日本發布利用AI時的安全威脅、風險調查報告書,呼籲企業留意利用AI服務時可能造成資料外洩之風險

日本獨立行政法人情報處理推進機構於2024年7月4日發布利用AI時的安全威脅、風險調查報告書。

隨著生成式AI的登場,日常生活以及執行業務上,利用AI的機會逐漸增加。另一方面,濫用或誤用AI等行為,可能造成網路攻擊、意外事件與資料外洩事件的發生。然而,利用AI時可能的潛在威脅或風險,尚未有充分的對應與討論。

本調查將AI區分為分辨式AI與生成式AI兩種類型,並對任職於企業、組織中的職員實施問卷調查,以掌握企業、組織於利用兩種類型之AI時,對於資料外洩風險的實際考量,並彙整如下:

1、已導入AI服務或預計導入AI服務的受調查者中,有61%的受調查者認為利用分辨式AI時,可能會導致營業秘密等資料外洩。顯示企業、組織已意識到利用分辨式AI可能帶來的資料外洩風險。

2、已導入AI利用或預計導入AI利用的受調查者中,有57%的受調查者認為錯誤利用生成式AI,或誤將資料輸入生成式AI中,有導致資料外洩之可能性。顯示企業、組織已意識到利用生成式AI可能造成之資料外洩風險。

日本調查報告顯示,在已導入AI利用或預計導入AI利用的受調查者中,過半數的受調查者已意識到兩種類型的AI可能造成的資料外洩風險。已導入AI服務,或未來預計導入AI服務之我國企業,如欲強化AI資料的可追溯性、透明性及可驗證性,可參考資策會科法所創意智財中心所發布之重要數位資料治理暨管理制度規範;如欲避免使用AI時導致營業秘密資料外洩,則可參考資策會科法所創意智財中心所發布之營業秘密保護管理規範,以降低AI利用可能導致之營業秘密資料外洩風險。

本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。

本文同步刊登於TIPS網站(https://www.tips.org.tw

相關連結
你可能會想參加
※ 日本發布利用AI時的安全威脅、風險調查報告書,呼籲企業留意利用AI服務時可能造成資料外洩之風險, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=67&tp=1&d=9235 (最後瀏覽日:2025/07/02)
引註此篇文章
你可能還會想看
歐洲汽車供應商協會發表關於標準必要專利之政策指南,以期有關單位能給予汽車產業更明確的指示

歐洲汽車供應商協會(European Association of Automotive Suppliers,俗以CLEPA簡稱之)於2023年3月7日發表〈關於標準必要專利之政策指南—一個可因應汽車產業數位轉型現象的歐盟專利規則〉(Standard Essential Patents Policy guidelines—For an EU patent regulation that adapts to the digital transformation in the mobility ecosystem),以期有關單位能給予汽車產業更明確的指示,舉凡:SEP專利權人可向何人為授權、「合於FRAND原則之授權條款」應如何被認定等。 CLEPA提及,由於在一技術領域中有SEP時,其他的技術無「迴避設計」(design-around)可能性,而必得實施該被選為標準之技術,故在該技術領域中,無其他技術可與「受該SEP保護」的技術相抗衡;是以該SEP的價值必須被審慎且精確評估。此外,CLEPA指出,由於汽車產業會投資、研發、銷售有助於未來「移動性」(mobility)發展的下世代產品,故此產業與智慧財產權議題有高關聯性(例如:此產業每年會申請超過39,000筆專利權),應予其在SEP議題上有足夠的明確性(certainty)及可預測性(predictability),使其在「投資於廣泛實施標準的『新技術』」上,更可依循。而創建一個「利益平衡」(balanced)的環境,將有助於授權雙方進行合於「誠信原則」(good-faith)的授權協議。 CLEPA為以上目的,提出五點建議: (1)應有一「歐盟層級」的立法 一個「歐盟層級」(EU-level)的法架構體系是較足以為SEP專利權人及專利實施者間,提供較「利益平衡」的環境,且較可抑制不公平的SEP授權行為。 (2)「供應鏈中任一層級,均可得授權原則」 凡任何欲得授權者,不論其位於供應鏈中何層級,均應予其有「在符合FRAND原則」下,被授權的機會。又,由於一技術之所以會成為「標準」,係因被「商討」(coordination)而出,倒不一定是因其在市場競爭上,真的有大勝於其他技術的優勢,故授權權利金應僅可反映該技術本身的價值,而不可將「因標準化而可帶來的其他廣大利益」摻入。 (3)對於SEP授權條款應有明確指示 政策制定者及各「標準制定組織」(Standard Setting Organization, SSO)應對「何謂合於FRAND原則之授權條款」提供指南;此外,也應提出就一SEP及其有被納入的「專利組合」(portfolios)的評價方法。 (4)供應鏈中的授權狀況應明瞭 專利實施者應清楚明瞭其是否應獲授權,或其上游元組件供應商是否已獲授權。 (5)應有完整的法體制 政策制定者應制定法體制或應提供關於法體制的指南,以避免SEP專利權人不當申請「禁制令」(injunction),以強使授權協議之可被達成。

