歐盟執委會提出醫藥品管理整體配套方案，保障歐盟境內大眾用藥安全

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　歐盟執委會（European Commission）於2020年3月6日提出「歐洲氣候法」（European Climate Law）草案，執委會提出該草案之目的，係為實現2019年「歐盟綠色新政」（European Green Deal）所確立的目標，以敦促歐盟所有政策及公、私部門，皆能為零碳排願景共同努力。歐盟期望在2050年前成為世界第一個碳中和地區，並轉型為一個經濟成長卻不損及資源消耗與開採的綠色經濟體。該法性質屬於「規則」（regulation）的法律位階，具有普遍性規範效力，得直接適用於歐盟成員國，意即歐盟成員國必須遵守及實施歐洲氣候法的規範內容。「歐洲氣候法」草案全文共11條條文，其規範重點及法制架構，簡要整理如下： 氣候法草案之法律框架應與歐盟現行政策保持一致性，例如再生能源、綠色新政下的投融資計畫、產業戰略及循環經濟行動計畫等，並審查歐盟能否將原先2030年與1990年相比減少40%的減量目標，提高至減少50至55％。 法律基礎應奠基於維護、保護及改善環境品質，輔助及加強國家與地方因應氣候變遷的行動措施；在符合比例原則下，要求歐盟成員國針對氣候中和目標採取必要保護措施。 依據歐盟基本權利憲章第37條環境保護之要求，有關高標準之環境保護及環境品質改善，必須納入歐盟政策及符合永續發展原則；透過氣候法來促成及凝聚社會轉型的共識，該法要求執委會應促進利害關係人及公民社會的參與，增強公民參與的交流，透過社會參與達成廣泛的永續發展共識，並規劃多層次氣候與能源的社會對話。 考量歐盟內部公平且團結的重要性，執委會於2023年9月開始，每隔5年將監測與評估歐盟及各會員國之綱要政策與保護行動，並針對不一致行動或保護不足情形，將提供適當的改善建議及具體措施，藉以確保歐盟成員國彼此間氣候政策與歐盟框架保持一致。 　　歐盟執委會期望透過具有強制約束力的法制框架，除實現巴黎協定之承諾（2050年前達到零排放之願景）外，更是為了結構性脆弱與抵禦氣候變遷能力不足的成員國，提供一個公平的轉型框架。目前該草案已於2020年5月完成公眾意見徵集，歐盟執委會雖未明確公布預計通過的日期及相關規劃，但其將於2021年6月前盤點相關規範，藉以整體性調修法制規範與氣候治理行動。

　　藥品監管機構負責人組織（Heads of Medicines Agencies, HMA）與歐洲藥品管理局（European Medicines Agency, EMA）聯合巨量資料指導小組（HMA-EMA joint Big Data Steering Group, BDSG）於2021年8月27日發布「巨量資料指導小組2021-2023年工作計畫」（Big Data Steering Group Workplan 2021-2023），將採以患者為焦點（patient-focused）之方法，將巨量資料整合至公衛、藥物開發與監管方法中，以提高巨量資料於監管中之效用。指導小組將利用「資料分析和真實世界訊問網路」（Data Analysis and Real World Interrogation Network, DARWIN EU）作為將真實世界資料整合至監管工作之關鍵手段； DARWIN EU諮詢委員會（Advisory Board）已於2021年建立，DARWIN EU協調中心（Coordination Centre）亦將於2022年初開始運作。 　　為確保資料品質與代表性，未來工作計畫將與「邁向歐洲健康資料空間–TEHDAS」（Towards A European Health Data Space – TEHDAS）合作，關注資料品質之技術與科學層面，並將於2022年提出第一版「歐洲監管網路資料品質框架」（data quality framework for the EU Regulatory Network）、「真實世界資料來源選擇標準」（criteria for the selection of RWD sources）、「詮釋資料優良規範指引」（metadata good practice guide）、「歐盟真實世界資料公用目錄」（public catalogue of European RWD）等規範。 　　此外，工作計畫將於2021年底舉辦「學習計劃」（learnings initiative）研討會，討論包括EMA人用藥品委員會（Committee for Medicinal Products for Human Use, CHMP）對於真實世界證據於藥品上市許可申請（Marketing Authorization Application, MAA）、適應症擴張（extensions of indications）之審查，以及過去真實世界資料分析試點於委員會之決策等議題，以利後續指引之修正。 　　最後，工作計畫預計於2021年底完成「健康照護資料二次使用之資料保護問與答文件」（question and answer document on data protection in the context of secondary use of healthcare data），以指導利益相關者與促進公共衛生研究，並發布由歐盟監管網路（EU Regulatory Network）同意之對於藥品監管（包括巨量資料）之資料標準化戰略。