開放式無線電接取網路(O-RAN),為後五代(B5G)及第六代(6G)行動通訊重要架構與技術,包含開放式射頻單元與開放式基頻單元,其符合3GPP國際標準,並具有彈性部署與較低建置維護成本等優勢,加速產官學界引進與實務應用。O-RAN中的無線電接取網路智慧控制器(RIC)更是導入AI/ML算法,最佳化網路功能部署與資源管理分配,以滿足多元應用情境及提升用戶服務品質。近期國內在金融業已頒布AI指引草案,而O-RAN涉及的通訊產業,亦宜跟上此趨勢。從國際視野中,歐盟於西元2024年3月通過「人工智慧法案」(AI Act)而成為首部規範AI使用的成文法,其係以風險分級的模式管制AI。
本文認為O-RAN通訊技術亦應從風險分級管制的角度出發,以確保AI的利用符合國際法規的趨勢。因此回歸我國電信管理法與相關子法,應審視目前審查規範是否已達對應風險分級的管制要求。另外,是否宜針對私人企業、公部門、學術機構為不同程度的限制,亦值得加以探討。末以此作結,提出本文對於電信管理法之法制關於O-RAN技術之建議。
2020年為全球第五代行動通訊(5G)元年,我國電信營運商亦於民國109年開啟5G服務,朝向更高速率與更低延遲應用場景。目前產官學研各界皆積極布局與發展下世代行動通訊系統,以回應國際電信聯盟ITU與國際標準組織3GPP針對B5G與6G的未來願景與系統規範,人工智慧、資安韌性與開放兼容等,為其中之重點研究方向1。開放式無線電接取網路(O-RAN),為後五代(B5G)及第六代(6G)開放式基地臺架構與技術,包含開放式射頻單元(ORU)、開放式分散單元(O-DU)與開放式中央單元(O-CU),其不僅符合3GPP國際標準,並具有彈性部署、網路功能虛擬化與較低建置維護成本等優勢,可做為「公眾電信網路」或「實驗研發專用電信網路」使用2。不僅如此,相較於3GPP架構,O-RAN更結合人工智慧,達到預測性維護、動態資源分配及網路功能最佳化等目的。O-RAN系統中的AI架構主要有服務管理排程(SMO)與接近即時無線電接取網路智慧控制器(Near-RT RIC);SMO中的非即時無線電接取網路智慧控制器(Non-RT RIC),為Near-RT RIC提供最佳化策略、AI/ML演算法及模型管理等,以最佳化無線電接取網路參數與配置。例如,筆者團隊於112年參與數位發展部(以下簡稱數發部)舉辦的「2023AI+新銳選拔賽」,可藉由收集到系統內各服務用戶的訊號強度、資料吞吐量(Throughput)與服務品質需求(QoS)等,經Non-RT RIC計算,可達成負載平衡與頻譜資源分配最佳化3。
目前業界對資安的主流態度,採取「零信任」架構,從以前護城河式的關閉態度,朝向無邊界的開放型態,對於所有裝置與人員皆一律驗證,並限制資料的存取量與存取時間,以降低外部入侵的危害。近年來,我國政府在電信法規有限度鬆綁下,開放原本封閉的專頻專網通訊系統,適度地對外連結網際網路,可使O-RAN應用場域更有彈性。然而,此鬆綁亦帶來潛在資安問題,如何避免資料外洩,以及降低外部入侵所造成的風險,為重要研究方向4。
在2018年,歐盟即針對AI的管制及發展制定「人工智慧協調計畫」(Coordinated Plan on Artificial Intelligence),開宗明義地指出該計畫的主要目標包括,在商業上最大化歐盟和國家層級的投資影響,同時在公共利益領域如醫療保健、交通、安全、教育和能源等5,也能透過人工智慧為公民帶來最大的益處。因此,可見歐盟除欲利用AI提高經濟優勢外,也著重於以人為本的精神,而促進領域內民眾的福祉。因此無論在公私領域,均須確保AI符合倫理與安全並保障人民的基本權,落實「基本權利憲章」的精神。
