新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施:
(1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。
(2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。
(3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。
(4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。
(5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。
CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
翁嘉璟
副法律研究員 編譯整理
Guidelines and Companion Guide on Securing AI Systems, Cyber Security Agency of Singapore, https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai (last visited Oct. 27, 2024).
Singapore’s Cyber Security Agency issues security guidelines for AI systems, CMS Law-Now, https://cms-lawnow.com/en/ealerts/2024/10/singapore-s-cyber-security-agency-issues-security-guidelines-for-ai-systems?utm_source=lawnow-realtime&utm_medium=email&utm_campaign=Singapore%e2%80%99s%20Cyber%20Security%20Agency%20issues%20security%20guidelines%20for%20AI%20systems&utm_id=4097&utm_term=read_more&utm_content=697002 (last visited Oct. 27, 2024).
許嘉芳,〈美國國家標準暨技術研究院發布「人工智慧風險管理框架:生成式AI概況」〉,資策會科技法律研究所,2024年10月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9263&no=64(最後瀏覽日:2024/10/28)。
美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。 這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。 在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。
英國將以NHS基因體醫學服務續行十萬基因體計畫英國政府所提出的「10萬基因體計畫(100,000 Genomes Project)」將於2018年底達成目標,而將以NHS基因體醫學服務(NHS Genomic Medicine Service)作為續行計畫,以促進個人化醫療的發展。 NHS基因體醫療服務的目的在於促進罕見疾病與癌症的診斷以及患者治療的效率,並預期在未來5年達到五百萬組基因定序,以提供具備全面性(comprehensive)以及公正性(equitable)的基因檢測。為達此目的,NHS基因體醫療服務包含5個主要內涵:連結基因體研究中心以成立國家基因體實驗室服務(national genomic laboratory service)、新的國家基因體實驗室檢測文庫(new National Genomic Test Directory)、全基因體定序的相關規範,並與英國基因體公司(Genomic England)合作開發資訊基礎設施(informatics infrastructure)、臨床基因體醫學服務(clinical genomics medicine services)以及發展基因體醫學中心服務(Genomic Medicine Centre service)、NHS負擔統合性的監管職責。 在以NHS基因體醫療服務作為續行計畫的狀況下,若合格的研發人員欲以患者的基因資料進行新藥或是新治療方式的開發需事先取得患者的同意。另外,從2019年開始,全基因定序將被納入特定患者的治療過程中,如罹患特定罕見疾病或具有治癒困難性的成年患者以及所有患有嚴重疾病的孩童患者,以加速疾病的診斷以及減少侵入性治療的次數。
稻米基因定序大功告成,有助解決全球糧食問題由十個國家的科學家共同努力完成的「國際水稻基因組定序計畫( IRGSP )」,其研究成果刊登於最新一期的 Nature 期刊。科學家們共同解讀水稻 12 條染色體的基因密碼,未來將根據這些密碼來控制水稻的生長和結穗,可望有助解決全球糧食問題。 依聯合國統計資料顯示,水稻是全球人口 20% 的食物能量來源,而在全球人口持續擴增之情況下, 2025 年必須提高 30% 的水稻產量,才能擁有足夠糧食。 自1998 年起,本計畫即在日本主導之下,與中華民國、韓國、英國、加拿大、美國、巴西、印度、法國與中國等國之定序實驗室進行分工、共享,定序後的 DNA 序列將放在公開序列資料庫,供研究人員使用;而本計畫已在 2002 年底完成草圖,並陸續完成彌補空隙與基因註解工作。本計畫之成果於近幾年來,已陸續協助辨識數個影響重要農藝性狀的基因,例如,影響植物生長勢、提高水稻產量的基因、改變水稻光週期、使優良栽培種得以擴展種植面積的基因、控制植株高度的基因等。 水稻基因組定序工作之完成宣告後基因組時代的正式來臨,而完成此一世紀任務之際,善用相關經驗與新知,以投入水稻的深入研究工作,將能台灣水稻及其他作物的遺傳育種研究提供實際幫助。
歐盟執委會對荷蘭T-Mobile併購Tele2一案展開第二階段的反競爭調查荷蘭電信商T-Mobile NL根據歐盟併購條例收購Tele2 NL一案使執委會擔心其合併可能導致價格上漲,並損害荷蘭消費者的權益。 本交易案主角為德意志電信(Deutsche Telekom, DT)的子公司T-Mobile NL,以及Tele2的子公司Tele2 NL,兩者分別是荷蘭手機電信市場的第3大和第4大業者。T-Mobile NL在去年12月宣布將以2.21億美元的現金收購Tele2 NL,並持有合併後公司25%的股權。本併購案將使荷蘭的手機電信商數量從4個減少到3個。但合併後的新公司仍無法超過前兩大電信公司KPN和Vodafone。 DT表示,合併後的公司將在T-Mobile品牌下運營,新公司由於規模增長,將能夠打破目前KPN與Vodafone的雙佔市場。結合原來2間公司的資源,可以帶給電信市場更有效的競爭,並有利於5G佈局。 執委會的初步調查確定了以下主要爭點: 目前T-Mobile NL和Tele2 NL 在荷蘭手機電信市場相互競爭。執委會擔心本併購案會減少市場參與者的數量,使剩下的業者更不願進行有效競爭。可能導致價格上漲和投資減少。 執委會還打算進一步調查另外2個問題: 合併後電信商數量的減少可能會削弱競爭壓力,並增加電信商聯合行為的可能性,並提高價格; 除了4家擁有基礎設施手機電信商之外,還有一些活躍在市場中的虛擬電信商,它們使用其他業者的基礎設施向消費者提供電信服務。 執委會擔心,未來虛擬電信商如想利用基礎設施,可能遭受更多阻礙。