雲端時代資料保險機制之解析

促進生物材料商業流通之OpenMTA 資訊工業策進會科技法律研究所 方玟蓁 法律研究員 2019年3月 　　隨著全球老年人口的增加，使得心血管和骨科疾病的患者數量攀升，進而提高了市場對於生物材料的需求。根據Grand View Research報告指出，到2025年，全球生物材料市場規模預計將達到2504億美元[1]。 　　生物材料的類型包括載體、質體、噬菌體、病毒、細菌等[2]。為了生產出具理想性能之生物材料，往往需耗費龐大的研發時間與費用，因此，透過生物材料移轉合約 (Material Transfer Agreement，以下簡稱MTA)，將有利加速生物技術的開發。 　　過去公開了幾種類型的MTA[3]，允許學術界或慈善機構的研究人員能更輕鬆地在各研究單位間共享這些生物材料，其中最常使用的就是1995年由美國國家衛生研究院(National Institute of Healthcare)所發佈的統一生物材料移轉協議(Uniform Biological Material Transfer Agreement，以下簡稱UBMTA)[4]。UBMTA一直是被視為首選的通用定型化生物材料移轉合約，其提供了統一MTA模板，並進而促進研究用途的生物材料流通。 　　UBMTA的標竿性條款內容包括： 材料提供的使用目的在於教學與學術研究。 材料接受者於實施或發表過程中應註明其材料來源。 材料提供者擁有該材料所有權，即使是該材料被合併使用的情況下。 材料接受者擁有改良方法及其生產物質之所有權；惟屬於材料提供者的原材料相關專利及其他無形財產權，並不經由MTA而當然授權予材料接受者。 對於材料接受者於材料使用、儲存或保管所造成的一切有形與無形的損害，均不可歸責於材料提供者；材料提供者亦不提供材料接受者或任意第三方因材料研究、保存、運輸等行為而造成的損害補償。 材料提供者無償提供材料予接受者進行使用，而材料接受者除了需補償材料提供者於材料配送及準備中的必要費用外，材料提供者不應向材料接受者請求任何額外費用。 材料提供者不擔保任何材料使用過程中可能造成的第三方專利權、商標權或其他所有權的侵權問題。 　　除了上述被廣泛接受的內容外，UBMTA還包含了其他用來保護材料提供者對於被轉移材料的商業實施權及其所有權，這些內容包括: 材料接受者散佈該材料及其修飾物之對象，僅限非營利組織供教學或研究用途，且該非營利組織需先與材料提供者另行簽定UBMTA，始得取得材料。 若材料接受者對於該材料或該材料之修飾物具有商業行為之意圖，材料接受者應與材料提供者商討商業使用條件。 材料使用者可就其使用材料過程中之任何發現申請專利，惟其應將該行為通知材料提供者。 　　UBMTA雖然保障了材料接受者能夠無償使用該材料進行研發，但其對於被移轉材料的二次移轉，有嚴格的限制，造成許多材料接受者欲進行材料流通以及成果商業化的障礙。其中較具爭議的部分在於： 材料接受者不能是以營利為目的之研究單位。 材料接受者不可自行決定並散佈該材料、該材料之後代(如病毒所繁衍之後代)、未經修飾之衍生物(具有原材料功能之子單元，例如純化或部分的原材料子集合、由原材料DNA所組成的蛋白質)、單純修飾之物(具有或合併原材料之物質)。 　　在以上UBMTA的限制條件下，材料被限制為僅能單純提供作為學術研究使用，且材料提供者對於被轉移的材料及其衍生物具有絕對控制權，就材料接受者研發成果商業化的需求與角度來看，前述的UBMTA內容過度保護了材料提供者對於其材料流通範圍、使用目的、及其後續的任何商業利用。 　　2018年，生物科技的權威期刊Nature Biotechnology中，也提到許多生物技術研發常用到的材料例如病毒及細菌，其個體或樣本本身的經濟價值較低，且一般MTA之材料後續流程鮮少被監督，故UBMTA對於材料二次移轉的相關限制，徒增材料轉移的障礙，而缺乏實質限制效果[5]。由於生物技術之研發大多須以樣本本身作為基礎，進而研發其衍生物質及其用途相關成果；惟UBMTA對於材料移轉研發後續商業行為之限制，使得眾多學術界的材料接受者難以基於其初步研發之成果，接續尋找合適的合作者進行商業實施。 　　