客戶機密資料外洩事件頻傳 美國AT＆T 8月底也被駭

運作技術成熟度(Technology Readiness Level)進行技術評估 資策會科技法律研究所 法律研究員　羅育如 104年10月22日 壹、前言 　　為提升我國科技競爭力，於1999年制定科學技術基本法(以下簡稱科技基本法)，透過科技基本法的規定，使原本歸屬國有財產之研發成果，得以下放歸屬執行單位所有，使大學對研發成果能有更完善應用之權利。 　　科技基本法實施之後，各研究單位開始學習國外經驗，積極進行產學合作，將內部之研發成果技術移轉與外部產業。但是，科技基本法實行已15年的今日，各界逐漸發現，政府經費之投入與研發成果產出之經濟效益有相當大的差距。例如科技部102年專題研究計畫補助經費為215億新台幣，但僅創造3.5億新台幣之衍生成果技術移轉權利金[1]。政府經費投入與產出不符預期的議題，牽涉多元層面問題，但是從新設立政府計畫案之目標與KPI，可以發現政府新創設之補助計畫開始以協助技術商業化作為主要目的，例如萌芽計畫、產學計畫等。 　　技術商業化操作模式會依據技術成熟度不同而有所差異，技術成熟度高的項目，廠商承接後所需要投入的研發成果可能較低，直接協助廠商改善生產流程或是成為產品商品化的機率較高；反之，廠商則需要投入較多的技術研發費用，需要花費較多的人力與資源，技術才有機會商品化。 　　由此可知，在技術商業化計畫推廣時，技術項目的技術成熟度是一個重要的評估關鍵。本文針對技術成熟度的評估指標詳細說明，以提供執行技術商業化計畫時，評估技術項目之參考。以下會分別說明何謂技術成熟度以及技術成熟度如何運用，最後會有結論與建議。 貳、技術成熟度說明 　　技術成熟度或稱為技術準備度(Technology Readiness Level；簡稱TRL)是美國太空總署(NASA)使用多年的技術評估方法，後來為美國國防部所用，再廣為國際各政府機構、學研單位、企業機構使用。 　　TRL是一個系統化的量尺/衡量指標，可以讓不同型態的技術有一致性的衡量標準，描述技術從萌芽狀態到成功應用於某項產品的完整流程[2]。而TRL涵蓋的技術研發流程則包括四個部分：(1)概念發展：新技術或是新概念的基礎研究，涵蓋TRL1~3；(2)原型驗證：特定技術針對一項或是多項潛在應用的技術開發，涵蓋TRL4與5；(3)系統開發：在某一應用尚未成為一整套系統之前的技術開發以及技術驗證，然後進行系統開發，涵蓋TRL6；(4)系統上市並運作[3]，涵蓋TRL7~9。以下分別說明TRL每個衡量尺度的定義[4]。 TRL 1 基礎科學研究成果轉譯為應用研究。 TRL 2 為某項特殊技術、某項材料的特性等，找出潛在創新應用；此階段仍然是猜測或推論，並無實驗證據支持。 TRL 3 在適當的應用情境或載具下，實驗分析以驗證該技術或材料相關物理、化學、生物等特性，並證明潛在創新應用的可行性(proof-of-concept)。 TRL 4 接續可行性研究之後，該技術元素應整合成具體元件，並以合適的驗證程序證明能達成原先設定的創新應用目標。 TRL 5 關鍵技術元件與其他支援元件整合為完整的系統/系系統/模組，在模擬或接近真實的場域驗證。需大幅提高技術元件驗證的可信度。 TRL 6 代表性的模型/雛形系統在真實的場域測試。展示可信度的主要階段。 TRL 7 實際系統的雛形品在真實的場域測試。驅使執行TRL7的目的已超越了技術研發，而是為了確認系統工程及研發管理的自信。 TRL 8 實際系統在真實的場域測試，結果符合設定之要求。代表所有技術皆已整合在此實際系統。 TRL 9 實際系統在真實場域達成目標。 參、技術成熟度應用 　　技術成熟度可以單純拿來衡量技術開發階段、可用來衡量技術開發風險、也可作為研發機構角色以及補助計畫定位的參考，以下說明。 一.技術成熟度用來衡量技術開發階段 　　這是技術成熟度最單純的應用方法，但因為每種技術領域都可其特殊的技術開發脈絡，所以可以根據NASA原有的技術成熟度，修改成貼近該技術領域需求的技術成熟度指標。目前有看過軟硬體TRL指標、綠能&能源TRL指標、ICT TRL指標、生醫(新藥、生物製劑、醫材)TRL指標等[5]。 二、技術成熟度用來管理技術研發風險 　　研究開發需投入大量的人力、物力，而研究成果的不確定性又很高，所以需要有良好的技術研發管理。技術成熟度對技術研發管理而言，是風險的概念，一般而言，TRL階段與技術風險是反向關係，也就是說TRL階段越高，技術風險越低[6]。 　　需要考慮的面向包括[7] ，(1)現在技術成熟度在哪一階段?以及我們投入研發後，希望達到的技術成熟度目標為何?(2)從現在的技術成熟度到專案需要的技術成熟度，要精進這項技術到底有多難?(3)這項特定技術如果開發成功，對於全面技術目標而言的重要性如何? 三、機構角色以及補助計畫定位 　　TRL指標可用來明確區分研發機構角色定位，例如工研院內部運用TRL指標做為技術判斷量化評估指標，並且工研院需將技術成熟度提升到TRL6或7，以克服技術面的問題，進行小型試量產，才能跨越死亡之谷讓業界接手商業化[8]。 　　TRL指標也可以用來區分補助計畫的標的範圍，例如美國國防部傾向投資TRL 4階段技術，美國國防部培養TRL4以及4以下的技術到TRL6階段，使得這些技術能更順利的進入技術市場，其原因在於TRL程度越低，成功商品化的不確定性以及風險就越高，而TRL4階段技術項目，是美國國防部可以承受的風險程度[9]。 