英國內閣辦公室宣布開啟「2015年開放政府夥伴英國國家行動計畫」

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

促進生物材料商業流通之OpenMTA 資訊工業策進會科技法律研究所 方玟蓁 法律研究員 2019年3月 　　隨著全球老年人口的增加，使得心血管和骨科疾病的患者數量攀升，進而提高了市場對於生物材料的需求。根據Grand View Research報告指出，到2025年，全球生物材料市場規模預計將達到2504億美元[1]。 　　生物材料的類型包括載體、質體、噬菌體、病毒、細菌等[2]。為了生產出具理想性能之生物材料，往往需耗費龐大的研發時間與費用，因此，透過生物材料移轉合約 (Material Transfer Agreement，以下簡稱MTA)，將有利加速生物技術的開發。 　　過去公開了幾種類型的MTA[3]，允許學術界或慈善機構的研究人員能更輕鬆地在各研究單位間共享這些生物材料，其中最常使用的就是1995年由美國國家衛生研究院(National Institute of Healthcare)所發佈的統一生物材料移轉協議(Uniform Biological Material Transfer Agreement，以下簡稱UBMTA)[4]。UBMTA一直是被視為首選的通用定型化生物材料移轉合約，其提供了統一MTA模板，並進而促進研究用途的生物材料流通。 　　UBMTA的標竿性條款內容包括： 材料提供的使用目的在於教學與學術研究。 材料接受者於實施或發表過程中應註明其材料來源。 材料提供者擁有該材料所有權，即使是該材料被合併使用的情況下。 材料接受者擁有改良方法及其生產物質之所有權；惟屬於材料提供者的原材料相關專利及其他無形財產權，並不經由MTA而當然授權予材料接受者。 對於材料接受者於材料使用、儲存或保管所造成的一切有形與無形的損害，均不可歸責於材料提供者；材料提供者亦不提供材料接受者或任意第三方因材料研究、保存、運輸等行為而造成的損害補償。 材料提供者無償提供材料予接受者進行使用，而材料接受者除了需補償材料提供者於材料配送及準備中的必要費用外，材料提供者不應向材料接受者請求任何額外費用。 材料提供者不擔保任何材料使用過程中可能造成的第三方專利權、商標權或其他所有權的侵權問題。 　　除了上述被廣泛接受的內容外，UBMTA還包含了其他用來保護材料提供者對於被轉移材料的商業實施權及其所有權，這些內容包括: 材料接受者散佈該材料及其修飾物之對象，僅限非營利組織供教學或研究用途，且該非營利組織需先與材料提供者另行簽定UBMTA，始得取得材料。 若材料接受者對於該材料或該材料之修飾物具有商業行為之意圖，材料接受者應與材料提供者商討商業使用條件。 材料使用者可就其使用材料過程中之任何發現申請專利，惟其應將該行為通知材料提供者。 　　UBMTA雖然保障了材料接受者能夠無償使用該材料進行研發，但其對於被移轉材料的二次移轉，有嚴格的限制，造成許多材料接受者欲進行材料流通以及成果商業化的障礙。其中較具爭議的部分在於： 材料接受者不能是以營利為目的之研究單位。 材料接受者不可自行決定並散佈該材料、該材料之後代(如病毒所繁衍之後代)、未經修飾之衍生物(具有原材料功能之子單元，例如純化或部分的原材料子集合、由原材料DNA所組成的蛋白質)、單純修飾之物(具有或合併原材料之物質)。 　　在以上UBMTA的限制條件下，材料被限制為僅能單純提供作為學術研究使用，且材料提供者對於被轉移的材料及其衍生物具有絕對控制權，就材料接受者研發成果商業化的需求與角度來看，前述的UBMTA內容過度保護了材料提供者對於其材料流通範圍、使用目的、及其後續的任何商業利用。 　　2018年，生物科技的權威期刊Nature Biotechnology中，也提到許多生物技術研發常用到的材料例如病毒及細菌，其個體或樣本本身的經濟價值較低，且一般MTA之材料後續流程鮮少被監督，故UBMTA對於材料二次移轉的相關限制，徒增材料轉移的障礙，而缺乏實質限制效果[5]。由於生物技術之研發大多須以樣本本身作為基礎，進而研發其衍生物質及其用途相關成果；惟UBMTA對於材料移轉研發後續商業行為之限制，使得眾多學術界的材料接受者難以基於其初步研發之成果，接續尋找合適的合作者進行商業實施。 　　