而後,在2020年,歐盟又發表了「人工智慧白皮書」(White Paper on Artificial Intelligence),就此引入了「風險分級」的管制架構6,但如何定義高風險,亦須符合可理解、可預見的基本原則,而使AI的管制能明確化7。因此,在白皮書中,從產業領域特徵出發,而認為醫療保健、交通、能源和部分公共部門應屬高風險的領域。但若在高風險領域中,以AI醫院預約系統為例8,涉及的AI技術並不會對個人基本權造成重大的風險,因此儘管是被分類在高風險的領域中,仍須視個別的應用而決定其風險等級。因此,可見歐盟在早期階段,即已確立以不同風險層級進行AI管制的原則。
2021年4月21日,歐盟提出「人工智慧法案」草案,而後於2024年通過的法案即將AI分為四種風險等級制度,由高至低依序為:無法接受的風險(Unacceptable risk)、高風險(High risk)、有限風險(Limited risk)及最小風險(Minimal risk)。所謂無法接受的風險,乃完全禁止於歐盟經濟區使用,例如涉及心智操縱。而高風險,乃預期對於人民基本權、健康、安全可能造成重大損害的AI系統,例如基礎設施的管理和營運、基本的私人和公共服務。至於採取風險層級的架構,與AI發展策略係「以人為本」有實質關聯。蓋從影響個人基本權的程度而論,亦有高低之分。因此,對於所涉基本權、公益越高之情形,更課予較高之保障義務。
倘若歸類於高風險AI,該AI本身需符合本法第二章第8~15條之要求,尤以第15條要求AI之設計開發應使其達到適當的準確性、穩健性和網路安全水平為核心。AI的準確度等級和指標應在第13條所規定之使用說明書中公開,應載明的項目包括:
除所列三點外,尚有諸多規範,礙於篇幅不逐一敘明。若為高風險AI之提供者、進口商、經銷商、部署者,則需符合第三章第16~29a條之義務。以提供者為例,第16條需確保AI系統符合第二章逐條的要求,管理面上,應建立品管系統、保存技術及認證機構核發的相關文件,在系統上市或投入使用後的10年內,將其保存供國家主管機關查閱;程序上,需制定並更新歐盟符合性聲明,表示承擔第二章之責任,並貼有CE標章9。倘若提供者違反第16條,應處以最高一千五百萬歐元的行政罰款或3%的年營收(參照第71條第4項)。
在了解涉及高風險AI的義務後,下一個問題是,O-RAN技術是否會落入高風險AI的範疇?答案是很有可能的。在法規中附件三(ANNEX III)規定第6條之高風險AI定義八種態樣,其中第二種態樣包括,關鍵數位基礎設施、道路交通,以及水、氣、暖和電力供應管理和運營安全組件的AI系統。數位基礎設施,包括用於傳輸(網路、傳輸業)、存儲(雲端資料存儲)、訪問、處理和使用數位資料的硬體、軟體,以及組織和機構設置10。
套用至我國的規範中,依據「電信管理法」所生之子法,例如「資通安全管理法」第3條第7款、「關鍵電信基礎設施指定及防護管理辦法」第2條第1項,認為通訊、網路傳播、電信業,均可能落入關鍵基礎設施的範圍。因此,O-RAN做為後五代(B5G)及第六代(6G)行動通訊,在運用上可能為關鍵數位基礎設施,而很可能屬於高風險類型。
從影響人民基本權程度的角度論之,由於O-RAN中的無線接取網路智慧控制器(RIC)導入AI/ML算法,此涉及司法院釋字第603號解釋保障之資訊隱私權。在連上O-RAN內網後,系統即自動蒐集連線使用者的相關系統資訊,進而通過AI演算法進行網路優化,並可得出使用者在特定時點的使用流量、QoS、與QoE等。由於O-RAN之AI架構涉及服務管理排程(SMO)與接近即時無線電接取網路智慧控制器,在未來技術上亦存在譜出個人生活、購物喜好、閱覽習慣等與人格發展不可分離之資訊可能性,甚至可能涉及企業之營業秘密,原則上應屬於高風險的AI利用。