肆、結論 　　TRL指標現在已被廣泛的運用在技術評估工作上，透過量化的指標，協助研發人員或是技術管理人員方便掌握每個技術開發案的現況，例如現在技術在TRL哪個階段，技術開發結束後，TRL預計會到達哪個階段。確定目標之後，就可以進一步評估這個計畫開發案的風險並評估組織需投入的資源。 　　TRL是一個簡易的技術評估指標，但如果要以此做出全面性的技術策略，似乎就還是有所不足，因此，可以再搭配其他技術評估變項，發展為全面性的技術風險管理評估指標，可能可以搭配技術開發困難度指標，用以評估TRL往上提升一級的困難度程度[10]，也可以搭配技術需求價值指標[11]，這項技術順利成功的話，對整個系統開發而言的價值高低，價值非常高的話，就值得花更多資源與人力去投資。 　　由此可知，應該可以積極運用TRL指標，用來評估政府技術補助計畫，協助大學技轉辦公室管理各研發團隊之技術開發進程，也可提供技術移轉潛在廠商清楚設定技術規格，減低技術供給方與技術需求方之間的認知差異，進而提升技術移轉成功率，也就可以拉近政府經費投入與研發成果產出的差距。 [1] 行政院國家科學委員會，行政院國家科學委員會102年年報，頁24、98(2013)，http://www.most.gov.tw/yearbook/102/bookfile/ch/index.html#98/z，最後瀏覽日2015/07/21。 [2] John C. Mankins, NASA, Technology Readiness Levels: A White Paper (1995). [3] id. [4] US DEPARTMENT OF DEFENSE (DoD), Technology Readiness Assessment (TRA) Guidance (2011), http://www.acq.osd.mil/chieftechnologist/publications/docs/TRA2011.pdf (last visited July 22, 2015). [5] Lewis Chen，＜Technology Readiness Level＞，工研院網站，http://www.sti.or.th/th/images/stories/files/(3)ITRI_TRL.pdf (最後瀏覽日：2015/07/22)。 [6] Ricardo Valerdi & Ron J. Kohl, An Approach to Technology Risk Management (2004), http://web.mit.edu/rvalerdi/www/TRL%20paper%20ESD%20Valerdi%20Kohl.pdf (last visited July 22, 2015). [7] John C. Mankins, Technology Readiness and Risk Assessments: A New Approach, ACTA ASTRONAUTICA, 65, 1213, 1208-1215 (2009). [8] 邱家瑜、蔡誠中、陳禹傑、高皓禎、洪翊恩，＜工研院董事長蔡清彥 以新創事業連結全球市場 開創屬於年輕人的大時代＞，台灣玉山科技協會，http://www.mjtaiwan.org.tw/pages/?Ipg=1007&showPg=1325 (最後瀏覽日：2015/07/22)。 [9] Ricardo Valerdi & Ron J. Kohl, Massachusetts Institute of Technology, An Approach to Technology Risk Management, http://web.mit.edu/rvalerdi/www/TRL%20paper%20ESD%20Valerdi%20Kohl.pdf (last visited July 21, 2015). [10] 同註7。 [11] 同註7。

歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 　　歐盟執委會（European Commission）於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity）[1]，規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 　　為落實歐盟「2030數位羅盤」（2030 Digital Compass）政策，實現「公共服務數位化」之核心願景，歐盟推行數位身分框架，規劃於2030年前歐盟全境須有80%民眾使用電子身分證，以強化歐盟境內所有民眾（包括身心障礙人士）公共服務之近用權（right of access）。執委會於2021年6月3日公布的數位身分框架修正案，主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」（簡稱eIDAS規則[2]），依據該規則第49條，對其運作情形進行評估（An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation），同步考量技術、市場發展，針對當中不合時宜之規定為增修，並於2020年7月24日至10月2日進行公眾意見徵詢。 　　