檢視英國無線寬頻規畫方向

　　美國食品藥物管理局（the United States Food and Drug Administration，以下簡稱FDA）於2015年2月13日公告四項與藥品製造有關之指導原則（guidance）作為補充相關政策執行之依據，主要涉及藥品製程中，藥品安全不良事件回報機制、尚未經許可之生技產品的處理模式、藥品重新包裝，以及自願登記制度中外包設施之認定應進行的程序與要求。 　　該四項指導原則係源於FDA依據2013年立法通過之藥物品質與安全法（The Drug Quality and Security Act，以下簡稱DQSA）所制定之最新指導原則。因2012年位於麻州的新英格蘭藥物化合中心（The New England Compounding Center），生產類固醇注射藥劑卻遭到汙染，爆發致命的黴菌腦膜炎傳染事故，故美國國會制定DQSA，以避免相同事故再次發生。DQSA要求建立自願登記制度（system of voluntary registration），倘若製藥廠自願同意FDA之監督，成為所謂的外包設施（outsourcing facilities）。作為回饋，FDA即可建議特定醫院向該製藥廠購買藥品。 　　而本次四項指導原則之內容，其一主要涉及外包設施進行藥物安全不良事件回報之相關規定，要求製藥廠必須回報所有無法預見且嚴重的藥物安全不良事件。在不良事件報告中必須呈現四項資訊，其中包括患者、不良事件首名發現者、所述可疑藥物以及不良事件的類型。同時，禁止藥品在上市時將這些不良事件標示為潛在副作用。第二份指導原則對於尚未經許可的生技產品，規定可進行混合，稀釋或重新包裝之方法；並排除適用某些類型的產品，如細胞療法和疫苗等。第三份指導原則涉及重新包裝之規定，內容包括包裝地點以及如何進行產品的重新包裝、監督、銷售和分發等其他相關事項。而第四份指導原則規範那些類型之藥品製造實體應登記為外包設施。為此，FDA亦指出聯邦食品藥物和化妝品法（the Federal Food Drug & Cosmetic Act）之規定裡，已經要求製造商從事無菌藥品生產時，必須將法規針對外包設施之要求一併納入考量。

英國氣候過渡計畫工作小組（Transition Plan Taskforce，以下稱TPT）於2023年10月9日公布其氣候揭露報告框架（TPT Disclosure Framework，下稱「框架」）最終版本及使用指引。TPT是英國財政部在2022年4月成立，負責建立氣候過渡計畫準則。TPT則於2022年11月提出框架草案，並開始徵詢產官學界意見，最後提出正式版本。 TPT框架建議企業以宏觀、有策略的方式制定氣候過渡計畫。TPT框架從企圖心、行動力和當責性三項原則出發，分別就五個必須揭露的事項說明如何在氣候揭露報告中呈現企業的氣候過渡計畫： 一、企圖心：說明企業的基礎事項，例如氣候戰略目標和商業模式。 二、行動力：說明過渡計畫的執行策略、以及擴大參與的策略。 三、當責性：說明將採用哪些指標與標的來監督計畫的執行、以及如何將過渡計畫融入企業的治理當中。 TPT也配合框架內容制定行業指引，目前已公布40個行業摘要（Sector Summary），簡述各行業可用的脫碳手段、指標與目標。未來還將公布針對銀行業、資產擁有者、資產管理者、電力公用事業和電力發電機、食品與飲料、金屬與礦業、石油和天然氣等7個行業的深度剖析（Sector Deep Dives）。 此外，TPT網站上也提供TPT框架與相關國際主流框架或準則之比較報告給各界參考，要使這套由英國自行開發、為英國內部量身打造的框架也能接軌國際，其未來實施成效值得繼續追踪觀察。

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 　　資訊時代，資訊應用所帶來的風險幾乎無可迴避，且往往帶來莫大衝擊；尤其在網路應用普及之後，大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中，縱有再有高層級的防護，也無法使資料受損或漏失的風險機率降至零，因此有論者以為，對於無法藉由資訊安全措施加以避免的「殘餘風險」（Residual Risk），應由「保險機制」予以移轉。本研究特探討本議題，以呼應目前日益進展的保險產品發展趨勢。 　　此類的保險機制，一般稱為資料保險，專門填補網路應用所造成的風險，諸如網路安全（Network security）之欠缺所造成的損失，或者隱私（Privacy）被害所造成的損失。