美韓兩國反托拉斯法主管機關共同簽署反托拉斯備忘錄

　　過去，在Tesla的總部大廳有一道專利牆，然現在已將它們移除，並不代表任何意義了，象徵進入推動類似「開放原始碼軟體」的概念，促進電動交通工具科技的發展。電動車製造商Tesla 的執行長Elon Musk表示S電動車款將仿效「開放原始碼軟體」的概念，免費提供製造者使用相關專利，以加速電動車產業的發展，因電動汽車的銷售量，仍未及一般汽車銷售量的1%；再者，假如電動車廣泛的發展，亦可降低電池交換站等基礎設施的成本。 　　Tesla為促進永續運輸的發展，將釋出數百件專利，且不會針對任何基於善意使用Tesla技術的人，提起專利訴訟，並進一步表示「假如我們是創造電動交通工具的開路先鋒，卻同時佈下許多智財地雷，禁止其他人踏入電動車產業領域，豈不是和我們的理念背道而馳。」Elon Musk坦言當他經營第一間公司時，認為專利等同於獎勵，因此設法努力取得專利；但之後體認到專利某程度阻礙進步，且保護的是大企業而非發明人本身，亦即企業有如獲得一場訴訟的門票，必須盡量避免運用此手段。 　　每年全球有100億元的新車產量，Tesla的生產速度根本不足以應對碳危機，易言之，在如此廣大的市場，Tesla真正的敵人為世界各地工廠每日傾瀉出產的汽油車，而非其他的電動車製造商，故釋出專利的舉動，相信將能促始其他電動車製造商，甚至全世界的電動車產業，因此共同且加速發展的科技平台而受惠。

　　美國FDA（Food and Drug Administration）於2019年11月22日發布「保密證書（Certificates of Confidentiality, CoC）」指引草案。保密證書之目的在於防止研究人員在任何聯邦、州或地方之民事、刑事、行政、立法或其他程序中被迫揭露有關研究參與者可識別個人之敏感性資料，以保護研究參與者之隱私。保密證書主要可分為兩種，對於由聯邦所資助，從事於生物醫學研究、行為研究，臨床研究或其他研究，於研究時會收集可識別個人之敏感性資料之研究人員而言，保密證書會依法核發予該研究人員，稱為法定型保密證書（mandatory CoC）；而對於從事非由聯邦所資助之研究的研究人員而言，原則上保密證書不會主動核發予該研究人員，惟當研究涉及FDA管轄之產品時，可由FDA自行裁量而核發保密證書，稱為裁量型保密證書（discretionary CoC），本指引草案旨在提供裁量型保密證書之相關規範。 　　FDA建議裁量型保密證書之申辦者先自問以下四個問題，且所有問題之答案應該皆為肯定：(1)申辦者所參與之人體研究是否收集可識別個人之敏感性資料？(2)申辦者是否為該臨床研究之負責人？(3)申辦裁量型保密證書之人體研究是否涉及受FDA管轄之產品的使用或研究？(4)申辦者之研究措施是否足以保護可識別個人之敏感性資料之機密性？ 　　於FDA完成審查後，將向申辦人傳送電子回覆信件，表明是否核准裁量型保密證書。若結果為核准，則該電子回覆信件即可作為保密證書。該保密證書之接受者應執行法律所規定以及FDA於電子回覆信件中所要求之保證事項，以保護人體研究參與者之隱私。

新加坡發布最新版《醫療照護人工智慧指引》 資訊工業策進會科技法律研究所 2026年06月10日 壹、背景摘要 新加坡衛生部（Ministry of Health, MOH）與衛生科學局（Health Sciences Authority, HSA）於2026年3月10日共同發布更新版《醫療照護人工智慧指引》（Artificial Intelligence in Healthcare Guidelines Version 2.0，以下簡稱AIHGle 2.0）[1]。延續2021年初版架構，以病人安全與強化信任為主軸，就人工智慧，特別是機器學習、深度學習及生成式人工智慧，在醫療場域之開發、部署與使用，分別課予開發者、部署者及使用者之責任，並以全生命週期治理一以貫之，期使創新與信任並行。 