談日本基因改造實驗管理規範及其執行現況

　　為試驗導入智慧防救災各項新興技術與機制，英國國民緊急事務秘書處 (Civil Contingencies Secretariat, CCS) 於2013年秋天分別對北約克郡 (North Yorkshire)、格拉斯哥 (Glasgow) 和薩福克郡 (Suffolk) 三地區進行共三次的「公共緊急警報：行動通訊預警試驗」(Public emergency alerts: mobile alerting trial)。由於英國已有92%民眾具有行動電話，並以隨時得接收訊息為出發點，進行有別於傳統預警系統之公共緊急預警系統試驗。此試驗由國民緊急事務秘書處與O2、Vodafone和EE三間行動網路業者 (mobile network operators) 和地方政府應變單位合作，雖係以行動電話為試驗主軸，但試驗重點則以政府或地方政府應變單位「不知道」民眾個人電話，亦不要求民眾簽署才能取得此次試驗訊息為主。 　　此三次試驗手段有二，包括「小型區域廣播服務」 (cell Broadcast service, CBS)，係以單點對多點發送緊急簡訊，以及「以地區為基礎的簡訊」 (location-based SMS messaging)，以群組方式發送簡訊至指定地區用戶，二種發佈緊急訊息的方法為試驗。 　　北約克郡 (North Yorkshire)主要與EE進行發送緊急水災警報系統，對於廣播訊息發送的時間或調整時間長短以供傳送「泡沫警報」(表訊息多寡)到地域寬廣或數個地區而言，是有效的手段。格拉斯哥 (Glasgow)地區為蘇格蘭最大城市，與O2業者進行最大型的試驗，發送數千緊急訊息給民眾。而薩福克郡(Suffolk)則是由於該區不僅於市中心具兩個火車站，遊客也眾多，因此試驗場域以住商混合住宅區及處於該區的人民為主。除小型區域廣播服務和以地區為基礎的簡訊外，薩福克郡也與社交網路Twitter合作，共傳送三種訊息試驗。 　　透過上述試驗，公共緊急警報：行動通訊預警試驗計畫報告也提出針對隱私與對於電信服務業者於災害發生當下之通訊服務義務未來應制訂相關規範，以及應統一發送訊息之通訊警報協定標準等建議。

　　澳洲隱私保護辦公室（Office of the Australian Information Commissioner, OAIC）於2019年11月發布「2018-2019年數位健康年報」，其中針對「我的健康紀錄系統」（My Health Record System）日前發生資料外洩事件提出檢討及隱私建議。 　　「我的健康紀錄系統」於2012年開始由澳洲數位健康局（Australian Digital Health Agency）負責維運，所有健康報告以電子形式通過網站存檔或讀取，包括處方藥紀錄、醫生診療記錄、影像檢查以及其它測試紀錄等，所有資訊將置於網路並授權醫療專業人員，例如醫生、藥劑師、醫院工作人員和專職醫療人員（例如護士或物理治療師），均可登錄查詢。 　　「我的健康紀錄系統」原先以民眾自願選擇加入模式運作，以選擇性線上註冊方式概括同意健康資料存取。隨後為促進醫療產業發展，澳洲政府宣布「我的健康紀錄系統」全國適用並提供退出機制至2019年1月31日。而2018年澳洲修訂「我的健康紀錄法」（My Health Records Act 2012）強化個人資料管理相關規範，例如：提供永久刪除權、不得適用於保險目的、違反關鍵隱私保護而增加民事和刑事處罰等。 　　「2018-2019年數位健康年報」指出，隨著「我的健康紀錄系統」於2019年2月從選擇性註冊模式變為退出模式，關於隱私疑慮的查詢和投訴大幅增加。2018年至2019年OAIC收到57件投訴案，OAIC更對數位醫療產業中的受監管企業進行隱私評估，包括私人醫院、藥房等。為解決民眾疑慮，「我的健康紀錄法」修訂賦予永久刪除權，使投訴數量開始遞減，OAIC亦為醫療服務提供者發布有關保護患者個人健康資料相關指引，並與衛生部門組織合作，促進良好的隱私保護觀念，以增進健康服務提供者對預防和應對資料外洩的理解。

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）於2020年4月25日以歐盟網路安全驗證框架（EU cybersecurity certification framework）檢視現行安全軟體開發及維護之方式與標準，並公布《提升歐盟軟體安全性》（Advancing Software Security in the EU）研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證，並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 　　本報告指出由於安全軟體已普遍應用於日常商品與服務當中，但目前針對軟體安全事故並無相對應之安全守則及技術，故為提高軟體安全層級並緩解目前已知之軟體安全威脅，應針對安全軟體開發及維護進行規範並驗證。 　　報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外，亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法，包括： 已驗證之資訊與通訊科技（Information and Communication Technology, ICT）產品、服務或流程供應商或製造商，針對資料庫之部署及維護，除探討防止資料洩漏之方式外，尚應考量產品、服務或流程驗證過程中，進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織（European Standards Organizations, ESOs）及標準制定組織（Standards Developing Organization, SDOs）合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案（EU cybersecurity certification schemes）。 針對現行不一致之軟體開發及維護規範，應考量建立較寬鬆之合規性評估（conformity assessment）標準。 借鏡現有經驗和專業知識，促進歐盟網絡安全驗證框架之適用。