依據產業觀察者意見，此類保險產品的市場正有逐漸擴張的趨勢，尤其是對於健康照護服務（Health care）以及中小型的業者而言，此類保險對於風險管理服務可以發揮長足的作用，其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 　　本文以雲端運算應用的興起為背景，觀察相應保險機制的演進及發展；以及其對於產業發展而言，為何被視為不可或缺的配套機制，進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 　　用來填補資料受害之損害的保險，一般被稱為「資料保險」，尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」，不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現，當時其保險範圍，是填補資料被害所引發的損害賠償責任[2]。 　　財產保險可分成兩大類型，一類是一般的財產損害，即保險事故發生導致被保險人的財產減損或喪失，承保此類財產損失之保險，即英美法系所稱之「第一方保險」（First-party coverage）。另一類則是責任保險，即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任，承保因被保險人應負擔責任之財產損失，即所稱之「第三方保險」（Third-party coverage）。 　　在資料應用環境中，因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞（Destroys）或是剝奪被保險人對於資料的使用權限，則屬於第一方財產損失。另一方面，當被保險人所保護、監管（Custody）或控制的第三人資料或資訊，遭遇網路犯罪損害、毀壞或竊取時，將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用，此屬於第三方財產損失，例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼，又如妨礙有合法權限的第三人近用系統，以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 　　傳統的財產保險，由於未指明承保因資料被害所致損失，往往會在被保險人因資料被害導致財產損失而請求保險賠償時，發生很大的爭議。主要的原因是，傳統的財產保險其設計原則，是以被保險人對於有形財產的「保險利益」作為「保險標的」，並以有形財產受損來估算保險損害，並未考量到資料等無形財產。因此，起因於資料或類似形態的程式、軟體之缺損所致的損害，是否可能在傳統財產的保險範圍內，頗有疑義，且司法實務上的意見相當分歧，茲整理如下。 （一）有利於被保險人的實務見解 　　在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中，Ingram-Micro因幾分鐘的電力中斷，導致電腦資產與資料的喪失而嚴重影響正常的業務運作，遂依業務中斷保險(Business-interruption insurance）請求保險賠償，但遭受保險公司拒絕，保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為，被保險人客製軟體程式的喪失，構成「具體損害」，具體損害不限於電腦迴路的被有形損毀或傷害，也會包含無法近用（Loss of access）、無法使用（Loss of use）以及功能喪失。 　　另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5]，保險公司認為電腦病毒感染所造成的損失，非有形損失，因而拒絕保險給付。法院認為，本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換（Replaced），此種結果，等於電腦系統完全無法接收、發送或回復任何形態的資訊，而完全失去作為電腦系統的效用；因此未接受保險公司的主張。 　　近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中，Retail Venture是DSW鞋子盤商，2005年時它的電腦系統遭駭客入侵，共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險，在其承保項目中包括電腦與資金移轉詐欺（Computer & Fund transfer fraud coverage），DSW遂向保險公司請求保險賠償，主張此次駭客入侵所造成的損失有530萬元之多，但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟，地方法院認定保險公司應支付保險賠償，保險公司不服，提起上訴至巡迴法院，巡迴法院認為，條款規定雖是限於該損失是由保險事故「直接造成」（Resulting directly from），但這不代表該保險事故必須是造成損失的「唯一」（Solely）與「立即」（Immediately）的原因[7]，因此維持地方法院的判決。 （二）有利於保險人的實務見解 　　在America Online, Inc. v. St. Paul Mercury Insurance Co.