例如在歐洲,在醫院已利用O-RAN與智慧醫療結合,進而分析病情及傳輸醫學影像。當患者所需的專業人員無法親自到場時,透過5G低延遲特性讓現場影像能即時傳輸至遠端醫院,或由遠距機器人診療,實現遠距醫療結合5G與AI應用之可行性11。但同時,因為遠端手術涉及即時性之問題,萬一產生訊號遲延,自然對患者造成極大風險。
但是,從使用用途而言亦不排除落入有限風險範疇之可能。O-RAN本身利用層面極廣,故其未必會落入關鍵數位基礎設施的範疇,而非屬高風險AI,則在此情境下管制層級自應有所區別。
現行法規中涉及行動寬頻專用電信網路(以O-RAN為中心探討),相關問題以四部法規為主(如表一),此四部子法之法源授權分別來自於「電信管理法」第39條第4項、第5項及第50條第7項,其中「行動寬頻專用電信網路設置使用管理辦法」(以下簡稱行動寬頻辦法)規範了O-RAN連接外網的原則與申請資格;「公眾電信網路審驗辦法」與「實驗研發專用電信網路設置使用管理辦法」皆提到關於網路安全管控能力的規定,而網路安全管控能力的內容與審查項目,則詳細規範在國家通訊傳播委員會(以下簡稱NCC)所訂立之「公眾電信網路審驗技術規範」(以下簡稱技術規範)。
行動寬頻專用電信網路設置使用管理辦法 | |
---|---|
法源 | 電信管理法 第50條第7項 |
主管機關 | 數發部 |
涉及O-RAN相關條文 | 第12條:第6、12項:申請書關於網路資通安全偵測及防護規劃 |
實驗研發專用電信網路設置使用管理辦法 | |
法源 | 電信管理法 第39條第5項 |
主管機關 | NCC |
涉及O-RAN相關條文 | 第9條:網路安全管控能力之審查或測試項目 |
公眾電信網路審驗辦法 | |
法源 | 電信管理法 第50條第7項 |
主管機關 | NCC |
涉及O-RAN相關條文 | 第16條:申請人應檢具網路安全自評測試報告(申請及審查相關規定) |
公眾電信網路審驗技術規範 | |
法源 | 電信管理法 第39條第4項 |
主管機關 | NCC |
涉及O-RAN相關條文 | 2.2.2.1網路管控能力 2.2.2.1.2管控能力內容 |
資料來源:本文整理
在上述規範中,僅行動寬頻辦法主管機關為數發部,其他均為NCC。在行動寬頻辦法中,其目的係為因應5G通訊及相關發展之大數據、人工智慧等應用。而在NCC規範的四部子法中,其目的均提及係為保障公眾,以及專用電信網路業者內網連結外網之資安問題。其中,技術規範更詳細臚列各種申請之要件,並以該等要件之具備與否,認定其安全性。實質上,數發部審核的技術內容與NCC訂定之技術規範多有相似之處。申言之,O-RAN之設置依行動寬頻辦法第12條第6項,需符合網路資通安全之要求。
在設置計畫申請書中,須檢附網管系統元件所具備之資通安全防護及控制措施證明文件及佐證資料,包括軟體認證證書、第三方公正單位對於設備系統資安之檢測報告,並需提出O-RAN之安全管控規劃及說明,包括網路之維運管理、網路之實體安全規劃兩項要素。網路之實體安全規劃中涵括國際ISO-27001資安及ISO-27017雲端服務資訊安全管理認證,以及取得相關資安證照等。申請者需敘明上開網路安全規劃等資訊,並以自評表勾選。由以上而知,似乎可從此認定數發部目前的審核標準仍以NCC之審驗辦法為原則,故NCC辦法之修訂,更有其重要性。
