歐盟專利強化合作方案 不同意見再起

　　歐盟植物品種事務局（Community Plant Variety Office, CPVO）與歐盟智慧財產局（European Union Intellectual Property Office, EUIPO）於2022年4月28日聯合發佈「植物品種權制度對歐盟經濟和環境影響」執行摘要（Impact of the Community Plant Variety Rights System on the EU Economy and the Environment–Executive Summary），以量化方式顯現「歐盟植物品種權」（Community Plant Variety Rights, CPVR）制度的影響： （1）若無CPVR制度，則在2020年時，歐盟耕地作物的收成量會比實際情形減少6.4%、水果減少2.6%、蔬菜減少4.7%、觀賞植物減少15.1%；換言之，因有CPVR制度帶來的額外收成，足以將耕地作物多供給予5,700萬人、水果多供給予3,800萬人，蔬菜多供給予2,800萬人。 （2）以總體經濟學（macro-economic）的角度觀之，若無CPVR制度帶來的額外收成量，歐盟在世界貿易的地位會惡化，而境內的消費者也將面臨更高的農作物價格。受CPVR制度保護的農作物對歐盟GDP之「額外」增長貢獻約為130億歐元，其中耕地作物約佔有71億歐元、水果11億歐元、蔬菜22億歐元、觀賞植物25億歐元。 （3）而因CPVR制度帶來的農作物額外收成，使歐盟農業的僱用情形提升；以耕地作物來說，增加近25,000個工作機會、園藝作物19,500個、觀賞植物45,000個，總計增加近90,000個工作機會。此僅單就上游的農業及園藝產業而言，其與下游產業（例如：食品處理業）合計增加近80萬個就業機會。 （4）不僅工作機會增加，從業者報酬也有所提高；相較於未有CPVR制度前，耕地作物從業者可獲得12.6%更高的報酬、園藝作物從業者可獲得11%更高的報酬。 （5）受有 CPVR保護之公司總計僱用了70,000名以上之員工，而其營業總額超過350億歐元；此等公司多為中小企業（SMEs），其佔有CPVR申請量90%以上，而其目前持有约歐盟整體60%的CPVR。 （6）在有CPVR制度後，歐盟農業及園藝業所排放的溫室氣體（greenhouse gas, GHG）每年減少6,200公噸；此二產業所需用水量減少了超過140億立方公尺。 　　綜上，由於減少對環境之衝擊、於農業與園藝上減少資源之使用、使從業者收入增加，及使消費者用更低廉價格購得農產品，故CPVR制度對於聯合國永續發展目標（Sustainable Development Goals）有所貢獻。除此之外，本執行摘要亦提及CPVR制度有潛力符合歐盟執委會（European Commission, EC）「歐洲綠色政綱」（The European Green Deal）目標。

　　為促進美國境內個人化診斷醫療器材發展並進一步實現個人化醫療之理想與目標，於今(2011)年7月14日時，FDA於各界期盼下，正式對外公布了一份「個人化診斷醫療器材管理指引文件草案」(Draft Guidance on In Vitro Companion Diagnostic Devices)。而於此份新指引文件草案內容中，FDA除將體外個人化診斷醫療器材定義為：「一種提供可使用相對應之安全且有效治療產品資訊之體外診斷儀器」外，亦明確指出，將視此類個人化檢測醫療器材產品為具第三風險等級之醫療器材，並採「以風險為基礎」(Risk-Based)之管理方式。 　　依據上述新指引文件草案內容，FDA對於此類產品之管理，除明訂其基本管理原則外，於其中，亦另列出兩項較具重要性之例外核准條件。第一項，是關於「新治療方法」(new therapeutics)部分，FDA認為，於後述情況下，例如：(1)該項新治療方法係針對「嚴重」或「威脅病患生命」、(2)「無其他可替代該新治療方法存在」、或(3)將某治療產品與未經核准(或未釐清)安全或功效之體外個人化診斷醫療器材並用時，其為病患所帶來之利益，明顯高於使用該項未經許可或未釐清之體外個人化診斷醫療器材所將產生之風險等前提下，FDA或將例外核准該項新治療方法。其二，是關於「已上市治療產品」部分，依據新指引文件草案，於下列各條件下，或將例外核准製造商以補充方式所提出之「新標示」產品之上市申請案，包括：(1)該新標示產品乃係一項已通過主管機關審查之醫療產品，且已修正並可滿足主管機關於安全方面之要求；(2)該產品所進行之改良須仰賴使用此類診斷試劑(尚未取得核准或未釐清安全功效)；(3)將此項已上市治療產品與未經核准或未查驗釐清安全(或功效)之體外個人化診斷醫療器材並用時，其為病患所帶來之利益，明顯高於使用該項未經許可或查驗釐清之體外個人化診斷醫療器材所具之風險等。 　　此外，FDA方面還強調，若針對某項個人化診斷醫療器材之試驗結果顯示，其具較顯著之風險時，將進一步要求業者進行醫療器材臨床試驗(Investigational Device Exemption，簡稱IDE)。而截至目前為止，此項新指引文件草案自公布日起算，將開放60天供外界提供建議，其後FDA將參考各界回應，於修正後，再提出最終修正版本指引文件；然而，究竟FDA目前所擬採取之規範方式與態度，究否能符合境內業者及公眾之期待與需求？則有待後續之觀察，方得揭曉。

