從美歐植物藥管理之法制趨勢探討我國中草藥產業發展之機會與挑戰

　　共享經濟（Sharing-economy）為近來很夯的議題，其概念係藉由網路平台分享自有資產、資源、時間及技能及其他有用的事物，透過資源分享能更有效利用或者獲得收入。共享經濟不僅能夠促進經濟成長、鼓勵創業，同時也促進資產有效再利用，許多創新服務成功案例，例如Uber、Lyft、Airbnb等因此產生，然而，這類型之創新商業模式推展至世界其他各國發展時，卻遭遇到法規範的差異，與各國政府監督與管理出發點的不同，對各國政府與創新商業模式皆成為未來的挑戰。 　　舉例來說，目前Uber公司在法國、西班牙和德國等國禁止其提供服務，由於德國政府認為Uber未事先依法律規定辦理司機與營業車輛登記，故禁止Uber於德國境內服務；而西班牙政府認為Uber公司未取得經營執照，亦禁止其於西班牙提供服務。然而Uber公司認為，上述國家對於公司的發展已產生限制競爭與不公平的對待，進而向歐盟執委會（European Commission）提出申訴。 　　依歐盟條約（The Treaty on the Functioning of the EU, TFEU）規定，歐盟會員國各該內國法之制定原則上不可抵觸歐盟競爭法（EU competition laws），是以，各該歐盟會員國必須遵守歐盟競爭法訂立至少符合歐盟競爭法的相關規範。因此，若認為歐盟會員國的規範與實務操作有悖於歐盟條約所制定之公平競爭規則時，可向歐盟執委會提出申訴，該委員會如發現確實有違背公平競爭規則時，可要求該歐盟會員國修訂其國家的監管制度。 　　對此，歐盟、各該會員國之監管部門、市場競爭當局試圖尋找解決問題的平衡點，並在適當的監管與促進創新與競爭的環境下，俾利共享經濟於各國的推動與發展。

　　2016年9月，詞曲創作者Sean Hall及音樂公司代表Nathan Butler提出著作權侵權訴訟，控訴泰勒絲2014年單曲【Shake it off】中「Playas, they gonna play / And haters, they gonna hate」的詞彙使用方法抄襲了2001年所錄製的【Playas Gon'Play】，主張在2001年前這種特定角色加上特定動作的重覆出現組合，並未於任何流行文化中所使用。 　　由於原告僅以歌詞部分進行侵權訴訟，美國聯邦地區法院法官不需專家或陪審團意見即可進行判決。法官Michael Fitzgerald以「平庸（banal）」一詞形容原告所提出的詞彙組合，駁回該訴訟，並表示被控侵權的泰勒絲歌詞內容部分為短語（short phrases），缺乏著作權法所保護的原始性及創作性，且「Playas gonna play / haters gonna hate」所展現的創作性和「鼓手會打鼓/游泳者會游泳」沒什麼兩樣。因此，除非【Shake it off】中有其他音樂元素可能值得聲稱侵權，法院願意給予原告機會修改聲明，進行上訴。此外，法院提出其它理由：「Playas+play」這樣的詞彙組合早於1977年單曲【Dreams】中「Players only love you when they’re playing」就曾被使用過，且「Playas」一詞也曾用於1990年年代做為R&B樂團的團名。 　　這不是【Shake it off】第一次遭逢侵權訴訟，2015年Jessie Braham指控【Shake it off】侵犯其於2013年發行的單曲【Haters Gone Hate】，並求償4,200萬美元。但由於原告並未提供足夠證據，該案亦遭駁回。

　　運用區塊鏈技術發行加密貨幣（Cryptocurrency，又稱虛擬貨幣）進行募資，為當前熱門的新創募資手段之一，此種募資方式稱為首次代幣發行（Initial Coin Offering，ICO）。由於ICO過去並未受到監管，其發行也僅有發行人所撰寫的白皮書（Whitepaper）可供參考，投資人與發行人間有相當大的資訊落差，也因此導致以ICO為名的詐騙案件層出不窮。 　　對此各國監管機關紛紛對ICO進行分類與監管，美國證券交易委員會（SEC）即將加密貨幣區分為效用型代幣（Utility Token）與證券型代幣（Security Token），並將後者納入監管。SEC採用1946年美國聯邦最高法院在SEC v. W.J. Howey Co.案判決中所適用的標準（Howey Test），若「投資人基於對合理報酬的預期，對特定事業進行金錢的投資，且該獲利來自於他方的努力」，即屬於證券型代幣而需要受到監管。 　　SEC據此對涉及詐欺的ICO案件嚴格執法，並積極輔導非屬詐欺案件依法辦理註冊發行程序。證券型代幣發行（Security Token Offering，STO）即為配合SEC監管規範下，為消除過去對於ICO募資疑慮所產生的法遵解套辦法。對此我國金管會亦積極評估是否將STO的標準引進我國，惟因我國對有價證券之定義與要件，與SEC所採之Howey Test有所不同，而尚在研議當中。

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。