根據修正案內容，會員國必須提供公民和企業數位身分錢包（Digital Identity Wallet），此可透過會員國認可的公務機關或私人企業提供，錢包能夠將國家數位身分識別（national digital identities）與其他個人身分證明（例如駕照、證照、銀行帳戶）進行連結，使歐盟公民和企業能夠經由使用數位錢包來進行身分識別，以方便近用線上服務，例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店，租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可，使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 　　eIDAS規則作為歐盟境內電子身分識別（identities）、認證（authentication）和網站憑證（website certification）跨境使用的法律基礎架構[4]，此次修正案旨在使各會員國的數位身分（eID）計畫於歐盟境內具互操作性（interoperable），以促進近用線上服務。重點內容如下： 一、會員國所發行歐洲數位身分錢包，須通過歐洲網路安全認證框架內的強制性合規評估（compulsory compliance assessment）和自願認證（voluntary certification）。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用，使用者得以利用數位身分作為識別與驗證其身分之有效工具，以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度，意即得以自主決定是否與第三方分享特定個人資料，並可追蹤其資料之後續利用。 三、賦予個人電子身分證明（electronic attestations of attributes），如醫療證書或專業資格等電子證書的法律效力，並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證，以防止欺詐。 四、擴大跨境eID計畫的相互承認，降低各會員國於電子身分識別服務的差距；並加強信賴服務提供的整體監管框架，針對信賴服務提供商（trust service providers），新增為管理遠端電子簽章和封條（seal）產製設備（creation devices）所建立的新合格信賴服務（Qualified Trust Service, QTS）類型。 五、新增電子帳本（electronic ledgers）的信賴服務框架；電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡（audit trail），能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案（self-sovereign identity solutions）、將所有權歸屬於數位資產與記錄業務流程等具備重要性，此有助實現更加去中心化（decentralized）的治理模式，並使多方合作成為可能。 六、於數位服務法案（Digital Services Act）中所定義的超大型線上平台（very large online platforms），將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 　　歐盟數位身分框架修正案，旨在解決 eIDAS 規則部分瑕疵，以順應市場動態和技術發展，包含承認電子身分證明、電子帳本之法律效力，擴增新合格信賴服務類型等，並作為歐盟建立數位身分認證政策的基礎規範，確保使用者於近用私人或公共服務時，可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會（European Parliament）內已送交產業、研究暨能源委員會（Industry, Research and Energy Committee, ITRE）進行審議[5]，值得持續追蹤其未來發展。 　　近來受新冠肺炎（COVID-19）保持社交距離影響，推動企業朝數位轉型發展；執行遠距辦公政策，亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範，自2002年4月1日起正式施行後至今未為修訂，實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類，並對於數位簽章之技術有一定規範，惟未賦予相異之法律效力，使得其區分不具太大效益。建議可參酌eIDAS規則中，對於信賴服務提供者區分為不同層級規範，並給予經主管機關審核通過之合格信賴服務提供者，所提供的信賴服務具有更高的法律效力。 　　