　　德國聯邦內閣於2015年5月27日提出安全數位通訊及醫療應用法（Entwurf eines Gesetzes für sichere digitale Kommunikation und Anwendungen im Gesundheitswesen, E-Health-Gesetz）草案。 　　德國聯邦衛生部部長說明因草案的形成一直有所爭議，以致過程冗長。而為了保證大量數據的資料維護及安全，德國資料保護及資訊流通之主管機關聯邦資料保護官（Bundesbeauftragten für den Datenschutz und die Informationsfreiheit, BfDI）及聯邦資訊安全局（Bundesamt für Sicherheit in der Informationstechnik, BSI），從一開始即密切參與其中合作。針對電子健保卡（die elektronische Gesundheitskarte）的資訊安全要求，德國聯邦衛生部將關注科技發展，持續更新相關規定。 　　本法案包括高安全標準之數位設施的建置期程，以及產生病人具體應用效益的時間規劃表，重要規定如下： 1.主檔資料管理（Stammdatenmanagement）：被保險人主檔資料（Versichertenstammdaten）的測試及更新，自2016年7月1日起，於兩年內針對全國區域進行大範圍測試。 2.結合病人的緊急資訊（Notfalldaten）：醫生能立即取得所有重要資訊，如過敏或過去病史等資料。當病人有該等需求之意願時，自2018年起健保卡即應包含緊急資訊。 3.藥物治療計畫（Medikationsplan）：包含病人使用藥物治療的所有資訊，藥物治療計畫能於治療過程中使病人更加安全。而同時最少使用三種藥物的被保險人，自2016年起應採行藥物治療計畫。之後應可於電子健保卡取得藥物治療計畫相關資訊。 4.以電子方式發送醫療診斷報告（Arztbriefe）：因目前為止醫療診斷報告仍係透過郵寄，然而為求重要資訊立即呈現，於2016年及2017年醫生以電子方式安全寄送診斷報告者，每份報告應收取55歐分的費用。 5.遠距醫療（Telemedizin）：為推動遠距醫療的利用，自2017年4月1日起遠端傳輸X光照（Röntgenaufnahmen）的醫療診斷結果將收取費用。 6.醫療資訊系統的互通性：建立互通性指引（Interoperabilitätsverzeichnis）應可使醫療方面各類資訊系統所採行的標準透明化，且可使其規範更加標準化。而該指引應包含遠距醫療應用資料入口網站（Informationsportal）。 7.本法案所提期程，特別係針對實施的代表性自治組織（Organisationen der Selbstverwaltung），德國聯邦法定健康保險總會（GKV-Spitzenverband）、聯邦特約醫師協會（Kassenärztliche Bundesvereinigung）及聯邦特約牙醫協會（Kassenzahnärztliche Bundesvereinigung）適用。

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。