AIHGle 2.0 係 MOH 與 HSA 共同更新之指引，定位為非強制性之最佳實務建議，做為《健康照護服務法》（Healthcare Services Act 2020, HCSA）、規範醫療器材之《健康產品法》（Health Products Act 2007, HPA）、《個人資料保護法》（PDPA），以及資通訊媒體發展局（IMDA）之人工智慧治理模範框架等相關法令規範或政策的補充。 貳、重點說明 該指引將醫療 AI 之利害關係人明確區分為：開發者（Developers），即開發、整合或維護醫療 AI 解決方案者；部署者（Deployers），指受 HCSA 規範並導入 AI 以強化照護服務之醫療機構；使用者（Users），即實際操作 AI 之醫事人員分別有專章規範。於適用範圍上，AIHGle 2.0 雖廣泛適用於各類 AI，惟聚焦於風險較高之機器學習與深度學習複雜系統，生成式人工智慧則歸屬於其中一環。指引並將醫療場域 AI 使用情境三分為臨床（Clinical）、臨床作業（Clinical-Ops）與作業（Ops），明定其聚焦於對病人照護結果有直接或間接影響之前二者；至純屬作業性質者，則回歸 IMDA 跨產業之治理框架辦理。 一、釐清三大利害關係人之分工與權責 該指引明確將醫療 AI 之參與者區分為開發者、部署者與使用者三類，並就各方於系統生命週期中之責任分別訂定[2]。同時，其建議以服務水準協議（SLA）固化開發者與部署者間之權責，及標準作業程序（SOP）明定使用者責任： (一)開發者：負責法規遵循，以全產品生命週期（Total Product Lifecycle, TPLC）方法管理解決方案，確保訓練資料之品質與公平性，並備置使用者說明、提供上市後支援。 (二)部署者：負責建立組織內部治理平台，辦理部署前測試驗證、員工訓練與不良事件因應，並建立病人溝通流程；且導入 AI 後病人之照護成果應維持或優於未導入時之水準。 (三)使用者：應就 AI 輸入與輸出資料維持專業判斷與查證，並於 AI 異常時啟動應變措施，以確保病人安全。 二、建立以風險為本之評估架構，強制要求人為監督 針對直接或間接影響病人照護成果之「臨床」與「臨床作業」情境，指引強制規定所有 AI 之使用均須具備人為監督（human oversight），AI 僅為輔助工具，不得取代專業判斷；並依人為介入程度與風險高低，將風險類別區分為三類[3]： (一)人在迴路中（human-in-the-loop）：人類保有完全控制權，無人類指令即無法執行決策，屬輕至中度風險。 (二)人在迴路上（human-over-the-loop）：人類處於監測角色，遇異常時接管控制，屬中至重度風險。 (三)人在迴路外（human-out-of-the-loop）：無人為介入；指引明文禁止部署於無人監督下獨立作成臨床決策之 AI 系統，屬重度風險。 三、導入全產品生命週期（TPLC）管理 AIHGle 2.0指引要求開發者以全面而整合之策略管理 AI 解決方案，自初期之規劃、設計與開發，歷經模型評估、上市後監測與維護，甚至是生命週期終止之除役階段，都有不同角色區分的全程嚴謹之風險評估、軟體驗證與可追溯性要求[4]。 四、具體化七大倫理原則之落實方式 指引結合醫學倫理與 AI 治理，揭示七項倫理原則：安全、公平、透明、可解釋、穩健、資安與資料保護，以及 AI 與人類價值或目標之對齊。其特色在於不僅列出原則，更分就開發者、部署者與使用者給出具體之操作化範例；以「公平」原則為例，開發者須使用具代表性資料，部署者須監測非預期偏誤，使用者則須運用臨床判斷以減緩偏誤[5]。 五、針對新興技術與應用提出具體對策 因應 AI 能力快速演進，指引就三大新興發展領域分別提出風險減緩策略。