國內版RoHS 將比照歐盟規定

  歐盟有毒物質禁用指令( RoHS )已自今年 7 月起上路,國際間陸續有其他國家跟進:目前為止,美國約有半數的州已通過相關法令,加州從明年起亦將開始實施;至於亞洲的日本已與歐盟同步實施、韓國將於明年 7 月上路;澳洲草案也已經出爐,至於實施日期則未定。   為與國際接軌,環保署也正積極推動國內版 RoHS ,目前法案名稱尚未確定,不過內容將會與國際接軌,除限制電子電機等產品,不得含有鉛、汞、鎘、六價鉻、聚溴聯苯和聚溴二苯醚等六種有毒化學物質或限制其比率外,檢驗標準亦將比照歐盟,採用事後市場管理機制,亦即先放行產品進口,並採事後抽測方式檢驗,因為採事前市場管理,將造成貿易障礙,實施檢驗亦有困難。至於罰責方面則仍須商榷,環保署表示目前我國要先合併「廢棄物清理法」與「資源回收再利用法」的法源,預定在年底前召開公聽會並送行政院審查,最快也要等明年立法院第一會期通過後才會實施。

日本智慧財產推進計畫2015分析(下)

日本智慧財產推進計畫2015分析(下) 資策會科技法律研究所 法律研究員 蘇彥彰 104年10月28日   日本智慧財產戰略本部於今年6月19日所公布的「智慧財產推進計畫2015」[1],係以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨,並以少子高齡化與地方經濟衰退、智財糾紛處理機制的使用狀況和便利性、以及內容產業海外拓展的潛力及對智財戰略之重要性為背景,提出三項核心議題並分別剖析其現狀課題及主管部會應努力之方向,本文以下針對第三項議題「推動內容產業及週邊產業整體性的海外拓展」介紹如下: 三、推動內容產業及週邊產業整體性的海外拓展 (一)現狀與課題   動畫、漫畫、電影、音樂、遊戲、電視節目等內容產業的海外發展,不僅可以增加內容產業本身的海外銷售數字,同時可以藉由吸引更多日本內容產業迷群(ファン),活用內容產業所形塑之整體風格及日本國家形象,透過拓展其他各類業種的海外市場並提升訪日觀光客的數量等,期待內容產業帶動經濟及文化間的相乘效果。然而今年度推進計畫中亦指出,目前日本的內容產品海外銷售市場規模並未十分穩固,即使是與日本文化、經濟關係較深厚的亞洲諸國,除了動漫畫等部分領域外,市場調查的結果都落於歐美、韓國之後。   遊戲產業方面,雖然和其他日本內容產業相比有較大的海外市場規模,但以全球高達數兆日幣的遊戲市場而言,仍然持續面臨中國、美國等之激烈競爭,市場地位尚未見穩固;從另一個角度觀察,日本國內內容產業規模雖然近年來未見成長,仍具備每年12兆日幣的水準[2],相比之下目前日本內容產業的海外收入及輸出額均屬微小,應可認為尚有充分的成長空間。 (二)今後施政方向   日本智財戰略本部為求能使內容產業(特別是影視產業)更進一步打入海外市場,提高影響力並帶動周邊產業及觀光人數之提升,提出以下施策方向供主管部會遵循; 1、「配合海外當地市場喜好進行內容產品的製作」:與當地的文化、需求結合,製作使海外市場容易接受的數位內容,例如與熟知當地需求的在地電視台等進行合作,從製作階段就先行瞭解海外市場的視聽型態與動向,而對於目前已既存的電視、電影、音樂、動畫、遊戲等內容產品,則持續透過翻譯、配音、字幕製作等方式進行在地化,針對電視節目於海外其他國家播送所牽涉到的相關法律上權利處理,也需要提出更加迅速而有效率的對應作法; 2、「內容產業海外市場的持續拓展」:由於各地海外市場與日本間的物價差別,內容產品若透過單純的銷售方式不易取得滿意的銷售成績,有必要持續與熟知當地宣傳模式的業者建立合作關係,透過廣電頻道和現場活動的辦理,持續進行市場的拓展並增加曝光度; 3、「內容產業與相關產業間的合作」:目前透過J-LOP(「ジャパン・コンテンツ ローカライズ&プロモーション支援助成金」)[3]支援辦理的海外市場宣傳活動多為單次性而缺乏整體規劃,必須透過各同類、異類產業間的合作,提出能吸引更高注目度的宣傳手法並促成彼此間的相乘效果。 (三)小結   近年來文化創意產業的成長力受到各界廣泛的矚目,而為開拓文創市場商機,政府除陸續舉辦國際級文創產業博覽會外,並且協助業者參與各種國際型會展活動以進行國際拓展,包括「文化創意產業國際拓展計畫」及「國際及兩岸文化創意產業組織搭橋計畫」等,均有效深化與國際通路間合作關係,後續採購金額均達數億元[4]。   