政府採購雲端服務新興模式暨資安一體考量之研析

　　歐盟對於體外診療器材（In Vitro Diagnostic Medical Devices，以下簡稱IVDs）之管制，最早起始於1998年的體外診療器材指令（Directive 98/79/EC on In Vitro Diagnostic Medical Devices，以下簡稱「1998年IVDD指令」)，該指令依IVDs是否具有侵入性、接觸病人的時間長短及是否需要能源加以驅動等條件，進一步區分為四種風險等級：第1級（Class I）－低風險性、第2a級（Class IIa）－低至中風險性、第2b級（Class IIb）－中至高風險性、第3級（Class III）－高風險性。Class I因風險性最低，故1998年IVDD指令僅要求廠商建立品管系統、保留產品技術檔案、並自為符合性聲明後，即得於市場上流通；Class IIa與Class IIb則由於風險略高，所建立之品管系統需經過「符合性評鑑」；而Class III的風險最高，故其品管系統除須符合前述要求外，更應由經歐盟認證的代檢機構（Notified Body）進行審查，通過前述評鑑及審查後，始可於歐洲市場流通使用。 　　然而，隨著科學及技術的進步，市場上不斷出現創新性的產品，使得1998年IVDD指令已逐漸無法滿足管理需求，輔以各會員國對於指令的解釋和實施各有不同，致使歐盟內部在病患及公共健康的保護上有程度不一的落差，為歐盟單一市場的運作埋下隱憂。因此，歐盟執委會（European Commission）於2012年9月26日提出新的管制架構（Proposal for a Regulation of the European Parliament and of the Council on in vitro diagnostic devices），其主要變革包括： 1. 擴大IVDs的定義：將IVDs的範圍擴及用以獲取醫療狀況或疾病罹患傾向資訊（如基因檢測）的器材及醫療軟體（medical software）等。 2. 新的分類標準及評估程序：將診療器材重新分為A、B、C、D四類，A類為風險最低，D類為風險最高。A類維持原先1998年IVDD指令中的廠商自我管控機制，但當A類器材欲進行臨床測試（near-patient testing）、具備評量功能或用於殺菌者，須先由代檢機構就其設計、評量功能及殺菌過程進行驗證。B類器材因風險略高，故須通過代檢機構之品管系統審查；C類產品除品管系統審查外，需再提交產品樣本的技術文件；而D類由於風險最高，除前述品管系統審查外，需經過核准使能進入市場。至於A、B、C、D類產品進入市場後，代檢機構會定期進行上市後（the post-market phase）監控。 3. 導入認證人員（qualified person，簡稱GP）：診療器材製造商應於組織內導入GP人員，負責確保製造商組織內部的一切法令遵循事宜。 4. 落實提升透明度（transparency）之相關措施：為確保醫療器材的安全性和效能，要求：(1) 歐盟市場內之經濟經營商（economic operator）應能夠辨認IVDs的供應者及被供應者；(2) 製造商應將單一裝置辨識碼（Unique Device Identification）導入產品中，以利日後之追蹤；(3) 歐盟單一市場中的所有製造商及進口商，應將其企業及產品資訊於歐洲資料庫（European database）中進行註冊；(4) 製造商有義務向大眾公開高風險性裝置的安全性與效能等相關說明資訊。 　　歐盟執委會已提交新管制架構予歐洲議會，若順利通過將可望於2015年起正式實施，未來將對歐洲IVDs產業有何影響，值得持續觀察之。

