淺談創新應用服務（OTT）之創新與規範課題

　　「美國食品和藥物管理局（FDA）」於2017年4月6日准許「23and me個人基因遺傳健康風險服務測試（簡稱GHR）」進行行銷，FDA要求該測試方法可以一定準確度檢測出十種疾病及可能條件。GHR是第一個被美國食品藥物管理局授權允許直接對消費者進行測試並提供個人遺傳傾向及醫療疾病條件資訊給消費者的測試。 　　GHR試圖提供遺傳風險資訊給消費者，但這個測試無法確定人們發展成疾病或發病條件的總體風險，因為除了某些遺傳變體的存在，還有很多因素會影響健康條件的發展，包含環境以及生活方式的因素，因此該檢測可能可以幫助人們做選擇生活方式的決定或告知消費者專業的健康照護。 　　23and me的GHR測試是運作自隔離唾液樣品中的DNA，此檢測被測試超過500000個遺傳變體，其檢測關於發展成以下十種疾病或發病條件增加風險的存在與否，包括帕金森氏症（Parkinson’s disease）、阿茲海默症（Late-onset Alzheimer’s disease）、自體免疫問題（Celiac disease）、α-1抗胰蛋白酶缺乏症、早發性原發性肌張力障礙（early-onset primary dystomia）、因子XI缺乏症（factor XI deficiency）、高血病1型（gaucher disease type1）、葡萄糖6-磷酸脫氫酶缺乏症（glucose 6- phosphate dehydrogenase defiency）、遺傳性血色素沉著症（hereditary hemochromatosis）、遺傳性血栓形成（hereditary thrombophilia）。 　　此外，FDA更要求所有DTC測試在醫療用途目的上之使用必需要能跟消費者溝通，使消費者可以充分了解該測試法後選用。其中一個研究顯示，23andMe的GHR測試的相關資訊是容易被理解的，有90%的人能夠了解報告中所呈現的資訊。

　　美國國家公路交通安全管理局（National Highway Traffic Safety Administration, NHTSA）於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐（Cybersecurity Best Practices for the Safety of Modern Vehicles），強化政府對先進聯網車輛網路安全之把關。 　　文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊，前者主要為公司整體組織網路安全文化與監管機制之建立；後者則偏重於技術性的建議內涵。 　　「一般網路安全最佳實踐」共有45項要點，核心概念為：公司應訂定明確的網路安全評估程序，由領導階層負責相關監督責任，定期執行網路安全之風險評估及第三方公正稽核，並對其所發現之風險弱點採取保護措施並持續監控，同時應妥善保存所有網路安全相關之紀錄文件，並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時，應將產品使用者、售後服務維修商，以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 　　「車輛技術網路安全最佳實踐」共有25項，核心理念為：對於產品開發人員，應建立存取權限管理，避免有心人士濫用權限。產品所使用的加密技術應隨時更新，若車輛具備診斷功能，應慎防遭到不當利用，且應防止車輛所搭載之感測器遭到惡意干擾或改動，感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新（Over-the-air, OTA）以及公司作業軟體所產生之風險漏洞。 　　本文件屬於自願性質，無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上，例如國際標準組織與國際汽車工程師協會（International Standards Organization, ISO/SAE International, SAE）先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下，進一步提出政府對車輛網路安全要求的努力。

　　英國政府於2022年5月6日宣布將針對大型企業（major firms）壟斷市場的情況制定新的監管計畫。該監管計畫將重新平衡大型與中小企業和消費者的關係，以利中小企業和消費者受到更好的保護，並使市場競爭環境更為公平。 　　該監管計畫針對的大型企業，即是國際市場上的科技巨頭（tech giants），如Google and Facebook。此類科技巨頭擁有並控制大量用戶的網路資料，並將該資料應用在特定應用程式與瀏覽器的搜尋演算法上，以確保其市場壟斷地位，使潛在的競爭者難以進入市場，進而影響市場的公平競爭以及消費者的自由選擇權。為解決前揭問題，英國預計透過修法賦予競爭和市場管理局下的「數位市場部門」（Digital Markets Unit, DMU）法定權力與監管權限，並搭配措施與作法如下： 強化市場公平性：英國政府預計提出價格糾紛解決機制，平衡內容提供商（如媒體業與廣告業）與科技巨頭間的議價能力，以確保更為公平、透明的市場。此外，科技巨頭亦應將其演算法之資訊分享給一般公司，避免科技巨頭濫用其市場力量。 增進消費者權益：科技巨頭必須確保消費者在使用資訊設備或服務時有充分的自主權與選擇權。例如，於手機的IOS和 Android 系統之間轉換或是社交軟體帳戶之間的資訊移轉時不會喪失其資料和訊息。DMU也將限制公司預先安裝瀏覽器、社交軟體等APP，讓消費者在APP上有更多選擇權。而隨著新業者進入市場，智慧型手機用戶將可以有更多搜尋引擎和社交平台選擇。此外消費者亦可選擇退出具有針對性的個人化廣告發送，以達成讓消費者擁有更多的資料自主權。 　　為能有效落實上述措施，DMU將有權指定特定企業為具有「戰略市場地位」（strategic market status）的公司。指定標準將依公司的營業額、對消費者的影響力、對市場活動的影響力、公司的活躍程度與規模等綜合評估，檢視其是否達到強大且根深蒂固的力量（substantial and entrenched market power）。DMU並將針對少數主導數位市場的企業應如何公平對待其用戶和其他公司提出行為準則。被指定的公司若違反相關規範，將面臨全球年營業額最高10%的罰款，如果連續違反，則可被處以全球每日營業額5%的額外罰款。 　　英國政府期待透過新的監管計畫及未來的修法介入市場競爭，促使市場環境更為公平且適於創新，同時讓消費者擁有更多選擇權。英國新監管計畫之實施情形，值得持續關注。

　　澳洲政府於 3 月 28 日 發布了反垃圾郵件（ anti-spam ）從業規則（ code of practice ），強制網路服務提供者（ ISP ）採取反制措施，以防堵大量、不請自來的電子郵件；業者若未配合新法的要求，將面臨鉅額的罰款。 　　繼 2003 年頒布的「垃圾郵件法」（ Spam Act ）後，澳洲通訊及媒體局（ Communications and Media Authority ）此次依據垃圾郵件法規定，針對 ISP 業者進一步制定了從業規則，成為對抗垃圾郵件的另一項重要工具。新法課予 ISP 業者的主要義務包括了： (1) 向用戶提供過濾垃圾郵件的服務選項； (2) 合理限制用戶電子郵件的發送；及 (3) 設立相關的投訴機制等。 　　為給予業者相當的緩衝時間，新法將自今年的 7 月 16 日 實施，屆時主管機關將針對澳洲當地近 700 家 ISP 業者進行檢查。一旦發現有違規情事，澳洲聯邦法院可對之處以 1,000 萬澳幣以下的罰款。