在農產品業,食品安全在所有人的心中佔了極重要的位置。美國食品及藥物管理局(Food and Drug Administration,下稱FDA)在2015年9月發佈了食品安全現代化法(Food Safety Modernization Act;下稱FSMA)之產品安全建議規則(Produce Safety Proposed Rule;下稱PSPR)的最終版(final rule)。該規則的發布,預將使零售商尋找供應商的方向,轉變為以有遵守FSMA的供應商作為交易的對象。
PSPR主要是在規定人類消費之蔬果產品生長、繁殖、包裝、販售之規則。新增規範重點如下:
1. 農業用水(Agricultural Water):針對農業用水之品質標準、水質測試方式,作出規範。
2. 生物土壤改良(Biological Soil Amendments):對於改良土壤可能使用到之肥料或相關之微生物,作出規範。
3. 抽芽(Sprouts):對於植物在抽芽時相關預防微生物汙染、微生物測試,作出規範。
4. 馴養動物與野生動物(Domesticated and Wild Animals):針對在農場內放牧之動物,或用來幫助耕作動物之管理,作出規範。
5. 人員訓練、健康與衛生管理(Worker Training and Health and Hygiene):針對相關人員之教育訓練、衛生管理以及健康,作出規範。
6. 設備、工具與建築物(Equipment, Tools and Buildings):為了預防生產過程中可能遭受汙染之情況,對於硬體設備作出規範。
FSMA是美國第一個關於食品安全之立法,美國農業部(Department of Agriculture;USDA)為了讓零售商或中盤商更了解其自身對食品安全之需求以找尋適合之供應商,更預計在2016年春季推行集團優良農業作業準則前導計畫( Group Gap Pilot Program),提供第三方認證服務,以確認農產品所有之作業都有遵守FSMA及FDA之建議。
美國在醫療費用的支出常常超乎預期,其中處方藥之花費就佔了相當大的比例。為了減少醫療費用支出,並讓藥物之價格更為透明,加州州長傑瑞布朗(Jerry Brown)在2017年10月9日簽署了第17號法案(藥價透明化法案),要求藥物製造商若要調高處方藥價格超過一定程度,則須事前通報給主管機關;該法預計於2018年10月1日生效。 藥價透明化法所稱之處方藥(prescription drugs),包含學名藥、原廠藥或特種藥品。本法之主管機關為「加州衛生計畫與發展辦公室」(Office of Statewide Health Planning and Development, OSHPD),掌管本法之執行並對違規製造商處罰民事罰款,本法案施行之相關細節亦由OSHPD訂定。OSHPD依據本法所得之罰款或收入,將全數交給「照護管理基金」(Managed Care Fund)做運用。 依據藥價透明化法規定,處方藥製造商對於其處方藥產品若欲調高產品公告目錄價(Wholesale Acquisition Cost, WAC)超過40美元/療程之漲幅者,須將處方藥漲幅、漲價原因、藥品使用情況或市場等資訊,以「季」為單位,至少於漲價生效60天前通報給加州衛生計畫與發展辦公室。若該藥品為新產品,其WAC超過「醫療保險處方藥物改良和更新法」(Medicare Prescription Drug, Improvement, and Modernization Act)所定之價格區間者,須於新產品上市後3天內通報給OSHPD。 OSHPD在收到處方藥製造商的通報資訊後,則須依法將資訊公開於其網站上。
日本發布2026年10大資訊安全威脅,呼籲企業強化資料管理對策日本獨立行政法人情報處理推進機構(Information-technology Promotion Agency,下稱IPA)於2026年1月29日發布「2026年10大資訊安全威脅」,呼籲企業應留意自身資訊安全防護對策。 IPA將2026年10大資訊安全威脅區分為「組織」與「個人」兩大面向。在組織面向的威脅中,前三位依序為勒索病毒攻擊、針對供應鏈或委託方的攻擊,以及AI應用所帶來的網路風險。其中,「AI應用所帶來的網路風險」是自2016年IPA開始進行資訊安全威脅調查以來,首度入選前10大威脅,其風險內容主要為使用者對AI技術缺乏充分了解而導致的資訊外洩,或是由於AI遭惡意濫用,進而降低網路攻擊的門檻等風險。 此外,2026年10大資訊安全威脅第四至第十名依序分別為,針對系統漏洞的攻擊、竊取機密資訊的攻擊、由地緣政治風險引起的網路攻擊(包含資訊戰)、內部違規行為導致的資訊外洩、針對遠距工作環境的攻擊、分散式阻斷服務攻擊,以及商務電子郵件詐欺。