新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施:
(1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。
(2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。
(3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。
(4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。
(5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。
CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
翁嘉璟
副法律研究員 編譯整理
Guidelines and Companion Guide on Securing AI Systems, Cyber Security Agency of Singapore, https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai (last visited Oct. 27, 2024).
Singapore’s Cyber Security Agency issues security guidelines for AI systems, CMS Law-Now, https://cms-lawnow.com/en/ealerts/2024/10/singapore-s-cyber-security-agency-issues-security-guidelines-for-ai-systems?utm_source=lawnow-realtime&utm_medium=email&utm_campaign=Singapore%e2%80%99s%20Cyber%20Security%20Agency%20issues%20security%20guidelines%20for%20AI%20systems&utm_id=4097&utm_term=read_more&utm_content=697002 (last visited Oct. 27, 2024).
許嘉芳,〈美國國家標準暨技術研究院發布「人工智慧風險管理框架:生成式AI概況」〉,資策會科技法律研究所,2024年10月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9263&no=64(最後瀏覽日:2024/10/28)。
2014年6月26日歐盟執委會提出電信網路層級服務協議標準化指導原則(Cloud Service Level Agreement Standardisation Guidelines)。網路服務提供業者通常會與消費者簽訂契約,內容約定有服務之等級,稱之為電信服務層級契約(SLAs),在雲端運算服務中,通常橫跨不同的管轄領域,適用的法律要件亦產生變化,而在雲端部分所儲存的個人資料保護部分尤其重要。不同的雲端服務與模式所需要的協議約定亦不同,這些都增加訂定的複雜性。 指導原則之提出將幫助專業的雲端服務業者在契約訂定時應該注意的內容,其中主要相關項目包括: 1.雲端服務的可利用性與真實性 2.從雲端服務提供業者中可取得服務的品質 3.安全層級 4.在雲端中如何妥善管理資料 指導原則首先明定原則,以做為雲端運算服務契約之參考。並同時針對不同的名詞定義解是,亦針對不同的契約與法律議題說明,包括業者在依據所訂定的契約中處理個人資料時,應符合歐盟資料保護之規範。 在指導原則提出之後,執委會將與雲端使用者,特別是一些小型企業進行檢視,後續並朝向通過國際ISO之認證。