包括：具持續學習能力之 AI，提醒防範「模型漂移」（model drift，即效能隨時間衰退）及資料揭露風險，要求建立追蹤模型效能之健全監測系統；就生成式 AI（Generative AI, GenAI）點出幻覺（hallucination）、產生不當內容、資料揭露與易受對抗式提示攻擊等放大風險，建議透過紅隊測試、檢索增強生成（Retrieval-Augmented Generation, RAG）、建立事實查核工作流程及加註 AI 產出警語予以因應；直接面向消費者之 AI 應用：因脫離傳統醫療場域之安全監督，AIHGle 2.0指引特別建議應實施嚴格的充分說明措施，以外行人易懂之介面設計，並強化消費者教育，以確保安全[6]。 參、事件評析 我國衛福部配合「人工智慧基本法」賦予目的事業主管機關訂定風險管理規範與協助產業訂定指引的權責，亦於115年5月29日頒布《醫療機構應用生成式人工智慧指引》[7]，雖同以病人安全與負責任創新為目的、同採非強制之行政指導，但規範對象、範圍與法制脈絡不同。惟若從產業指引的全面性與涵蓋範圍來看，新加坡的AIHGle 2.0指引相比於我國指引，在以下幾個面向，特別是對象範圍有較高的完整度，於衛福部指引仍有可借鏡的地方，亦可供將來我國其他各主管機關的產業指引制定參酌： 一、規範範圍不限於「生成式 AI」，完整的對其他與新興 AI 的涵蓋 新加坡指引適用範圍從簡單的規則式決策樹、機器學習到生成式 AI 等各類技術，目前衛福部指引考量具備自主決策與執行能力的 AI Agent，因可能直接影響病人健康結果，涉及病人安全、醫療責任與法規適用等議題，因此暫未納入指引適用範圍，而限定適用於「生成式人工智慧」系統。但隨技術演進、生成式以外之 ML/DL 乃至漸具自主能力之系統亦會進入臨床場域，將來仍宜及早規劃、適時滾動納入新加坡完整廣納各類技術於單一框架。 二、以持續修正、評估甚至終止機制因應技術迭代與部署後學習 新加坡特別訂定「具持續學習能力之 AI 解決方案」的規範，指明這類模型會依部署後的新資料更新行為，容易產生「模型漂移（model drift）」包括效能退化、意外資料揭露的風險，故特別提醒開發者與部署者必須建立健全的監測系統與追蹤評估機制，而且使用者必須警覺與通報示警。 三、完整地納入而非偏重「部署者」視角，提供對「AI 產業（開發者）」的直接指導 衛福部指引主要作為預備導入或已經導入生成式人工智慧系統之醫療機構的內部治理為主要對象與目的，但就產業指引角度，醫療AI 開發廠商產業端，僅透過醫療機構的「供應商管理與採購作業」角度，以合約要求廠商揭露資訊、約定責任分工等進行間接規範，未能有專屬開發實務準則，提供從初期的規劃設計，如確保訓練資料的品質、公平性與隱私強化技術、模型應以獨立測試資料集檢驗準確度，到上市後監督與維護的詳細直接指引，確實較為可惜。 四、涵蓋直接面向消費者端之 AI 應用風險提醒 衛福部指引的適用情境聚焦於醫療機構內的醫療或管理作業，例如病歷撰寫、臨床決策支援等。對於民眾自行透過手機或穿戴式裝置使用的醫療/健康 AI 應用則未加著墨。新加坡指引特別針對產業直接面向消費者之 AI 應用提出規範，指出這類應用由於脫離傳統醫療場域與專業人員的安全監督，特別須重視資訊的有效、可理解、對應不同程度使用者的提供與說明，必須實施外行人易於理解的介面與嚴格的防護欄，且部署者與醫事人員有責任教育病人正確使用，並在不清楚時尋求專業建議。 五、風險評估構面納入人為介入並強調組織治理與監督機制的建立 新加坡指引特別建議醫療機構建立內部治理平台，以於 AI 解決方案的整個生命週期中，維持對其組織內所部署所有醫療 AI 解決方案的評估、監督、維護、指引，該平台應具備相關的臨床、作業、技術與法律知識，有明確的稽核權責分離。衛福部指引以生成式 AI 為專門對象，確實就基礎模型偏差、輸出幻覺、使用者依賴（deskilling）及服務中斷等風險之操作化有較詳細的說明，但若能就風險評估除亦考慮影響性與發生可能性外，並以「人為介入程度」作為風險分級依據，將可更徹底的將負責任AI、人為最終判斷，納入、內化於組織的風險管理機制中。