金融穩定委員會報告指出金融領域採用AI之模型、資料品質與治理風險

韓國政府為支持人工智慧發展與建立人工智慧信任基礎，提升國家競爭力，韓國科學技術情報通訊部（과학기술정보통신부）於2025年1月21日公布《人工智慧發展與建立信任基本法》（인공지능 발전과 신뢰 기반 조성 등에 관한 기본법안，下稱AI基本法），將於2026年1月22日起生效。韓國《AI基本法》為繼歐盟《人工智慧法》（EU Artificial Intelligence Act）之後第二部關注人工智慧的國家級立法，並針對高影響人工智慧（고영향 인공지능）及生成式人工智慧進行規範，促進創新及降低人工智慧風險，將搭配進一步的立法與政策以支持人工智慧產業。 《AI基本法》有以下三個政策方向： 1. 人工智慧基本計畫：由科學技術情報通訊部制定並每三年檢討「人工智慧基本計畫」，經「國家人工智慧委員會」審議後實施，決定產業發展政策、培育人才、健全社會制度等事項。本法並設置人工智慧政策中心及人工智慧安全研究所，提供科學技術情報通訊部所需的研究與分析。 2. 扶持產業發展：以扶持中小企業及新創企業為發展方向，促進產業標準化的基本政策，爭取國際合作及海外發展。 3. 人工智慧倫理與安全性：政府公布人工智慧倫理原則，由相關機構及業者自主成立人工智慧倫理委員會，在政府發布的指引下建立貼近實務面的倫理指引。本法明確要求人工智慧產業必須負擔透明性及安全性義務，政府也推動認驗證制度，以確保人工智慧的可靠性。 韓國《AI基本法》將人工智慧發展方向及社會政策結合，明確要求政府制定人工智慧發展計畫並定期檢討，施行具體措施與設置必要組織，確立政府在人工智慧領域的角色，然產業界對於政府監管力度之意見有所分歧，為《AI基本法》後續相關政策及指引推動種下不確定性，值得持續追蹤相關動態作為我國人工智慧發展策略之參考。

　　數位模擬分身（Digital Twin）係指將實體設備或系統資訊轉為數位資訊，使資訊科學或IT專家可藉此在建立或配置實際設備前進行模擬，從而深入了解目標效能或潛在問題。 　　於實際運用上，數位模擬分身除可用於實體設備製造前，先行針對產品進行測試，以減少產品缺陷並縮短產品上市時間外，亦可用於產品維護，例如在以某種方式修復物品前，先利用數位模擬分身測試修復效果。此外，數位模擬分身還可用於自駕車及協助落實《一般資料保護規範》（General Data Protection Regulation, 以下簡稱GDPR）規定。在自駕車方面，數位模擬分身可通過雲端運算（cloud computing）和邊緣運算（edge computing）連接，由數位模擬分身分析於雲端運算中涉及自駕系統操作之資訊，包括全部駕駛週期內之資料，如車輛模型在內之製造資料（manufacturing data）、駕駛習慣及偏好等個人隱私資料、感測器所蒐集之環境資料等，協助自駕系統做出決策；在GDPR方面，數位模擬分身可利用以下5大步驟，建立GDPR法規遵循機制以強化隱私保護：1.識別利害關係人與資產，包括外部服務和知識庫；2.漏洞檢測；3.透過虛擬數值替代隱私資料進行個資去識別化；4.解釋結果資料；5.利用資料匿名化以最大限度降低隱私風險，並防止受試者之隱私洩露。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　位於舊金山的RPX公司為一積極買進大量專利為目的所成立的新創公司。該公司宣稱自己為“防禦型專利的聚集者”，計畫買進有用專利，以協助保護科技公司遭受專利流氓提出專利訴訟，進而必須付出昂貴專利權利金或授權金。 　　RPX公司由Kleiner Perkins Caufield & Byers 及Charles Rivers Ventures兩家創投公司共同籌措資金而成立，其執行長為John Amster及Geoffrey Barker，兩位先前皆為另一專門購買專利之企業 Intellectual Ventures的副總裁。 　　RPX將採會員制方式，依公司營業收入的情況，每年收取固定3萬5千美元到 4百9拾萬美元的費用。會員將可依公司營運需求取得RPX之專利授權。2008年11月The Wall Street Journal 2 刊登出Cisco Systems與IBM已成為RPX的會員成員之一。 　　RPX公司稱已獲得150件美國專利，並另已提交申請60件美國專利，總價值共4仟萬美元，其領域包括網際網路搜尋(Internet search),無線射頻身分識別(radio frequency identification)，以及行動技術(mobile technology)。 註1：Patent trolls(專利流氓) 為握有專利但不運用於公司之製造或銷售產品，而是透過專利授權而取得權利金或若不接受專利授權者，藉由提出專利訴訟而取得損害賠償金之公司。 註2：The Wall Street Journal為提供財政、商業及經濟等相關消息之報紙全文。