2023年6月9日,日本內閣閣議決定2023年度「朝向數位社會實現之重點計畫」(デジタル社会の実現に向けた重点計画)。該計畫是針對數位社會之實現,明確記載日本政府應迅速且重點性實施的政策及各行政機關於整體社會結構改革(こうぞうかいかく)、個別施行政策之努力,並做為日本向世界提出建言時的羅盤。 其中,值得關注的是日本對於為活用數位技術所做之法規整備。根據2022年12月日本數位廳轄下的數位臨時行政調查會(デジタル臨時行政調査会)的調查,確認與實地檢查、定期檢查、文件閱覽等相關之法律條文內含過時概念,以致於會對數位轉型之發展造成阻礙的條文(下稱過時法律)約有一萬條。對此,數位臨時行政調查會表示,數位改革與法律改革之間的關係為一體兩面,為了最大化發揮數位化的效果,法律改革的相關檢討亦應一併執行。各法律之相關行政機關應依照「基於數位原則對過時法律所作之修正工程表(デジタル原則を踏まえたアナログ規制の見直しに係る工程表)」對各過時法律做出相關檢討,並以2024年6月修正各過時法律為目標。 舉例來說,為實現民事判決的全面數位化,2022年5月18日,日本參議院通過了民事訴訟法等法律的部分修正案,其中最值得關注的部分為當事人可以透過網路向法院提起訴訟、提出準備資料,以及透過網路受領法院送達之相關訴訟文書等。該修正案亦包含訴訟中程序之修正,以言詞辯論程序為例,當事人可透過線上會議之方式進行言詞辯論程序,惟施行期間預計於公告後2年內開始實施。 台灣於2015年7月就智慧財產行政訴訟事件正式啟用線上起訴系統,同年9月開放稅務行政訴訟事件使用,並於2016年開放民事訴訟事件使用。該系統與日本體系不同之處在於,日本目前僅就民事訴訟事件開放線上起訴系統之使用。不過,日本2022年針對刑事訴訟法數位化之部分做出相關報告書,可預期日本將來也會將線上起訴及審理系統導入刑事訴訟法之領域。未來可以持續觀察日本就線上起訴及審理系統之訂定及政策施行方向,作為我國之參照。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
德國「促進智慧財產權保障落實法Gesetz zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums,Durchsetzungsgesetz」將於今年8月1日開始生效施行歐盟「Enforcement-Ricgtlinie 2004/48/EG指令」於德國國內法,而採取所謂「條款立法Artikelgesetz」之綜合立法方式*,包括「專利法」、「商標法」、「實用新型專利法」、「半導體保護法」、「外觀設計專利法」、「品種保護法」、「非訟事件費用法」以及「著作權法」等相關條文之修正。 其中涉及「著作權法」相關重要修正條文包括「他人資訊提供請求權」,主要是賦予著作權人在主張權利侵害時,得向ISP業者要求提供可以辨明侵權者之身分資料(§101 UrhG),惟須符合特定條件,例如,侵權者須有營業行為(in geweblichem Ausmaß)。然而,就何謂「營業行為」在立法過程中爭議迭起,最後達成協議,決定認定「營業行為」之判斷標準包括:上傳、下載或公開傳輸檔案的數量、電影影片是否為全片供下載、錄音專輯是否整張專輯均提供下載等。簡言之,判斷標準將交由司法單位自被下載檔案的「量」與「質」加以衡量。 不同於歐盟Enforcement-Ricgtlinie指令,新修正之著作權法規定在侵害利益輕微案件中,權利人得向侵權人主張存證信函相關費用之上限為100歐元(§97a UrhG),此規定目的在預防權利人相關費用的主張權利遭致濫用。惟於立法過程中遭權利人及律師代表極力反對,認為如權利人堅持捍衛其權利,則超過100歐元之費用部分需由權利人自行吸收,顯不公平。 在著作權保障意識高漲的現代,有關著作權侵害判斷標準以及賠償方式爭議不斷,德國著作權法亦在相關壓力下持續修正著作權法相關條文,擴大對著作權人之保護。這一波修正條文於8月1日正式施行後成效如何,值得後續觀察。 * 主要是將原本散落在不同法律規範中之條文,以組成「條款」的方式將修正的條文。立法過程完成後,該法的 「架構」是由各個「條款」所組成,而每個條款是代表一個(遭到修正之)法律條文。
義大利發布最新全國性AI法案,預計設立醫療AI用平臺,並強化權利保護與病患福利壹、義大利最新AI法案簡介 義大利於2025年9月17日通過《人工智慧規範與政府授權》立法法案(Disposizioni e delega al Governo in materia di intelligenza artificiale,下稱1146‑B法案),為該國首次針對AI全面立法,亦為歐盟成員國內AI專法先驅。義大利將歐盟《人工智慧法》(AI Act,下稱AIA)框架轉化為國內法,並設立獨立窗口與歐盟對接。