外掛程式開發公司Bossland GmbH指控暴雪娛樂竊取外掛程式的原始碼

美國NSF研究基金申請之利益衝突管理機制簡介 財團法人資訊工業策進會科技法律研究所 法律研究員 吳建興 106年07月17日 壹、事件摘要 　　國家科研計畫投入大量資金研發，旨在產出符合一定品質之研究成果，而無論其研究成功與否，需具備研究成果之客觀中立性[1]。為達成此目的，研究計畫申請時（含產學研究計畫），申請研究單位需已建立財務利益衝突管理機制，確保其研究人員能避免因其自身財務利益，而影響國家科研計畫所資助之研究客觀成果。以美國National Science Foundation Awards(以下簡稱：NSF)研究基金為例，NSF要求申請機關就其執行研究人員需揭露重大財務利益，並具備相關〈利益衝突管理機制〉[2]。以下將根據the NSF Proposal & Award Policies & Procedures Guide[3] (以下簡稱：PAPPG)簡介此機制內容及運作方式。 貳、NSF研究基金下財務利益衝突管理機制之特色 一、機制首重事前(Ex ante)揭露、審查及管理 　　美國NSF研究基金之機制，首重利益衝突管理，除非有不能管理之利益衝突存在，否則不會影響研究基金之申請。申請單位於NSF研究基金申請前即需管理利益衝突，主要參與研究計畫之人員，需事前揭露重大財務利益，並由申請機關審查有否利益衝突存在，若認定有財務利益衝突時，需提出管理利益衝突方法。 二、執行計畫研究人員需受利益衝突教育訓練義務。 　　NSF研究基金依據聯邦法規[4]規定，要求申請NSF研究基金之研究機關需在其計畫書中載明單位如何使參與研究人員接受教育訓練，明瞭何謂負責之研究行為(Responsible Conduct of Research:簡稱RCR)，亦即如何避免研究上發生重大財務利益衝突行為。 三、重大財務利益[5]揭露需超越一定門檻 　　程序上需定義何為需揭露之重大財務利益，包括揭露主體、時機及揭露關係人範圍，以下分述之。 　　揭露主體：符合聯邦基金計畫下定義之主要研究計畫主持人（All Principal Investigators, Project Directors,Co- Principal Investigators）或其他負責研究計畫之設計、執行及報告之研究人員[6]。皆有填寫一份NSF財務揭露表單之義務。 　　揭露時機：於提出研究計畫書予NSF研究基金時，相關研究計畫主持人即需提交所需財務揭露表，而於執行計畫期間，研究計畫主持人或其配偶及同居人及未成年子女，仍有揭露新重大財務利益之義務[7]。 　　揭露關係人範圍：前揭揭露主體之配偶及同居人及未成年子女之所有超過美金一萬元之重大財務利益或持有受研究計畫影響公司之所有權利益超過百分之五皆須申報揭露。 　　NSF研究基金下所謂之重大財務利益概念係指[8]： 研究主持人及其配偶或未成年子女接受任何超過美金一萬元之合理市價股權利益（equity interest）（含股票、證券、其它所有權利益other ownership interests）或持有任何公司超過5%之所有權利益[9]。 研究主持人及其配偶或未成年子女，於申請前一年內從公司接受任何總計超過美金一萬元之薪資、智財權收入（含權利金）及其他收入[10]。 四、專人審查利益揭露及利益衝突需具備直接及重大性 　　NSF研究基金規定申請機關得指派一人或多人審查財務揭露[11]並認定是否存在利益衝突，審查型式可以委員會型式[12]呈現或由研究機關指派大學內院長等專人為之，無硬性規定。 關於如何認定重大財務利益衝突存在，NSF研究基金規定若審查人合理認定重大財務利益（SFI）可直接（Directly）或重大(Significantly)影響由NSF所資助研究計畫之設計、執行及報告時，即可認為存在利益衝突[13]。 五、利益衝突管理措施具多樣性，非只有當事人迴避一途 　　當審查人認定有利益衝突存在，審查人可決定採取限制措施或條件，以管理、降低及移除利益衝突[14]。其可能採取管理措施計包括但不限於：對公眾揭露重大財務利益、獨立審查人控管研究計畫、更改研究計畫、斷絕產生利益衝突關係、脫離重大財務利益及不參與研究計畫[15]。 參、事件評析 （一）美國NSF研究基金制度於有利益衝突時首重衝突管理，而目前臺灣科研計畫無所謂管理利益衝突概念，而採事前一律迴避義務[16]。 　　我國在研究計畫申請時就已採當然迴避規定，並要求計畫主持人及共同人主持人填寫利益迴避聲明書[17]，但就研究執行期間發生利益衝突情況之處理方式並無規定[18]。 　　以今年2017科技基本法修法通過後為例，其立法意旨雖明確指出擬規範技術移轉的利益迴避，〈讓科研過程更加透明，以避免學研機構及人員在技轉時不慎踩線違法〉[19]，然而此利益迴避機制仍是針對研發成果管理後端之技轉過程為利益迴避審查，尚未導入研發階段之利益衝突管理機制。目前子法的修訂仍正在進行中，且公布草案中有要求執行研究發展單位於其研發成果管理機制，建立技術移轉的〈利益迴避管理機制〉，惟對於研發前端的〈利益衝突管理機制〉仍未如NSF基金有一樣之制度建立[20]。 （二）目前臺灣對前端科研計畫之申請並無要求執行機關需對參與研究人員有財務利益衝突認識之教育與訓練 　　雖就目前科研計畫申請無要求，然在今年2017科技基本法修正後，在其子法預計要求執行研究發展單位需導入針對研發後端之技術移轉時所涉及利益迴避為教育訓練[21]。 （三）臺灣科研研究計畫申請前，仍需在研究前端導入利益衝突管理機制，目前修法僅預計在觸及技轉新創公司時，在研究成果管理機制中新增〈利益迴避管理機制〉，是從研究成果後端導入機制。 　　近年來，產學合作研究增加研究機關與產業之互動，然而此互動關係也漸趨複雜。為不影響產學研究成果之科學上之客觀性，研究計畫之財務利益衝突管理也需為適時調整。惟有加強此產學合作關係上透明性，確保利益衝突規範之遵行，且加強執行單位之自我監控，做好利益衝突管理及主責機關之監督，方可避免因日漸複雜的產學合作關係，使得其合作成果受到質疑[22]。