政府採購雲端服務新興模式暨資安一體考量之研析

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國商務部產業安全局（Bureau of Industry and Security, BIS）於2025年1月2日發布保護無人機系統資通訊技術及服務供應鏈（Securing the Information and Communications Technology and Services Supply Chain: Unmanned Aircraft Systems）之法規制定預告（advance notice of proposed rulemaking, ANPRM），其目的在於透過維護供應鏈安全，避免中俄等外國敵對勢力，藉由參與無人機系統（Unmanned Aircraft Systems, UAS）資通訊技術與服務（Information and Communications Technology and Services, ICTS）遠端存取和操縱UAS，提高美國敏感資訊暴露風險。本次ANPRM是BIS依據2019年5月15日川普總統簽署之確保ICTS供應鏈安全的第13873號行政命令所發布。 為確保UAS安全，BIS針對下列事項尋求公眾意見，包括但不限於： 1. 無人機系統及其零組件的定義： 針對BIS初步認定之下列UAS平台必要組成部分，評估其定義和標準功能：（1）機載電腦；（2）通訊系統；（3）飛行控制系統；（4）地面控制站或系統；（5）運作軟體；（6）任務規劃軟體；（7）智慧型電池電源系統；（8）本地和外部資料儲存設備和服務；及（9）人工智慧軟體或應用程式； 2. 評估是否有資料外洩和遠端存取控制以外的其他風險； 3. 評估不同外國敵對勢力帶來的風險，例如：是否應考慮與外國敵對勢力有關聯的特定個人或實體等； 4. 評估例外可允許交易的情形；及 5. 評估相關經濟性影響，例如：對美國企業或公眾資料隱私和保護、反競爭效應（Anticompetitive Effects）等，及其應有的相應措施。 BIS開放公眾得針對該ANPRM於2025年3月4日前提出意見，俾利後續發布法規。

　　專利連結（patent linkage，亦有稱patent registration linkage）是1984年美國《藥品價格競爭及專利期回復法（Hatch-Waxman Act, HWA）》所創設。傳統上，醫藥主管機關與專利主管機關的權責是有所區分的。然而，醫藥主管機關因為醫藥管理制度與專利制度的連結，使得醫藥主管機關須審查專利相關事務，即醫藥主管機關在審查學名藥上市許可申請時，必須同時判斷該藥品是否侵害專利藥公司就該藥品所掌握的專利。 　　專利連結制度可以採取幾種形式，最簡單形式的專利連結可能涉及了以下的要求：當有學名藥廠對專利藥公司所生產的的專利藥品提出學名藥，並尋求醫藥主管機關批准時，則應向專利藥公司告知學名藥廠的身份。強度較強的專利連結，在該專利藥品的專利到期或者無效之前，可以禁止醫藥主管機關核發上市許可給學名藥品。而更強的專利連結不僅可以禁止核發上市許可，也可以禁止在專利期間內對學名藥品的審查。 　　我國目前並未採納專利連結制度，但在我國目前擬積極參與的《泛太平洋夥伴協議（TPP）》中則要求成員應採納專利連結制度，故未來我國動向將值得關注。

　　由聯合國農糧組織及世界衛生組織共同成立的The Codex Alimentarius Commission (Codex)，刻正研提一份與GMO有關的重要技術指導原則，以協助各國評估並管控進口食品是否含有未經核准的GMO或由未經核准的GMO所製程的風險，藉此降低食品貿易的障礙。 　　關於未經核准的GMO，目前歐盟採取的零容忍度政策（zero-tolerance policy），亦即，進口之食品或飼料中，絕對不能含有未經核准的GMO或由未經核准的GMO所製程，至於一般所知的歐盟0.9％的GMO標示義務，是適用在經依法核准上市的GMO，若因技術上不可避免的原因而使非基改產品含有此GMO之可容忍界線。 　　根據Codex調查，許多GMO的上市審查在歐盟受到延宕，但這些GMO在歐盟以外其實很多都已經被其他國家核准，或歐盟的技術審查單位—食品安全管理局（European Food Safety Authority, EFSA)也已提出正面的安全評估意見，但歐盟執委會卻遲遲未完成行政審查，造成在歐盟進口的食品或飼料中若含有這些GMO，即被認定為未經核准而影響產品之進口。 　　鑑於歐盟的GMO管理與出口國的GMO管理有重大的制度面差異，Codex認為此一制度面的衝突若不尋求解決，未來將越演越烈，影響的作物範圍也會越來越廣，因而Codex才會思考制定相關的技術指導原則，解決某GMO可能在一個或多個國家已經被核准上市，但在進口國還未經核准上市，而進口非基改食品或飼料中卻含有這些GMO的問題，目前Codex預計在2008年7月提出相關的技術指導原則建議。

　　2019年1月22日，歐盟執委會（European Commission）、歐洲議會（European Parliament）與歐盟理事會（Council of the EU）就修正「公部門資訊再利用指令」（The Directive on the re-use of public sector information，PSI Directive）的提案達成協議。歐洲議會則於4月4日通過提案，待歐盟理事會簽署正式的指令。 　　PSI Directive經過2003年制定（Directive 2003/98/EC）、2013年修正（Directive 2013/37/EU），於2017年為了履行指令規定的定期審查義務，召開了公眾線上諮詢，之後歐盟執委會根據諮詢結果及對指令的影響評估，於2018年4月25日通過修訂指令的提案，並於2019年1月達成協議。 　　此次修正將該指令更名為「開放資料與公部門資訊指令」（The Directive on the Open Data and Public Sector Information，以下稱新指令），預計能排除目前仍存在的公部門資訊取得障礙，並且要求將政府資助研究所產出的研究資料（publicly funded research data）也開放給公眾。此次修正的重點內容如下： 1、所有依據國家取用文件規定（national access to documents rules）下可取用的公部門資訊，原則上可以免費再利用，或者公部門可以收取為了提供、傳播資料所產出的費用，但該費用以不超過邊際成本（marginal costs）為限。這項改變，將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集（high-value datasets），這些資料集具有高商業潛力，可以加速各種資訊產品或增值服務的產出，例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀，且透過應用程式介面（APIs）使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時，則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料，不在現行PSI Directive規範範圍內，而各國對於是否必須提供資料有著不同的規定，但現在都必須依照新指令的規定使公眾可以免費再利用，不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定，導致公部門資訊被壟斷，新指令則要求各會員國應落實資訊透明，以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布，並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務，例如行動APP。 6、關於政府資助的研究，新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用，故各成員國被要求建立一致的再利用政策，使這些研究資料能透過資料庫（repository）被開放取用（open access），包含先前已經存入該資料庫的資料。 　　總而言之，本次修正將能夠降低中小企業進入市場的障礙，並增加公部門資訊的透明度和即時流通，也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。