解析生技製藥研發成果涉及智慧財產保護之新課題

美國總統川普於2025年11月24日發布行政命令（Executive Order）啟動創世紀任務（Launching The Genesis Mission），旨在建立美國科學與安全AI平臺（下稱AI平臺），整合聯邦政府長期累積之科學資料集、國家研發及運算資源，訓練可自動化研究、加速科學發現之AI模型，強化國家安全、提高勞動生產力及研發投資報酬率，鞏固美國AI技術領導地位。 行政命令重點如下： （1）權責分配：由能源部長（Secretary of Energy）確保將執行創世紀任務所需資源統一整合至AI平臺，並訂定安全計畫。由總統科學技術助理（Assistant to the President for Science and Technology, APST）領導，透過國家科學技術委員會（National Science and Technology Council, NSTC）協調所有參與之行政部門。 （2）AI平臺之運作：提供能源部國家實驗室超級電腦、安全雲端運算環境等高效能運算資源、AI建模與分析框架、運算工具、各學科領域基礎模型，並在適法前提下，提供聯邦政府所管理之資料集、開放科學資料集或能源部生成之合成資料集。 （3）識別國家科學技術挑戰：能源部長應提交創世紀任務優先應對之國家重要科學技術挑戰清單，涵蓋先進製造、生物科技、關鍵原物料、核能、量子資訊科學、半導體與微電子學領域，經APST審查並與NSTC參與成員研議後定案。 （4）跨部門協調及外部參與：召集相關部門參與，訂定資源配置計畫整合各部門可用資料與基礎設施。提供獎補助，鼓勵私部門參與符合任務目標之AI驅動科學研究。設立研究獎學金、實習與學徒制計畫，提供AI平臺使用權及AI賦能科學發現培訓。在維護聯邦研究資產安全及公共利益最大化之前提下，建立標準化合作夥伴機制，與擁有先進AI、資料、運算能力或科學專業知識之外部夥伴合作。 行政命令就前述事項設定執行時程，且明定自發布之日起1年內及此後每年，能源部長應向總統提交報告，說明各事項之運作情況與達成成果。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　今年1月底日本Coincheck虛擬貨幣交易所爆出最大規模的駭客攻擊事件後，日本金融廳開始擴大調查國內虛擬貨幣交易平台營運狀況；3月8日首次對2家虛擬貨幣交易平台業者Bit Station及FSHO祭出為期一個月「勒令停業」之行政處分，前者主因係公司內部高階主管擅自挪用客戶資金，違反資金結算法中用戶財產管理與用戶保護措施規範；後者則係發現多筆高額交易時，網路系統並未進行用戶認證，公司亦未對員工進行內部培訓課程，違反資金結算法中關於用戶保護措施之規範。 　　同時，日本金融廳亦對Coincheck、Bicrements、GMO Coin、Tech Bureau，及Mr.Exchange等5家虛擬交易平台業者發布下令改善之行政處分，要求業者重新審視經營漏洞，限期建立有效且完善的風險管理系統、保護消費者機制、反洗錢與打擊資恐、資金管理系統、內部稽核與內部控制系統及用戶客服系統等，避免再度發生大型駭客攻擊事件。 　　另為能有效地建立虛擬貨幣交易市場管制規範，日本金融廳宣布成立「虛擬貨幣交易產業研究小組」，並由學者、金融業者及虛擬貨幣業者為主要成員，為將來虛擬貨幣市場可能面臨各種議題，研析相關監管政策及法制規範。 　　面對襲捲而來之虛擬貨幣交易經濟，日前法務部邀集金管會、內政部、央行、警政署、調查局等單位跨部會協商，並就管制面、執法面等持續進行研商；我國或可以日本該次事件為借鏡，於行政管制強度做適當之調整，尤其我國為亞太防制洗錢組織（APG）創始會員，而虛擬貨幣交易之匿名性，已成為反洗錢與反資恐之最大風險，隨著虛擬貨幣交易行為頻繁與發展態樣多變，日後對於虛擬貨幣交易之管制政策與範圍都將備受矚目。

　　美國近期可能開放進口中國大陸將已處理或煮熟的家禽類產品至美國。美國農業部（The U.S. Department of Agriculture）表示中國若將處理過之家禽類產品出口至美國販售，前提是必須遵循美國相關食品進口規範完成妥當的進口申報程序，並且在中國所提出之出口健康認證（export health certificate）中，證明該家禽類產品有確實在適當的溫度等處理過程中進行妥善處理。 　　美國農業部食品安全及監督服務部門（Food Safety and Inspection Service, 簡稱FSIS）之相關負責官員於2014年6月初在美國國會中國事務執行委員會（Congressional-Executive Commission on China, 簡稱CECC）所舉行的聽證會（hearing）中指出，中國已經將出口健康認證提交給FSIS及動物植物健康監督服務（Animal and Plant Health Inspection Service, 簡稱APHIS）進行審核。在聽證會中，最讓美國負責官員顧慮是否通過開放中國進口家禽類產品之因素在於中國鬆懈的法律規範及其政府的貪汙問題，對於所出具的出口健康認證報告之確實性亦有待考證。美國負責的相關人員建議，中國大陸在產品製造過程的透明度是對於出口健康認證最重要的部分，能夠說服美國相信中國大陸對於食品及藥物安全在管理上的謹慎。 　　另外一個需要注意的地方在於食品原產地之標示（country-of-origin labeling，簡稱COOL）。在美國食品市場中，若食品大部分的成分來源是在美國境內處理的，則該食品會有「美國產品」（product of U.S.A.）之標示，但對於何謂「美國境內處理的食物」仍沒有明確的標準，對於國外進口美國的產品，在美國經過重新包裝或加工，則依據COOL相關規範，應標示該產品為「美國產品」。因此，在此條件下，若美國允許中國進口經過中國當局出口健康認證的家禽類產品，若進口至美國後，又在美國境內經過重新加工或是包裝，則該食品之COOL將會顯示該食品來自美國，而非出產自中國大陸。這樣的結果恐將會讓美國食品標示出現不完全精確之結果，也會讓消費者開始顧慮其購買的食品來源的顧慮及食品安全的可信度，美國將必須對進口食品的安全管控上建立更嚴謹的規範措施。