然而若從內外銷角度來看,我國文化創意產業營業額主要仍來自於內銷收入,以2013年為例,內銷收入占總營業額的90.8%,較2012年增加1.16%,近六年之內銷收入更持續呈現擴大趨勢,2013年之成長率達4.14%[5],顯見我國文創產業仍高度偏重內銷,外銷市場不僅嚴重偏低且呈下滑走勢。   我國文創產業政府及民間業者多年努力下雖已逐漸成熟茁壯,但眼前仍需主管機關在產業發展上提出相關獎勵措施和補助辦法,掃除不利文創出口外銷的障礙,並協助業者大力開拓海外市場以改變目前高度仰賴內銷市場之情況。就此,前揭日本智財推進計畫中所提出現況檢討和施政方針作法,應可作為我國之借鏡和參考。 四、結語   日本自2003年7月由「智慧財產戰略本部」[6]發布第一份「關於智慧財產創造、保護、活用推進計畫」[7]後,每年均依智慧財產基本法第23條[8]之規定就計畫內容進行檢討與更新,而今年度的「智慧財產推進計畫2015」除仍以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨外,日本內閣總理大臣安倍晉三並於今年4月14日主持智慧財產戰略本部會議時明確指出[9],包括各先進國及新興國家在內,就智財領域的競爭正日漸增強,日本為強化國際競爭力,有必要持續進行智財戰略構策,將日本高度的技術實力和豐富的文化資產進行結合以開創新的商業契機。   我國行政院於2012年核定通過「智財戰略綱領」[10],期望透過經濟部、文化部、農委會及科技部規劃與推動六項行動計畫,積極引領產學研各界提升智財創造的品質,其中「戰略重點2:強化文化內容利用」項下「強化流通運用及防止非法利用」、「戰略重點4:活化流通學界智財」項下「提高學界成果產業化環境」及「戰略重點5:落實智財流通及保護體制」項下「強化智財訴訟支援與因應能力」、「佈建具多元彈性及戰略性的智財營運組織」等宗旨及內容,均與前述日本之「推動地方智財的活用」、「活化智財紛爭處理機制」、「推動內容產業及週邊產業整體性的海外拓展」三項核心議題相仿,其規劃方向和政策內容可供主管機關分析研究之。 [1] 〈知的財産推進計画2015〉,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku20150619.pdf(最後瀏覽日:2015/08/14) [2] 経済産業省,〈コンテンツ産業の現状と今後の発展の方向性〉,頁2(2015)http://www.meti.go.jp/policy/mono_info_service/contents/downloadfiles/1507shokanjiko.pdf(最後瀏覽日:2015/10/16) [3] 全名為「日本內容產業在地化和行銷協力輔導金」,總額約155億日幣,申請期間自2013年3月19日起自2015年2月28日止,是日本為求內容產業的海外拓展,針對「在地化」和「行銷」進行協助,透過對海外傳播日本內容產品提供輔導,以創造「哈日風潮」、促進觀光並擴大相關產業的海外市場為目的的輔導金,詳情可參http://j-lop.jp/about/(最後瀏覽日:2015/08/13) [4] 文化部,〈2014臺灣文化創意產業發展年報〉,頁30(2014)。 [5] 同前註,頁17。 [6] 日本「知的財産戦略本部」網站,http://www.kantei.go.jp/jp/singi/titeki2/(最後瀏覽日:2015/08/14)。 [7] 《知的財産の創造、保護及び活用に関する推進計画》,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/kettei/030708f.html(最後瀏覽日:2015/08/14)。 [8] 知的財産基本法(平成十四年十二月四日法律第百二十二号)第二十三条:「知的財産戦略本部は、この章の定めるところにより、知的財産の創造、保護及び活用に関する推進計画(以下「推進計画」という。)を作成しなければならない。……」 [9] 〈安倍総理の御発言(知的財産戦略本部)【平成27年4月1 4日】〉,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kensho_hyoka_kikaku/2015/dai11/sankou1.pdf(最後瀏覽日:2015/10/28) [10] 〈智財戰略綱領〉,經濟部技術處,https://www.moea.gov.tw/MNS/doit/content/Content.aspx?menu_id=13453(最後瀏覽日:2015/10/29)