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 22px;} .NoPindent{text-indent: 2em; margin-left: 38px;} .No2indent{margin-left: 54px;} .No2Pindent{text-indent: 2em; margin-left: 54px} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 對AI下達複雜、反復修改指令不算創作行為? —美國著作權局發布AI著作權報告第2部分：可受著作權保護性 資訊工業策進會科技法律研究所 2025年02月10日 由於生成式AI是根據使用者輸入的提示或稱指令（prompts），依機率分布推算生成出最有可能出現的結果，因此有人戲稱AI在每次生成時都是在隨機進行「擲骰子」，即便相同的提示也可能會得到有差異的輸出結果。為應對AI回應的不確定性和多樣性，如何下達提示，有效使用AI，為必須學習的課題。因此，有人說訓練不了人工智慧？我們可以訓練自己，但用心思考精準有效指令，費心對AI生成結果進行反復修改，就能取得著作權保護嗎?美國著作權局提出的看法，或許與大家的期待不同。 壹、事件摘要 美國著作權局今（2025）年1月發布AI著作權報告的「第2部分：可受著作權保護性（Part 2: Copyrightability）」[1]。為幫助評估AI著作領域的立法或監管措施是否必要，該局於2023年8月即發布「著作權與人工智慧議題徵詢通知（Copyright Office Issues Notice of Inquiry on Copyright and Artificial Intelligence）」，對外尋求對包括涉及使用受著作權保護的作品來訓練AI模型的問題、適當的透明度與揭露程度受著作權保護的作品的使用以及AI生成內容的法律定位等問題的意見[2]。在分析AI引發的著作權法與政策問題的意見徵詢結果後，美國著作權局於2024年7月31日，以數位複製物（digital replicas）主題，發布「著作權與人工智慧分析人工智慧引發的著作權法和政策議題」（Copyright and Artificial Intelligence analyzes copyright law and policy issues raised by artificial intelligence）報告的第1部分[3]，並隨後於今（2025）年1月發布報告的「第2部分：可受著作權保護性（Part 2: Copyrightability）」[4]。 此報告指出現有的法律原則可根據個案判斷是否具有足夠的人為貢獻，有足夠的彈性足以解決關於AI生成內容是否具有著作權的問題，並不需要修法；當人工智慧被用作工具，且人類能夠決定作品的表達元素時，對AI生成結果的創意選擇、協調或安排，以及對生成結果的創意修改，都可獲得著作權保護；但目前使用者即使給予AI詳細的提示，也無法控制AI如何生成內容，不足以使其成為「作者」；著作保護仍須以人為創意投入，既有法令已足以激勵AI發展，沒有理由為AI生成的內容提供額外的著作權或特殊權利保護。 貳、重點說明 一、AI系統的輸出存在不可控制性[5] 當前生成式AI系統的輸出可能包括未指定的內容，在有數十億個參數的模型構建的複雜AI系統下，特定提示或其他輸入對於AI生成內容的影響存在不確定性，即使是專家研究人員在理解或預測特定模型行為的能力方面也受到限制。不僅AI生成的內容會因請求而異，而且即使具有相同的提示也是難以預測的，即使有AI系統例如Midjourney允許使用者控制生成一致的結果，在重複相同的提示時收到幾乎相同的圖像，然而即使如此也無法保證完美的一致性。 二、有辛勤努力、指示建議不等於有創造性貢獻 （一）無法僅因時間和努力而獲得著作權保護，它需要原創性 （originality），無論原創性有多麼低微 美國的著作權保護限於人類的創作（human authorship） 沒有任何法院承認非人類創造（non-human creation）的著作權。當然在使用AI的大多數情況下，人類將參與創作過程（creation process），並且在他們的貢獻符合創作資格的範圍時，能使其作品具有著作權。美國上訴法院（Supreme Court）明確表示，需要的是原創性 （originality），而不僅僅是時間和努力。在「Feist Publications, Inc. v. Rural Telephone Service Co.」案中，法院否定僅憑「血汗」（sweat of the brow）就足以獲得著作權保護的主張，但法院也認為絕大多數作品都很容易達到標準，因為所需的創造力水平極低；即使是很小的量、無論多麼粗糙、卑微或顯而易見都無妨（no matter how crude, humble or obvious’ it might be.）[6]。 （二）使用機器作為工具並不會否定著作權保護，如果作品已包含足夠的人類創作表達元素（human-authored expressive elements） 對於AI工具的使用是否影響著作權保護，美國著作權局提及在「Burrow-Giles Lithographic Co. v. Sarony」案中，法院將「作者」定義為「任何事物起源的人、創始人、製造者、完成科學或文學作品的人。（he to whom anything owes its origin; originator; maker; one who completes a work of science or literature.）」。法院確定了即使是使用照相機，攝影師也有許多創造性貢獻，包括將主題置於相機前，選擇和安排服裝、窗簾與其他各種配件、安排主題以呈現優雅的輪廓，以及喚起其所需的表情[7]。因此能否受保護的重點不在於有無使用工具，而是創造性投入的有無。 （三）「作者」必須是實際創作作品，即將想法轉化為有形呈現的表達的人，不包括只是提供詳細的建議和指示或做無實質改變轉換的人 美國著作權局在報告中指出，上訴法院在「Community for Creative Non-Violence v. Reid, "CCNV"」案中，認為：繪製設計草圖和以有形的表達媒介實現創意，使藝術家成為作者。該案的哥倫比亞特區巡迴法院明確表示，委託雕塑並提供詳細的建議與指示是不夠的，因為此類貢獻構成不受保護的想法，其不能因此成為雕塑的共同作者。而第三巡迴上訴法院在「Andrien v. Southern Ocean County Chamber of Commerce」案中， 認為原告「明確指示了副本的準備工作的具體細節」，因此「編譯只需要簡單的轉錄即可實現最終的有形形式」。因為印刷商「沒有實質改變原告的原始表達（original expression）」，法院裁定原告是「作者」[8]。 因此，該局認為儘管人工智慧生成內容不能被視為使用者與人工智慧系統的共同作品（joint work），但對於是否貢獻足夠的表達以被視為作者，提供有用的類比—僅僅向作者（AI）描述委託作品應該做什麼或看起來像什麼的人，並不是著作權法意義上的共同作者。 三、AI的創作輔助使用 美國著作權局同意，使用人工智慧作為輔助創作作品的工具與使用人工智慧作為人類創造力的替代品之間存在重要區別。雖然增強人類表達的輔助使用不會限制著作權保護，但認為需要進一步分析下列三種使用方式的差異： （1）指示人工智慧系統產生輸出的提示（prompts）； （2）可以在人工智慧生成內容中感知到的表達性輸入（expressive inputs） （3）對人工智慧生成內容進行修改或安排（modifications or arrangements）。 （一）指示人工智慧系統產生輸出的提示（prompts） 由於欠缺對生成結果的控制能力，使用者即使輸入複雜的提示指令亦無法讓其成為「作者」[9]。提示本質上是傳達不受保護的思想，雖然高度詳細的提示可以包含使用者所需的表達元素，但目前的AI技術無法僅靠提示即能給予使用者足夠的人工控制，所以AI 系統的使用者無法成為生成內容的「作者」。雖然在輸入提示可以被視為類似於向受委託創作的藝術家提供指導，但在人與人之間的合作，委託者能夠監督、指導與理解受委託的人類藝術家的貢獻，但這情況目前不存在於人與AI的合作。或許將來可允許使用者對AI的生成內容取得完全的控制權，讓AI的貢獻變成固定或機械化（rote or mechanical）。 由於提示與結果輸出之間的差距，以及相同的提示可以生成多個不同生成內容的事實，進一步表明使用者缺乏對將他們想法轉換為固定表達的控制。而反覆修改提示不會改變、也無法為取得著作權提供足夠的依據，因為著作權保護的是作者身份，而不是辛勤工作。而且美國著作權局認為輸入修改後的提示與輸入單個提示在作用上似乎沒有實質性區別，對過程的控制程度都沒有改變。 不過，有些評論意見舉自然攝影作品做類比，認為即使攝影家無法控制野生動物何時進入畫面，這些作品也可能有資格獲得著作權保護。但美國著作權局認為，這與AI生成不同—攝影家的創作過程並沒有結束於他對作品的想法，其在照相機中控制角度、位置、速度和曝光的選擇，且可能進行作品的後製調修。該局指出「從（AI系統）提供的選項（生成結果）中進行選擇」不能被視為受著作權保護的作者身份， 因為「單一輸出的選擇本身並不是一種創造性的行為」。但該局也表示有時提示可以充分控制AI生成內容中的表達元素，如果AI技術進一步為使用者提供表達元素的更多控制，則結論可能會不同。 （二）富有表現力的輸入（Expressive Inputs）[10]與純粹指令不同 目前AI 系統接受以文本、圖像、音訊、視頻或這些內容形式的輸入，而可以將輸入保留成生成內容的一部分，例如修改或翻譯受著作權保護的作品。這類型的輸入，雖然亦可視為不同形式的提示，但與僅僅是傳達預期結果的提示不同。它所給的不僅是一個概念，更重要的是它限制了AI生成內容的「自主性」。因此可能提供了「更具說服力的人工干預」，而不是簡單的「將提示應用於未知的起點」。美國著作權局認為一個人輸入自己受著作權保護的作品，如果該作品在生成的內容中是可察覺的（perceptible），那麼他至少是該部分生成內容的「作者」。此類 AI 生成輸出的著作權將涵蓋可察覺的人類表達，包括可能涵蓋到作者對作品素材（material）的選擇、協調和安排。 （三）修改或安排（Arranging）AI生成的內容仍可受保護[11] 美國著作權局於報告中指出，使用 AI 生成內容通常是一個初始或中間步驟，如同其AI 註冊指引的說明—「人類可以以足夠創造性的方式選擇或安排 AI 生成的內容，以使最終作品整體構成一個作者的原創作品（the resulting work as a whole constitutes an original work of authorship）」。人類可以藉由修改AI生成的內容，使其達到符合著作權保護標準的程度，如果人類作者以創造性的方式選擇、協調和安排 AI 生成的內容，應該能夠主張著作權。例如：Midjourney 提供「Vary Region and Remix Prompting」，允許使用者使用提示來指定生成圖像的區域。美國著作權局認為此類可以讓使用者控制各個創意元素的選擇與放置的修改，是否達到最低原創性標準雖將取決於具體個案情況。但其認為就生成的內容位置可控制的案例，與純粹提示（prompts alone）情況不同，生成的內容應該受著作權保護。 參、事件評析 在美國著作權局公布其該報告之後，有網路媒體[12]以「美國著作權局定調：光靠提示詞的純AI生成圖片無法享有著作權保護，無論你下多複雜的提示詞都沒有」的標題，詮釋該報告的主旨。確實美國著作權局於該報告中，特別指出下達複雜與反復的提示，並不會影響著作權保護的取得與否的判斷。但關鍵點不在於提示本身，而是對AI生成結果的「可控制」（或可說是AI對生成結果的自主）程度。 對於AI生成結果的著作權保護，經濟部智慧財產局曾以電子郵件1070420號函指出：「著作必須係以自然人或法人為權利義務主體的情形下，其所為的創作始有可能受到著作權的保護。據了解，AI（人工智慧）是指由人類製造出來的機器所表現出來的智慧成果，由於AI並非自然人或法人，其創作完成之智慧成果，非屬著作權法保護的著作，原則上無法享有著作權。但若其實驗成果係由自然人或法人具有創作的參與，機器人分析僅是『單純機械式的被操作』，則該成果之表達的著作權由該自然人或法人享有。」，但何謂「單純機械式的被操作」?以複雜與反復的提示再擇取AI符合所需的AI修改結果，是否屬之?在目前AI工具朝向「自動化」發展的趨勢下，使用者下達提示後，多只須被動的對單一的生成結果，決定是否接受或重新下達指令，使用者只是以指令提出需求，實際的「創作行為」主體其實是AI而非人類。因此，美國著作權局於此報告中更進一步的說明使用者即使有複雜與反復的提示且有意的選擇特定結果，並不能就認定為「對結果有控制權」的創作。必須其結果可為使用者主導、控制，而非被動決定是否接受。 相對而言，在創作的保護實務上，美國著作權局告訴我們的是，人類仍然可以藉由在使用過程提高對AI生成結果的控制程度，以及生成內容的後製，使結果符合著作權保護標準。AI使用者應該盡量使用有提供具體修改控制功能的AI工具，只要有人為的事後修改，或使用過程中能具體主導AI生成的結果，我們仍然可以透過複雜與反復的提示AI，取得受著作權保護的生成結果。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]U.S. Copyright Office Copyright and Artificial Intelligence, Part 2: Copyrightability, https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-2-Copyrightability-Report.pdf [2]US Copyright Office, Copyright Office Issues Notice of Inquiry on Copyright and Artificial Intelligence, https://www.copyright.gov/newsnet/2023/1017.html (last visited Feb. 10, 2025). [3]US Copyright Office, Copyright Office Releases Part 1 of Artificial Intelligence Report, Recommends Federal Digital Replica Law, https://www.copyright.gov/newsnet/2024/1048.html (last visited Feb. 10, 2025). [4]U.S. Copyright Office Copyright and Artificial Intelligence, supra note 1. [5]詳前註1，頁5~7。 [6]詳註1，頁8。 [7]詳註1，頁9。 [8]詳註1，頁9。 [9]詳註1，頁18~21。 [10]詳註1，頁22~24。 [11]詳註1，頁24~27。 [12]電腦王，美國著作權局定調：光靠提示詞的純AI生成圖片無法享有著作權保護，無論你下多複雜的提示詞都沒有，https://www.techbang.com/posts/121184-the-us-copyright-office-has-set-the-tone-that-purely（最後瀏覽日：2025/02/10）。