新加坡網路安全局發布人工智慧系統安全指南,以降低AI系統潛在風險
新加坡網路安全局(Cyber Security Agency of Singapore, CSA)於2024年10月15日發布人工智慧系統安全指南(Guidelines on Securing AI Systems),旨在強化AI系統安全,協助組織以安全之方式運用AI,降低潛在風險。 該指南將AI系統生命週期分成五個關鍵階段,分別針對各階段的安全風險,提出相關防範措施:
(1)規劃與設計:提高AI安全風險認知能力,進行安全風險評估。
(2)開發:提升訓練資料、模型、應用程式介面與軟體庫之供應安全,確保供應商遵守安全政策與國際標準或進行風險管理;並辨識、追蹤及保護AI相關資產(例如模型、資料、輸入指令),以確保AI開發環境安全。
(3)部署:適用標準安全措施(例如存取控制、日誌記錄),並建立事件管理程序。
(4)運作與維護:持續監控AI系統的輸入和輸出,偵測異常與潛在攻擊,並建立漏洞揭露流程。
(5)壽命終期:應根據相關行業標準或法規,對資料與模型進行適當之處理、銷毀,防止未經授權之存取。
CSA期待該指南發布後,將有助於預防供應鏈攻擊(supply chain attacks)、對抗式機器學習攻擊(Adversarial Machine Learning attacks)等安全風險,確保AI系統的整體安全與穩定運行。
翁嘉璟
副法律研究員 編譯整理
Guidelines and Companion Guide on Securing AI Systems, Cyber Security Agency of Singapore, https://www.csa.gov.sg/Tips-Resource/publications/2024/guidelines-on-securing-ai (last visited Oct. 27, 2024).
Singapore’s Cyber Security Agency issues security guidelines for AI systems, CMS Law-Now, https://cms-lawnow.com/en/ealerts/2024/10/singapore-s-cyber-security-agency-issues-security-guidelines-for-ai-systems?utm_source=lawnow-realtime&utm_medium=email&utm_campaign=Singapore%e2%80%99s%20Cyber%20Security%20Agency%20issues%20security%20guidelines%20for%20AI%20systems&utm_id=4097&utm_term=read_more&utm_content=697002 (last visited Oct. 27, 2024).
許嘉芳,〈美國國家標準暨技術研究院發布「人工智慧風險管理框架:生成式AI概況」〉,資策會科技法律研究所,2024年10月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9263&no=64(最後瀏覽日:2024/10/28)。
中國大陸網路安全法於去(2016)年11月通過,於今(2017)年6月1日正式施行,該法主要係為了保障網路安全,維護網路空間主權與國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,為第一個國家層級處理網路安全問題的法律,旨在確保維護網路空間的國家主權、保護使用者個資、防範網路攻擊及網路詐騙。 中國大陸網路安全法共七章79條,包括第一章總則、第二章網路安全支持與促進、第三章網路運行安全、第四章網路訊息安全、第五章監測預警與應急處置、第六章法律責任、第七章附則。其規範重點之一為關鍵資訊基礎設施正式納入網路安全保護範圍內,關鍵資訊基礎設施之定義不僅包括電力、運輸和金融等傳統關鍵行業,還包括法律規定涉及民生的其他基礎設施,表示任何關鍵資訊基礎設施相關廠商、供應商等外國公司,以及擁有大量中國大陸訊息的廠商,都有可能成為中國大陸網路安全法監管、執法調查、強制執行的主要對象。 中國大陸網路安全法亦要求關鍵資訊基礎設施相關廠商將個資與重要數據資料在地化,或是將這些數據資料傳輸至國外前,必須經過相關的監管機構進行自我安全評估或先加以批准。
