資通安全法律案例宣導彙編 第5輯

　　中小型公司是生技產業發展的主力，然藥物研究發展模式風險及資金需求甚高，對資金不豐沛的中小型公司來說，無疑是一大負擔，因此，各國政府於促進生技醫藥產業發展之同時，相當重視如何減輕這些生技製藥公司的營運壓力，進而協助其順利茁壯。 　　現今歐盟境內至少有1500家中小型生技公司，為減輕這類研發導向的中小型製藥公司之財務負擔，並提供一些藥政管理上的專門協助，歐盟於去2005年12月15日通過了〝歐盟醫藥品管理局協助中小型公司發展規則（COMMISSION REGULATION (EC) No 2049/2005 laying down, pursuant to Regulation (EC) No 726/2004 of the European Parliament and of the Council, rules regarding the payment of fees to, and the receipt of administrative assistance from, the European Medicines Agency by micro, small and medium-sized enterprises,以下簡稱本規則）〞。 　　本規則主要是希望EMA（European Medicines Agency, 即歐盟醫藥品管理局）能透過相關規費之減免及提供科學諮詢的方式，降低中小型公司新藥上市申請費用（一般而言，人類用新藥於歐盟上市需支付14 萬歐元的申請費用），進而促進技術創新及新藥研發。另為協助中小型公司能更快速及方便地利用到這些優惠，本規則特要求EMA應於其內部建立〝中小企業辦公室（SME Office）〞，並製作詳細之使用者手冊（User Guide）供中小型公司參考。 　　台灣大部分的生技製藥公司亦屬中小型，故政府應思考如何幫助這些公司成長茁壯。雖然我國對生技製藥產業相關已提供投資抵減優惠，但卻無特別針對中小型生技製藥公司的藥政管理法規，歐盟前述立法及其精神值得我國借鏡。

　　澳洲政府於 3 月 28 日 發布了反垃圾郵件（ anti-spam ）從業規則（ code of practice ），強制網路服務提供者（ ISP ）採取反制措施，以防堵大量、不請自來的電子郵件；業者若未配合新法的要求，將面臨鉅額的罰款。 　　繼 2003 年頒布的「垃圾郵件法」（ Spam Act ）後，澳洲通訊及媒體局（ Communications and Media Authority ）此次依據垃圾郵件法規定，針對 ISP 業者進一步制定了從業規則，成為對抗垃圾郵件的另一項重要工具。新法課予 ISP 業者的主要義務包括了： (1) 向用戶提供過濾垃圾郵件的服務選項； (2) 合理限制用戶電子郵件的發送；及 (3) 設立相關的投訴機制等。 　　為給予業者相當的緩衝時間，新法將自今年的 7 月 16 日 實施，屆時主管機關將針對澳洲當地近 700 家 ISP 業者進行檢查。一旦發現有違規情事，澳洲聯邦法院可對之處以 1,000 萬澳幣以下的罰款。

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

美國白宮於2024年5月23日公開呼籲採取行動以打擊利用AI生成性影像，及未經當事人同意傳播真實影像的性虐待行為。此次呼籲源自白宮「解決線上騷擾與虐待問題工作小組」（Task Force to Address Online Harassment and Abuse）相關行動、總統第14110號行政命令－「安全、可靠且可信任之AI開發及利用」（Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence），以及尖端AI公司自願管理AI風險之承諾（Voluntary AI Commitments）。 白宮指出，迄今為止生成式AI已淪為性虐待的主要工具，同時，涉及未經同意散布或威脅散布私人性影像，亦將對受害者造成嚴重的心理傷害。白宮呼籲相關利害關係人透過自願性承諾，預防與減輕性虐待影像之影響，如： （1）阻止性虐待影像獲利： 對於從事性虐待影像業務的網站或應用程式，支付平臺與金融機構可限制或拒絕對其提供支付服務。 （2）停止創建深偽性虐待影像 ： 對於可透過AI生成性影像之網路服務或應用程式，雲端服務供應商與應用程式商店得減少此類網路服務或應用程式運作。此外，應用程式商店可要求應用程式開發人員採取措施，防止使用者製作非經當事人同意的AI生成性影像。 （3）防止散播性虐待影像： 應用程式與作業系統開發人員可啟用技術保護措施，以保護數位裝置上儲存之內容，防止未經當事人同意分享其影像。 （4）支援並參與為受害者提供有效補救措施之服務： 平臺與利害關係人可選擇與相關組織合作，使性虐待影像受害者可輕鬆且安全地從線上平臺中刪除未經同意之內容。此外，白宮亦呼籲國會修訂於2022年重新授權之「婦女暴力防制法」（Violence Against Women Act Reauthorization），延續並加強原有法律保護效力，同時為AI生成之性虐待影像的受害者提供關鍵援助資源。