美國國會提出「不被追蹤網路資訊保護法案」

歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》（Cyber Resilience Act）草案，後續待歐盟理事會正式同意後，於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品（products with digital elements, PDEs）（下簡稱為「數位產品」）具備對抗資安威脅的韌性，並提高產品安全性之透明度。草案重點摘要如下： 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務，規定產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。 二、數位產品合規評估程序（conformity assessment procedures） 為證明數位產品已符合資安及漏洞處理要求，依數位產品類別，製造商須對產品執行（或委託他人執行）合規評估程序：重要（無論I類或II類）數位產品及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞，並提供「安全更新」（security updates）等方式修補漏洞。安全更新後，應公開已修復漏洞之資訊，惟當製造商認為發布相關資訊之資安風險大於安全利益時，則可推遲揭露。 四、新增開源軟體管理者（open-source software steward）之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策，並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞，或遭受嚴重事故時，應及時透過單一通報平臺（single reporting platform）進行通報，並通知受影響之使用者。

　　主權專利基金(Sovereign Patent Fund，以下稱SPF)是一個由國家政府設立的投資型基金(含民間/企業資金投入)，目的在於取得專利資產，進行全球專利布局，以提升國家經濟利益。目前，全球3大具領導地位的SPF實體為:法國France Brevets (以下稱FB)、韓國Intellectual Discovery (以下稱ID)，及日本IP Bridge (以下稱IPB)。 　　今年5月，加拿大Digital Entrepreneurship & Economic Performance Centre針對FB、ID，及IPB的發展發佈了一份報告，「Mobilizing National Innovation Assets: Understanding the Role of Sovereign Patent Funds」，分析了3家SPF所擁有的專利資產以及專利佈局趨勢，主要有以下重點: 一、 3家SPF之專利資產多為美國專利，分別佔IPB 92%、ID 82%、FB 48%。 二、 FB的專利讓與案件數量最少，顯示法國傾向以授權方式營運。 三、 IPB在專利組合上最大貢獻者為Panasonic及其關係企業，83%專利組合是來自Panasonic；FB最大貢獻者是Nemoptic；ID是Electronics & Telecommunications Research Institute 。 四、 從科技發展的角度觀察，3家SPF的專利布局重心在國際專利分類(Intellectual Patent Classification，IPC)中的電學(electricity)和物理(physics)；FB、IPB著重電器通信技術(electric communication techniques)，ID著重基本電器元件(basic electric elements)。 　　整體而言，3家SPF從以往專注於取得專利資產、吸引投資，到近期開始利用侵權訴訟與授權獲得經濟回饋，SPF模式已越受全球關注。除了加拿大政府的智庫DEEP建議其政府應設置SPF以拓展智慧財產權政策外，印度也將SPF納為智財政策討論重點，韓國也將再設立一個由國內開發銀行全力資助的SPF。 　　根據上述SPFs的觀察，對於我國而言，無論是創智智權管理顧問公司，或其他型態之智財投資基金，都必須先選定專利布局的核心對象，才能有效取得、收購國內、外相關專利資產，以全球性的智財戰略帶動國家發展。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國「2009年經濟復甦暨再投資法」（America Recovery and Reinvestment Act, ARRA），將醫療產業中的醫療資訊科技列為重點發展項目之ㄧ。以國內全面採行「電子病歷健康記錄」（electronic health records, EHRs）系統為目標，共挹注190億美元的經費，透過聯邦醫療保險或醫療補助計畫的機制支付獎勵金，鼓勵醫師或醫療院所採購並建置院內的電子醫療資訊系統。自2011年至2015年，醫師或醫療院所符合實質EHR使用者（meaningful EHR user）的標準，至多可獲得44000美元的獎勵金；倘於2015年後，其尚未成為實質EHR使用者，則將以每年多1%的比例，逐年減少其醫療保險補助額，直至2019年將減少5%。為了施行此政策，ARRA規定主管機關須於2009年12月31日前確立EHR的標準，包含了相互運用性（interoperability）、臨床功能性（clinical functionality）及安全性等標準。 　　EHR系統的基礎，也就是電子醫囑（e-prescribing）所涵蓋的功能，能提供臨床及藥費的即時資訊，供醫師判斷何種藥物（包含學名藥）最為安全，且可符合病患經濟負擔；亦可顯示該病患用藥紀錄，及其他醫生曾開立的處方，供醫師比對並觀察病患潛在的藥物過敏現象，若系統偵測出藥物間相斥的情形，亦將自動發出安全警示。此外，以電腦輸入處方並自動傳送至領藥處的模式，不僅可省卻病患冗長的等候領藥時間，亦能減少藥劑師因難以判讀字跡所導致的配藥錯誤。 一項由美國藥物照顧管理協會（Pharmaceutical Care Management Association, PCMA）所贊助的調查研究指出，ARRA中的病歷健康資訊科技化措施，將使e-prescribing的運用率，在未來五年內增加75%；而在往後10年，此將減少約3500萬筆的用藥指示錯誤，消弭因服藥錯誤導致的死亡事件，並能節省220億的用藥支出；其所帶來的效益實遠超過政府所挹注的經費。

　　在2014年4月時，美國裁決法官James Francis就聯邦檢察官的申請，依據1986年的「電子通訊隱私法」（Electronic Communications Privacy Act, “ECPA”）第2703條第a項之規定，針對微軟客戶的e-mail對微軟公司發出了搜索令。然而，該搜索令所要求的e-mail資料儲存在微軟位於愛爾蘭都柏林的資料中心，因此微軟以美國政府對於愛爾蘭並無司法管轄權為由，拒絕配合執行該搜索令，並且對發出搜索令的法官提出異議。但是Francis法官認為這並不是「域外搜索令」(extraterritorial search warrants)，並指出在網路互聯的世界中，重點是對資料的控制，而不是「電子財產」的所在位置，於是拒絕了微軟的異議。 　　於2014年7月，微軟向紐約曼哈頓地方法院再度針對該搜索令提出異議，主張如果美國法院依據「電子通訊隱私法」要求資訊服務提供者提供位於愛爾蘭主機的客戶電子郵件資料，應透過美國與愛爾蘭政府的「多邊司法互助協定(Mutual Legal Assistance Treaty，“MLTA”)」來進行。但地方法院做出以下的裁決：1.在網路世界，電子財產之地理位置不是絕對的；2. 「電子通訊隱私法」第2703條a項所稱之搜索令並不是傳統上的搜索令，而是「搜索令」與「傳票」性質混合的命令，功能是為了讓網路服務業者（Internet Service Provider, “ISP”）提供所擁有的資料給法院；3.國會應無意透過繁瑣的「司法互助協定」來取得位於海外的電子證據；據此，地方法院維持Francis裁決法官的裁決，並且判定微軟藐視法庭。 　　微軟隨後在2014年12月，以地方法院使用了錯誤的法律理由、沒有根據的推斷立法目的、疏漏重要判決先例的援引、逾越國會立法的優先權並且誤解了「網路流通」的概念等理由，向美國第二巡迴法院提出上訴。 　　目前蘋果、AT&T、思科、Verizon以及其他科技公司都支持微軟的上訴，認為如果認可美國政府對於本國公司在境外所設置的資訊主機有司法管轄權，將會嚴重衝擊美國以外國家的資料保護法。此案目前仍在法院審理中。