此外，身為市場上最大型且主要的生物材料共享組織Addgene[6]，其亦基於材料公開與分享的立場，使用UBMTA作為預設MTA，即便許多Addgene提供的材料本身並不具有特定商業價值，UBMTA亦排除了商業機構之研究人員使用Addgene所提供之材料資源進行相關研究。 　　基於上述UBMTA產生的材料流通性限制，BioBricks基金會[7]和OpenPlant[8]合作制訂了OpenMTA[9]，並於2018年發佈，其係建立於UBMTA的基礎上，惟更強化了材料移轉後材料接受者對於材料及其衍生物之商業上使用、散佈的可行性。OpenMTA主要的特色在於： 材料可取得性(ACCESS)：除了準備與配送等必要開銷費用之外，基於OpenMTA所提供之材料不需任何移轉費用。 材料歸屬(ATTRIBUTION)：材料接受方需依照材料提供者的要求具名材料來源。 材料再利用性(REUSE)：可基於OpenMTA所提供的材料進行修改，進而開發出新物質。 材料重新分配(REDISTRIBUTION)：OpenMTA不限制任何一方出售或贈送材料(包括其後代、未修改的衍生物)。 材料移轉之其非歧視原則(NONDISCRIMINATION)：OpenMTA支持各類機構研究人員之間的材料移轉，包括學術、工業、政府和社區實驗室的研究人員。 　　OpenMTA與UBMTA相比，其具兩點主要差異： 材料接受者可在未經材料提供者允許情況下，自行散佈於該材料使用過程中所產生之物質，所述物質包含原材料之後代、未經修飾之衍生物、以及單純修飾之物，而MTA中可另行要求材料接受者在進行此散佈行為時，需告知材料提供者。 材料接受者可以使用該材料進行任意符合法律之行為，其中亦包括商業相關之行為。 　　在這樣材料所有權開放的合約條款中，卻也引起了潛在風險問題： 材料本身可能具有危險性，若任其散佈，恐造成大範圍公共安全危險與傷害。 可供商業化使用的條款，將允許材料接受者可提供樣本給商業公司，使其可直接複製並進行販售，恐影響材料提供者的商業利益。 　　BioBricks基金會對於前述質疑之回覆分別為： 材料接收者可自行散佈之生物材料範圍，不適用數量有限、或受到嚴格生物安全法規限制之生物材料。 OpenMTA適用於個體價值低、或複製容易之材料，對於商業上有價值的材料樣本，材料提供者有可能具有適當修改並隱藏其材料中之新穎或秘密部分的能力，在這樣的情形下，材料提供者可以提供適當修改或加密後的樣本，以避免因開放流通而遭受商業上損失。 　　於OpenPlant的研究報告中，進一步提到現今的DNA合成技術已可於了解DNA資訊的情形下，使用極低的價格合成出與原DNA相同的DNA樣本，於此情況下，材料資訊的商業價值是比材料本身還要高，而材料的二次移轉也不會造成材料提供者嚴重的商業上損失[10]。然而，不論是UBMTA還是OpenMTA，其對於材料本身及其用途所包含的智財權利，均明訂不會隨著MTA而當然授權給材料接受者，故材料提供者所擁有與材料相關的智財權，亦應成為材料提供者於商業實施上的主要權利保護方式。 　　對於我國的相關學術單位來說，可善用OpenMTA取得生物材料，將有利於進行後續商業上試驗開發使用，惟不論是使用UBMTA還是OpenMTA，皆需釐清依附於生物材料上之相關智財權利，並須確保告知承接研發成果的企業，以免該企業在進行後續商業上行為時面臨智財侵權的風險。 [1] GRAND VIEW RESEARCH, Biomaterials Market Size Worth $250.4 Billion by 2025 l CAGR: 14.7%, November 2018, https://www.grandviewresearch.com/press-release/global-biomaterials-market (last visited March 10, 2019). [2] 智慧財產局，<何謂生物材料？>，專利Q&A， https://www.tipo.gov.tw/ct.asp?xItem=503975&ctNode=7633&mp=1 (最後瀏覽日：2019.03.10)。 [3] OpenPlant, Comparison of features and terms for standard MTAs, https://www.openplant.org/openmta (last visited March 10, 2019). MTA模板類型包含UBMTA、SLA、Science Commons、以及2018年發佈之OpenMTA。 [4] NIH, Forms and Model Agreements, https://www.ott.nih.gov/resources#MTACTA (last visited March 10, 2019). [5] Linda Kahl, Jennifer Molloy, Nicola Patron, Colette Matthewman, Jim Haseloff, David Grewal, Richard Johnson , Drew Endy, Opening options for material transfer, Nature Biotechnology volume 36, 923–927 (2018), available at https://www.nature.com/articles/nbt.4263 (last visited March 10, 2019). [6] Addgen, https://www.addgene.org/mission/ (last visited March 10, 2019).Addgen係一全球性非營利性存儲庫，旨在幫助科學家共享質粒。質粒是生命科學中常用的基於DNA的研究試劑。當科學家發表研究論文時，他們將相關的質粒存放在Addgene，然後，當其他科學家閱讀該出版物時，他們可以從Addgen取得未來實驗所需的質粒。在Addgene之前，科學家的任務是重複向每位新請求的科學家發送質粒。現在，科學家只需一次性的將他們的質粒運送到Addgene，即可交由Addgene負責質量控制、MTA合約、運輸和記錄保存。 [7] BioBricks, https://pansci.asia/archives/149977 (last visited March 10, 2019). BioBricks基金會係一公益組織，創立於2006年，其創立了一個開放的DNA標準環節資料庫。這類經細緻修改的環節能相互拼組，就像樂高方塊一樣。「拼組」係指萃取出的基因及基因開關組成一條條 DNA 鏈，兩端已經模組化，以便按正確的生物定向連接起來。當研究所需，就可以從資料庫調出各種基因環節，附著於小張試紙上運送至世界各地。要是添加溶劑，DNA便會漂移，如積木般與下一個環節結合。 [8] OpenPlant, https://www.openplant.org/openmta (last visited March 10, 2019). OpenPlant是劍橋大學John Innes中心與Earlham研究所聯合倡議，由BBSRC和EPSRC資助，是英國合成生物學促進增長計劃的一部分。合成生物學為重新編程的生物系統提供了改進和可持續生物生產的前景。儘管該領域的早期努力是針對微生物，但植物系統的工程設計提供了更大的潛在益處。 [9] BioBricks Foundation, Open Material Transfer Agreement, March 15, 2018, https://biobricks.org/openmta/ (last visited March 10, 2019). [10] OpenPlant , Towards an Open Material Transfer Agreement, at 9, 2018, https://static1.squarespace.com/static/54a6bdb7e4b08424e69c93a1/t/5a81a054e4966bb7ff8a6885/1518444640740/OpenMTA+Report.pdf (last visited March 10, 2019).

