資訊安全與電子商務－談資訊安全通報機制

　　近來國際藥商逐漸將研發眼光放在市面上既存的蛋白質生技學名藥（follow-on biologics, Biosimilar, Biogenerics）上，顧名思義，生技學名藥乃是仿製市面上的生技藥品，而在臨床效用上與所仿製的藥品完全一樣或只是做些微調整改良。 　　目前生技學名藥並無法適用Hatch-Waxman Act下之「簡易新藥申請」（Abbreviated New Drug Application，ANDA）程序，原因在於生技製藥通常為複雜的大分子，難以確認其與上市產品100％相同，故美國FDA採取另立新法管理的態度，但迄今仍未通過任何法律。在歐盟，由歐洲藥品管理局（European Medicines Agency）所發布的生技學名藥核准準則只要求藥商提出其分子具有與上市藥品相同之物理特性及毒性安全數據即可上市，故現行已有少部分生技學名藥在歐洲上市。 　　因而藥商在無簡易上市的程序下，只能循完整的臨床有效性試驗程序。事實上這與現行美國擬對生技學名藥上市管理所提出的法律草案內容一致，目前提出於國會山莊的三個法律草案版本（Sen. Ted Kennedy’s S.1695, Sen. Judd Gregg’s S.1505 & Rep. Anna Eshoo’s H.R.5629）皆強制大部分生技學名藥上市前必須經過完整的臨床有效性試驗。 　　相反的，傳統學名藥在自1984年的Hatch-Waxman Act以來，並無需進行最昂貴的第二及第三階段之臨床試驗，也因此對於病患、消費者等而言，生技學名藥價格並不友善，通常只比其所仿製的上市藥品便宜一至二成，在有市場利基的功用調整下則有可能更貴；這比起競爭激烈的學名藥價格動輒較其原始藥品便宜五成以上相去甚多。並且所費不貲的臨床實驗亦將使生技學名藥只有擁有龐大資源的少數大藥廠能取得入場門票，因此專家預估生技學名藥的立法並不會像Hatch-Waxman Act一樣，進而形成生技學名藥業（generic biotech industry），而是形成所謂的生技仿製業（me-too industry）。

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日 　　歐盟執委會(European Commission，以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1]，旨在說明歐盟執委會將如何透過資料治理及相關政策，轉型為資料驅動型組織(data-driven organization)，並提供一致的方向或原則，促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的 　　「促成歐洲適應數位時代，並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展，透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術，「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度，首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理，有助於此願景之達成。 　　因此，執委會提出「資料治理與資料政策」，建立執委會統一的資料治理架構與政策原則，幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時，執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程，改善資料品質，提升資料管理及共享之效率。 貳、內容摘要 　　「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集，包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上，則導入「遵守或解釋」(comply-or-explain)原則，除非法律明示規定為選擇性適用，否則執委會轄下相關部門機構皆需遵守；倘未遵守，則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理 　　主要目的在建構執委會統一的資料治理架構，釐清相關角色的責任與相互依賴關係。依角色與任務的不同，執委會將資料治理分為三層級，並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 （一）策略層級(strategic level) 　　由資訊管理指導委員會(Information Management Steering Board, IMSB)，處理資料治理與資料政策相關議題，界定長期推動願景、提供政策方向、監督推動與執行之進程，並作出策略決定。 （二）管理階層(managerial level) 　　由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board)，以及策略層級就各資料集所指定之資料擁有者(data owner)，依策略層級所提出之願景與政策方向，在各處建立並執行資料政策、監督執行進度，並向策略層級報告執行進度及任何超出其決策權限之問題。 （三）運作階層(operational level) 　　由資料擁有者選出或指派資料管理員(data steward)，並與資料利用者(data user)實際執行資料政策，必要時將相關議題提到管理層級解決。 二、資料政策 　　就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向，建立上位原則。 　　其中關於「資料管理」部分，又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則，故執委會轄下相關部門機構在建立、蒐集或取得資料之前，需探詢必要資料或資訊是否已存在，避免重複取得。主要需求資料集的部門機構，應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面，除非歐盟相關的執委會決定、指令或規則另有規定[3]，否則以「需要共享」(need to share)或「預設共享」(share by default)為原則，並使用一致化的資料管理與視覺化工具或資料平台。 　　針對「資料互通性與標準」與「資料品質」兩部分，著重在執委會內部的共通一致性，包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面，則強調「歐盟機關個人資料保護規則」[4]相關義務，以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析 　　觀察歐盟執委會的「資料治理與資料政策」，可知其資料治理架構與相關政策，是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則，更從組織管理角度，界定不同單位或角色的任務與責任，並凸顯資料治理管理組織的建構，對資料政策執行之重要性。 　　我國政府長期致力於數位國家之發展，在政府資料開放政策推動上已有不少成果，例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量，建議未來可進一步完善政府資料治理構面，兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向，借鏡歐盟執委會之作法，確立資料共享再利用之管理架構及原則，提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等，有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

