歐盟科技策略新趨勢－生物經濟策略

　　所謂「大麻」實為大麻屬植物，其中除了較常耳聞的娛樂用大麻外，尚包含工業用大麻（俗稱火麻，hemp），兩者區分標準在於四輕大麻酚（THC）成分高低，後者THC成分小於0.3%，難以做為娛樂用，由於大麻於過去曾有相當時間遭各國所禁止，因此與其有關之研究、專利申請案之數量可謂罕有。然而，近年來隨著各國逐漸放寬對大麻的限制，諸多藥商陸續投入以大麻為成分之藥品開發中，並執此取得專利申請，從而引發相關人士提出此種專利究竟是否具備新穎性之疑問。 　　日前於2018年7月間，美國即有藥商對此提出專利訴訟，全案大致背景如下：United Cannabis Corp.（下同UCANN）對Pure Hemp Collective Inc.（下同Pure Hemp）提出專利侵權訴訟，指稱Pure Hemp所研發之多款含CBD成分之藥物均侵害其編號9,730,911之專利（下同911專利）。而Pure Hemp則反駁，並稱911專利其中第1、5、16、20、25項聲明將此一專利範圍擴張至所有以液體型態存在之高效價大麻二酚（liquid form of high-potency cannabis），因此若其他藥品商以此一成分生產其他藥物，不論作用、成效是否相同，均可能侵害UCANN之專利權。 　　本案爭點在於：「以大麻中，早已廣泛流通於市面之大麻二酚（CBD）製成之藥品，是否具備專利法上之新穎性？」。對於系爭專利成分「液態高效價大麻二酚」，事實上已於美國銷售多時，從而此一成分是否具備「新穎性」即容有疑問。業界相關人士指出，美國專利及商標局（U.S. Patent and Trademark Office，下同當局）未審酌上開涵蓋過廣之專利聲明以及未顧及系爭專利成分已於市場流通多年此二種情況，即核發專利許可證，可以說是一種行政怠惰。同時間，也有論者較為持平的認為這可能得肇因於大麻專利申請案之前例過少，使得當局專職審核是否具備新穎性要件之相關人員要難查知。此種說法雖然稍有為當局開脫之嫌，但實際上也間接彰顯了專利審查人員於核發此種專利時，有判斷不周的情形。無論如何，目前全案尚在審判中，詳細結果，均有待判決做成後方知一二。

　　世界智慧財產組織 (WIPO)於今年3月報導指出:WIPO於2004年推出了新的E－Pdoc申請系統，這一系統讓WIPO得以用電子形式接收、處理和發送國際專利優先權文件。有了此一電子申請系統，申請人可以要求同一件申請案以其在任何特定簽約國專利局首次提出申請的日期?國際專利申請日。如果申請得到有關國家專利局的專利授權，該先申請日還可以作?獲得國際專利有效保護的起始日期。 　　 受到電子申請系統方便性之鼓舞， 2004年國際專利申請數量激增並正式突破了一百萬件申請的大關，同一年依據專利合作條約(PCT)規定所提交申請的數量也創下紀錄，共計12萬多件。其中美國繼續列在最大用戶榜首，但增長速度最快的是亞洲大陸─即：日本、韓國和中國大陸。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　為了減少美國專利訴訟泛濫，及防止專利蟑螂輕易向他人提起專利訴訟，美國最高法院在2014年6月 對兩件專利訴訴訟案進行判決，此決定也對專利權人及專利蟑螂不利。 　　首先，最高法院針對Limelight Networks v. Akamai Technologies否決聯邦上訴法院的判決。聯邦法院認為Limelight雖然沒有使用Akamai商業方法中每一個過程步驟之專利，但其使用其方法專利之其中方法就算造成間接侵權（induced infringement）。然最高法院認為，聯邦法院的判決對於間接構成侵權有誤解，Limelight所使用的商業方法並沒有引導間接構成侵權。此決定對於現今網路科技盛行之時代有很重要的影響，更防止不實施專利體及專利蟑螂隨意對潛在對象提起專利訴訟。 　　另一個案件為Nautilus, Inc. v. Biosig Instruments, Inc，最高法院亦駁回聯邦上訴法院之判決，對於專利說明（patent claim）的內容清楚性作出新的說明。聯邦上訴法院在此案中對於專利法第112條中專利說明的要求作出解釋，認為凡是專利說明不會難以解釋且模糊（insolubly ambiguous），專利說明皆可符合專利法規定。但最高法院採不同見解，認為聯邦法院的見解不符合專利法之規定，規定專利說明的內容必須要合理且明確，使可符合專利法的要求。此決定對於專利蟑螂尤其是一大打擊，過往專利蟑螂多以模糊的專利說明來進行專利訴訟，但今後要求明確的專利說明，讓雙方有更清楚的專利說明依據進行專利訴訟。