若申請單位本身能提出財務利益衝突管理方法，落實預防性保護措施，自能保證研究成果之客觀性。 　　為達前述科研成果之客觀性，此利益衝突管理之導入時機，需在研發前端為之，也就是在研發申請前，執行研究發展單位就需為利益衝突管理。 　　臺灣似可參考NSF研究基金作法，由於其出自另一種思維，除消極防弊外，更積極將重大財務利益事前發現及揭露，並於揭露後判斷是否會直接及重大影響研究成果，若為肯定，則採行適當管理措施以減輕，消弭或管理利益衝突，達到研究成果客觀性目的。此項利益衝突管理思維，可為如何思考改進現行我國在研發計畫申請時只採當然迴避機制為參考。 [1]指科研計畫不受研究人員利益衝突而影響研究成果之科學上真實性。 [2] 本文用〈利益衝突管理機制〉文字來指稱NSF基金所設立之模式，在認定有重大利益衝突時，需採取一定措施來管理、減輕及移除利益衝突，迴避只是其中一種管理手段，與另一種〈利益迴避管理機制〉模式有所不同，該機制雖有利益揭露，及專人審查，然其審查結果只導向當事人需不需迴避之結果，無採取其他管理措施可言。 [3] Proposal & Award Policies & Procedures Guide, National Scence Foundation,https://www.nsf.gov/pubs/policydocs/pappg17_1/sigchanges.jsp (Last visited, June 14, 2017) [4]其法源依據為：Section 7009 of the America Creating Opportunities to Meaningfully Promote Excellence in Technology, Education, and Science (COMPETES) Act (42 USC 1862o–1) [5] Significant Financial Interest:以下簡稱SFI [6]A. Conflict of Interest Policies, 2., PAPPG, https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [7] 參NSF之財務揭露表 [8] 原文請參照：‘The term "significant financial interest" means anything of monetary value, including, but not limited to, salary or other payments for services (e.g., consulting fees or honoraria); equity interest (e.g., stocks, stock options or other ownership interests); and intellectual property rights (e.g., patents, copyrights and royalties from such rights).’. 參A. Conflict of Interest Policies, 2., PAPPG, https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [9]原文請參照：‘A.2.e. an equity interest that, when aggregated for the investigator and the investigator’s spouse and dependent children, meets both of the following tests: does not exceed $10,000 in value as determined through reference to public prices or other reasonable measures of fair market value, and does not represent more than a 5% ownership interest in any single entity;’由此段文字反推而出。 https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [10]原文請參照：‘A.2.f. salary, royalties or other payments that, when aggregated for the investigator and the investigator’s spouse and dependent children, are not expected to exceed $10,000 during the prior twelve-month period.’由此段文字反推而出。 https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [11] A. Conflict of Interest Policies, 4. PAPPG, https://www.nsf.gov/pubs/policydocs/pappg17_1/pappg_9.jsp (Last visited, June 14, 2017) [12] 加州柏克萊大學設有利益衝突委員會而史丹佛大學則由學院長指定專人審查。 [13] 原文為：‘‘A conflict of interest exists when the reviewer(s) reasonably determines that a significant financial interest could directly and significantly affect the design, conduct, or reporting of NSF-funded research or educational activities.’’ A. Conflict of Interest Policies, 4. supra note 6.(黑體字為本文所強調) [14]原文為：‘‘4.An organizational policy must designate one or more persons to review financial disclosures, determine whether a conflict of interest exists, and determine what conditions or restrictions, if any, should be imposed by the organization to manage, reduce or eliminate such conflict of interest.’’ A. Conflict of Interest Policies, 4. supra note 6. (黑體字為本文所強調) [15] A. Conflict of Interest Policies, 4. supra note 6. [16]參科技部補助產學合作研究計畫作業要點第一章通則之六、（迴避規定）以下。 [17]參科技部補助產學合作研究計畫書第三頁,https://www.most.gov.tw/folksonomy/list?menu_id=4dda1fd8-2aa9-412a-889b-9d34b50b6ccd&l=ch（最後瀏覽日：2017/06/14） [18] 經查科技部補助產學合作研究計畫作業要點無相關規定。 [19] 黃麗芸，〈科技基本法三讀，行政教職可兼新創董事〉，中央社，2017/05/26,https://finance.technews.tw/2017/05/26/administrative-staff-can-be-start-up-company-director/ (最後瀏覽日：2017/07/17) [20]請參照科技部公告〈政府科學技術研究發展成果歸屬及運用辦法部分條文修正草案對照表〉內修正條文第五條第三項之四、利益迴避、資訊揭露管理：受理資訊申報、審議利益迴避、公告揭露資訊 等程序，並落實人員、文件及資訊等保密措施。及修正條文第五條之一及修正條文第五條之二等相關條文。 https://www.most.gov.tw/most/attachments/61706f66-80b1-4812-9d6a-3fb140ab21f9 (最後瀏覽日：2017/07/17) （粗體字為本文強調所加）。 [21]請參照科技部公告〈從事研究人員兼職與技術作價投資事業管理辦法部分條文修正草案對照表〉內修正條文第七條學研機構應就依本辦法之兼職或技術作價投資設置管理單位，訂定迴避及資訊公開之管理機制，包括設置審議委員會、適用範圍、應公開揭露或申報事項、審議基準及作業程序、違反應遵行事項之處置、通報程序及教育訓練等。https://www.most.gov.tw/most/attachments/db227464-b0f8-4237-ae7c-d6eb712ff3f7 (最後瀏覽日：2017/07/17)（黑體字為本文強調所加）。 [22] 參美國聯邦衛生部（HHS)於2011年修改旗下PHS之研究基金申請規則之背景說明（42 CFR part 50, subpart F and 45 CFR part 94 (the 1995 regulations), that are designed to promote objectivity in PHSfunded research.）。Responsibility of Applicants for Promoting Objectivity in Research for Which Public Health Service Funding Is Sought and Responsible Prospective Contractors, 76 Fed. Reg.53,256,53,256(Aug. 25, 2011)(to be codified at 42 CFR Part 50 and 45 CFR Part 94).

　　澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為，在符合特定條件之情形下，亦即，去識別化過程符合OAIC認定之最高標準時，去識別化後之資料不適用「1988隱私法案」(Privacy Act)；澳洲企業組織目前所進行之個人資料去識別化，是否已符合「1988隱私法案」之規範要求，OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 　　澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs)，就非公務機關蒐集、利用、揭露與保存設有規定，APPs第6條更明文限制非公務機關揭露個人資料，於特定情況下，APPs允許個人資料經去識別化後揭露。例如，APPs第11.2條規定，若非公務機關當初之蒐集、利用目的已消失，須以合理方式將個人資料進行銷毀或去識別化。 　　如非公務機關係合法保有個人資料，即無銷毀或去識別化義務；此外，若所保有個人資料屬健康資料者，因係澳洲政府機關以契約方式委託非公務機關，非公務機關亦無銷毀或去識別化義務。應注意者，APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的，主動蒐集個人健康資料 (APPs第16B(2)條)，同時亦禁止基於學術研究、公共衛生或安全目的，就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的，且符合APPs第16B(2)條之要件者，非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 　　其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等，均就個人資料去識別化訂有相關規範。 　　