此外，身為市場上最大型且主要的生物材料共享組織Addgene[6]，其亦基於材料公開與分享的立場，使用UBMTA作為預設MTA，即便許多Addgene提供的材料本身並不具有特定商業價值，UBMTA亦排除了商業機構之研究人員使用Addgene所提供之材料資源進行相關研究。 　　基於上述UBMTA產生的材料流通性限制，BioBricks基金會[7]和OpenPlant[8]合作制訂了OpenMTA[9]，並於2018年發佈，其係建立於UBMTA的基礎上，惟更強化了材料移轉後材料接受者對於材料及其衍生物之商業上使用、散佈的可行性。OpenMTA主要的特色在於： 材料可取得性(ACCESS)：除了準備與配送等必要開銷費用之外，基於OpenMTA所提供之材料不需任何移轉費用。 材料歸屬(ATTRIBUTION)：材料接受方需依照材料提供者的要求具名材料來源。 材料再利用性(REUSE)：可基於OpenMTA所提供的材料進行修改，進而開發出新物質。 材料重新分配(REDISTRIBUTION)：OpenMTA不限制任何一方出售或贈送材料(包括其後代、未修改的衍生物)。 材料移轉之其非歧視原則(NONDISCRIMINATION)：OpenMTA支持各類機構研究人員之間的材料移轉，包括學術、工業、政府和社區實驗室的研究人員。 　　OpenMTA與UBMTA相比，其具兩點主要差異： 材料接受者可在未經材料提供者允許情況下，自行散佈於該材料使用過程中所產生之物質，所述物質包含原材料之後代、未經修飾之衍生物、以及單純修飾之物，而MTA中可另行要求材料接受者在進行此散佈行為時，需告知材料提供者。 材料接受者可以使用該材料進行任意符合法律之行為，其中亦包括商業相關之行為。 　　在這樣材料所有權開放的合約條款中，卻也引起了潛在風險問題： 材料本身可能具有危險性，若任其散佈，恐造成大範圍公共安全危險與傷害。 可供商業化使用的條款，將允許材料接受者可提供樣本給商業公司，使其可直接複製並進行販售，恐影響材料提供者的商業利益。 　　BioBricks基金會對於前述質疑之回覆分別為： 材料接收者可自行散佈之生物材料範圍，不適用數量有限、或受到嚴格生物安全法規限制之生物材料。 OpenMTA適用於個體價值低、或複製容易之材料，對於商業上有價值的材料樣本，材料提供者有可能具有適當修改並隱藏其材料中之新穎或秘密部分的能力，在這樣的情形下，材料提供者可以提供適當修改或加密後的樣本，以避免因開放流通而遭受商業上損失。 　　於OpenPlant的研究報告中，進一步提到現今的DNA合成技術已可於了解DNA資訊的情形下，使用極低的價格合成出與原DNA相同的DNA樣本，於此情況下，材料資訊的商業價值是比材料本身還要高，而材料的二次移轉也不會造成材料提供者嚴重的商業上損失[10]。然而，不論是UBMTA還是OpenMTA，其對於材料本身及其用途所包含的智財權利，均明訂不會隨著MTA而當然授權給材料接受者，故材料提供者所擁有與材料相關的智財權，亦應成為材料提供者於商業實施上的主要權利保護方式。 　　對於我國的相關學術單位來說，可善用OpenMTA取得生物材料，將有利於進行後續商業上試驗開發使用，惟不論是使用UBMTA還是OpenMTA，皆需釐清依附於生物材料上之相關智財權利，並須確保告知承接研發成果的企業，以免該企業在進行後續商業上行為時面臨智財侵權的風險。 [1] GRAND VIEW RESEARCH, Biomaterials Market Size Worth $250.4 Billion by 2025 l CAGR: 14.7%, November 2018, https://www.grandviewresearch.com/press-release/global-biomaterials-market (last visited March 10, 2019). [2] 智慧財產局，<何謂生物材料？>，專利Q&A， https://www.tipo.gov.tw/ct.asp?xItem=503975&ctNode=7633&mp=1 (最後瀏覽日：2019.03.10)。 [3] OpenPlant, Comparison of features and terms for standard MTAs, https://www.openplant.org/openmta (last visited March 10, 2019). MTA模板類型包含UBMTA、SLA、Science Commons、以及2018年發佈之OpenMTA。 [4] NIH, Forms and Model Agreements, https://www.ott.nih.gov/resources#MTACTA (last visited March 10, 2019). [5] Linda Kahl, Jennifer Molloy, Nicola Patron, Colette Matthewman, Jim Haseloff, David Grewal, Richard Johnson , Drew Endy, Opening options for material transfer, Nature Biotechnology volume 36, 923–927 (2018), available at https://www.nature.com/articles/nbt.4263 (last visited March 10, 2019). [6] Addgen, https://www.addgene.org/mission/ (last visited March 10, 2019).Addgen係一全球性非營利性存儲庫，旨在幫助科學家共享質粒。質粒是生命科學中常用的基於DNA的研究試劑。當科學家發表研究論文時，他們將相關的質粒存放在Addgene，然後，當其他科學家閱讀該出版物時，他們可以從Addgen取得未來實驗所需的質粒。在Addgene之前，科學家的任務是重複向每位新請求的科學家發送質粒。現在，科學家只需一次性的將他們的質粒運送到Addgene，即可交由Addgene負責質量控制、MTA合約、運輸和記錄保存。 [7] BioBricks, https://pansci.asia/archives/149977 (last visited March 10, 2019). BioBricks基金會係一公益組織，創立於2006年，其創立了一個開放的DNA標準環節資料庫。這類經細緻修改的環節能相互拼組，就像樂高方塊一樣。「拼組」係指萃取出的基因及基因開關組成一條條 DNA 鏈，兩端已經模組化，以便按正確的生物定向連接起來。當研究所需，就可以從資料庫調出各種基因環節，附著於小張試紙上運送至世界各地。要是添加溶劑，DNA便會漂移，如積木般與下一個環節結合。 [8] OpenPlant, https://www.openplant.org/openmta (last visited March 10, 2019). OpenPlant是劍橋大學John Innes中心與Earlham研究所聯合倡議，由BBSRC和EPSRC資助，是英國合成生物學促進增長計劃的一部分。合成生物學為重新編程的生物系統提供了改進和可持續生物生產的前景。儘管該領域的早期努力是針對微生物，但植物系統的工程設計提供了更大的潛在益處。 [9] BioBricks Foundation, Open Material Transfer Agreement, March 15, 2018, https://biobricks.org/openmta/ (last visited March 10, 2019). [10] OpenPlant , Towards an Open Material Transfer Agreement, at 9, 2018, https://static1.squarespace.com/static/54a6bdb7e4b08424e69c93a1/t/5a81a054e4966bb7ff8a6885/1518444640740/OpenMTA+Report.pdf (last visited March 10, 2019).

