德國聯邦內政部公布《資訊科技安全法草案》

　　2021年1月6日，美國聯邦首席資料長委員會（Federal Chief Data Officers Council, 後稱CDO Council）向美國國會提交報告，報告中指出今年度的工作重點之一將放在促進聯邦政府跨機關的資料共享，以極大化政府資料的價值。 　　CDO Council是根據2018年的《實證決策基本法》（Foundations for Evidence-Based Policymaking Act of 2018）所設立，並於2020年1月正式召開第一次會議，該委員會的成員包含聯邦政府各部會的首席資料長（Chief Data Officers, CDO）。該委員會的任務是加強各部會利用資料作為戰略資產的能力，促進聯邦政府資料的管理、使用、保護、傳播和衍生，以達到聯邦資料戰略（Federal Data Strategy）所設定的目標。 　　美國農業部首席資料長兼CDO Council主席Ted Kaouk表示，以農業部所建置的農業資料共通平台（Ag DATA COMMONS）為例，農業部所屬機關間透過資料共享，已產生許多應用。 　　譬如：該部所屬的食品與營養局（Food and Nutrition Service, FNS）利用經濟研究局（Economic Research Service, ERS）統計的糧食不安全（Food Insecurity）資料，推動食物箱計畫（Farmers to Families Food Box Program）；農業部所屬風險管理局（Risk Management Agency, RMA）使用平台上其他單位的資料，作為作物保險（crop insurance）的決策依據；農業部所屬食品安全和檢驗局（Food Safety and Inspection Service, FSIS）使用平台上其他單位的資料，來追蹤肉品加工廠的狀況。 　　CDO Council於去（2020）年10月成立了一個資料共享工作小組（Data Sharing Working Group），負責研究聯邦政府各機關間資料共享的使用案例，希望透過這樣的努力，強化聯邦政府的資料治理，產生高品質與即時性的資料，以此作為政府的決策依據。

　　2010年藥物主動監視法規(pharmacovigilance legislation)要求EMA和EMCDDA必須加強在藥物產品濫用(包含不合法藥品)的資訊交換合作關係，是以，EMA和EMCDDA於今年九月初於葡萄牙里斯本相互簽署了修訂工作協議(amended working arrangement)，約定在新型精神性影響藥物與藥物濫用的面向上，加強相互間的資訊交流合作。 　　於EMA和EMCDDA所簽訂的修正工作協議中，雙方約定就下列領域深化資訊交換： 1.雙方需各自依照歐盟執委會2005/387/JHA決議和歐盟1235/2010號法規第28c(2)條，對於所擁有之新型精神性影響藥物與藥物濫用(包含不合法藥品)資訊進行交換合作； 2.資訊交換需透過通常基準的報告形式由EMCDDA送至EMA，並含括有關於藥物產品濫用、不合法藥物，以及新型精神性影響物質等相關資訊； 3.EMA必須通知EMCDDA有關於藥物產品濫用的有效導因(validated signals)，同時，EMA必須提供EMCDDA有關於藥物產品濫用和新型精神性影響藥品市場核准狀況的細部資訊； 4.EMA對於選定藥物產品之風險管理計畫的界定，可考量是否需先行與EMCDDA作諮詢意見交換； 5.EMA和EMCDDA在歐盟執委會2005/387/JHA決議和歐盟1235/2010號法規第28c(2)條所設基礎的合作模式下，必須要特別注意確保人類或動物健康照護並無惡化的情事，同時應確保科學建議之潛在衝突於前階段將會被界定與管理； 6.EMA和EMCDDA兩者間諮詢的進行，必須避免非關於新型精神性影響物質風險評估之科學建議的潛在衝突； 7.對於任何額外合作計畫的執行，必須考量EMA和EMCDDA兩者的例行性工作規劃； 8.對於特定計畫需要額外資源時，必須經由EMA和EMCDDA共同同意，並將同意文件附於現階段的工作協議中； 9.EMA和EMCDDA可就其各自舉辦的會議相互邀請對方，並邀請對該會議有興趣的其他團體參與； 10.對於EMA和EMCDDA間實際的合作面向，將在工作協議既定架構下繼續發展。 　　除了前述的適用範圍外，EMA和EMCDDA的修訂工作協議，亦有就相互諮詢和秘密資訊等領域作出約定，以確保資訊交換係在符合雙方需求與不侵害個人基本權利的情況下進行。有鑑於EMA和EMCDDA希冀藉由資源互補的強化約定，來彌補自身於精神性影響藥物和藥物濫用領域的資訊不足缺陷，是否我國在相關醫療、藥品管制或是藥品商業化資訊需有跨機關的整合機制，以促使我國在醫療、醫藥資訊交換與流通，在不侵害個人基本權利的情況下，能夠發揮互益效用，則是我國有關單位必須審慎思考的問題。