英國頒布電子通訊之網路與資訊系統規則

  2018年英國頒布電子通訊之網路與資訊系統規則(The Network and Information Systems Regulations 2018),該規則實施歐盟2016年網路與資訊系統安全指令(Network and Information Security Directive, NIS Directive)。該規則分成幾個部分,第一部分是介紹性條文,例如介紹網路及資訊系統之定義:「(a)2003年通訊法(Communications Act 2003)第32條第1項所指的電子通訊網路;(b)一組或多組互聯或相關設備,其中之設備或程序根據程式自動化處理數位資料;(c)為操作、使用、保護和維護目的,由(a)或(b)款所涵蓋的儲存、處理、檢索或傳輸的數位資料。」   第二部分是英國政府相關組織架構規定,包括網路及資訊系統的國家政策(The NIS national strategy)、國家權責機關的指定(Designation of national competent authorities)、單一聯絡點的指定(Designation of the single point of contact)、電腦安全事件應變小組的指定(Designation of computer security incident response team)、執行機關的資訊分享(Information sharing–enforcement authorities)、北愛爾蘭的資訊分享(Information sharing–Northern Ireland)。   第三部分則是基本服務營運商(類似於我國的關鍵基礎設施營運商)與其職責,包括基本服務營運商的確定、營運權廢止、基本服務營運商的安全維護職責、事故通報的責任等。根據第8條第1項之規定,如果營運商提供本規則附表2所載明的基本服務(包括電力、石油、天然氣、航空運輸、船務運輸、鐵路運輸、公路運輸、醫療健康、數位基礎設施等),並且符合基本服務一定門檻要求者,則該廠商即被視為基本服務營運商(operator of an essential service, OES)。舉例而言,規章之附表2第1項載明,營運商提供電力供應之基本服務者,其一定門檻要求包括:若營運商位於英國,符合「為英國國內超過25萬名消費者提供電力服務」或「輸電系統的發電量大於或等於2 gigawatts」之條件者,該營運商即為基本服務營運商(OES);若營運商位於北愛爾蘭,則應「依據北愛爾蘭1992年的電力法規命令取得供電執照」,且「為北愛爾蘭境內超過8千名消費者提供電力服務」,或符合「發電量大於或等於350 megawatts」等條件,則該營運商即為基本服務營運商(OES)。   再者,若營運商符合第8條第3項所列之條件,則可由主管機關指定為基本服務營運商(OES)。此外,主管機關可根據第9條撤銷基本服務營運商(OES)的認定,基本服務營運商(OES)必須履行第10條規定的安全維護責任,並對於第11條規定的事件負有事故通報的責任。   第四部分則是數位服務,包括相關數位服務提供者、成員國跨境合作與行動、向資訊專門委員進行登記(Registration with the Information Commissioner)、資訊通知(Information notices)、檢查權限、違反義務之強制執行、裁罰、對行政機關裁罰決定之獨立審查、罰鍰之執行、費用、裁罰程序、執法行為的一般考量因素、審查與報告。

TOP