從10大資訊安全威脅之內涵可知,多數資安威脅均與資訊外洩或惡意攻擊相關,顯見資訊的價值與重要度在現代數位化社會中日益提升。 臺灣企業如欲強化資訊安全防護對策,並針對資料本身進行妥善管理,建議參考資訊工業策進會科技法律研究所創意智財中心(資策會科法所創智中心)發布之《重要數位資料治理暨管理制度規範》,建立涵蓋數位資料生命週期之資料治理機制,同時參考該中心發布之《營業秘密保護管理規範》、《營業秘密管理指針2.0》,建立營業秘密管理措施或相關機制,避免具備機敏性或屬於營業秘密之資訊外洩。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
澳洲法院判決BRCA1基因專利部分無效澳洲高等法院(澳洲的最高司法機關)在10月7日時做出重要判決,認為單純從人類基因體分離出來的基因序列,不足以作為專利的申請標的。本案的原告是一名69歲曾罹患乳癌的女士,他向法院起訴請求法院宣告Myriad 基因公司所擁有的BRCA1基因專利中部分的專利範圍(claim)無效。BRCA1基因的突變(mutation)或特定的表型被認為與乳癌及卵巢癌的發生機率有關。在先前的審級,法院都判決被告勝訴,但高等法院推翻了先前的見解,以7票贊成0票反對的比數\判決原告的上訴有理由,Myriad基因公司的專利無效。本案由首席法官連同其餘三位法官提出多數意見,另外有兩份協同意見。 本案的主要爭點在於系爭專利是否符合澳洲1990年專利法(Patents Act 1990)中,對專利應屬於一種「生產方式」(manner of manufacture)的規定。多數意見認為系爭的專利範圍只是BRCA1基因的序列,這些資訊並非由人類所「製造」,而僅是由人類所辨別。因此這無法被視為是一種生產的方式,不符合專利法的相關要求。若要將其視為生產方式,則需要進一步擴張生產方式的概念範圍,不適合由法院進行判斷。同時法院認為這個專利可能造成寒蟬效應,使得與BRCA1相關的分離技術變得過於昂貴或形成事實上的壟斷狀態,也與專利法希望促進發明的初衷不符。最後,法院在確認澳洲對於是否應承認此類專利並無國際法上的義務後,宣告此專利無效。 澳洲的學界對此判決表示歡迎,認為此判決將使醫療人員執行職務時免於侵犯智慧財產權的恐懼。但澳洲的生技產業則認為這個判決可能會打擊相關的研究,造成負面影響。澳洲法院的判決與美國先前的判決見解相當類似,同時該判決也可能對於其他國家的類似案件發生影響。例如在加拿大的一個與罕見心臟疾病基因有關的官司,就很可能會受到本判決的影響也宣布該基因專利無效。
機關實體安全維護現行法制與實務運作之研析(下)機關實體安全維護現行法制與實務運作之研析(下) 科技法律研究所 2013年08月25日 貳、澳洲防護性安全政策架構:機關實體安全維護政策暨相關規範 一、「防護性安全政策架構」概說 防護性安全政策架構(Protective Security Policy Framework)[1]由澳洲司法部(Attorney-General’s Department)發布,最新版本修訂於101年12月,其宗旨在協助機關有效鑑別安全風險容忍度的等級、達成安全維護之要求並因應各機關業務目標發展適合的安全文化,同時也能達到預期的行政效能、獲得人民及國際間的信任。其架構設計成四個層次。 最上層為「政府業務安全性指令(Directive on the security of government business)」,屬於防護性安全政策架構的基石,訂明機關及委外廠商的安全性要求。第二層進一步訂定「核心政策/法定強制要求(Core Policies/Mandatory Requirements)」,核心政策從三大面向出發:人員安全、資訊安全及實體安全。第三層則分別就三大核心政策制訂細節性的實施指引、安全保護措施和風險管理文件的範本,包含應用標準,使所有機關作法具一致性,使跨部門的業務執行更加順暢。最末層則為「機關特定防護安全政策與程序(Agency-Specific Protective Security Policies& Procedures)」,協助機關發展出合乎自身特性和業務需求的專屬政策和程序,同時補充和支援其他機關的的營運程序。 二、機關實體安全管理指引:管制區及風險減輕控制[2] 本指引的規範客體為政府機關內所有人員及接受政府機關委外安全維護服務的承包商(contractor)及個人。保護範圍涵蓋所有政府設備設施、實體資產及機關人員駐點場所,但若澳洲法律有比本指引更嚴格的要求,應優先遵守。