新加坡資料共享法制環境建構簡介 資訊工業策進會科技法律研究所 2019年12月31日 壹、事件摘要 　　如何有效運用資料創造最大效益為數位經濟（Digital Economy）重點，其中資料共享（data sharing）是有效方法之一。新加坡自2018年以來推動「資料共享安排」機制（Data Sharing Arrangements, 下稱DSAs）與「可信任資料共享框架」（Trusted Data Sharing Framework），建構資料共享環境，帶動國內組織[1]資料經濟發展與競爭力。 貳、重點說明 　　自從2014年新加坡政府推行「2025智慧國家（Smart Nation）」以來，即積極鋪設國家數位經濟建設，大數據資料分析等數位科技發展為其重點，預估2022年60%國內生產總值將與數位經濟有關[2] 。其中，希望透過資料共享促進組織、政府、個人三方間資料無障礙流通，降低蒐集、處理與利用成本，創造更多合作機會進行創新應用，因此從法制面、環境面與技術應用層面打造完善的資料共享生態系統（data sharing ecosystem）[3]。 　　然而依據《個人資料保護法》（Personal Data Protection Act 2012，下稱個資法）第14條以下規定，組織蒐集、處理與利用個人資料應取得當事人同意，除非符合第17條研究目的等例外情形。由於資料共享強調可將資料進行多節點快速傳遞近用，使資料利用價值最大化，因此若依據個資法規定每次共享皆須事前獲得當事人同意，將使近用成本增高並間接造成資料流通產生障礙。因此為因應國家政策與產業需求，新加坡個人資料保護委員會（Personal Data Protection Commission, 下稱個資委員會）依據個資法第62條所賦予的豁免權（exemption），個人或組織可在遵循個資委員會訂定的規則下，依照個案給予組織免除個資法部分規範[4] ，而DSAs機制即是一種[5]。 　　DSAs是由個資委員會於2018年設立的沙盒（sandbox）計畫，如組織所進行的共享模式是在特定群體並範圍具體明確，同時不會造成個人有負面影響等情事，可在不須經個人同意下進行資料共享[6]。並且，為進一步提升組織與消費者間信任，2019年6月個資委員會與資訊通信媒體發展局（Info-Communication Media Development Authority of Singapore，下稱資通發展局）共同推出「可信任資料共享框架」指南建議，由政府擔任監管角色，組織只要符合指南建議方向，如遵循法律、達到一定資料技術應用品質與實施資安與個資保護措施下，可以進行個人與商業資料之共享，DSAs機制是共享方法之一。以下簡述新加坡個資法規範、指南建議與DSAs機制運作方式。 圖1：資料共享環境建構 資料來源：新加坡資通發展局 一、新加坡個人資料保護法規範 　　在沒有個資法第17條所列之例外情形下，依據第14條以下規定，組織如近用個人資料應獲得個人同意，同時應符合目的使用及通知義務，尤其應給予個人可隨時撤回同意之權利[7]。 　　同時組織應根據個人要求，提供近用個人資料之方法、範圍與內容，以及更正錯誤資料權利[8]。並且組織必須任命資料保護官（Data Protection Officer, DPO）隨時向大眾提供通暢的個資聯絡管道，來確保個資透明性與完整性[9]。 　　在資料保護措施上應有合理安全的資安防護技術，以保障資料不被未經授權近用的風險。當使用目的不在時，需妥善保留或予以去識別化，同時如須境外轉移資料時，境外之資料保護措施應至少與新加坡個資法規範標準相同[10]。 二、免除同意之DSAs機制 　　DSAs機制是由個資委員會於2018年設立的沙盒（sandbox）計畫，也就是組織可透過申請免除資料共享前必須獲得個人同意之規範。然而如組織擬向個資委員會申請DSAs機制，必須符合三個條件[11]： 共享範圍需在特定群體、期間與組織內：即只限定在具體特定的應用情境內，若超出申請範圍，例如分享至其他非申請範圍的組織，則須再經過個資委員會批准[12]。 近用目的需具體明確：即資料共享必須應用於特定且明確目的，如以「社會研究目的」作為申請則範圍過大不夠明確[13]。 近用資料對於個人不會有不利影響，或公共利益大於個人利益：例如共享目的不是直接用於銷售或存在合法利益，或是共享本身具備公共利益且明顯大於個人可預見的（foreseeable）不利影響，此時個資委員會可考慮同意組織申請免除[14]。 三、建立以信任為基礎之資料共享模式 　　雖然取得DSAs機制免除同意可以使資料近用方式更為簡便，然而在進行資料共享前，仍應有完善的技術品質與資安保護措施，因此在「可信任資料共享框架」指南建議中，組織應透過法律遵循、導入AI或區塊鏈等新興技術，並具備相應資安保護措施來建構可信任的資料共享環境，實際步驟可分為以下四階段[15]： 圖2：可信任資料框架 資料來源：新加坡資通發展局 　　第一階段為「資料共享建構」[16]，由組織自行評估存有的商業或個人資料是否具共享價值與潛在利益，並要如何進行共享，例如資料共享方式屬於雙邊（bilateral）、多邊（multilateral）或是分散式（decentralized，又稱「去中心化」）。