保險新品～開放原始碼保單

　　「敏感科技」的普遍定義，係指若流出境外，將損害特定國家之安全或其整體經濟競爭優勢，具關鍵性或敏感性的高科技研發成果或資料，在部分法制政策與公眾論述中，亦被稱為關鍵技術或核心科技等。基此，保護敏感科技、避免相關資訊洩漏於國外的制度性目的，在於藉由維持關鍵技術帶來的科技優勢，保護持有該項科技之國家的國家安全與整體經濟競爭力。 　　各國立法例針對敏感科技建立的技術保護制度框架，多採分散型立法的模式，亦即，保護敏感科技不致外流的管制規範，分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型，分別為國家機密保護，貨物（技術）之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制，而我國法亦是採取這種立法架構。目前世界主要先進國家當中，有針對敏感科技保護議題設立專法者，則屬韓國的「防止產業技術外流及產業技術保護法」，由產業技術保護委員會作為主管機關，依法指定「國家核心科技」，但為避免管制措施造成自由市場經濟的過度限制，故該法規範指定應在必要的最小限度內為之。

為確認產品供應鏈與物流鏈的真實來源、打擊仿冒品、提升永續資訊透明度以接軌歐盟政策，歐盟智慧財產局（下稱EUIPO）自2023年5月啟動區塊鏈物流認證計畫（下稱EBSI-ELSA），採難以竄改、公開透明的區塊鏈服務基礎設施（European Blockchain Services Infrastructure，下稱EBSI），透過數位簽章（digital signature）、時戳追溯與驗證歐盟進口產品的來源是否為智慧財產權利人。EUIPO 於2024年6月24日宣布EBSI-ELSA已上線8成基礎設施。為加速推動計畫，於2024年9月至11月間，EUIPO以產品鏈的智財權利人（例如鞋類與/或服裝、電氣設備、手錶、醫療設備與/或藥品、香水與/或化妝品、汽車零件與玩具產業別之產品智財權利人）為試點，並將於2024年11月前發布試點最終報告。 透過試點，EUIPO致力於： (1)測試、評估於真實世界之製造與分銷系統中應用數位簽章及物流模組的情況，以作為智財權利人之企業資源規劃（ERP）的一部分。 (2)於產品歷程，測試、評估數位裝運契約（digital shipment contract）及產品數位孿生（Digital Twin）之資訊的接觸權限與品質（access to and quality of information）。如海關人員預計於產品抵運前（pre-arrival）、通關階段（inspection phases）確認產品之真實性。 (3)提供產品生命週期應用EBSI-ELSA之試點最終報告，包含實施過程、結果等相關資料。 EBSI-ELSA計畫認為其符合歐盟之數位政策與循環經濟目標，旨於採取區塊鏈技術向供應商、消費者、海關、市場監管機構等多方揭露更多的產品溯源資料，提升產品透明度，銜接歐盟之數位產品護照（Digital Product Passport, DPP）政策，該政策目的係以數位互通方式揭露歐洲市場之產品生命週期的資訊，如產品材料來源、製程、物流、碳足跡等永續資訊，強化產業的可追溯性、循環性（circularity）及透明度，以協助供應鏈利害關係人、消費者、投資者做出可持續的選擇。而負責執行歐盟資料經濟與網路安全相關政策之歐盟執委會資通訊網絡暨科技總署（DG Connect）於2024年5月所發布之「數位產品護照：基於區塊鏈的看法」報告，亦指出「為確保區塊鏈系統互通性，其IOTA區塊鏈技術框架應能與歐盟內部市場電子交易之電子身分認證及信賴服務規章（EIDAS）及EBSI標準完全接軌（fully align）」。 如我國企業欲強化既有的產品生命週期資料管理機制，可參考資策會科法所創智中心發布之《重要數位資料治理暨管理制度規範（EDGS）》，從數位資料的生成、保護與維護出發，再延伸至存證資訊之取得、維護與驗證之流程化管理機制，協助產業循序增進資料的可追溯性。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》（California Age-Appropriate Design Code Act AB 2273，以下簡稱該法），2023年4月28日，倡議團體與聯邦政府官員提交一份意見陳述以支持該法，預計於2024年7月1日生效；針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍： 1. 倘若企業提供的線上服務、產品或功能符合以下條件，則受該法所規範： (1) 提供服務的對象為兒童（年齡於13歲以下的孩童）之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站，或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA（California Privacy Rights Act）所規範之「企業」，是位於加州並蒐集加州居民個人資料的營利性組織，其須滿足以下條件之一： (1) 年度總收入超過 25,000,00美元，或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料，或者年收入的50％以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估：企業針對所營事業須完成資料保護評估，且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置：企業對於兒童使用者，須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款：企業必須簡明的提供隱私政策、服務條款和明確標準，並使用與兒童年齡相符的清晰語言，以便兒童理解語意。 　(1) 將兒童依據年紀分為：0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 　(2) 定位服務：要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時，向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護，確保兒童個人資料不會在沒有認知的情況下，因使用服務而被蒐集、處理及利用。該法特殊的地方為，對於未成年人進一步區分不同年齡段，若有明確區分出並針對各年齡段進行不同的告知事項設計，將更易使閱讀之未成年人明確了解個資告知內容，應值贊同。