未來以資料為導向之經濟發展，將需堅實的隱私保護作為發展基礎，澳洲去識別化個人資料認定標準之提出，以及標準之認定門檻，殊值持續關注。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 2024年11月底，澳洲政府通過了2024年網路安全法（Cyber Security Bill 2024），期許藉由制定專法，保護澳洲現在與未來的網路環境。 2024年網路安全法主要包含以下內容： 1. 制定並落實全境智慧型裝置之最低網路安全標準。過往澳洲智慧型裝置不受任何強制性網路安全標準或法規約束，該法通過後，將能有效提升消費者網路安全。 2. 研搜對抗網路勒索軟體活動之資訊。澳洲政府不鼓勵企業在遭遇勒索軟體攻擊時支付贖金，因為支付贖金不僅鼓勵網路犯罪，更不能保證資料的恢復或機密性。然目前澳洲政府並未立法禁止支付贖金之行為，僅於2024年網路安全法要求關鍵基礎設施或營業額達定一定門檻之企業，假若不幸遭受勒索軟體攻擊，並決定支付贖金，須於72小時內向主管機關通報。 該通報義務是為幫助主管機關即時掌握勒索活動資訊，快速制定應對策略，並開發有利業界執行網路防禦的工具和資源，破壞勒索軟體獲利模式。依目前規定，報告內容將包含勒索金額、支付對象、支付方法等資訊。 3. 鼓勵企業分享網路安全資訊。2024年網路安全法為鼓勵企業與政府共享網路安全事件資訊，限制國家網路安全人員存取前揭資訊之目的，如不得利用企業自願提供之網路安全事件資訊調查企業違規行為，除非符合2024網路安全法規定之例外情況。 4. 建立網路事件審查委員會（Cyber Incident Review Board）。該委員會作為獨立機構，負責對重大網路安全事件進行有無過失之事後審查，並為政府和產業提供建議，以確保各方利害關係人能夠從網路安全事件中吸取教訓。 2024年網路安全法的制訂，顯示澳洲政府為強化網路安全付出諸多努力，該國政府期許透過該法保護澳洲人免受網路安全威脅。

　　歐盟執委會（European Commission）於2022年5月3日發布「歐洲健康資料空間」（European Health Data Space, EHDS）規則提案，其旨在克服健康資料利用之障礙，以充分發揮數位健康與健康資料之潛力。EHDS為一個專門用於健康之資料共享框架（health-specific data sharing framework），針對患者以及用於研究、創新、政策制定、患者安全、統計或監管目的等電子健康資料之運用，建立明確規則、通用標準與實務、基礎設施與治理框架，無論是個人、醫療人員、健康照護提供者、研究人員、監管人員、產業界皆可由此受益。 　　EHDS之具體內容主要包括九個章節： （1）第一章為一般條款（General provisions），內容包括本規則之主題與範圍，並闡明定義、以及與其他歐盟法規之關係； （2）第二章為電子健康資料之原始利用（Primary use of electronic health data），其針對歐盟一般資料保護規則（GDPR）所載權利，增訂補充性之配套保護機制，並設定醫事人員及其他健康從業人員針對EHD之義務； （3）第三章為EHR系統與福祉應用（EHR systems and wellness applications），其主要重點為EHR系統之強制性自我認證計畫（mandatory self-certification scheme），要求其需符合可互通性與安全性等基本要求，並界定EHR系統中各經濟營運商（economic operator）之義務、EHR系統合規（conformity）要求，並負責EHR系統市場監督機構之義務； （4）第四章為電子健康資料之二次利用（Secondary use of electronic health data），如將資料用於研究、創新、政策制定、患者安全或監管活動。本章定義一組資料類型，規範可利用之既定目的以及受禁止之目的（如商業廣告、增加保險、開發危險產品），並規定會員國必須建立健康資料近用機構（health data access body），以便電子健康資料的二次利用，並確保由資料持有者所產生之電子資料可提供給資料使用者； （5）第五章為其他行動（Additional actions），其旨在提出其他措施以促進會員國之能量建構（capacity building），以配合EHDS之發展，包括數位公共服務之資訊交換、資金，並規範於EHDS下非個人資料之國際近用規定； （6）第六章為歐洲治理與協調（European governance and coordination），其創建「歐洲健康資料空間委員會」（European Health Data Space Board, EHDS Board），促進數位健康當局及健康資料近用機構之間的合作，特別是電子健康資料之原始與二次利用間之關係，並包含歐盟基礎設施聯合管理小組（joint controllership groups for EU infrastructure）相關規定，其任務在於就電子健康資料之原始與二次利用所需之跨境數位基礎建設進行相關決策； （7）第七章為授權與委員會（Delegation and Committee），其允許歐盟執委會通過關於EHDS之授權法案（delegated acts），並希望根據C (2016) 3301號決定成立一個專家小組，以便於準備授權法案、實施本規則時提供建議與協助； （8）第八章為附則（Miscellaneous）規定，其中包含關於合作與處罰之規定，以及要求於本規則實施後進行評估與檢視之條款； （9）第九章為延遲適用與最終條款（Deferred application and final provisions），其規定本規則與個別條款之生效日。