政府採購雲端服務新興模式暨資安一體考量之研析

日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》（IoT製品に対するセキュリティ適合性評価制度構築方針），以順應國際IoT產品資安政策趨勢，因應日益嚴重的資安威脅。 本制度為自願性認證制度，由情報處理推進機構（情報処理推進機構，簡稱IPA）擔任認證機構進行監督。以IoT產品為適用對象，制定共通因應資安威脅之最低標準，再依不同產品特性需求，制定不同符合性評鑑等級，依評鑑結果進行認證，授予認證標章。不同評鑑等級差異如下： 1.等級一：為共通因應資安威脅之最低標準，可由供應商進行自我評鑑，並以評鑑結果檢查清單申請認證標章，IPA僅會針對檢查清單進行形式確認。 2.等級二：係考量產品特性後，以等級一為基礎，制定應加強之標準，與等級一相同係由供應商評鑑，自我聲明符合標準，IPA僅會針對檢查清單進行形式確認。 3.等級三：係以政府機關或關鍵基礎設施業者為主要適用對象，須經過獨立第三方機構評鑑，並以IPA為認證機構進行認證，確保產品值得信賴。 本制度可協助採購者及使用者依資安需求，選用合適的IoT產品，亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作，達成相互承認，減輕IoT產品供應商輸出海外之負擔。

　　美國國會於1980年通過了拜杜法案(Bayh-Dole Act)，正式名稱為1980年大學與小型企業專利程序法(University and Small Business Patent Procedures Act of 1980, 35 U.S.C. 200 et seq.)。經濟學人(The Economis)曾對美國拜杜法評價為「可能是過去半世紀在美國所成立之最具創見之法律」，其目的是讓大學、中小企業等與聯邦機構締約，執行聯邦政府資助的研發計畫後仍能保有其研究成果之專利，亦即將此研究成果的專利申請權歸屬於受資助之大學或中小企業，而非聯邦政府。 　　拜杜法案(Bayh-Dole Act) 35 U.S.C. § 201(c)對立約人(contractors)定義為，任何簽署資助協議的自然人、小型企業、或非營利機構。而權利歸屬部分，規定於35 U.S.C. § 202，非營利機構、中小企業等與聯邦機構簽訂資助契約之承攬人可以選擇是否擁有受資助發明(elect to retain title to any subject invention)之權利。再者，立約人負責專利管理事務之人員，應於知悉受資助發明的合理期間內，向聯邦機構揭露該發明，若未於合理期間內揭露，則該發明歸屬於聯邦機構。並且，立約人應於揭露發明後2年內，以書面行使其選擇權，逾期則該發明權利歸屬於聯邦機構。另 35 USC § 203有介入權規定，聯邦機構認為有必要時，得要求立約人、其受讓人或其專屬被授權人將發明專屬、部分專屬(partially exclusive)或非專屬授權予申請人，聯邦機構得自行為之。

　　英國藥物及保健產品管理局（Medicines and Healthcare Products Regulatory Agency, MHRA）於2021年9月16日展開期待已久的「英國醫療器材監管的未來」公眾意見徵詢（Consultation on the Future of Medical Devices Regulation in the United Kingdom），並公布「人工智慧軟體醫材改革計畫」（Software and AI as a Medical Device Change Programme）。英國欲從醫療器材上市前核准至其壽命結束進行監管改革，徹底改變一般醫療器材與人工智慧軟體醫療器材之監管方式。意見徵詢已於2021年11月25日結束，而該修正案預計於2023年7月生效，與英國針對醫療器材停止使用歐盟CE（Conformité Européenne, 歐洲合格認證）標誌並要求採用英國UKCA（UK Conformity Assessed, 英國合格評定）標誌的日期一致。 　　人工智慧軟體醫材改革計畫則包含十一個工作項目（work package，下稱WP），WP1與WP2分別為監管資格與監管分類，皆涉及監管範圍之劃定；WP3與WP4分別涉及軟體醫材上市前與上市後，如何確保其安全性與有效性的監管之研究；WP5針對軟體醫材之網路安全進行規範；WP6與WP7涉及加速創新軟體醫材審核上市之特別機制，分別為類似「創新藥品藥證審核與近用途徑」 （innovative licensing and access pathway）的機制，以及允許適時上市並持續研究監控風險的「氣閘分類規則」（airlock classification rule）；WP8為確保智慧型手機之健康應用程式安全、有效與品質之規範研究；WP9~WP11則分別針對人工智慧軟體醫材之安全與有效性、可解釋性（interpretability）以及演進式（adaptive）人工智慧進行法規調適之研究。 　　MHRA預計透過指引、標準、流程之公布而非立法方式實現其監管此領域的目標。MHRA亦透露，針對上述工作項目，其已與重點國家和國際機構進行研究合作，已有不少進展即將公布。

　　歐盟執委員會於2013年9月提出新電信改革方案初步細節，期待建立歐盟電信服務單一市場，以加快經濟增長，創造就業機會和恢復歐洲在行動通訊技術領域的領先地位。 　　該提案將擴大歐盟的電信管制權力，協調各會員國管制機關，包括審查各會員國之國家電信發展政策、無線頻的釋出和拍賣頻，使會員國管制機關撤銷違反歐盟法律的作為。 　　歐盟內部之電信漫遊價格上限將維持，但將由2014年開始逐年降低；另外將於2014年推動漫遊時，接收來電免費。為了進一步促使降低漫遊價格，歐盟計劃鼓勵各家電信業者推出泛歐的通訊費率。這將形成一個類似的跨國電信營運許可，只要獲得歐盟內某一個會員國管制機關的許可後，便能在泛歐範圍內推出電信服務。歐盟也希望看到各會員國固網電信的價格持續下降，達到與國內長途電話同樣水平的價格。 　　執委會也在該草案中提出，將致力於規範寬頻網路接取的批發價格管制，以及其他各類行電信服務批發市場的管制。此外，歐盟將推動完整的、統一的消費者保護規則，以防止各會員國管制機關的保護不足。 　　為了鼓勵更快地釋出無線頻譜資源，歐盟希望制定授權釋出頻譜的共同規則，而且也將以獎勵誘因鼓勵市場參與者釋出頻譜用於行動寬頻市場，並且將建議如果頻譜使用效率過低，業者將可能被取消執照。電信業者也將被允許一定的頻譜交易，以鼓勵歐盟基礎設施交易。 　　最後該草案針對「網路中立」的問題也提出解決方案，將禁止電信市場的競爭業者之間，有將網路服務阻斷或降低網路傳輸優先權的舉措。電信業者將需要提供的更透明的寬頻網路連線實際速率資訊，降低「誤導性的廣告」損害消費者權益。然而，電信業者也能夠提供更高的連線速度，或較佳的網路傳輸品質保證，使客戶支付較高的價格取得較優質的服務。 　　歐盟認為歐洲的戰略利益和經濟進步，與泛歐電信單一市場的建立密不可分的，同時希望藉由本次改革，提供歐盟公民充分、公平、高品質、普及的網際網路與行動通訊服務。