以及資料種類有哪些，如主資料（master data）、交易資料、元資料（metadata）、非結構化資料（unstructured data）等。組織可將資料共享方式、種類依據無形資產（intangible asset）評價方式，即市場法（market approach）、成本法（cost approach）與收入法（income approach）三種評價方法進行評價，來衡量共享之價值性。除資料價值判斷外，組織必須自行評估自身組織與將來之合作夥伴是否有足夠能力管控共享之資料，包括是否具備一定技術能力的資安與資料保護措施等。 　　第二階段為「法律規範考量」[17]，即決定哪些資料可以進行共享，從規範面檢視個資法、競爭法與銀行法等是否有例外不得共享規定，例如信用卡號碼或個人生物識別資訊不得共享。若資料共享類型不會對個人造成不利影響或具備公共利益，並有通知（notification）個人給予選擇退出（opt-out）的機會，組織可依個案申請DSAs機制之豁免。同時另外鼓勵組織向IMDA申請資料保護信任標章（Data Protection Trustmark, DPTM）認證，透過認證機制使消費者更能信任組織運用其個人資料[18]。 　　第三階段為「技術組織考量」[19]，包含組織是否有能力建立資安風險管理與個資侵害之因應措施，是否有即時將資料安全備份技術，並針對不同傳輸技術如有線/無線網路、遠端存取（VPN）、應用程式介面（API）、區塊鏈等區分不同資安防護與風險管理能力。 　　最後一階段為「資料共享操作」，當已準備進行資料共享時，需再次檢視是否已符合前三個階段，包含透明性、責任義務、法律遵循、近用資料方式與取得目的外利用同意等[20]。 參、事件評析 　　個人資料視為21世紀驅動創新的重要價值，我國部會亦開始討論「個資資產化」的可能[21]。面對數位經濟時代來臨，有效運用數位科技將潛藏個人資料的大數據進行加值利用，不僅有利組織與創新發展，更可回饋消費者享有更好的產品與服務。 　　新加坡政府以資料共享作為數位經濟發展重點方向之一，在具備一定程度技術能力、資安保護措施與組織控管之條件下，可向主管機關申請免除個人同意之規範。透過一定法規鬆綁讓資料利用最大化以創造產業創新價值，同時依據主管機關要求的保護措施，使消費者信賴個人資料不會遭受不當利用或侵害。DSAs機制與「可信任資料共享框架」指南之建立，適時調適個人資料保護規範與資料應用間的衝突，並提供組織進行資料共享之依循建議，作為推動該國數位經濟發展方針之一。 [1]組織（organisation）依據新加坡個人資料保護法（Personal Data Protection Act 2012）第2條泛指個人、公司、協會、法人或團體。 [2]INFOCOMM MEDIA DEVELOPMENT AUTHORITY 【IMDA】, Trusted data sharing framework (2019), at 7, https://www.imda.gov.sg/-/media/Imda/Files/Programme/AI-Data-Innovation/Trusted-Data-Sharing-Framework.pdf (last visited Sep. 11, 2019). [3]id. [4]Personal Data Protection Act 2012 (No. 26 of 2012) §62, “The Commission may, with the approval of the Minister, by order published in the Gazette, exempt any person or organisation or any class of persons or organisations from all or any of the provisions of this Act, subject to such terms or conditions as may be specified in the order.” [5]Data Sharing Arrangements, PDPC, https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Exemption-Requests/Data-Sharing-Arrangements (last visited Dec. 1, 2019). [6]id. [7]IMDA, supra note 2, at 31; Personal