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://keid.nat.gov.tw/tips/） [1]新加坡衛生部（Ministry of Health）與衛生科學局（Health Sciences Authority），《醫療照護人工智慧指引》（Artificial Intelligence in Healthcare Guidelines）第2.0版，2026年3月，網址：https://isomer-user-content.by.gov.sg/3/23fb5b36-56b4-4abb-9370-75c9ddcaf3ed/AIHGle%202.0.pdf（最後瀏覽日：2026/06/05）。 [2]前揭註1之第4章責任分工，頁11；各方責任詳見第5章開發者、第6章部署者、第7章使用者，頁14~32；服務水準協議與標準作業見頁12~13。 [3]前揭註1之風險評估框架，頁23。 [4]前揭註1之第5.2節全產品生命週期管理，頁16~20。 [5]前揭註1之3章倫理原則，頁8~10。 [6]前揭註1，頁33至36（第8章新興發展：第8.1節具持續學習能力之AI、第8.2節生成式AI、第8.3節直接面向消費者應用）。 [7]衛生福利部，《醫療機構應用生成式人工智慧指引》，115年5月29日衛部醫字第1151663164號函頒。

　　為因應近來智慧聯網（IoT）、巨量資料及雲端運算發展趨勢，為強化線上隱私權利及促進歐盟數位經濟的發展，歐盟執委會於2012年1月25日對於資料保護指令提出新的規章草案：「保護個人有關個人資料處理及自由流通規章（一般資料保護規章）」（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation)），以取代並廢除（repealed）原有「個人資料保護指令」規範，並修改（amend）「隱私與電子通訊指令」，預計在2013年6月進入歐洲議會、理事會及執委會的三方協商，若順利將在2014年通過，並在2016年生效。 　　「一般資料保護規章」(草案)中對於聯網環境及智慧化設備運行之因應，重要規範內容有(1)追蹤（tracking）與特徵分析（profiling）：訂定第20條「特徵分析措施」（Measures based on profiling）規範條文，保障每個當事人皆有主張不被採取特徵分析措施（如個人傾向、工作表現、財務狀況、位址、健康、個人喜好、可信度）而致產生法律效果或顯著影響該個人的權利(2)被遺忘及刪除權（right to be forgotten and to erasure）：訂定第17條，創設新的權利「被遺忘及刪除權」，用以幫助民眾處理線上資料，當其不希望自己的資料被利用且無合法理由保留時，資料將被刪除(3)資料可攜權利（the right to data portability）：訂定第18條，當資料處理是以電子化方法，且使用結構性、通用的格式時，資料當事人有權利可以取得該結構性、通用格式下的個人資料，更容易自不同服務提供者間移轉個人資料。(4)當事人的同意要件：第4條第8款明定，不論何種資料處理情況時所需的同意，增列必須是明確（explicitly）同意之要件(5)「設計階段納入隱私考量」（privacy by design）、「預設隱私設定」（privacy by default）：訂定第30條，要求資料控制者及處理者應實行適當的技術性、組織性措施，並考量科技發展水準，制定特定領域及特定資料處理情況的標準及條件，並且資料保護將會從產品及服務最初發展、設計時就考量隱私問題應對「設計階段納入隱私考量」及「預設隱私設定」提出標準及條件。 　　歐盟此次對於「一般資料保護規章」(草案)的修法進程，以及世界各重要國家的立場及反應態度，均值得後續密切觀察研析。