中，由於America Online（AOL）所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統，因而被客戶訴訟求償，AOL依責任保險內容，轉而請求保險公司應替其進行訴訟防禦，遭保險公司拒絕。為此，AOL對保險公司提起訴訟，法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失，法院解釋，從字義上一般不會認為電腦資料、軟體及系統是「有形」財產，因為有形財產應是指可以觸摸（Be touched），但電腦資料、軟體及系統無法被感官感知，因此是無形財產。此外契約中亦有「功能降低除外條款」，意即，不良品或者危險產品所造成的損害非有形，故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 　　從上述實務案例的觀察，作成不利於被保險人判決結果的法院，是直接認定電腦資料、軟體與系統為無形財產。反之，作成有利於被保險人判決結果的法院，是將「資料」（程式或軟體）與「電腦系統」合為觀之，而認定電腦系統為有形財產，把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人，但是解釋方式卻較為迂迴，也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 　　雲端運算發展日益普遍日後，可以透過網際網路提供資訊服務（例如儲存空間、應用程式等），「資料」已然不附載在特定或固定的載體（電腦系統）上。因應整體資訊應用形態的轉變，國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 　　第一個例子，MSPAlliance是一個資源管理服務業者暨認證聯盟，於2013年4月與保險經紀公司Lockton 合作，設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance)，讓其聯盟會員提供資訊服務時得以購買此保險；承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任，以及因技術錯誤或無法作用（Tech Errors & Omissions）所導致的損害賠償責任，亦包含在內。至於被保險人的資格要求，則限定是聯盟會員，且必須通過Unified Certification Standard (UCS)驗證。事實上，要求被保險人取得一定的驗證，是保險風險管理很重要的ㄧ環。 　　第二個例子，雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作，擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議（Service Level Agreements）中的承諾，再者也能依據其客戶存放於雲端環境之資料的風險層級，給予金錢防護。 第三個例子，與前兩例不同，是針對一般的資訊服務使用者來設計。保險經紀公司達信（Marsh）於2012年6月針對雲端環境的企業使用者，開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業，承保項目包括：因雲端服務中斷所致的營運收入損失（Loss of income）、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 　　美國的國家技術標準局（Institute of Standards and Technology, NIST）在規劃新網路時代藍圖時，把持續促進資料「保險」（Cyber Insurance），列為關鍵的一角。從這個角度而言，保險不僅具有轉移風險與填補損害的功能，更具有正面積極的意義，可作為新興技術發展的後盾。對於NIST這樣的主張，美國保險人協會（American Insurance Association）也予以呼應，認為針對網路應用環境而持續開發各種保險產品，是勢在必行的方向。 (一)政策推導 　　美國證券交易委員會指引（2011年），建議公司若為因應資安風險而購買保險產品，應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 　　美國有以政府機關名義購買資料相關保險之例，蒙大拿（Montana State Government）購買「網路資料安全保險」（Cyber/Data Information Security Insurance），為期一年（2012年7月1日至2013年7月1日），保險項目包括：資訊安全責任（每次事故保險賠償上限200萬美元）、行政罰款（每次事故保險賠償上限200萬美元）、損害通知支出（每次事故保險賠償上限100萬美元）、網站媒體披露支出（每次事故保險賠償上限200萬美元）、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley，保險經紀人為Alliant Insurance Services。