解析雲端運算有關認驗證機制與資安標準發展
解析雲端運算有關認驗證機制與資安標準發展
科技法律研究所
2013年12月04日
壹、前言
2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。
資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。
貳、雲端運算資訊安全之控制依循
雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。
在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。
一、ENISA「資訊安全確保架構」[3]
歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。
值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。
雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。
在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。
在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。
在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。
二、CSA「雲端資訊安全控制架構」[6]
CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。
舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。
三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]
日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。
舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。
参、針對雲端運算之認證與登錄機制
一、CSA雲端安全知識認證
CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。
二、CSA雲端安全登錄機制
由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。
(一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。
(二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。
資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。
另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。
三、日本-安全・信頼性資訊開示認定制度
由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。
此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。
肆、雲端運算資訊安全國際標準之形成
現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。
[1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20)
[2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009).
[3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework .
[4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009).
[5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009).
[6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013).
[8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。
[11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。
[12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。
[13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。
[14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013).
[15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).
本文為「經濟部產業技術司科技專案成果」
韓國國家智慧財產人力培育綜合計畫初探 科技法律研究所 2014年08月05日 壹、事件摘要 韓國政府暨2008年4月提出「第一次國家智慧財產人力培育綜合計畫(2008~2012)」[1](以下簡稱第一次綜合計畫)後,於2012年12月提出「第二次國家智慧財產人力培育綜合計畫 (2013~2017)」[2](以下簡稱第二次綜合計畫),以「創意人才、知識財產之管理與服務所需專門人才的培育」為目標,強化並提升韓國在全球化市場的競爭力。 韓國人才培育綜合計畫旨在培育優秀專利人才、智財實務人才,透過質與量的同步增加與水準提升,以期補足智財人力缺口。當中各項措施思維,是否有值得我國借鏡之處,本文將介紹第一次綜合計畫目標及主要成果,並以此為基礎說明第二次綜合計畫在政策說明、預期成果等規劃上的改進作法,進而歸納說明韓國在人才培育相關觀念想法,供國內相關政策發展之參考。 貳、重點說明 一、計畫背景 第一次綜合計畫於2008年提出,目的是為因應韓、美FTA締結與生效後,韓國企業將面臨全球化市場競爭,專門領域人才之需求量日益增加,但相對在以智慧財產法學為中心之人力供給與相關職務教育卻尚未成熟。 第一次綜合計畫目標有三,首先是擴充優秀之專利創造潛力、再者是增加企業智財實務人力數量及提升水準、最後則是要提高智財法律服務的素質,以期提高智慧財產的競爭力。主要四大政策包括:(一)強化智財研究人力培育;(二)培育企業智財實務人才;(三)培育智財服務領域人力資源;(四)擴充智財人才培育之基礎。 在第一次綜合計畫中,以大學生及企業人力為對象之智財教育課程,對於上述對象之能力有顯著幫助、獲得肯定。但除此之外,課程內容不夠多樣化、制度化,以及課程程度未達標準,所提供教育現場之實務界人才以及國際業務之專家亦不足,被認為是第一次綜合計畫不足之處[3]。於是在此背景下,第二次綜合計畫設定兩大計畫目標「以智財經濟為基礎,培育智財人才」、「體現智財之大眾化與智財文化的深層教育」,並以此設定五大政策,本文就其內容以及相關措施為具體說明。 二、政策架構 在第二次綜合計畫中,共分為五大政策,分述如下: (一)強化培育商業智財管理人才 韓國政府認為,若要強化人才的培育與供給、提升企業競爭力,在政策上第一步必須針對「智財管理人力」進行加強。包括促進企業內部成立智財專責部門,依據不同管理領域[4]給予理論與實務的教育課程、各國智財制度與紛爭解決有關專門教育[5],乃至於碩士學位課程(如為因應海外智財紛爭應對,韓國企業提供學費百分之50補助,鼓勵在職進修之碩士課程「智慧財產專門學位課程(MIP)」)。同時,加強企業經營者智財經營意識亦屬至關重要之事。透過在大企業以及中堅企業設置專門智財部門及智財最高負責人,並讓各企業間可以針對智財進行合作、資訊共享[6]。或是直接派員前往各地區中小企業聚會,傳達IP經營優秀事例、經營訣竅,皆是韓國強化企業經營者IP經營概念之規劃作法。另外,則是擴大產學研合作與就業市場連結,透過「企業-大學-政府」合作,提供企業所需人才之教育,同時也讓企業透過採用優秀人才強化其智財能量。最後,則是在智財經營、發明、設計等領域,發掘、培育次世代的領導能力,為未來競爭力做準備[7]。 (二)培育全球化智財服務專門人才 第二個政策著重於智財服務人力的培育。國際智財紛爭加劇,需要有能夠因應時局改變之專利師養成教育以及考試制度改進。過去在第一次綜合計畫中,先著重於專利師的數量,以供給市場需求。而第二次綜合計畫中,透過「教育-考試-實務研習-多樣化專業課程」的專利師培育政策,期望在電子/通訊、化學/生命、機器/金屬等專業領域能夠提供專業化的服務,並能在法律市場開放的現實環境中,培育[8]可以進入海外法律服務的專利師,同時能夠為韓國企業處理海外智財紛爭。 再者,對於專利師該有的社會責任部分,韓國推動專利師與律師則共同組成「專利家庭醫生(patent home doctor)[9]」制度,透過才能分享(Pro Bono)專家池(pool)[10],提供中小企業在發生紛爭時可以透過此一制度來諮詢。同時也與各地區智財中心連結,希望各地區都會有一專利師事務所,以深化智財教育。 此外,韓國政府已於今年7月完成專利師考試制度修正案[11],預計增加實務考題以及改變計分方式。再者,對於律師智財教育部分,則與法學專門大學院[12]合作,提供其研究生智財業務實習的機會,以培育智財紛爭解決之專門人才。 (三)培育融合型智財創造人才 第三個政策著重於研究開發人才的智財意識。首先,針對理工科大學生以及研究生等預備人才,依據其領域別開設不同課程,並鼓勵申請輔系,期望培育出兼具技術與智財層面的專業人才。另外,針對一般大學學生則鼓勵主修與智財相關之課程,使大學畢業生兼具專業領域與智財領域的能力,以期提供相關研究機構具備專業與智財能力之研發人才。