　　美國參眾兩院於2009年「美國經濟復甦與再投資法」(American Recovery and Reinvestment Act of 2009)─即「振興經濟方案」─要求聯邦通訊傳播委員會(Federal Communications Commission, FCC) 在國家寬頻發展計畫中，須使用寬頻建設及服務，促進節能減碳與能源自主要求。智慧電網(Smart Grid)被認為係符合此要求的新技術。FCC遂公開徵求有關此一技術對國家寬頻發展計畫要求事項更進一步的評論與建言： 1. 使用公私網絡的智慧電網是否適合發展於通訊技術； 2. 何種通訊技術與網絡可符合且最常用於智慧電網科技； 3. 既有商用通訊網絡是否合於智慧電網的運用； 4. 在一般與緊急狀況下，商用無線通訊網絡得否可靠地藉由智慧電網傳輸資料； 5. 現有且合適於發展智慧電網的電力設備於全美的普及率為何； 7. 智慧電網對已發照釋出之頻譜需求為何； 8. 智慧電網使用毋須核照之頻譜是否遭遇介面(interface)上的問題； 9. 是否需要釋出額外或未使用的頻譜？原因為何； 10.如何確保消費者能即時獲知實際能源減耗數據與支付價額； 11.設備、技術提供者與消費者如何相互連結相關家電用品與網路； 12.何種資訊會在一類、二類與電力供應者間被擷取； 13.管理能源之家用網路區域(Home Area networks)在智慧電網中的角色為何？ 　　FCC對智慧電網所蒐集的資料與意見，將對欲發展節能減碳政策的台灣，有相當幫助，值得持續關注。

　　蘋果電腦 (Apple Computer Inc.) ， iPod 製造商，已經提起第二項訴訟以反擊其競爭對手， MP3 製造商創新科技 (Creative Labs Inc.) 所提出之專利訴訟。 　　以新加坡為基地的創新科技，世界第二大數位音樂播放器銷售商，上個月在加州的美國聯邦地方法院，控告蘋果電腦的 iPod 音樂播放器侵犯關於該公司旗下 Zen MP3 播放器介面的專利。同時，該公司也要求美國國際貿易委員會 (International Trade Commission, ITC) 禁止 iPod 在美國的販售與行銷。 　　蘋果電腦除了向威斯康辛的美國聯邦地方法院提出反訴之外，隨後再於上週向德州的美國聯邦地方法院控告創新科技的可攜式音樂播放器侵犯其數件關於軟體以及系統的專利，包括 MP3 在電腦上的顯示方式、如何編輯 MP3 播放器資料以及圖示的安排等。 　　創新科技發言人 Phil O'Shaughnessy 表示，最近數月以來，創新科技已經向蘋果電腦提出若干「溫和的解決方案」。他也表示，於交涉期間，或任何其他時間，蘋果電腦從未提及其列舉於訴訟中的那些專利。並且，創新科技已經預料到蘋果電腦的報復行動，也已經作好準備。