Data Protection Act 2012 (No. 26 of 2012) §14, 16, 20. [8]id. Personal Data Protection Act 2012 (No. 26 of 2012) §21. [9]IMDA, supra note 2, at 31. [10]id. at 32. Personal Data Protection Act 2012 (No. 26 of 2012) §24-26. [11]id. [12]PERSONAL DATA PROTECTION COMMISSION【PDPC】, Guide to Data Sharing (2018), at 14, https://www.pdpc.gov.sg/-/media/Files/PDPC/PDF-Files/Other-Guides/Guide-to-Data-Sharing-revised-26-Feb-2018.pdf (last revised Oct. 3, 2019). [13]id. [14]id. [15]PDPC, supra note 4. at 28. [16]id. at 21, 23-25. [17]id. at 35 [18]id. at 30. Data Protection Trustmark Certification, IMDA, https://www.imda.gov.sg/programme-listing/data-protection-trustmark-certification (last visited Sep. 26, 2019). [19]id. at 41-47. [20]id. at 50-51. [21]林于蘅，〈自己的個資自己賣！國發會擬推「個資資產化」〉，聯合新聞網，2019/06/17，https://udn.com/news/story/7238/3877400 （最後瀏覽日：2019/10/1）。

　　日本內閣於2018年6月15日決議組成跨部會之統合創新戰略推進會議，並於2019年3月29日發布AI戰略，其中的倫理面向為以人為本之AI社會原則(下稱AI社會原則)，希冀藉有效安全的活用AI，推動「AI-Ready 社會」，以實現兼顧經濟發展與解決社會課題的「Society5.0」為最終目標。 　　為構築妥善應用人工智慧的社會，AI社會原則主張應尊重之價值理念如下： (一) 尊重人類尊嚴的社會：AI應作為能激發人類發揮多樣能力和創造力的工具。 (二) 多元性和包容性的社會（Diversity & Inclusion）：開發運用AI以共創多元幸福社會。 (三) 永續性的社會（Sustainability）：透過AI強化科技，以創造能持續解決社會差距與環境問題的社會。 　　而AI社會原則核心內容為： (一) 以人為本：AI使用不得違反憲法或國際保障之基本人權。 (二) AI知識（literacy）教育：提供必要的教育機會。 (三) 保護隱私：個人資料的流通及應用應妥適處理。 (四) 安全確保：把握風險與利益間之平衡，從整體提高社會安全性。 (五) 公平競爭確保：防止AI資源過度集中。 (六) 公平性、說明責任及透明性任。 (七) 創新：人才與研究皆須國際多樣化，並且建構產官學研AI合作平台。

　　為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性，日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 　　在第4次行動計畫，關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量，盡量減少關鍵基礎設施IT故障的發生，並提升從事故中恢復的速度。因此，第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外，較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面，要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面，分享的資訊範圍應包含IT、OT與IoT的資訊，並排除資訊分享的障礙。而在風險管理部分，日本從功能保證的觀點出發，新增風險情況對應準備的要求，包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上，該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 　　另外，第4次行動計畫變更電力領域關鍵基礎設施的重要系統，從原有的運轉監視系統變更為智慧電表，以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。