從上述「電信管理法」下之四個涉及O-RAN技術的子法中,可以發現一共通現象,主管機關固然於規定中均力求網路通訊安全性的保障,惟似未將O-RAN中AI之應用予以明確規範。亦即,在O-RAN涉及的AI技術中,是否需載明其利用AI可預見或合理誤用之風險?該AI技術本身是否要求供應者、部署者負一定揭露義務?誠然,O-RAN做為B5G及6G行動通訊自屬相當前瞻之技術,在比較法中,特別從法律位階的法規而言,確實難以查知相關法制。但歐盟的「人工智慧法案」提供了一項基本的框架,依照風險治理的概念分級,只要是涉及高風險AI技術就必須符合一定的義務。因此,在通訊管制上,一旦涉及AI技術,自可參照歐盟「人工智慧法案」中規定對應風險所應負擔之義務予以審查,並且要求供應者明確揭露相關資訊。
目前O-RAN在我國已有許多實際應用場景,例如高雄展覽館已實現智慧浮空投影與多樣化展會服務12;在傳統需仰賴人力做缺陷檢測與設備巡檢的系統整合場域,藉由O-RAN與AI技術,大幅提升準確率並縮減處理時間,以實現智慧工廠,進而大幅降低人力成本並提高工業生產力。我國智慧醫療之發展已能結合AI演算法、IOT設備與5G智慧醫療應用場域,開發5G AIoT心電圖功能。有別於過去僅有心電圖異常判讀,現階段已能由心電圖進行急症疾病AI診斷輔助,並能進行即時通報。
AI演算法方面,建立心電圖能判斷之資料庫,包含判讀血中鉀離子濃度、急性心肌梗塞、心律不整(30種波型判讀)等中小型資料庫進行模組訓練,以加快資料處理及運算速度。最後透過標準化作業流程,結合簡訊系統通報,讓醫護人員能即時掌握患者狀況。而5G在智慧醫療中扮演的角色,包含超高速、低延遲與廣連結,在5G獨立組網(Standalone, SA)架構下,除5G AIoT心電圖功能,亦發展5G創新嬰兒照護環境,透過AI深度學習嬰兒臉部辨識監控,即時傳送告警訊息至監控系統,亦能確保資安無虞。
在以上已落地應用的實例中,前二者並未落入關鍵數位基礎設施之範疇,因此尚不足認定為高風險AI。反之,醫療中心在我國數發部的定義下,會落入關鍵基礎設施的範疇13。從用途而論,其會自動蒐集病患病史、病程等敏感性個資,甚至存在即時監控臉部辨識功能,高度存在影響人民資訊隱私權之情形。是以,在上開案例中,應落入本文所述之高風險AI運用,而為較嚴格之管制。
以不同風險為AI之管制,國內金融監督管理委員會做為金融業主管機關,已經開了第一槍。該委員會於112年12月底公布金融業運用人工智慧(AI)指引草案,其以是否面對客戶、使用個人資料的程度、影響不同利害關係人的程度及廣度等因素,進行風險管理。此即以風險評估的層面區分不同利用情形,而決定要為何等密度之規範程度事例。
本文以歐盟AI法制為核心,探討我國O-RAN通訊之風險管制。在歐盟「人工智慧法案」第7條、附件三規範之八種高風險AI利用情境,其風險判斷之標準與基本權利影響評估有高度關聯,亦即,倘用途可能涉及人民基本權利、公益重大,便應為不同程度之管制。因此,似乎亦可從用途之角度延伸,因O-RAN設置可能由不同單位申請,無論是否連接外網,若未涉及敏感性個資蒐集研究之研究單位或一般展覽機構,並不產生對人民基本權利影響之直接效力,其風險層級相對較低,風險管制則應寬鬆。反之,倘為涉及大眾通信使用、可能串接政府機構、醫學中心等單位,風險管制則應從嚴。因此,風險分級與管制一面可以從「用途」出發,但因細分各單位中各AI涉及之用途倘過於龐雜,初步亦可從申請單位之「屬性」本身,進行初步軟法的指引規範,而為滾動式修正。