從推動體系及法制架構思考我國文化創意產業發展之整合以南韓推動組織與法制架構為例

　　去（2005）年11月，全球幹細胞研究先驅－韓國首爾大學黃禹錫教授承認其研究有國際醫學倫理瑕疵，而引發軒然大波。主要爭議原因是其研究所使用之卵子，部分來自於其領導研究團隊的女性研究員，以及部分支付報酬給捐卵者。韓國「生物倫理及安全法」於2005年1月開始施行，立法目的強調生命科學及生物科技之發展應具有安全性並符合生物倫理原則，該法更明文規定：受試者需被充分告知資訊，亦有權同意是否參與研究以及不得買賣精子卵子等。因此，黃禹錫教授研究團隊的女性研究員雖是自願提供卵子，但在面對研究同儕壓力時，該名研究員是否真正”完全自願同意”地捐卵，此點頗受爭議。 　　隨著複製研究技術的與日俱進，生物倫理（Bioethics）相關議題已無國界之分，為此，聯合國科教文組織（UNESCO）於去（2005）年11月底之會員國大會，通過「世界生物倫理及人權宣言」（The Universal Declaration on Bioethics and Human Rights），建立起國際共通的生物倫理標準，希望能給各國在制定生物倫理相關法制政策有所依據，並作為相關研究行為之指導原則。 　　隨著韓國黃禹錫教授之幹細胞研究醜聞頻傳，國內生醫研究活動更應引為警惕，由於我國目前欠缺法律層次之研究倫理規範，前述UNESCO新近通過之「世界生物倫理及人權宣言」，在我國欠缺相關法律之現況下，更值得研究人員參考。

　　美國食品藥物管理局（the United States Food and Drug Administration，以下簡稱FDA）於2015年2月13日公告四項與藥品製造有關之指導原則（guidance）作為補充相關政策執行之依據，主要涉及藥品製程中，藥品安全不良事件回報機制、尚未經許可之生技產品的處理模式、藥品重新包裝，以及自願登記制度中外包設施之認定應進行的程序與要求。 　　該四項指導原則係源於FDA依據2013年立法通過之藥物品質與安全法（The Drug Quality and Security Act，以下簡稱DQSA）所制定之最新指導原則。因2012年位於麻州的新英格蘭藥物化合中心（The New England Compounding Center），生產類固醇注射藥劑卻遭到汙染，爆發致命的黴菌腦膜炎傳染事故，故美國國會制定DQSA，以避免相同事故再次發生。DQSA要求建立自願登記制度（system of voluntary registration），倘若製藥廠自願同意FDA之監督，成為所謂的外包設施（outsourcing facilities）。作為回饋，FDA即可建議特定醫院向該製藥廠購買藥品。 　　而本次四項指導原則之內容，其一主要涉及外包設施進行藥物安全不良事件回報之相關規定，要求製藥廠必須回報所有無法預見且嚴重的藥物安全不良事件。在不良事件報告中必須呈現四項資訊，其中包括患者、不良事件首名發現者、所述可疑藥物以及不良事件的類型。同時，禁止藥品在上市時將這些不良事件標示為潛在副作用。第二份指導原則對於尚未經許可的生技產品，規定可進行混合，稀釋或重新包裝之方法；並排除適用某些類型的產品，如細胞療法和疫苗等。第三份指導原則涉及重新包裝之規定，內容包括包裝地點以及如何進行產品的重新包裝、監督、銷售和分發等其他相關事項。而第四份指導原則規範那些類型之藥品製造實體應登記為外包設施。為此，FDA亦指出聯邦食品藥物和化妝品法（the Federal Food Drug & Cosmetic Act）之規定裡，已經要求製造商從事無菌藥品生產時，必須將法規針對外包設施之要求一併納入考量。

　　為因應探討並強化網路安全環境，歐盟網路與資訊安全局（European Union Agency for Network and Information Security , ENISA）2016年12月發布「行動支付與電子錢包安全防護」研究報告（Security of Mobile Payments and Digital Wallets）。歐盟網路與資訊安全局ENISA主要係因，近來行動支付興起，利用行動支付方式買賣貨品，係象徵著朝向數位化轉換趨勢，消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片，增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮，根據2015年的一項調查，有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料，這就表示此乃使用行動支付的主要擔心重點，有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查，針對九百名資安專家所做的調查顯示，僅有23%的的人員認為目前現有的安全機制足以防範個資外洩，但有47%的人員認為現有的機制缺乏安全性，但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此，目前而言，安全防護可謂是消費者最關心的重點，且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。 　　因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有： 行動用戶的安全威脅：任意裝設惡意軟體、釣魚軟體、社交工程軟體。 行動設備威脅：行動設備遭竊或遺失與不當近用。 行動支付與電子錢包威脅：逆向工程、竄改支付軟體、使用在滲透到系統之後，會隱藏登錄項目、檔案或處理序等資源的一種軟體。 消費者威脅：POS惡意軟體、MiTM、重放攻擊。 付款服務提供者威脅：付款系統與資料連結崩潰的疑慮。 支付網路提供者威脅：代碼服務崩潰、拒絕服務。 發行商威脅：付款授權流程崩潰與代碼資料崩潰。 行動支付軟體提供者威脅：機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。 　　因此有鑑於行動支付產業目前仍在新興階段，欠缺明確標準，業者間的自主管理顯得相當重要，所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準： 消費者在使用行動支付的服務軟體時，必須採取多項最低安全防護措施。 行動主機提供業者應該確保軟體定時更新，並且修補安全上的漏洞，針對安全性與近用用戶資料的可能性部分加強。 行動支付的應用程式提供者，應該再提供服務給消費者時，同時提供消費者資訊，本應用軟體做了何種安全防護，供消費者知悉。 行動支付業者應當建立詐騙監控機制。 　　網路與資訊安全局ENISA提出上述建議與標準，主要係希望業者採用這樣的標準或好習慣的建議後，可以對於消費者、零售商、銀行等業者產生益處。

　　歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件，點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 　　歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 　　此份報告指出，該重要性部門之資安等級需求並不盡相同，因此導致各部門面對資安事件之準備無法相提並論。例如，能源產業會用到SCADA系統，而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級，故此份報告目的係確認該部門當前的處境，並與現階段可取得之網路安全訓練對照，進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 　　我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫，並向中央目的事業主管機關或直轄市、縣（市）政府提出該計畫之實施情形，在未來實際落實各重要性設施之資安維護以及資安小組訓練時，須意識到各重要性設施之資訊安全需求差異性，及相關人員必須針對不同單位而受不同之訓練。