規範內容可分成四大項:降低風險與確保措施(risk mitigation and assurance measure)、管制區方法論及要求(the security zones methodology and requirements)、個別控制要素(detail of individual control measures)、行政管理上的實體安全要素(Physical security elements in administrative security)。 (一) 降低風險與確保措施 機關應依指定之標準和要求進行風險評估[3]及風險管理[4]。風險評估是設計安全維護措施的基礎,且至少每兩年便應重新評估。又機關可能因為某些特別的原因易生潛在的特定威脅,需要額外的加強實體安全性,機關可以透過檢視自己業務是否具爭議性、辦公場所地區犯罪發生率、出入訪客數量及以往發生衝突的機率、是否因持有特定資訊或資產而易於成為攻擊目標、設施是否與民間企業共構及其他誘因等進行風險評估。 接著,機關應依風險程度差異區分不同安全等級的工作區,或區分上下班時間,評估可能遇到不同的風險。例如,上班時間會有洽公民眾或訪客,需特別注意內部威脅;下班後則要特別注意外部入侵問題。又辦公室動線的設計與有效的安全控制攸關,故可以考慮進行「關鍵路徑規劃(Critical path)」,亦即在動線設計上,讓可能的外來危險入侵到辦公場所核心領域的成功時間盡可能延長,使應變小組有時間偵測、延遲並能及時回應跟阻止入侵。最後,機關若能擁有獨立建物時,於設計時需考量「透過環境設計預防犯罪(Crime prevention through environmental design/CPTED )」,避免建物有太多死角而易於進行不法或犯罪行為[5]。 (二)管制區方法論及要求 管制區(Security Zone)共分為五個安全等級,也就是依風險評估劃分工作區,並賦予相應的控管措施[6]。機關得按自身需求決定要設置幾個等級的管制區。例如,一級管制區指公眾可出入的場所、車輛會不斷進出的作業區,故得使用、儲存的資訊及資產敏感性不得超過一定等級;二級管制區是所有員工及委外廠商的自由出入的區域,公眾在一定條件下得出入,通常是指標準辦公場所、機場工作區或具一定隔離、出入管制措施的訪客區或展示區;三級以上管制區則對於能進出的內部人員的資格益加限縮,且外部人士或委外廠商可能需由專人全程護送,同時也能使用或儲存高重要性的資產和資訊,如情報機構本身即屬五級管制區。 (三)個別控制要素 此部分在提供機關判斷、選擇控制措施的準則,機關可以根據風險評估的結果選擇相應的安全控制措施,共分為15項,主要包括了澳洲安全建設及設備委員會(The Security Construction Equipment Committee/SCEC)認可的產品目錄清單及產品選擇標準的指導手冊、建築物安全配備的標準、警報系統與相關設備、門禁管制、訪客管控、警衛與保全人員的聘用、安全置物箱或保險庫及周遭環境的安全管制(Perimeter access control)等。 又警衛與保全人員之聘用,必須擇用有證照者。澳洲依行政區有不同的保全證照制度與規定[7],以澳洲首都區(ACT)為例,主要係依2003年保全業法(Security Industry Act 2003)[8]、2011年保全業修正法(Security Industry Amendment Act 2011)[9]及2003保全業規則(Security Industry Regulation 2003)[10],證照共分五種:保全公司證照、保全人員證照、保全教官證照、見習保全證照及臨時保全證照。保全證照每三年需換發一次。另外,若在販賣酒精的場所工作或需使用槍枝,則需另外取得許可。 澳洲保全業的主管機關為法制服務辦公室(Office of Regulatory Service),職掌教育訓練、監督與查核、自我規範、資訊分享及強制執行。主要查核項目為定期檢查及工時外的抽查(afterhours inspection),前者著重於申訴案,證照的暫時中止或撤銷懲處;後者著重於高風險事件,例如非法經營的保全公司、不適當行為及保全業非法雇用未成年人員等[11]。 (四)行政管理上的實體安全要素 在行政作業程序上,機關得運用一些實體設備設施達成安全管理的需求,例如在傳遞小量的實體資產或資訊(如公文紙本)至其他機關,應使用保險箱、集裝箱;又銷毀機密紙本時使用碎紙機或水銷方式等。 三、防護性安全管理指引:委外服務與職能安全性 [12] 本指引在協助機關將業務委外時,如何建立完善的委外政策和擬定契約,詳述防護性安全政策架構4.12節以及機關要如何遵守政策架構下第12條規定:「機關必須確定委外服務廠商遵守本政策架構及所有的防護性安全規則書(protective security protocols)的要求」。