歐盟執委會通過《歐洲互通法案》,以強化歐盟公共部門的跨境互通與合作歐盟執委會於2022年11月21日通過《歐洲互通法案》(Interoperable Europe Act)(下稱本法案),以強化歐盟公共部門的跨境互通與合作,加速數位化轉型。跨境互通將使歐盟及其成員國為公民與企業提供更優良的公共服務,並預計為公民節省550萬至630萬歐元的成本;為與公共行政有業務上往來的企業節省57億至192億歐元的成本。 《歐洲互通法案》為歐盟的公部門建立一套合作模式,該模式有助於建立安全的跨境資訊交換及可互通的數位共享解決方案(如開源軟體、指引、IT工具等),使彼此之間合作更有效率,進而帶動公部門創新。舉例而言,Covid-19疫情期間,互通性政策使醫院間得共享重症監護病床之數量資訊,以提供人民最即時的醫療資源。本法案架構如下: 1.結構化的歐洲合作:由歐盟成員國和區域、城市共同合作,制定跨境互通的共同戰略議程,並得到公共和私人的支持,實施互通性解決方案與進度監控。 2.強制性評估:評估跨境互通之IT系統對歐盟的影響。 3.共享和再利用解決方案:透過歐洲入口網(Interoperable Europe Portal)及社群合作的一站式平台,提供支持共享與再利用的解決方案(如開源軟體)。 4.提供創新和相關支持措施:包括監理沙盒(sandboxes)、GovTech計畫及訓練措施等。 自2010年以來,歐洲互通性框架(European Interoperability Framework, EIF)一直作為歐盟互通性政策的主要參考依據,惟始終不具有約束力。本法案將使EIF成為單一參考依據,使歐盟公共服務部門擁有互通性政策,並未來互通性合作框架將由歐洲互通委員會(Interoperable Europe Board)指導,該委員會由歐盟成員國、歐盟執委會、地區委員會(Committee of the Regions)及歐洲共同體經濟和社會委員會(European Economic and Social Committee)之代表組成。 可互通的數位公共服務對建構數位單一市場至關重要,除提升經濟效益和行政效率外,案例研究亦表明,互通性對提高政府信任可產生正面積極影響,同時本法案充分尊重現有的隱私與資料保護規則,以符合歐盟創建以人為中心的規範方法,提升個人基本權利。
德國社群媒體管理草案交付立法程序德國總理梅克爾(Angela Merkel)所領導的內閣於2017年4月5日通過社群媒體管理草案(Gesetz zur Verbesserung der Rechtsdurchsetzung in sozialen Netzwerken),該法案要求社群媒體必須積極管理使用者散布的仇恨言論及假消息,未善盡義務的社群媒體最高可裁罰5千萬歐元。 德國早於2015年12月已與Facebook、Google及Twitter等知名社群網站達成協議,必須在24小時內刪除網站上的不實或違法言論。但根據jugendschutz.net組織公布的數據,Facebook刪除了39%違法內容、Twitter只刪除了1%違法訊息,而Google的Youtube則需要以其他工具進行實測。由於社群媒體自我管理的效果不彰,促使德國政府認為在業者自律之外,必須要制定法律與罰則讓社群媒體負起責任,積極管理網站上使用者的不實與違法言論。 本草案重點包括: 適用範圍:本草案適用於電信媒體服務提供商,且該提供商之網路平台係以營利為目的,允許使用者與其他使用者共享訊息或對大眾分享任何資訊。 社群媒體必須設立24小時受理案件之投訴管道。 接到投訴後,社群媒體必須在24小時內刪除「明顯違法」之內容,其他有爭議的內容必須在7天內確認並刪除違法內容。 社群媒體必須定期提供主管機關其投訴之處置報告。 本草案已送交德國立法機關進行立法程序,但反對者認為一旦通過立法,可能會對言論自由產生不良影響,並抑制網路言論的發表。德國對於社群媒體之管理,值得持續關注。