為確保落地效率並兼顧國家安全與資料治理,本法採「雙主管機關制」,由隸屬於總理府(Presidenza del Consiglio dei Ministri)之數位局(Agenzia per l’Italia Digitale,AgID)及國家網路安全局(Agenzia per la Cybersicurezza Nazionale,ACN)共同執行。AgID 負責AI技術標準、互通性與公共行政實務執行;ACN則負責資安韌性、事故通報與高風險AI安全性。 目前該法案已由參議院(Senato della Repubblica)審議並表決通過,2025年9月25日已載於義大利《官方公報》(Gazzetta Ufficiale),再經過15天緩衝期後,預計於2025年10月10日正式生效。然截至2025年10月27日為止,未有官方宣布該法案正式生效之證明,故法案是否依該版本內容正式施行仍待確認。其中醫療為AIA顯示之高風險領域之一,亦涉及資料隱私與病患權益等敏感法益,可謂本法落地機制中具代表性之政策面向,故本文特以醫療AI應用為分析重點。 貳、設立醫療AI應用平臺,輔助專業醫護及強化醫療服務取得 1146‑B法案第10條規定,將由義大利衛生服務局(Agenzia nazionale per i servizi sanitari regionali,AGENAS)主導設立該國家醫療AI應用平臺。該平臺定位為全國級資料治理與AI導入審查機制工具,主要功能為對醫療專業人員提供照護病患與臨床實踐時無法律約束力之建議,並對病患提供接觸社區醫療中心AI服務之管道與機會。該平臺僅得依「資料最小化原則」(dati strettamente necessary)蒐集以上醫療服務所需之必要資料,經向衛生部(Ministero della salute)、資料保護局(Garante per la protezione dei dati personali)及CAN徵詢意見後,由 AGENAS 負責資料處理,並經地方常設協調會議同意後,得以公告方式制定符合歐盟《一般資料法規》(General Data Protection Regulation,GDPR)之風險控管與敏感健康資料處理細則。 在確保資料安全合規後,法案強調對醫療保健之服務可及性(accesso ai servizi)進行改善,病人能透過此平臺更便利地接觸到社區醫療中心所提供之各類AI健康醫療服務,如診斷輔助、數位健康檔案調閱等,亦符合AIA強調AI發展應確保社會公益等權利之宗旨。 參、醫療用AI之限制與目標 法案第7條第5項規定AI僅能作為醫療決策輔助工具提供無拘束力之建議,重申前述醫療平臺相關規定;AI亦不得根據歧視性標準選擇或限制病人獲取醫療服務。病人享有「知情權」(diritto di essere informato),即有權知悉診療過程中是否使用有使用AI、使用方式(如僅為輔助)及其限制。針對健康資料之隱私處理方面,如病歷、基因資料、診斷紀錄等,要求醫用AI系統須持續監測、定期驗證與更新,以降低錯誤風險,維護病人健康安全,亦明文強調醫療AI之使用應以改善身心障礙者生活為目標。 四、總結 1146-B法案在醫療 AI 治理上,透過雙主管機關制平衡歐盟對接、技術發展與風險控管,符合AIA要求並避免權責衝突。建立由 AGENAS 主導的醫療 AI 應用平臺,在相關部門意見下運作,確保資料處理與服務推動合規與安全。病人權利方面,強調知情權、健康資料隱私與地方醫療AI普及,符合資料最小化與 GDPR 規範,展現義大利在醫療 AI 上兼顧創新、透明與權益保障之立場,往後應持續關注AGENAS釋出之關於該平臺使用之相關細則。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國公布實施零信任架構相關資安實務指引美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景 此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。 有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要 考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft)) 主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)) 主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft)) 主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)) 此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析 美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。 此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).