值得特別注意的是，保險項目當中包含損害通知支出，此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論－我國推動相關資料保險機制可行性之總合評析 　　現階段我國相關保險市場的現況，為因應我國個人資料保護法的通過與正式實施，也有推出資料相關保險產品，目標客群為企業，以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於，針對業者（被保險人）因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失（營運中斷、負擔契約上損害賠償責任）之損害填補，似尚未有相關保險產品推出。考其原因，是保險業者對於此種因無形財產（資料）所導致損害的保險賠償模式，尚未累積足夠的經驗，也缺乏相關精算數據的掌握，因而不敢貿然承作，另一方面，保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象，我國主責資訊服務產業推動的有關政府部門，也思及政府投入參與資料保險機制，例如推動以機關為被保險人而購買相關的資料保險，藉以活絡資料保險市場；此種構想，在法律層面並無疑義，此乃保險賠償與國家賠償機制雖有各自目的，但未有所衝突[9]。然而，實際操作上，必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 　　事實上，我國相關資料保險市場要邁向成熟發展，尚待多方努力，除保險業者本身規劃並提出合適的保險產品之外，參酌國外經驗，保險經紀公司也能扮演一定角色，可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案，並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色，除直接以政策推導之外，尚能在若干條件齊備之後實際參與保險機制，其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

英國發布第二次「衛星直連手機服務」意見徵詢 資訊工業策進會科技法律研究所 2025年06月10日 近幾年，隨著低軌衛星通訊網路的逐漸成形，衛星直連手機（satellite Direct to Device, D2D）服務之實驗與商用案例陸續出現，亦帶動各國在法制層面之推進。美國聯邦通訊委員會（Federal Communications Commission, FCC）於2024年3月通過以衛星擴充地面通訊覆蓋範圍之授權規範，建立全球首個利用行動通訊頻譜提供D2D服務之監管框架[1]；加拿大、澳洲亦有相關政策文件之發布。而英國則透過兩次之衛星直連手機服務意見徵詢，徵集公眾對D2D服務提供之需求、影響、技術條件與法規調適方案之建議。 壹、背景摘要 英國頻率主管機關通訊傳播管理局（The Office of Communications, Ofcom）於2024年7月23日發布「改善來自天空及太空之行動連接」（Improving mobile connectivity from the sky and space）文件，為第一次「衛星直連手機服務」意見徵詢。該次討論主要針對D2D可能之服務模式、D2D服務如何讓英國人民與企業受益，以及各模式將面臨之法規調適議題進行說明[2]。 根據該次意見徵集之結果，Ofcom指出D2D服務可帶來多項潛在效益，包含（1）擴充語音、簡訊與資料之傳輸服務範圍至地面網路無法觸及之區域，實現全英國戶外無所不在之連結性；（2）為受天然災害或極端氣候事件影響，發生電力中斷或網路失效導致無發運作之基地台提供備援，提升行動網路之韌性；以及（3）以上述效益為基礎，強化民眾對緊急求救電話之近用性。 因此，Ofcom於2025年3月25日發布名為「在行動頻譜頻段實現衛星直連手機服務」（Enabling satellite direct to device services in Mobile spectrum bands）之第二次公眾意見諮詢文件，進一步針對授權D2D服務於3GHz以下、大多數已許可由行動網路經營商（Mobile Network Operator, MNO）使用之頻段內應用，而需釐清之具體適用頻段、技術限制、授權路徑等事項提起討論[3]。 貳、重點說明 意見諮詢文件首先針對適用範圍進行釐清，指出所謂之D2D服務僅限於利用既有分配予行動手機／行動網路頻段之類型，而不包含使用行動衛星服務（Mobile Satellite Service, MSS）頻段者。同時，其進一步限縮頻譜管理議題之指涉對象，說明雖D2D系統由兩種雙向無線電鏈路組成，但本次文件僅就服務鏈路[4]（Service Links）部分進行討論。 其次，考量到D2D服務應僅由與取得全國範圍相關頻率使用許可的MNO合作之衛星經營商提供，以在全英國境內提供D2D服務。