日本推動數位出版產業之方式與觀察日本推動數位出版產業之方式與觀察 科技法律研究所 法律研究員 尤騰毅 2014年12月31日 壹、前言 鄰國日本的出版產業,向來以質跟量著稱於世,不過於進入數位匯流時代後,其出版產業也遭遇同樣的問題,市場上電子書數量不足以至於無法帶動日本電子書閱讀的人口,另外,加上美商Amazon大舉進入日本市場,日本出版業界與政府都認知到若不採取措施,將使日本出版產業失去利基[1]。 本文擬就日本政府在2012年提出了三個主要的電子書產業振興政策,包括前述成立「數位出版機構」、以及「內容緊急電子化事業」(コンテンツ緊急電子化事業)、文化廳(文化庁)eBook計畫等進行分析,說明日本政府如何透過計畫政策在短期內增加市場上電子書的數量,以達到經濟規模,提振電子書產業,以便我國政府在未來制定數位出版產業相關政策時之參考。 貳、重點說明 一、紙本書籍數位化之推手:出版數位機構 2011年9月,由出版業者共同成立「株式會社出版數位機構準備會」(出版デジタル機構準備会),於同年4月,透過「產業革新機構」(Innovation Network Corporation of Japan, INCJ)以及日本大型之出版社、印刷公司等共同出資成立「株式會社出版數位機構」(株式会社出版デジタル機構,英文全稱為Digital Publishing Initiatives Japan Co., Ltd,下稱Pubridge),欲藉此一個機構來加速日本電子書產業的整合,並以擴大電子出版商務市場為目標,支援出版品數位化(儲存)、電子書店和電子書仲介等傳輸業務、圖書館窗口相關業務,期能透過整備電子書基礎建設,提供讀者更理想的讀書環境 。 出版數位機構之業務分為四大領域,包括電子書仲介事業、電子書製作、數位文獻系統、讀者平台等。其中,電子書仲介事業的服務名稱為「Pubridge (publish+bridge)」[2],其所提供的服務內容,即是所謂的書籍電子化之單一窗口服務(ワンストップ,英文為One-Stop Service),提供整合服務以降低傳統出版業界進入電子書市場的門檻。所謂的單一窗口服務,即由出版數位機構擔任產業鏈的核心整合角色,將上游端的出版社紙本書籍的數位化,並提供銷售的收益分配等,並且由其提供數位化後的電子書給予電子書店等通路。主要細部的服務包括:制作(協助電子化格式製作)、發行(代為協助發行)、行銷、管理(收益分配計算)等四個面相[3]。亦即出版數位機構的定位係要成為傳統出版社進入電子書市場的中介者或經紀人。其商業模式是由出版社對出版數位機構委託業務、再由該公司傳輸給電子書商店,由電子書商店銷售給讀者;金流則由電子書商店將收取的書籍費用以獲益分享方式(Revenue share)支付費用給出版數位機構,而出版數位機構也以獲益分享方式對出版社支付收益。 二、內容緊急電子化事業 「內容緊急電子化事業」(コンテンツ緊急電子化事業)[4],係指日本經濟產業省在2012年所規劃的一項書籍電子化計畫,預計在一年的期間內(2012年)將6萬冊書籍全數電子化。該計畫之成立背景與目的,係因2011年311東日本大地震後,對東北災區之經濟活動造成嚴重影響,經濟產業省希望透過日本中小出版社所持有與東北相關書籍的電子化,由政府負擔部份電子化費用的形式,在活化萌芽期電子書市場的同時,以促進東北地區資訊向外傳遞、提高該災區知識檢索頻率,並基於鼓勵災區創造新產業,以復興災區及振興日本國內經濟[5]。就本文的觀察,該計畫的另一個目的其實在短期內大量的增加電子書數量,亦可達到活絡電子書市場之效益。 三、日本文化廳eBooks計畫 「eBooks計畫」屬於實證測試性質,主要係從國立國會圖書的館藏數位文獻中選出資料,經過著作權處理手續,從製作電子書到傳送給使用者的實驗,以釐清數位文獻商用化的課題和有效對策,並將結果將提供民間業者和公家機關作為參考。 該實驗結果發現,電子書的總下載次數總計92,517次,以初次透過網路公開電子書而言,已是不錯的成果。根據對讀者調查發現(樣本數126位),使用者特徵上男女比例相當,年齡層20、30、40歲各約1/3,上班族占67%,過去使用過電子書占半數,使用過eBooks服務後近60%會想再次使用,有61%認為能讀到珍貴的資料是這項服務最大的優點,也有30%希望能夠增加文獻數量。而讀者也認為在下載(或購買)書籍時,「摘要」充實的程度是影響下載意願的重要判斷依據,eBooks計畫公開電子書時的詳細說明對提升下載數量也有相當助益。目前國立國會圖書館可透過線點閱的文獻數約45萬件,限館內閱讀的文獻約233萬件。未來公開數位文獻的計畫仍會持續,並實驗付費方式下載的可行性,期能讓稀有資料能更容易被需要者取得,同時該計畫也建議應將國會圖書館等公部門機關,對於其所典藏書籍之著作權處理方式做成指導手冊,以確認著作權處理的標準程序[6]。 