全美達向英特爾提出專利訴訟Transmeta files suit against Intel

　　國內推出的「奈米標章」日前開放申請，第一批受理的奈米產品是與人體未直接碰觸的奈米光觸媒脫臭塗料、光觸媒抗菌瓷磚、及光觸媒抗菌燈管等三項產品，經濟部可望在今年3月核發第一批標章，並在今年內再開放五項奈米產品申請。 　　目前國內生產相關奈米磁磚廠商有泉耀科技等、奈米燈管業者有台灣日光燈及東亞照明等、奈米塗料廠商有台灣富萊寶科技等都可望提出申請，有機會成為第一　　批拿到奈米標章的廠商，因我國也是全球第一個推出奈米標章國家，對政府積極推動發展奈米產業助益大。 　　經濟部指出，第一批僅開放三項奈米產品，是基於安全起見，以未與人體直接碰觸的產品為主，其他與人體直接接觸的奈米紡織品、奈米化妝品及保養品等尚未納入，第二批開放五項奈米產品也還未敲定。

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

ePrivacy指令修正背景 　　原資料保護指令將於2018年由一般資料保護規則所取代，在此一背景下，電子隱私指令除補充資料保護指令外，亦訂定關於在電子通訊部門的個人資料處理的具體規則。具體作法，如在利用流量和位置資訊於商業目的之前，應徵得用戶的同意。在ePrivacy指令未特別規定的適用對象，將由資料保護指令（以及未來的GDPR）所涵蓋。如，個人的權利：獲得其個人資料的使用，修改或刪除的權利。 　　歐盟執委會為進行ePrivacy指令（Richtlinie über den Datenschutz in der elektronischen Kommunikation）改革，於2016年8月4日提出意見徵詢摘要報告，檢討修正ePrivacy指令時著重的的幾個標的： (1)確保ePrivacy規則與未來的一般資料保護規則之間的一致性。亦即評估現有規定是否存在任何重複、冗餘、不一致或不必要的複雜情況。（如個人資料洩漏時的通知） (2)指令僅適用於傳統的電信供應商，而在必要時應該以新市場和技術的現實的眼光，重行評估更新ePrivacy規則。對於已成為電子通信行業新興創新的市場參與者，如：提供即時通訊和語音通話（也稱為“OTT供應商”），由於目前不需要遵守ePrivacy指令主要規定，而應納入修正對象。 (3)加強整個歐盟通訊的安全性和保密性。ePrivacy指令在規範上，確保用戶的設備免受侵入、確保通信的安全性和保密性。本指令第5條第3項，儲存資訊、或近用已存儲在用戶設備之資訊，需得其的同意。該條款的有效性已有爭論，因為新的追踪技術，如：指紋識別設備可能無法被現有的規則所涵攝。最後，有認需得同意的例外規定列表，有必要延伸到對資訊之其他非侵入性的儲存/近用：如網路分析等。這些都是應予以仔細評價和檢視之對象。 公眾諮詢摘要報告內容 　　經過4月13日到7月5日的公眾諮詢，歐盟執委會於8月4日提出報告。 　　諮詢意見主要來自德（25.9%）、英(14.3%)、比(10%)、法(7.1%)的回覆。 　　一、是否有必要在電子通訊部門訂定隱私特別規定？ 市民與公民團體咸認有必要在電子通訊部門，甚至流量資料和位址資訊也應該訂定新規（83%）、企業則認為無甚需要，只有在秘密性規則（31%）與流量資料（26%）有需要訂定；主管機關則咸認需要特別規定。 　　二、現行指令是否已足達成其立法目的？76%市民和公民團體認為未達立法目的，理由如下： ePrivacy指令的範圍太狹小，不包括即時訊息、語音通話（VoIP）和電子郵件應用服務。 規範太模糊，導致會員國之間適用結果和保護程度的差異、不一致。 法律遵循的程度展法程度太差。 　　三、是否應為新通訊服務訂定新規？ 　　76%市民和公民團體認為適用範圍應該涵蓋到OTT上。

　　藥品監管機構負責人組織（Heads of Medicines Agencies, HMA）與歐洲藥品管理局（European Medicines Agency, EMA）聯合巨量資料指導小組（HMA-EMA joint Big Data Steering Group, BDSG）於2021年8月27日發布「巨量資料指導小組2021-2023年工作計畫」（Big Data Steering Group Workplan 2021-2023），將採以患者為焦點（patient-focused）之方法，將巨量資料整合至公衛、藥物開發與監管方法中，以提高巨量資料於監管中之效用。指導小組將利用「資料分析和真實世界訊問網路」（Data Analysis and Real World Interrogation Network, DARWIN EU）作為將真實世界資料整合至監管工作之關鍵手段； DARWIN EU諮詢委員會（Advisory Board）已於2021年建立，DARWIN EU協調中心（Coordination Centre）亦將於2022年初開始運作。 　　為確保資料品質與代表性，未來工作計畫將與「邁向歐洲健康資料空間–TEHDAS」（Towards A European Health Data Space – TEHDAS）合作，關注資料品質之技術與科學層面，並將於2022年提出第一版「歐洲監管網路資料品質框架」（data quality framework for the EU Regulatory Network）、「真實世界資料來源選擇標準」（criteria for the selection of RWD sources）、「詮釋資料優良規範指引」（metadata good practice guide）、「歐盟真實世界資料公用目錄」（public catalogue of European RWD）等規範。 　　此外，工作計畫將於2021年底舉辦「學習計劃」（learnings initiative）研討會，討論包括EMA人用藥品委員會（Committee for Medicinal Products for Human Use, CHMP）對於真實世界證據於藥品上市許可申請（Marketing Authorization Application, MAA）、適應症擴張（extensions of indications）之審查，以及過去真實世界資料分析試點於委員會之決策等議題，以利後續指引之修正。 　　最後，工作計畫預計於2021年底完成「健康照護資料二次使用之資料保護問與答文件」（question and answer document on data protection in the context of secondary use of healthcare data），以指導利益相關者與促進公共衛生研究，並發布由歐盟監管網路（EU Regulatory Network）同意之對於藥品監管（包括巨量資料）之資料標準化戰略。