日本發布成為可信賴夥伴的資料治理手冊,呼籲企業應建立並實施貫穿資料生命週期的資料治理機制日本獨立行政法人情報處理推進機構於2025年1月28日發布《成為可信賴夥伴的資料治理手冊(下稱《手冊》)》,旨在呼籲企業建立與實施「貫穿資料生命週期的資料治理機制」,藉此將資料價值最大化,並將資料風險最小化。 《手冊》指出,資料驅動著社會發展,資料治理的重要性亦隨之提升。資料治理係指企業或組織透過機制、規則與制度等多種層面的策略性手段管理其重要資料資產,並透過制定相應的政策與規則,確保資料的品質與安全性。同時,考量資料具備易於複製、竄改且流通難以控制的特性,建立完善的資料治理機制亦有助於在共享資料的過程中維持其品質及安全性。推動資料治理的基礎,則仰賴適當且有效的資料管理機制,亦即確保在蒐集、處理、儲存與使用等資料生命週期各階段皆能落實資料管理機制。然而,資料管理本身要能發揮效益,仍須依賴組織具備足夠的資料成熟度,即具備正確處理與應用資料的整體能力,方能系統性的落實管理與治理工作。 根據《手冊》內容,透過資料治理,企業或組織將能確保資料品質、透明度及安全性,並基於可信任的資料進行決策,進而有效提升決策精準度,實現風險管理與法規遵循,進一步強化自身在資料經濟中的「價值」、「信任」與「公正性」。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料治理機制,可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,作為制度設計與實務推動之參考,以強化資料治理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國產業安全局放寬對敘利亞的出口管制措施美國產業安全局(Bureau of Industry and Security)於2025年9月2日發布《放寬對敘利亞的出口管制》(Relaxing Export Controls for Syria)最終細則,此最終細則依《總統行政命令第14312號》(E.O.14312)修訂、放寬《出口管制規則》(Export Administration Regulations,以下簡稱EAR)對敘利亞的出口管制措施。 此次的修訂放寬重點如下: 1. 新增或擴大對敘利亞出口、再出口的許可例外(license exception)範疇 (1) 針對EAR第740部分為新增和擴張,如新增有關於敘利亞和平與繁榮(Peace and Prosperity)的許可例外,擴大EAR第740.9條許可例外之範圍至與消費性通訊裝置(Consumer Communications Devices)相關的貨品及軟體; (2) 為了允許對敘利亞出口、再出口新增的許可例外情況,修訂EAR第746.9條第b項一般限制條款。 2. 對敘利亞出口、再出口採取更寬鬆的許可審查 (1) 於EAR第746.9條第c項第1款特定最終使用情況(如電信通訊、水供應和衛生、電力等)採取推定同意(presumption of approval licensing); (2) 其餘最終使用的出口和再出口許可申請,依EAR第746.9條第c項第2款以逐案審查(case-by-case)的方式為之。 3. 刪除部分條文 例如EAR第746.1條第a項第3款刪除適用《第二號一般命令》(General Order No. 2.)之內容,而交叉參照EAR第746.9條。
中國大陸商務部擬整併外資三法重新建構外資企業管理規範中國大陸商務部擬整併外資三法重新建構外資企業管理規範 資策會科技法律研究所 法律研究員 丘瀚文 104年12月 壹、前言 中國大陸自1979年開始為引進並規範外國投資,陸續頒布《中外合資經營企業法》、《中外合作經營企業法》《外資企業法》(下稱外資三法),雖外資三法奠定了中國大陸開放外資的基礎,惟頒布日期年代久遠,最近一次的修訂是在2000年和2001年,已難以跟上世界潮流。包括外資三法之逐案審批制以及對外國投資者企業組織型態之規定等,皆不利於外資進入中國大陸。因此中國大陸在第十八屆三中全會提出「構建開放型經濟新體制」、「統一內外資法律法規」與「改革涉外投資審批體制」等方針。 有鑑於此,中國大陸商務部隨後於2015年1月提出《外國投資法》草案,並廣徵外界意見。依據商務部草案徵求意見稿說明,《外國投資法》立法目的有三;一為外資三法確立的逐案審批制管理模式已不能適應構建開放型經濟新體制的需要,應建立新管理模式。二為外資三法中關於企業組織形式、經營活動等規定和《公司法》等相關法律重複且適用衝突;三是外資併購、國家安全審查等重要制度需要納入外國投資的基礎性法律建構。