由於委外服務的執行人員能夠進入機關內部辦公場所、接近機關資訊資產,故機關有責任建立人員安全控管程序(necessary personnel security procedures),管理委外服務的安全性風險。本指引提供一個持續性、結構性的方法幫助機關決定:委外廠商經營場所應有的安全維護措施、委外廠商使用人員的安全調查程序(security clearance requirements)及契約中安全管理措施的約定(protective security management arrangements)[13]。 契約中必須明訂委外廠商應遵守的相關法律規定、機關所需的必要安全維護要求與遵守期間、規律和持續性的監督辦法(例如機關代表可進入委外廠商的經營場所進行查核,檢視各項紀錄或設備設施)及危安事件發生時廠商的通報義務。機關依防護性安全政策架構所擬訂獨有的政策與程序,其內容必須於契約中明確的約定,不允許概括約定委外廠商必須遵守防護性安全政策架構。又機關的安全性要求可能會隨時間而變化,所以該部分的約定宜與本約分開,以利日後修正與變更。 若委外廠商的執行人員因業務得接近機密或敏感性資訊資產,必須通過安全查核程序(Security Clearance)[14];若不需接受安全查核,則需簽署保密條款(Non-Disclosure Agreement),機關應諮詢法律專業意見制訂屬於機關本身特定的保密條款[15],有複委外情形時亦同。機關可以從澳洲政府安全調查局(Australian Government Security Vetting Agency /AGSVA)調出相關人員的安全調查資料,如果該人員擁有尚未逾期且屬機關需求等級的安全資格,機關就不需要再做一次調查。 參、建議與結語 藉由對澳洲立法例之研析,可發現澳洲對於機關的辦公場所、設備設施及出入之內外部人員的控管,有嚴謹縝密的管理機制與具體標準供機關依循。相較於此,我國相關法制框架尚有強化空間,建置更明確性、細節性之規範及標準作業流程。例如我國法制上僅有「責任區」的概念,可考慮引進「管制區」及「關鍵路徑規劃」等項目。其次,機關宜將自訂的安全維護機制確實內化至與委外保全業者的契約內,訂明權利義務關係、落實監督管理辦法、監控畫面資料儲存、備份和刪除方式及保密義務範圍(如機關監視系統配置、巡邏時間)等,另考量當機關日後對於安全性要求之修正與變更可能,委外契約與安全性要求的細部文件宜分開訂立。至人員管控部分,應重視預防勝於治療之概念,於適當時(例如對負責監控機關內部監視系統或夜間巡邏等對機關生態、人員活動及弱點相當清楚者)採取如澳洲的安全查核程序,對人員擔任保全工作的適性程度進行評價,而不僅以保全業法所訂之資格條件作為唯一判準。 末者,機關之實體安全維護,是否適合全權委外保全業者,尤以本身屬高重要性的機敏機關而言,值得再斟酌,在保全人員素質頗受爭議與警政機關因業務繁重而無法有效輔導管理保全業的困境下,或可考慮是否有必要在組織內編列專職維安人員。 [1]Australian Government: Attorney-General’s Department (2012, December). Protective Security Policy Framework-securing Government business. Version1.5. Retrieved from http://www.protectivesecurity.gov.au/pspf/Documents/Protective%20Security%20Policy%20Framework%20amended%20December%202012.pdf (last accessed May.29,2013) [2]Australian Government: Attorney-General’s Department (2011, June), Physical security management guidelines: Security zones and risk mitigation control measures, Retrieved from http://www.protectivesecurity.gov.au/physicalsecurity/Documents/Security-zones-and-risk-mitigation-control-measures.pdf ,下稱「本指引」. [3]Australian Standard AS/NZS ISO 31000:2009 Risk Management–Principles and guidelines, Australian