營業秘密管理概要

韓國政府於2025年1月23日成立國家生技委員會（국가바이오위원회），作為跨部會最高決策機構，整合生技、醫療、食品、能源、環境等領域政策。該委員會將推動《大韓民國生技大轉型戰略》（대한민국 바이오 대전환 전략），聚焦基礎建設、研發創新、產業發展三大轉型，重點分述如下： 1. 基礎建設轉型：韓國將成立「生技聚落協調機構」（바이오 클러스터 협의체），整合20多個生技聚落，讓各聚落共享設備、專家及創業支援，並與全球頂尖生技聚落交流。韓國計畫創造1萬個生技相關就業機會、培育11萬名生技專業人才，並推動生技監管創新。 2. 研發創新轉型：韓國期望透過AI技術應用，將新藥開發的時間與成本減半。此外，政府將提供資料共享的獎勵措施，簡化IRB及DRB審查流程，推動資料導向的生技研發。韓國計畫至2035年在國家生技資料平台上累積1000萬筆生技資料，並建構高效能運算基礎設施以提升分析能力。 3. 產業發展轉型：韓國將透過五個公共CDMO支援生技產業技術產品化，並推動AI導向的「K-BioMADE計畫」，促進生技製造的高速化、標準化與自動化。此外，政府將成立1兆韓元以上的「Mega Fund」，提供金融政策支持。韓國計畫至2032年將CDMO生產能力擴大至2.5倍，確保在全球市場佔據領先地位。 韓國政府擬透過「國家生技委員會」強化公私部門協作、優化法規環境及加速創新技術的商業化，為我國未來生醫政策發展提供寶貴的參考價值，值得持續關注。

　　英國資訊專員辦公室(Information Commissioner's Office, ICO)表示不論是否仍為歐盟會員國，英國仍需要明確有效的資料保護法，而關於公投退出歐盟(Brexit)結果，ICO發言人表示：「資料保護法是屬地的，不問公投結果為何，若英國不再是歐盟的成員國，即將施行的一般資料保護規則(General Data Protection Regulation, GDPR)亦不會直接適用於英國。然若英國希望在平等條件下的歐盟單一市場進行交易，我們必須證明資料保護是充足的，亦即英國資料保護標準必須符合2018年即將施行的歐盟的資料保護監管框架。對於許多跨境經營的企業與服務而言，遵循資料保護法律與歐盟一致性規範，既是企業組織，亦是消費者和公民所關注重點。ICO致力於與其他國家的監管機構密切合作，而且未來亦是如此。目前明確的法律保護相當重要，且考量到經濟發展，ICO會向政府提出建議，英國相關法規之改革仍屬必要。」 　　Brexit後，英國企業資料仍需傳輸至第三國，因此英國可能需爭取類似於瑞士、加拿大等，由歐盟執委會認定資料保護符合充足保護水準之模式；或是尋求類似歐盟與美國針對資料傳輸協議模式。然而目前英國的資料保護法(Data Protection Act 1998)與當前的歐盟資料保護指令仍具一致性，而目前資料從英國傳輸至第三國仍然需依標準契約條款(Standard Contractual Clauses)，或英國授權有約束力的企業自我拘束規則(Binding Corporate rules)，然而目前英國退出歐盟程序進行中，相關資料保護傳輸之法規範，仍待後續密切觀察。

　　2010年，美國聯邦政府展開「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，FedRAMP），在經過2年的研究與整備後，聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據，針對雲端服務的風險評估、授權管理的標準作業規範。 　　根據FedRAMP，雲端服務業者欲通過該計畫的評估，其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者，都必須達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 　　對於雲端服務業者的評估，必須經由FedRAMP認證的第三方機構來進行審查，第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定，來驗證檢驗機構的品質與技術能力。目前為止，聯邦政府總務管理局已經公佈十個獲得授權的機構。 　　聯邦政府總務管理局同時並期待在2012年的年底之前，能夠有三個雲端服務提供者通過審查，然而，由於制度才剛上路不久，是否能夠跟上產業變遷的腳步並順利達成目標，仍有待進一步觀察。

　　歐洲資料保護委員會（European Data Protection Board, EDPB）於2021年1月18日發布《個資侵害通知範例指引》（Guidelines 01/2021 on Examples regarding Data Breach Notification）草案，並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》（Guidelines on Personal data breach notification under Regulation 2016/679）透過案例分析進行補充說明，對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議，協助資料控制者處理資料外洩及風險評估考量因素之認定。 　　個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資，遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形，由於個資事故將對資料主體可能造成重大不利影響，該指引首先要求資料控制者進行侵害類別之辨識，依據2017年指引將個資侵害分為機密性侵害（confidentiality breach）、完整性侵害（integrity breach）以及可用性侵害（availability breach）。而資料控制者最重要的義務在於主動識別系統漏洞，評估侵害對資料主體權利所產生之風險，制定適當計畫及程序採取適當因應措施，確定侵害事件之問題根因及安全漏洞，加強員工認知培訓及制定操作手冊，並確實記錄各項侵害行為，以提升個資事故因應效率及降低時間延誤。 　　此外，該指引彙整自GDPR實施以來個資侵害通知具體案例，分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩，共六大主題十八件案例，針對不同程度風險提供最典型的正確及錯誤作法，並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。