此外，我國欲推行數位身分證（New eID）政策，提供我國人民網路上身分識別之證明，連結政府骨幹網路（T-Road）串接各類電子政府服務，提升民眾近用公共服務的便利性，惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案，考量因應科技革新、商業模式創新等要素，對於身分識別相關規範進行修正與更新，以促進電子化政府及電子商務之發展，提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation （EU） No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663　(last visited Aug. 24, 2021). [4] 李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）；謝明均，簡介〈歐盟提供合格信任服務者依循標準建議〉，科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687（最後瀏覽日：2021/08/24）。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY （EUID）, EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid　(last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉，行政院新聞傳播處，2021/01/21，https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a （最後瀏覽日：2021/08/24）。

　　為防止新冠肺炎之傳播，欲入境歐盟的旅客被要求提供各式健康證明文件，然而在判斷該文件的真實性時，缺乏標準化的格式，導致旅客在入出境歐盟時產生各種問題，也容易產生欺詐或偽造文件的風險。為解決上述問題，歐盟委員會於2021年3月17日表示將推出「數位綠色證書」（Digital Green Certificate），證書分為三種，分別是：「已接種新冠肺炎疫苗證書」、「新冠肺炎檢測結果呈陰性證書」及「已從新冠肺炎痊癒證書」。透過綠色數位證書，希望能解決歐盟在疫情期間，各成員國人員入出境之安全問題。此證書預計將於所有歐盟成員國間通用，並對冰島、列支敦斯登、挪威和瑞士開放。 　　證書將免費以數位或紙本兩種形式提供，證書上之QR碼中將包含旅客必要個人資訊：姓名，出生日期，簽發日期，有關疫苗、檢測、恢復等等，並含有數位簽名，以確保證書之真實性及安全性。歐盟委員亦將成立一項計畫，使成員國開發特定的驗證軟體，以驗證某證書是否為歐盟所核發。 　　數位綠色證書不具強制性，將由成員國各自決定具體執行措施，且各成員國對持有數位綠色證書之旅客應公平待之，例如：成員國若接受某非數位綠色證書之疫苗接種證明而得免除某些檢疫或隔離，在相同條件下，成員國亦應接受數位綠色證書發出之疫苗接種證書而同樣免除該項檢疫或隔離。然而，歐盟目前僅接受下列四種被歐盟許可之疫苗：輝瑞（BioNTech Pfizer）、莫德納（Moderna）、AZ（AstraZeneca），及楊森製藥（Janssen Pharmaceutica），其他疫苗目前不被認可。此外，委員會並保證，持證人之個資並不會被成員國所留存。

　　因應加拿大-美國-墨西哥協定(Canada-United States-Mexico Agreement, CUSMA)中關於專利期間調整及精簡專利審查程序，加拿大政府對加拿大專利法進行重大修改，新法於2022年10月3日生效，其主要修正重點如下： 1.初步審查報告後之繼續審查要求 如專利申請人欲於3份審查意見報告做成後申請繼續審查(Request for Continues Examination)，需支付816加幣之費用(小型企業之費用為408加幣)並可額外獲得最多2份審查意見，如專利仍未核准，申請人需另外再申請繼續審查。 2.超過20項專利請求項之超額費用 專利範圍中多於20項之專利請求項，每多1項專利請求項將被要求額外支付100加幣之超額費用(但小型企業僅需支付40加幣之超額費用)，該費用將於以下2個情形產生： (1)當提出審查時，申請案中有超過20項之專利請求項； (2)當支付授予專利的最終費用時，專利請求項在審查過程中超過20項。 3.附條件之專利核准通知 一旦專利申請已接近核准階段，僅剩下次要的手續問題時，加拿大專利局可核發附條件之核准，使申請人修正該問題並支付最終費用以獲取專利。 　　加拿大政府於2021年7月出版的法規影響聲明(Regulatory Impact Analysis Statement)闡述該法修正理由，並對加拿大專利局無法於合理時間內完成專利審查表示擔憂，於2020年至2021年，加拿大專利審查至授予專利平均時間為31個月，且於本修正案前，對於專利局在授予專利或放棄專利前之審查報告數量未有限制，且無論花費的資源多寡，所有專利之審查費均相同。 　　該法規影響聲明亦提到加拿大專利申請案包含平均多於其他國家的專利請求項，導致專利審查效率低下，並解釋政府不鼓勵專利申請案包含不必要、過多的專利請求項，確保更快地給予專利，並預計本修正案施行後將減少專利申請量並提高專利品質。 　　另有論者指出，此修正案可能導致專利申請成本提高，使申請人於加拿大申請專利之意願降低，並認為加拿大專利制度尚待解決的問題在於雙重專利制度(double patenting regime)及專利適格性(subject matter eligibility)，本法施行後的實務發展值得持續關注。 　　「本文同步刊登於TIPS網站（https://www.tips.org.tw）」