除部分大學已開設智慧財產專門學位課程(MIP)碩士班、智財課程放入大學正規科目外,學校亦會舉辦校園專利策略校運會(캠퍼스 특허전략 유니버시아드,Campus Patent Strategy Universiade[13])、大學創意發明大會、D2B(Design-to-business)等智財實戰活動。從各種活動中將智財的概念帶進校園,深化校園後,也期待能夠將智財的概念透過校園的傳遞普及於一般民眾,使智慧財產的概念不是遙不可及的專業領域。 (四)扎根基層智財教育 第四個政策著重於基層智財教育扎根,包括針對兒童開設各種發明體驗設施[14]、發明文化講座、發明體驗活動,於中小學教育課程中加入發明與智財教育,以深植智財觀念。針對青少年部分,則在高中課程中提供選修智財相關科目,以發掘培養有潛在力之英才[15]。同時結合發明教育與技術教育,培育創造活用之立即可以使用之人才。 (五)智財人才培育之系統化 第五個政策著重於人才培育系統,將培育之智財人力與就業市場結合,以提高人力培育之成果。透過智財人力綜合資訊系統(IP Human Network)[16]使新進人力可順利進入職場、既有人力能有效運用發揮。透過智財財產能力考試(IPAT)[17],進而能開發智財領域國家職務能力標準(IP-NCS)[18]。並商討是否需要制定「智財教育振興法」[19],使得韓國能在制度法規面上,完整規範智財人力培育的計畫制定、施行以及相關預算。 參、代結論 先進國家如美國,透過知識密集產業直接或間接促成4千萬件就業。並利用其高附加價值之特性,使創造出之產值甚至佔美國國內生產毛值(GDP)達35%[20]。故有系統的培育智財專門人力,有助於國家智慧財產領域的競爭力,對於經濟發展與產值提升亦有其正面影響。 爰此,韓國在第二次綜合計畫中,便目標設定在5年內(2013~2017)增加2萬名新進人力及其工作機會,累積培育5萬名專門人才,來填補智財專門人力的缺口。其面向則從管理人才、服務人才、研發(創造)人力三方面著手。在管理人才部分,首要著重的是企業如何從現有人力進行培育,提高其智財能力,以及如何透過產學研擴大合作,與就業市場連結來培育下一代管理人才。服務人才部分則是透過考試制度改革積極培育更符合需求之專利師,同時也透過智財教育培育律師的智財紛爭解決能力。針對研發(創造)人才部分,則強調在專業教育的同時,需兼顧智財意識的養成,以期提供相關研究機構具備專業與智財能力之人才。最後,則進一步透過「智財人力綜合資訊系統(IP Human Network)」將培育人才與就業市場連結,促使所培育之智財人才能有效運用。 整體而言,在第一次綜合計畫中,是由政府主導、推行智財教育政策,而在第二次綜合計畫中,則期望達到政府與民間合作進行智財教育,甚至形成民間可自行育成智財人力之循環,此等人力發展思維與作法,值得我們持續觀察與參考。 [1] 第一次國家智慧財產人才培育綜合計畫是韓國於2007年1月18日招開之「第21回 科學技術相關長官級會議」中確認之『智慧財產策略體系推動計畫(案)』之後續處理案。國家科學技術委員會,〈국가지식재산 인력양성 종합계획안〉(2008/04/24)。 [2] 專利廳,〈제2차 국가지식재산 인력양성 종합계획안(2013~2017)〉(2012/12/12)。 [3] 同前註 [4] 在職人力教育預計從2013年的4500名,期望於2015年達到6000名、2017年提升至8000名;新進人力教育則是期望可以達到年平均為1500名。 [5] 針對主要紛爭對象國家專門課程,海內外人力一年200名。 [6] 目前三星電子、LG有公司內部智財教育課程,發掘可能事例,並傳授他公司智財相關課程運作的方法。 [7] 每年選拔50名左右派往美國等先進國家進行交流、學習課程。 [8] 包含CLP(國際授權專門資格認證)培育課程等技術價值評價與授權相關課程。 [9] 특허 홈닥터(patent home doctor),http://pcc.or.kr/pcc/。 [10] 재능나눔 전문가 Pool。才能分享的概念來自於捐款,除了捐助金錢可以幫助他人外,也可以貢獻自己的專業能力於社會,屬於社會服務之一環。http://pcc.or.kr/pcc/。 [11] 專利廳於預定於今年(2014)下半年提出修法,可望於2018年開始實施。專利廳報導資料http://www.kipo.go.kr/kpo/user.tdf?seq=13740&c=1003&a=user.news.press1.BoardApp&board_id=press&catmenu=m03_01_02 [12] 如同美國law school概念,韓國正式的名稱為法學專門大學院,碩士課程。 [13] http://www.patent-universiade.or.kr,Universiade一詞為結合University + Olympiade兩個字而來。 [14] 美國於華盛頓美國史博物館內的「發明體驗設施(Lemelson Center)」 [15] 「發明英才教育研究院」為有天分之學生及其家長提供諮詢,並提供該生未來志願諮商。英才教育,等同我國資優生教育。 [16] IP Human Network,http://www.iphuman.or.kr/ipes2013/front/gate/main/iphuman_main.do [17] IPAT(Intellectual Property Ability Test)於2010年11月6日正式開始,並於每年的5月與11月舉辦 [18] 韓國產業人力公團,http://www.hrdkorea.or.kr/ [19] 參考科學教育振興法、環境教育振興法、英才(資優)教育振興法 [20] 依據美國商務部(Dept. of Commerce)2012年3月,工作機會有4千萬件(全體28%、直接雇用2千7百萬件、相關雇用1千3百萬件);產品輸出達$775billion美金(全體61%、IP服務輸出佔全體19%);創造出的附加價值為$5.06trillion美金(GDP之35%)
加拿大運輸部發布自駕系統測試指引2.0,為建立全國一致的實驗準則加拿大運輸部(Transport Canada)於2021年8月6日發布「自駕系統測試指引2.0」(Guidelines for Testing Automated Driving Systems in Canada Version 2.0),建立全國一致的最佳實踐準則,以指導配有自動駕駛系統(Automated driving systems, ADS)之車輛能安全地進行實驗。根據從國內外測試活動中取得的經驗及教訓,對安全措施進行更新,內容包括: 一、實驗前的安全考量:探討在開始實驗之前應考量的安全注意事項,包括(1)評估實驗車輛安全性、(2)選擇適當的實驗路線、(3)制定安全管理計畫、(4)安全駕駛員與培訓、(5)民眾溝通及提高意識、(6)確保當地執法單位及緊急應變人員瞭解實驗活動。 二、實驗中的安全管理:討論在實驗過程中應重新檢視的安全考量,包括(1)使用分級方法進行測試、(2)調整安全管理策略、(3)制定事件和緊急應變計畫與步驟、(4)安全駕駛員的角色及職責、(5)遠端駕駛員和其他遠端支援活動的安全考量、(6)在沒有安全駕駛員的情況下進行實驗、(7)與其他道路使用者的安全互動、(8)與乘客的實驗、(9)定期報告及資訊共享。 三、實驗後應注意之事項:在結束其測試活動後應考量的因素,包括報告實驗結果、測試車輛及其部件的出口或處置。如果測試車輛是臨時進口的,則在測試完成後可能需要將其銷毀或捐贈。 該測試指引僅適用於臨時實驗,而非永久的市場部署,加拿大運輸部將繼續更新該測試指引及其他文件和工具,以支持加拿大道路使用者的安全。
歐盟第七期研發綱要計畫定案,有條件支持幹細胞研究歐盟日前正在加緊腳步為第七期研發綱要計畫( R&D Framework 2007-2013 )之規劃定案,與此同時,歐盟研發經費究竟應該如何挹注也成為討論焦點。歐洲議會產業研究暨能源委員會( Industry, Research and Energy (ITRE) Committee )最近通過第七期研發綱要計畫的預算,預算額度雖然從原本規劃的 72 億歐元減至約 54.5 億歐元左右,但相較於第七期研發綱要計畫,該經費仍成長許多。 此外 ITRE 也決定,基於倫理考量,以下的科技研究領域將無法獲得歐盟補助:複製人、人類基因體的遺傳性改變( heritable modifications of the human genome )、為取得幹細胞進行研究而複製人類胚胎。與此同時, ITRE 也重申,歐盟經費可以用於補助人類幹細胞的研究,只要幹細胞的來源不是經由複製人類胚胎兒取得,但研究者必須切實遵守會員國之相關科技政策及法令規定,研究之進行並應依法予以嚴格審核。 ITRE 前述決定目前已提交歐洲議會討論,預計在六月底前歐洲議會即可就此表決。儘管歐盟希望未來在第七期的研發綱要計畫期間內,對幹細胞研究仍延續其目前所採的政策 -- 資助一部份的幹細胞研究但禁止使用複製的幹細胞進行研究(目前歐盟會員國中,僅英國、瑞典、比利時三會員國允許複製胚胎幹細胞),惟由於幹細胞研究議題甚為敏感,且 2004 年 5 月 1 日 新加入的東歐會員國,其大多數在歐洲議會的代表都是天主教徒,故而有關幹細胞研究的議題,恐怕仍有一場激辯。
日本人工智慧(AI)發展與著作權法制互動課題之探討日本著作權法第2條第1項第1款規定對著作物定義中,創作性之表現必須為具有個人個性之表現,日本對於無人類行為參與之人工智慧創作物,多數意見認定此種產品無個性之表現,非現行著作權法所保護之產物。人工智慧之侵權行為在現行法的解釋上,難以將人工智慧解釋其本身具有「法人格」,有關人工智慧「締結契約」之效力為「人工智慧利用人」與「契約相對人」間發生契約之法律效果。日本政府及學者對人工智慧之探討,一般會以人工智慧學習用資料、建立資料庫人工智慧程式、人工智慧訓練/學習完成模型、人工智慧產品四個區塊加以探討。日本政策上放寬著作權之限制,使得著作物利用者可以更加靈活運用。為促進著作之流通,在未知著作權人之情況下,可利用仲裁系統。在現今資訊技術快速成長的時代,面對人工智慧的浪潮,日本亦陸續推出相關人工智慧研發等方針及規範,對於爾後之發展值得參酌借鏡。