參、事件評析 日本從2010年以來為了輔導其國內傳統出版業者進入數位出版領域,所採取相關具體政策措施,本文歸納出以下三點結論與建議,供政府擬定相關政策時參考: 一、數位出版產業之推動應整合各機關共同合作 日本的出版產業其主管機關為中央文化主管部門,即文部科學省的文化廳,不過由於數位出版領域所涉及的不僅僅是文化部門,更牽涉到經濟部門以及電信基礎建設的相關部門。因此日本政府在推動數位出版時,係透過每年的智財推進計畫[7](由直屬首相的智慧財產戰略本部所制定)規劃具體方向,並依據各省廳的業務職掌進行分工,從而各省廳分頭執行發展數位出版等的相關工作。我國出版產業與日本相同,係由文化部主管,然數位出版係分屬經濟部,在推動數位出版方向上,若無統一的戰略主軸,可能會落入多頭馬車或疊床架屋的情況,又出版產業為文創產業與數位內容之源頭,建議政府應將數位出版產業的規劃提至我國每年的智財綱領中,統籌規劃未來我國數位出版產業之方向,交由相關部門執行,以避免部門之間的重工或缺漏。 二、建議透過特定機構間接協助傳統出版業者 日本的出版產業型態以中小型出版社為多,其數位出版程度與網路通路等等,皆不如大型連鎖書,惟透過「出版數位機構」的成立,整合並協助中小型出版業者,可使其更快速的進入電子書市場。我國出版產業與日本近似,以中小型出版社為多,在數位出版程度與網路通路上面臨同樣的困境。除此之外,中小型出版社有許多書籍在著作權也需要專業的法律團隊協助釐清(尤其是授權部分),建議政府可借鏡日本模式,成立特定機構或委由民間具有法律授權與資訊經驗的團隊,協助中小型出版社將既有的紙本書籍數位化,並輔導流通,跨出建立正體中文電子書市場的第一步。我國產業發展主管機關除了著重數位出版的技術層面與硬體設備外,亦可透過部分政策工作,協助傳統紙本書籍,轉成電子版,以建立電子書市場的經濟規模,已達成以軟帶硬、以硬帶軟的正向循環。 三、短期內應儘速增加電子書數量以活絡市場 由於2011年日本東北大地震,為協助民眾可以便利取的東北相關的書籍資料,經濟產業省透過「內容緊急電子化事業」計畫,在一年內完成的8萬本的數位化作業,在短時間內為日本電子書市場注入大筆的品項,除了幫助災區重建外,同時也在極短的時間內擴大日本電子書市場的經濟規模。我國電子書市場尚未成熟,很大的原因係在於傳統紙本電子化的程度不高,造成市場上的電子書數量不足。儘管「內容緊急電子化事業」主要是在協助災區資料數位化,不過其帶動的是短時間內日本電子書的數量,就短期內增加電子書數量的措施與方法,我國不妨可參考之。建議政府可以從透過計畫短期內將政府出版品或政府所擁有的著作權之作品,進行數位化作業,再將其釋放電子書市場,以提高其規模。 [1] 永田豊志,〈「電子書籍の衝撃」の衝撃――出版社の生きる道を「強み」「弱み」「機会」「脅威」で分析してみる〉,Business Media 誠,http://bizmakoto.jp/bizid/articles/1006/07/news023.html(最後瀏覽日:2013/10/20)。 [2] 該公司對外服務的名稱為「pubridge(パブリッジ)」,為pulish與bridge的複合語,參照:〈会社概要〉,株式会社出版デジタル機構,http://www.pubridge.jp/about/(最後瀏覽日:2013/09/17)。 [3] 〈電子書籍取次事業〉,株式会社出版デジタル機構,http://www.pubridge.jp/agency/(最後瀏覽日:2013/10/17)。 [4] 緊デジ:コンテンツ緊急電子化事業特設サイト,http://www.kindigi.jp(最後瀏覽日:2013/05/09)。 [5] 〈緊デジとは〉,緊デジ:コンテンツ緊急電子化事業特設サイト,http://www.kindigi.jp/about/,(最後瀏覽日:2013/05/09)。 [6] 株式会社野村総合研究所,〈電子書籍の流通と利用の円滑化に関する実証実験報告書〉,頁85(2013),http://www.bunka.go.jp/chosakuken/jikken/pdf/h24_hokokusyo.pdf(最後瀏覽日:2013/09/14)。 [7] 根據日本內閣府的網站,目前最新的智財推進計畫已經於2013年6月出爐,相關內容可參考:知的財産戦略本部,〈知的財産推進計画2013〉http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku2013.pdf(最後瀏覽日:2013/09/14)