　　FCC經過討論與投票，正式發佈命令將電力線寬頻上網服務分類為跨州資訊服務（interstate information service），而非電信服務，其他寬頻上網科技包括DSL、有線電纜線數據機寬頻上網亦被FCC分類為資訊服務。 　　過去幾年來，FCC一直大力支持電力線寬頻上網服務，期望電力線寬頻上網服務可以進入寬頻服務市場，與DSL和有線電視纜線數據機寬頻上網服務競爭，以增加寬頻服務市場之競爭，提高美國之寬頻普及率。而就此次所發佈之命令，FCC認為，將電力線寬頻上網分類為資訊服務將可使電力線寬頻上網服務受到較低的管制，有助於達成隨時隨地提供所有美國民眾寬頻接取之目標。其次，FCC在數位匯流時代之管制乃是期望能對於各種不同技術之寬頻接取平台給予一致的管制措施，並且對於相同之服務採取相同的管制方式。基於上述原因，FCC此次將電力線寬頻上網分類為資訊服務並不讓人感到意外。 　　FCC主席Kevin J. Martin進一步在其聲明中表示，雖然目前電力線寬頻上網人口並不多，然在2005年其成長率卻將近200％，顯見電力線寬頻上網服務之市場潛力不容忽視，將可幫助達成美國總統定下於2007年底前隨時隨地提供全國民眾寬頻網路接取之目標。

美國明尼蘇達州、加州、北卡羅萊納州及田納西州之檢察總長於2023年11月加入「美國司法部（U.S. Department of Justice, DOJ）在同年9月對於肉品產業資料提供者（Agri Stats, Inc.，以下簡稱Agri Stats）提起的反壟斷訴訟」中，主張Agri Stats透過報告方式將肉品數據資料分享給訂閱服務之肉類加工商，此類資料共享行為削弱了市場競爭關係造成聯合行為，違反了休曼法（Sherman Act）。以下先就此案背景進行說明，以釐清此案象徵意義。 於2023年2月，美國司法部反壟斷部門撤回3項與資訊共享相關的聲明，該3聲明是為了醫療保健產業而發布，其中就資料分享之安全使用方式亦可讓其他產業的資料提供業者評估其資料分享行為是否造成反壟斷行為，惟在目前AI／演算法技術變革之下，利用共享所得之資料反推競爭對手之競爭策略具有可行性，因此當年認為有助於促進競爭之資料共享行為，現在反而有造成聯合行為之可能，故廢棄該3項已過時的聲明。 於2023年9月28日，美國司法部反壟斷部門於明尼蘇達州指控Agri Stats違反休曼法。Agri Stats為專門彙整、分析美國豬肉與家禽（肉雞、火雞）相關商業資料的資料處理商，並將其分析報告提供給具競爭關係的肉品加工商，肉品加工商可透過將Agri Stats分析報告反推以監控／預測出競爭對手之價格、供應量、營運計畫等，並依分析報告建議進行價格調高與減產的行為，而被美國司法部認定為聯合行為。 該訴訟所涉及的肉品加工商占了全美家禽（肉雞與火雞）銷售量的9成以上，豬肉銷售量的8成以上。目前已有前述4州加入該訴訟，法院後續會如何認定，將影響產業間的資料交換作法，也顯現出資料商業化前須先做好資料管理，確保在合規的範圍內進行資料利用，國內廠商可參資策會科法所公布之《重要數位資料治理暨管理制度規範（EDGS）》對自身資料管理機制進行檢視。 本文同步刊登於TIPS網站（https://www.tips.org.tw/）

　　自2016年Mirai殭屍網路攻擊事件後，物聯網設備安全成為美國國會主要關注對象之一，參議院於2017年曾提出「2017年物聯網網路安全促進法」（Internet of Things Cybersecurity Improvement Act of 2017）草案，防止美國政府部門購買有明顯網路安全性漏洞之聯網設備，並制定具體規範以保護聯網設施之網路安全，然而該法案最終並未交付委員會審議。 　　2019年4月，美國參議員Mark Warner提出「2019年物聯網網路安全促進法」草案（Internet of Things Cybersecurity Improvement Act of 2019），再度嘗試建立物聯網網路安全監管框架。本法將授權主管機關建立物聯網設備所應具備之安全性條件清單，而該清單將由美國國家標準與技術研究院（National Institute of Standards and Technology）擬定，並由管理與預算局（Office of Management and Budget, OMB）負責督導後續各聯邦機關導入由美國國家標準與技術研究院所制定之網路安全指引。本法草案相較於2017年的版本而言雖較具彈性，惟網路安全專家指出，清單之擬定與執行管理分別交由不同單位主責，未來可能導致規範無法被有效執行，且聯邦各層級單位所需具備之資安防護等級不盡相同，如何制宜亦係未來焦點。