Standards HB 167:2006 Security risk management. [4]Australian Standards HB 167:2006 Security risk management . [5]相關建議可參考以下連結:Designing Out Crime: crime prevention through environmental design,Crime Prevention through Environmental Design Guidelines for Queensland. [6]詳細規定由機關安全顧問(Agency security advisers /ASAs)發布,請參本指引第15至20頁 [7]Australian Security Industry Association Limited (n.d.). Information about security licensing requirements and regulators in each state or territory. Retrieved from http://www.asial.com.au/Whoshouldholdasecuritylicence.(last accessed June.4,2013). [8]ACT Government(n.d.). Security Industry Act 2003..Retrieved from http://www.legislation.act.gov.au/a/2003-4/default.asp(last accessed June.4,2013) . [9]ACT Government(n.d.). Security Industry Amendment Act 2011. Retrieved from http://www.legislation.act.gov.au/a/2011-37/ (last accessed June.4,2013).其他相關規範請參http://www.ors.act.gov.au/industry/security_industry/legislation (last accessed June.4,2013). [10]ACT Government(n.d.). Security Industry Regulation 2003. Retrieved from http://www.legislation.act.gov.au/sl/2003-30/default.asp (last accessed June.4,2013). [11]ACT Government(n.d.).Security Industry Licensing Practice Manual. Retrieved from http://www.ors.act.gov.au/publication/view/1689/title/security-industry-licensing-practice-manual (last accessed June.4,2013). [12]Australian Government: Attorney-General’s Department (2011, September). Protective security governance guidelines-security of outsources services and functions. Version1.0. Retrieved from http://www.protectivesecurity.gov.au/governance/contracting/Pages/Supporting-guidelines-for-contracting.aspx (last accessed June.7, 2013). [13]「防護性安全措施」Protective security依澳洲政府所發佈的「專門術語詞彙表」(glossary of security terms)的定義,指一套包括程序、實體、人員及資訊四大方向的安全維護措施,保護資訊、機關機能運作、內部人員和外部訪客。請參http://www.protectivesecurity.gov.au/pspf/Pages/PSPF-Glossary-of-terms.aspx [14]請參PSPF Australian Government personnel security core policy – PERSEC 1.。 [15]請參本指引第11頁的附件A:NDA範本。