理守則》的修訂。在制定出《智財與無形資產管理指引》後,日本智慧財產權戰略本部強調企業對於智慧財產與無形資產的投資與利用,以加速企業價值提升和獲取投資資金的良性循環,並強化公司、投資者和金融機構之間的「合作」。近期,日本智慧財產權戰略本部更開始評估有關國際永續準則委員會(International Sustainability Standards Board,以下簡稱ISSB)的資訊揭露要求[1]。 貳、重點說明 日本《公司治理守則》於2021年6月的修訂要求上市公司揭露具體、易於理解的智慧財產投資資訊。為回應前述修訂,日本智慧財產權戰略本部於2022年1月制定《智財與無形資產管理指引1.0》,指出投資者將智財與無形資產資訊視為評估公司未來價值的重要標準,因此鼓勵公司建構與實施符合ESG要求的智財和無形資產的投資與利用策略,並透過揭露明確其地位,以產生長期正向的價值評價。有鑑於揭露未能達到預期的效果,於2023年3月修訂《智財與無形資產管理指引2.0》,促使與智財和無形資產相關的公司舉措和揭露能體現其價值,以利公司與投資者的溝通,並展現出公司之未來價值。 考量到國際永續準則委員會(ISSB)於2023年6月公布了兩大國際永續資訊揭露框架準則,象徵全球永續財務與非財務資訊的揭露已逐步整合為全球通用的標準,日本智慧財產權戰略本部於2023年8月召開會議,確認智財資訊的揭露符合ISSB之要求,因而提案ISSB評估是否將智財、無形資產、人力資本等都納入永續資訊揭露應揭露之範疇。 為持續推動企業積極實踐永續發展,我國金融監督管理委員會亦於2022年3月發布「上市櫃公司永續發展路徑圖」,以四大主軸、五項重點協助上市櫃公司邁向永續發展,提升國際競爭力。其中「精進永續資訊揭露」、「推動ESG評鑑及數位化」更納入階段性目標,顯示出資訊揭露、永續報告書、ESG評鑑之推動三者已成為我國政策推動的重要評估事項[2]。 參、事件評析 在永續議題的持續發酵下,如何透過政策確保企業邁向永續發展乃一大議題,又由於對智財與無形資產之投資與利用乃企業競爭力的根源,更顯企業揭露此類資訊之重要性,不可輕易忽視。以往,我國企業會透過公司治理評鑑的2.27指標[3],彰顯要求上市上櫃公司公開揭露智財管理資訊。近年來,伴隨著永續發展等相關政策之推動,企業應進一步評估如何在永續報告書中呈現與智財相關的資訊,以順應未來評鑑制度之轉換,並呈現智財是企業創新的關鍵。 在智慧局公布的2023年專利百大排名中,前十大[4]無一例外地依全球報告倡議組織(Global Reporting Initiative,以下簡稱GRI)所推出的國際標準永續報告書撰寫框架,且所有廠商都有在「GRI 3重大主題」中揭示與智財相關之資訊,凸顯其創新研發連結永續發展之動能。換言之,透過「GRI 3重大主題」將智財資訊揭露予更多利害關係人知悉,可謂我國標竿廠商展現其核心企業價值的主要管道。企業可參考上述企業於永續報告書揭露智財資訊模式,將智財議題形塑成一項重大主題,並揭露於特定章節以回應利害關係人之關注。首先,鑑別出各類利害關係人。接著,辨別相關衝擊因子,以篩選永續議題。然後,評估永續議題對企業之實際或潛在的正、負面衝擊。最後,確立企業所揭露之重大主題,並回應利害關係人所重視之資訊。 在永續發展、資訊揭露對於企業的衝擊下,財團法人資訊工業策進會科技法律研究所創智中心(以下簡稱創智中心)2023年針對我國上市上櫃企業進行企業智財現況調查,調查發現超過一半企業願意公開揭露智財資訊,而這些企業認為,公開揭露智財資訊有助於外界客觀評估公司之真實價值與競爭力,亦能協助公司落實ESG永續經營。為協助企業將智財資訊分別連結至永續發展之環境保護(E)、社會責任(S)以及公司治理(G)面向,創智中心將持續觀測各國法令動態以及國內外智財揭露案例,推動企業將智財資訊完整呈現於永續報告書。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈知財投資・活用戦略の有効な開示及びガバナンスに関する検討会第22回〉,首相官邸,https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/tousi_kentokai〈最後瀏覽日:2024/4/2〉。 [2]金管會發布「上市櫃公司永續發展行動方案(2023年)」〉,金融監督管理委員會,https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0%2C2&mcustomize=news_view.jsp&dataserno=202303280001&dtable=News〈最後瀏覽日:2024/4/2〉。 [3]〈公司治理評鑑〉,公司治理中心,https://cgc.twse.com.tw/evaluationCorp/listCh〈最後瀏覽日:2024/4/2〉。評鑑指標2.27:公司是否制訂與營運目標連結之智慧財產管理計畫,並於公司網站或年報揭露執行情形,且至少一年一次向董事會報告? [4]〈智慧局公布112年專利百大〉,經濟部智慧財產局,https://www.tipo.gov.tw/tw/cp-87-932910-26c76-1.html〈最後瀏覽日:2024/4/2〉。在專利申請方面,前十大分別是台積電、聯發科、友達、宏碁、南亞科、英業達、群創、工研院、瑞昱、台達電,其中除了工研院外,剩餘九家皆為我國專利申請之標竿廠商。
美國又傳疑似商業間諜活動2007年3月舊金山聯邦法院受理Oracle軟體公司對競爭對手SAP及其關係企業TomorrowNow提出濫用電腦詐欺、商業間諜行為告訴。 Oracle公司表示,自2006年底起便發現公司網站中與PeopleSoft、J.D. Edwards有關的客戶支援與維護部分出現流量暴增的現象。犯罪者冒用客戶的ID進入網站中竊取重要軟體與資料,目前已發現超過一千萬筆的違法下載紀錄,而犯罪者IP位址是來自於SAP德州辦公室所在地。 訴狀中指出,SAP員工涉嫌冒用多名PeopleSoft及J.D. Edwards的客戶帳號,登入並存取Oracle的重要資料與客戶連繫系統。因此,Oracle要求法院對SAP發出禁制令,以阻止其違法行為,另聲請法院下令要求SAP歸還非法竊取之資料與文件。 面對Oracle指控,SAP公司發言人Steve Bauer表示公司目前仍在瞭解與檢視該案件,因此不便就整起事件發表評論,但公司保證將全力回擊Oracle的指控。
紐西蘭通過數位身分服務信任框架,如經簽署將於2024年施行紐西蘭眾議院(New Zealand House of Representatives)於2023年3月通過數位身分服務信任框架法案(Digital Identity Services Trust Framework Act,以下稱本法案),旨在建立數位身分信任制度。本法案為數位身份服務商提供自願認證計畫,政府將授予符合信任框架規範之服務商認證。數位經濟與通訊部(Minister for the Digital Economy and Communications)指出,數位身份目前缺乏一致的辨識標準,而信任框架的訂定將有助於緩解身份盜用、詐欺與隱私資料外流之風險。茲所附言,本法案如經總督簽署將於2024年生效。 蓋紐西蘭針對政府數位化與數位轉型已擬定多項計畫、策略,其中包含建構安全、分散且以用戶為中心的數位身份管理制度,而本法案的通過與施行將為上述制度奠定基礎,其特性說明如下: 一、去中心化資料儲存:數位身分資料傳遞是由資訊提供者(如政府、銀行或公用事業公司等持有個人資訊者)、用戶(資料所有者)與服務商三方形成連結網絡,而非源自集中保存身分資料之數據資料庫。 二、以用戶為中心:若用戶有驗證或提供身分資訊之需求,經過政府認證符合信任框架規範的服務商,可在用戶的許可與請求下,傳送相關資料給用戶指定之第三方(需求者)。 三、非強制性機制:紐西蘭政府將不會強制服務商、用戶及需求者使用依本法案所建構之數位身分信任機制。 四、交互認證:基於紐西蘭與澳洲的單一經濟市場議程(Single Economic Market, SEM),本法案將符合對應英國、澳洲與加拿大有關數位信任之規範,減少因法規差異產生之成本和歧視。