草案內容對我方業者影響甚钜,本文將說明《外國投資法》草案重點,供各界瞭解並預為因應[1]。 貳、《外國投資法》草案主要內容 一、外資投資項目:負面表單模式 現行外資三法對於外商投資項目規範方式係採逐案審批制,舉凡一切外國投資事項,例如合資企業與合作企業之契約、章程內容與修正等,皆須經由各主管機關審批方得執行。而由於各地政府於審批時所使用標準不同,容易造成外資審批程序不透明、審查時間長短不同等困擾。國務院為解決此一問題,於2015年頒布〈國務院辦公廳關於印發自由貿易試驗區外商投資准入特別管理措施的通知〉,針對自由貿易試驗區之外商投資案件改採負面表列方式管理,非負面表列之行業均按照內外資一致原則實施管理。 商務部於2015年1月所提出之《外國投資法》草案中,亦承繼此宗旨採取相同管理方式。依《外國投資法》草案第25條與26條之規定,中國大陸官方應設置「禁止實施目錄」與「限制實施目錄」,其中禁止實施目錄指外國投資者不得投資之項目,限制實施目錄則係指外國投資者經須由主管部門許可方得投資之項目,主管部門並得限制如持股比例、投資區域等條件。簡言之,於《外國投資法》草案中,取消了審批制度,除了「禁止實施目錄」與「限制實施目錄」所負面表列之項目外,原則上外資毋庸經主管機關許可即可投資。 二、外商投資組織變更 關於中國大陸外商投資組織,由於外資三法以及各種實施細則對外資企業設有特殊組織機構規範,造成《公司法》頒佈後同時有兩種外資投資組織體系併存,在法制運作實務上迭生困擾。例如關於董事會之職權,依《中外合資經營企業法》董事會為合營企業最高權利機關[2],且合營企業性質為有限責任公司[3];惟依《公司法》規範體系觀之,有限責任公司最高權利機關卻為股東會,兩者規範顯有衝突。 本次草案中雖廢除了外資三法適用,惟並未對外資企業形式做出具體規範,僅提及應按《公司法》、《合夥企業法》、《個人獨資企業法》等法律法規變更企業組織形式和組織機構,因此現有外商投資企業若組織形式與《公司法》、《合夥企業法》、《個人獨資企業法》法律規定不一致,則須依該等規範進行調整。 三、外國投資安全審查 為避免外國投資者進入,影響國家安全或造成中國大陸產業打壓可危,國務院已於2011年2月發佈了〈國務院辦公廳關於建立外國投資者並購境內企業安全審查制度的通知〉,並建立了一套國家安全審查體系。而為了鞏固國家經濟體質,本次草案中仍承繼原有的國家安全審查體系,內容包含國外投資者在投資特定項目時,應經由國家審查通過後方得進行,包含外國投資者應透露投資金額、出資比例、經營計畫並與主管機關進行預約商談等程序。而所謂影響國家安全或造成中國大陸產業打壓,則需考量外國投資者投資對國家關鍵研發能力、技術領先地位、國家經濟運行影響等要件。審查結果則分為三類:1.外國投資無危害國家安全疑慮者可通過審查;2.外國投資可能危害國家安全但可藉由限制性條件消除者,可附條件通過審查;3.外國投資危害國家安全重大者不予通過。 四、外國投資企業事前報告與事後監督制度 為顧及國內產業推動,本次草案中並新增訊息報告制度,要求外國投資者在投資實施前或投資實施日起30日內,須向主管機關提交訊息報告,報告內容包含外國投資金額、領域、方式、出資比例等;且外國投資者亦須於每年4月30日前,提交上一年度資訊報告予主管機關。主管機關則具有監督管理之責,應檢察企業「是否投資禁止實施目錄」、「是否履行訊息報告義務」、「是否違反主管機關設立投資限制目錄許可要件」。若審查結果發現確實違反規定,該外資將面臨罰款、沒收非法投資所得並吊銷許可等行政罰,違反訊息報告義務情節重大者,尚可處以最高1年以下之有期徒刑或拘役。 五、判別外資標準:實質控制 本次《外國投資法》草案第15條,重新定義對所謂「外國投資」進行定義,其中最重要是明文限制過去遊走於法律灰色地帶的「協定控管」(Variable Interest Entity)。 由於中國大陸對於外資投資領域的限制相當嚴格,尤其是電信業、金融業、媒體業、出版業等,因此實務上外資則常透過「協定控管」之方式規避官方禁止投資項目[4]。所謂「協定控管」係指外國公司為規避投資項目限制,不以直接購買股份的方式投資,而透過合約方式列協議達到實質上控制境內公司,如此外觀上非屬外國投資企業,即可規避外資三法所設立之外商投資項目限制。 商務部發現外國投資企業可能利用「協定控管」規避負面表單所表列項目,故於本次草案中明文規定外國投資者定義包含受外資「實質控制」的境內公司,而將「協定控管」的投資納入外國投資定義中[5]。