美國伊利諾州伊利諾最高法院（Illinois Supreme Court）於2023年11月30日對Mosby v. The Ingalls Memorial Hospital et al.案做出判決：認定符合聯邦法規健康保險流通與責任法（Health Insurance Portability and Accountability Act, HIPAA）規定，基於「治療、付款或健康照護運作」之前提下，除病患外即使是醫療服務提供者的生物識別資訊被蒐集、利用或揭露，同樣不受伊利諾州生物資訊隱私法（Biometric Information Privacy Act, BIPA）的保護。 伊利諾州現行以BIPA對蒐集或保留任何個人的生物識別資訊（如虹膜、聲紋、指紋或生物樣本等）做了較為嚴格的限制，原則上這些資訊不能在未經當事人同意的情況下被蒐集、利用或揭露。除非是1.由醫療保健機構從患者身上蒐集的生物識別資訊；或2.根據HIPAA規定，基於進行治療、付款或健康照護運作的前提來蒐集、使用或儲存的生物識別資訊，才可例外免經當事人同意（biometric identifiers do not include information captured from a patient in a health care setting or information collected, used, or stored for health care treatment, payment, or operations under the federal HIPAA.）。然而，基於進行治療、付款或健康照護運作的前提，資料主體除接受治療或健康照護的病患外，是否涵蓋醫療服務提供者（如醫護人員），則有疑義。 本案因醫院的護理人員認為醫療院所未經同意，使用帶有指紋掃描功能的藥品櫃，來蒐集、使用或儲存了他們的生物識別資訊，因此提起訴訟。伊利諾州的地方法院和巡迴上訴法院於本案均支持原告提出的主張。然而，伊利諾州最高法院審理時則透過文義解釋以及條文結構分析之方式，認為立法者係有意於例外規定中重複使用「資訊」一詞，兩次「資訊」之內涵應有不同。故前段的資訊係指患者的資訊，而後段的資訊來源則應包含了醫療照護提供者，方符合立法者真意。 生物識別資訊風險較高，過去被認為需要取得當事人積極同意授權；於本案中伊利諾州最高法院權衡認為基於「治療、付款或健康照護運作」情境下，如本案情形係用來確保醫藥品被正確分配給需要的患者，因此對患者以外的醫療人員隱私權做出限制符合例外規定。本案揭示了個資隱私得為合理利用的情境之一，然而HIPAA對於資料傳輸較寬鬆的規範會否又與資料保護的趨勢有所違背，仍須持續關注相關案例發展。

　　2007年11月，日本京都大學以山中伸弥教授為首之研究團隊，發表了成功讓從人類臉部皮膚採取之纖維母細胞（fibroblast）轉形成誘導多能性幹細胞（induced pluripotent stem cell，以下簡稱iPS細胞）之案例，展現出日本目前在iPS細胞研究領域中所佔據的領先地位。而在看到京都大學研究團隊在iPS細胞研究上的卓越成果，並認知到國際間在此領域上的激烈競爭，日本文部科學省在2007年12月22日公佈了「加速iPS細胞研究之總合戰略」（iPS細胞（人工多能性幹細胞）研究等の加速に向けた総合戦略，以下簡稱總合戰略），其中提出構築整合日本全國之研究推動體制、投入充足之研究經費與確保智慧財產權之取得等具體方案，希望能藉此來推動日本iPS細胞研究之加速進展。之後在2008年3月18日，文部科學省又公佈了「有關加速iPS細胞研究之總合戰略的具體化」（iPS細胞（人工多能性幹細胞）研究等の加速に向けた総合戦略の具体化について），其中除整理截至當時為止的總合戰略實施情況，也具體點明在2008年度會採取的iPS細胞研究具體推動方案。 　　總合戰略中較重要的規劃有：文部科學省支援京都大學設立「iPS細胞研究中心」（iPS細胞研究センター），作為日本推動相關研究之核心研究組織；將iPS細胞之相關研究列入「戰略型創造研究推進事業」（CREST）之研究補助計畫中，公開相關研究計畫，提供研究經費來推動其研究之發展；文部科學省透過獨立行政法人科學技術振興機構，派遣知悉iPS細胞研究的專任智財權專家到京都大學支援，協助其取得iPS細胞相關專利。