文件提出3GHz以下、屬於分頻雙工（Frequency Division Duplex, FDD）與補充下行鏈路（Supplementary Downlink, SDL）之頻段作為未來可能提供D2D服務之選擇頻段，此些頻段皆以全國範圍為基礎進行許可，包含700MHz、800MHz、900MHz、1400MHz、1800MHz、2.1GHz與2.6GHz。Ofcom並指出為避免地面與衛星網路間的互相干擾，衛星經營商與MNO應密切合作、協調使用頻率，且或有需要在使用相同頻率時進行地理區隔。 再者，Ofcom從技術層面說明如何避免對同頻段或相鄰頻段之其它行動網路造成干擾。文件提出兩項具體要求，分別為限制衛星在行動下行頻譜之發射功率（依適用頻段有所不同），以及要求衛星傳輸之最低仰角不得低於20度。 最後，針對目前手機與衛星間之訊號傳輸、接收非屬過往許可豁免範圍所能涵蓋之情況，Ofcom提出三種可能之解決方案如下：（1）新增相關許可豁免規定；（2）對MNO既有的基地台許可進行變更，搭配許可豁免；以及（3）建立一套新的許可制度。由於依據第二種解決方案，Ofcom能於變更許可之時，要求MNO提供擬用於D2D服務之詳細頻率資訊、證明其能符合Ofcom要求之技術條件，以及展示其已與衛星經營商簽訂包含頻率協調、遵循技術條件之協議。且若干擾發生，Ofcom將可直接對MNO採取相關監管措施，從而有效解決干擾問題，因此該方案為Ofcom較偏好之選項。 參、簡析 考量我國既有通訊基礎建設密度高，且多數地區已有良好之4G／5G覆蓋之現況，相較於幅員遼闊且部分區域地面通訊網路布建困難的國家，衛星通訊於我國在地面覆蓋擴充之角色相對有限。惟就地理條件而言，我國位處地震帶，且每年夏秋期間常受颱風侵襲，因此在緊急通訊面向上，衛星通訊之災害應變、增加通訊韌性等功能即具有相當之重要性。在2024年4月花蓮大地震發生後，數位發展部首次提供低軌衛星設備於災區建立通訊網路，透過接收OneWeb低軌衛星訊號並將其轉換為Wi-Fi網路，使救災人員能即時將現場影像和語音回傳應變中心，對救災進度起到良好的推進作用，可見其在我國之應用潛力。 然而，若欲推動衛星通訊服務於一般公眾間之普及，勢必需利用既有已分配予MNO之頻譜資源，使市面上販售之手機得與衛星建立通訊鏈路，進而提供簡訊、語音傳輸等D2D服務。惟此一應用之實現，將涉及頻譜核配、干擾處理、電臺設置與使用管理等規範調適議題。有鑑於我國既有之700MHz、900MHz 和 1800MHz等4G頻段使用執照將於119年到期，屆時或將需透過無線電供應計畫之修正，研議釋出相關頻段供行動通訊與D2D服務共享使用，並同步檢討干擾處理、釋照管理機制等制度。英國本次公布之「在行動頻譜頻段實現衛星直連手機服務」諮詢文件，已由政策層面之討論深入至具體監管規範方案之提出，涵蓋適用頻譜、限制條件，以及授權機制等面向，其相關建議與後續公眾意見之回饋，將可作為我國未來頻譜監理機制調適之重要參考。 [1]Federal Register, Single Network Future: Supplemental Coverage From Space; Space Innovation, https://www.federalregister.gov/documents/2024/04/30/2024-06669/single-network-future-supplemental-coverage-from-space-space-innovation#page-34167 (last visited Jun. 5, 2025). [2]Ofcom, Improving mobile connectivity from the sky and space, https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-2-6-weeks/call-for-input-improving-mobile-connectivity-from-the-sky-and-space/main-documents/call-for-input-improving-mobile-connectivity-from-the-sky-and-space.pdf?v=370909 (last visited Jun. 5, 2025). [3]Ofcom, Consultation: Enabling satellite direct to device services in Mobile spectrum bands, https://www.ofcom.org.uk/spectrum/space-and-satellites/consultation-enabling-satellite-direct-to-device-services-in-mobile-spectrum-bands (last visited Jun. 5, 2025). [4]衛星與使用者裝置之間的通訊鏈路。