值得一提的是,外國投資者如受中國大陸投資者控制,其在境內之投資可視為中國大陸投資者投資,不適用《外國投資法》。簡言之,《外國投資法》建立雙向判定的實質控制標準,判別方式則視「外國投資者是否實質控制企業」以辨別外國投資者與中國大陸投資者。 參、結論 大陸近來對於外資整體管理方向皆為改革開放路線與降低投資標準,本次由商務部所提出之《外國投資法》草案,亦承繼此改革開放精神,進一步擴張了外資投資項目,並加入了事前報告與事後監督制度,一方面放寬外資進入的門檻,同時加強外資進入後的監督。此一作法對於我方業者造成之影響整理如下: 一、契約、章程內容更加靈活 依現行投資三法規定,合資企業與合作企業之契約、章程內容與修正均需得主管機關同意。而《外國投資法》草案中,關於投資契約、章程規定並非審查之重點,縱使投資契約變更亦無須主管機關再次審查,此點變更可使我方業者投資時,契約與章程內容設立、變更皆能更因應情勢而有變化,為雙方交易帶來更大的利益。 二、台商組織變更 本次草案將外資三法之企業組織體系廢除,我方業者商業組織結構應隨之變更。又考量到此一變更將提升外國企業管理成本,商務部亦於草案中規定三年之緩衝期間,亦即應於草案生效後三年內變更完成之。惟企業若經營期限在該法生效後三年內屆滿且擬延長經營期限的,應在企業既有經營期限內進行變更[6]。若相關企業未在規定期限內完成該等變更,根據《外國投資法》草案第151條之規定,主管部門可吊銷許可證件或營業執照,並依法追究刑事責任。 三、投資項目增多 草案將投資項目審閱更改為負面表單方式,即除特定項目外,其他項目均予以開放,並將外國投資項目未在禁止實施目錄與限制實施目錄者,放寬至等同國民待遇,即毋須主管機關核可即可依法辦理工商登記,與舊制之逐案審查制不同。 依草案23條規定禁止實施目錄與限制實施目錄均由相關部門提出,並交由國務院審議後公佈[7]。商務部亦於2015年3月公佈「外商投資產業指導目錄」,關於數位內容產業部份,新版內容將「網路出版服務」列入禁止外商投資產業目錄,惟草案所稱之禁止實施目錄是否會等同於外商投資產業指導目錄,仍需追蹤後續發展。整體而言本次管制鬆綁對於外商投資發展具正面意義,業者可預先構思法案施行後,進入未列入負面表單項目之市場時點與相關策略作法;惟草案同時放寬了外資入門門檻與提升主管機關監督義務之規定,是否會影響我方業者於大陸市場之競爭力,則仍有待持續觀察。 [1] 本文下稱法條、機構,均指中國大陸,合先敘明。 [2] 中外合資經營企業法第6條「 合營企業設董事會,其人數組成由合營各方協商,在合同、章程中確定,並由合營各方委派和撤換。董事長和副董事長由合營各方協商確定或由董事會選舉產生。中外合營者的一方擔任董事長的,由他方擔任副董事長。董事會根據平等互利的原則,決定合營企業的重大問題。」 [3] 中外合資經營企業法第4條「合營企業的形式為有限責任公司。在合營企業的註冊資本中,外國合營者的投資比例一般不低於百分之二十五。合營各方按註冊資本比例分享利潤和分擔風險及虧損。合營者的註冊資本如果轉讓必須經合營各方同意。」 [4] 李貴敏,〈貴在立法:大陸投資法變革,台商應及早因應〉,卡優新聞網,2015/07/28,http://www.cardu.com.tw/news/detail.php?nt_pk=22&ns_pk=26931(最後瀏覽日期:2015/10/22) [5] 外國投資法第11條2項「受前款(外國投資者)規定的主體控制的境內企業,視同外國投資者。」與《外國投資法》草案第15條2項「境外交易導致境內企業的實際控制權向外國投資者轉移的,視同外國投資者在中國境內投資。」 [6] 《外國投資法》草案第157條規定:「本法生效前依法存續的外國投資企業,在本法生效後三年內應按照《公司法》、《合夥企業法》、《個人獨資企業法》等法律法規變更企業組織形式和組織機構,但企業既有經營期限在本法生效後三年內屆滿且擬延長經營期限的,應在企業既有經營期限內進行變更。」 [7] 《外國投資法》草案第23條「特別管理措施目錄由國務院統一制定並發佈。國務院外國投資主管部門會同有關部門,根據國家締結的多雙邊、區域投資條約、公約、協定和有關外國投資的法律、行政法規、國務院決定,提出制定或調整特別管理措施目錄的建議,提交國務院審議。」