　　電子遊戲龍頭ZeniMax於2014年起訴虛擬實境公司Oculus VR，稱Oculus創辦人Palmer Luckey為改善初代虛擬實境體驗機「Rift」提供原型予在ZeniMax任職的John Carmack，嗣Carmack在該機器增加ZeniMax所有之虛擬實境專用關鍵軟體，ZeniMax就Luckey取得該公司軟體之內容與Luckey簽立保密協定。其後Luckey為募集Oculus資金，未經ZeniMax授權及參與，開始展示含有ZeniMax專有軟體之「Rift」，最後Facebook收購Oculus。 　　ZeniMax以Oculus、Luckey、Brendan Iribe（Oculus另一創辦人）、Carmack為被告，主張其等盜用營業秘密、侵害著作權、違反保密協定、不公平競爭、不當得利、商標侵權（包括未經許可使用以及錯誤指示商品來源），並列Facebook為共同被告主張其於收購Oculus即知情，連帶給付20億美元之損害賠償及40億美元之懲罰性賠償。本訴訟於2017年2月1日經陪審團認定Oculus違反保密協定、侵害著作權、錯誤指示商品來源侵害商標等共計賠償3億美元，Luckey及Iribe因錯誤指示侵害商標共計賠償2億美元。 　　以本案來看，Oculus及其創辦人最主要是未經ZeniMax同意而公開使用ZeniMax的程式碼且宣稱為其公司產出，關於這個部分公司未來在有運用他人公司技術之情形宜透過協商，以共同發表之方式避免侵害創作公司之權利；另創作公司雖未公開技術，然可透過保密協定使營業秘密獲得完善的保障；至於Facebook的部分更凸顯公司於併購前尤應強化盡職查核（Due Diligence），以免訟累。 本文同步刊登於TIPS網站（https://www.tips.org.tw）」

壹、義大利最新AI法案簡介 義大利於2025年9月17日通過《人工智慧規範與政府授權》立法法案（Disposizioni e delega al Governo in materia di intelligenza artificiale，下稱1146‑B法案），為該國首次針對AI全面立法，亦為歐盟成員國內AI專法先驅。義大利將歐盟《人工智慧法》（AI Act，下稱AIA）框架轉化為國內法，並設立獨立窗口與歐盟對接。為確保落地效率並兼顧國家安全與資料治理，本法採「雙主管機關制」，由隸屬於總理府（Presidenza del Consiglio dei Ministri）之數位局（Agenzia per l’Italia Digitale，AgID）及國家網路安全局（Agenzia per la Cybersicurezza Nazionale，ACN）共同執行。AgID 負責AI技術標準、互通性與公共行政實務執行；ACN則負責資安韌性、事故通報與高風險AI安全性。 目前該法案已由參議院（Senato della Repubblica）審議並表決通過，2025年9月25日已載於義大利《官方公報》（Gazzetta Ufficiale），再經過15天緩衝期後，預計於2025年10月10日正式生效。然截至2025年10月27日為止，未有官方宣布該法案正式生效之證明，故法案是否依該版本內容正式施行仍待確認。其中醫療為AIA顯示之高風險領域之一，亦涉及資料隱私與病患權益等敏感法益，可謂本法落地機制中具代表性之政策面向，故本文特以醫療AI應用為分析重點。 貳、設立醫療AI應用平臺，輔助專業醫護及強化醫療服務取得 1146‑B法案第10條規定，將由義大利衛生服務局（Agenzia nazionale per i servizi sanitari regionali，AGENAS）主導設立該國家醫療AI應用平臺。該平臺定位為全國級資料治理與AI導入審查機制工具，主要功能為對醫療專業人員提供照護病患與臨床實踐時無法律約束力之建議，並對病患提供接觸社區醫療中心AI服務之管道與機會。該平臺僅得依「資料最小化原則」（dati strettamente necessary）蒐集以上醫療服務所需之必要資料，經向衛生部（Ministero della salute）、資料保護局（Garante per la protezione dei dati personali）及CAN徵詢意見後，由 AGENAS 負責資料處理，並經地方常設協調會議同意後，得以公告方式制定符合歐盟《一般資料法規》（General Data Protection Regulation，GDPR）之風險控管與敏感健康資料處理細則。 在確保資料安全合規後，法案強調對醫療保健之服務可及性（accesso ai servizi）進行改善，病人能透過此平臺更便利地接觸到社區醫療中心所提供之各類AI健康醫療服務，如診斷輔助、數位健康檔案調閱等，亦符合AIA強調AI發展應確保社會公益等權利之宗旨。 參、醫療用AI之限制與目標 法案第7條第5項規定AI僅能作為醫療決策輔助工具提供無拘束力之建議，重申前述醫療平臺相關規定；AI亦不得根據歧視性標準選擇或限制病人獲取醫療服務。病人享有「知情權」（diritto di essere informato），即有權知悉診療過程中是否使用有使用AI、使用方式（如僅為輔助）及其限制。針對健康資料之隱私處理方面，如病歷、基因資料、診斷紀錄等，要求醫用AI系統須持續監測、定期驗證與更新，以降低錯誤風險，維護病人健康安全，亦明文強調醫療AI之使用應以改善身心障礙者生活為目標。 四、總結 1146-B法案在醫療 AI 治理上，透過雙主管機關制平衡歐盟對接、技術發展與風險控管，符合AIA要求並避免權責衝突。建立由 AGENAS 主導的醫療 AI 應用平臺，在相關部門意見下運作，確保資料處理與服務推動合規與安全。病人權利方面，強調知情權、健康資料隱私與地方醫療AI普及，符合資料最小化與 GDPR 規範，展現義大利在醫療 AI 上兼顧創新、透明與權益保障之立場，往後應持續關注AGENAS釋出之關於該平臺使用之相關細則。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）