法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)於2025年7月15日指出近年來詐騙案件快速增加,詐欺行為人假冒銀行人員,以電話引導受害者自行完成轉帳或新增收款人等操作。為降低受騙風險,部分銀行在行動應用程式中設計機制,能偵測到使用者操作較高風險的交易時若同時處於通話狀態,便可即時跳出警示或暫停交易。此等做法雖有助於阻詐,惟因涉及個人資料存取,故須符合《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR)之規範。
CNIL提醒銀行蒐集通話資訊須取得使用者明確同意,不能僅依賴行動裝置的「電話」權限,亦不得因使用者拒絕同意而限制應用程式之基本使用,僅在如新增收款人、大額轉帳、或轉帳至高風險國家等異常活動操作中才能要求同意,並須提供網站、電話或分行等替代辦理方式。又相關權限請求應在交易操作過程中提出,而非在應用程式安裝時統一要求,安裝前亦應向使用者充分說明。若使用者不同意,仍必須使其能正常查詢帳戶資訊。
此外,在資料處理上須遵循資料最小化原則,僅得蒐集是否進行通話及通話時長之資訊,不得恣意擴大資料蒐集範圍。與此同時,銀行應讓使用者在同意與撤回同意操作上一樣簡便,不得僅引導至手機裝置設定,而應使消費者能在應用程式中直接操作,並清楚告知撤回同意後功能受限範圍及可替代方案。
除利用應用程式進行通話偵測,CNIL建議銀行尚應搭配其他措施,例如在應用程式內定期推送防詐提醒、舉辦宣導活動,或在確認付款時詢問客戶是否正與自稱是「銀行顧問」之人通話。若銀行欲透過應用程式偵測通話狀態來防詐,則須在合法性、必要性、資料最小化以及使用者同意之間取得平衡。
歐盟執委會(European Commission)於2022年9月28日通過《人工智慧責任指令》(AI Liability Directive)之立法提案,以補充2021年4月通過之《人工智慧法》草案(Artificial Intelligence Act)。鑑於人工智慧產品之不透明性、複雜性且具自主行為等多項特徵,受損害者往往難以舉證並獲得因人工智慧所造成之損害賠償,《人工智慧責任指令》立法提案即為促使因人工智慧而受有損害者,得以更容易獲得賠償,並減輕受損害者請求損害賠償之舉證責任。 《人工智慧責任指令》透過引入兩個主要方式:(一)可推翻之推定(rebuttable presumptions):人工智慧責任指令透過「因果關係推定(presumption of causality)」來減輕受損害者之舉證責任(burden of proof)。受損害者(不論是個人、企業或組織)若能證明人工智慧系統因過失或不遵守法規要求之義務,致其受有損害(包括基本權利在內之生命、健康、財產或隱私等),並且該損害與人工智慧系統之表現具有因果關係,法院即可推定該過失或不遵守義務之行為造成受損害者之損害。相對的,人工智慧之供應商或開發商等也可提供相關證據證明其過失不可能造成損害,或該損害係由其他原因所致,以推翻該損害之推定。(二)證據揭露機制(disclosure of evidence mechanism):若受害者之損害涉及高風險人工智慧時,得要求自該供應商或開發商等處獲取證據之權利。受害者透過證據揭露機制能夠較容易地尋求法律賠償,並得以找出究責的對象。 歐盟執委會認為以安全為導向的《人工智慧法》,為人工智慧訂定橫向規則,旨在降低風險和防止損害,但仍需要《人工智慧責任指令》之責任規定,以確保損害風險出現時,相關賠償得以被實現。但歐盟執委會仍選擇了較小的干預手段,《人工智慧責任指令》針對過失之責任制度進行改革,並未採取舉證責任倒置(a reversal of the burden of proof)之作法,而是透過「可推翻之推定」,一方面減輕受損害者之舉證責任,使受損害者得對影響人工智慧系統並產生過失或侵害行為之人提出損害賠償;另一方面賦予人工智慧之供應商或開發商等有機會推翻前揭造成損害之推定,以避免人工智慧系統之供應商或開發商面臨更高的責任風險,可能阻礙人工智慧產品和服務創新。
人工智慧採購指南草案人工智慧作為一前瞻性技術,運用於公部門,可以降低成本、提高管理品質、節省基層公務人員時間,整體改善政府公共服務。然而AI技術進化以及市場發展過於快速,現有採購類型沒有可以直接適用AI採購的判斷標準範本。因此,英國人工智慧辦公室(Office for Artificial Intelligence)與產官學研各界進行研商後,於2019年9月20日發表人工智慧採購指南草案(Draft Guidelines for AI procurement),作為公部門採購AI產品與服務之準則。該指南旨在加強公部門採購人員能力、協助採購人員評估供應商,讓廠商可以隨之調整其產品和服務內容。 該指南提供採購人員規劃政府AI採購的方向,包含招標、公告、評選、決標到履約。但指南強調無法解決採購AI產品與服務時遇到的所有挑戰。 指南內容簡述如下: 在制定規範時應重視如何清楚闡述面臨到的問題,而非只是說明解決方案; 評估AI帶來的風險時應緊扣公共利益,在招標階段敘明以公共利益為核心,並有可能在招標、評選和決標階段變動評估標準; 在招標文件中確實引用法規和AI相關實務守則; 其他包含將AI產品的生命週期納入招標和履約考慮、為提供AI產品和服務的廠商創造公平競爭環境、需與跨領域的團隊進行採購討論、確保採購流程從一開始就建立資料管理機制等。
歐盟資通安全局公布《提升歐盟軟體安全性》研究報告歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。 報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括: 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。