何謂「企業實證特例制度」?

　　歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件，點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 　　歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 　　此份報告指出，該重要性部門之資安等級需求並不盡相同，因此導致各部門面對資安事件之準備無法相提並論。例如，能源產業會用到SCADA系統，而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級，故此份報告目的係確認該部門當前的處境，並與現階段可取得之網路安全訓練對照，進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 　　我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫，並向中央目的事業主管機關或直轄市、縣（市）政府提出該計畫之實施情形，在未來實際落實各重要性設施之資安維護以及資安小組訓練時，須意識到各重要性設施之資訊安全需求差異性，及相關人員必須針對不同單位而受不同之訓練。

　　2016年9月國際唱片業協會（International Federation of the Phonographic Industry，簡稱IFPI）、美國唱片產業協(Recording Industry Association of America，簡稱RIAA)及英國唱片產業協會(British Phonographic Industry，簡稱BPI)對全球最大的串流音樂翻錄網站「YouTube-mp3.org」展開法律行動，指控該網站違反YouTube的服務準則，且侵害音樂著作權。目前該案件由美國加州聯邦法院審理。 　　「YouTube-mp3.org」將串流音樂變成可供下載的音樂檔案，使用者只需在該網站(YouTube-mp3.org)複製貼上原YouTube的音樂影片網址，即能將其轉為MP3檔案下載使用。RIAA表示運營商透過該網站已經獲利數百萬美元的廣告收入，卻未支付任何金錢報酬給音樂家或著作權權利持有人，因此控告YouTube-mp3. org及該站負責人Philip Matesanz侵害著作權。BPI則表示，使用者得透過各種串流服務存取合法音樂，若對此非法轉載音樂的業者或行為不提出法律行動，將會影響合法的音樂串流服務。 　　另一方面，德國聯邦部門(German Federal Ministry ) 早在2011年時曾認定，從Youtube網站複製下載音樂為非商業之私人行為合法。而電子前線基金會（Electronic Frontier Foundation，簡稱EFF）對於英美唱片業協會要求法院消除此類型網站一事持否定看法，認為法律不應賦予著作權人或商標所有人修訂刪除網站的權力。

　　有鑑於許多歐盟國家為日漸高漲的健康照護成本所困，歐盟於Horizon 2020政策下陸續推動會員國合作以更有效益的創新採購方式進行健康照護計畫的推展，以降低健康照護預算的壓力，RELIEF計畫即屬其一。歐盟於2016年2月啟動RELIEF計畫，聯合義大利、西班牙、瑞典三國，目的在發展創新ICT解決方案以協助慢性病患透過自我管理方式舒緩慢性疼痛、能夠持續獨立生活。欲採購的ICT創新服務為目前尚不存在於市場上、仍需經研發之解決方案，實為針對慢性疼痛自我管理解決方案的「研發服務」，該計畫係採「前商業化採購(Pre-Commercial Procurement, PCP)」方式進行跨國公告招標。目前RELIEF計畫正在進行PCP準備階段之公開市場徵詢，除了透過2個月（今年11、12月）的公開線上問卷調查業者意見，另將以workshop形式舉辦三場公開市場徵詢會議。 　　RELIEF計畫另一重要目標就是透過此計畫以建立完整PCP流程，讓未來參與相關計畫的公部門能夠熟悉並妥善運用PCP流程及工具 。「前商業化採購」為歐盟廣泛創新戰略中所指出能協助公部門採購「研發服務」的特殊採購程序，以滿足尚未存在市場上、仍需經研發的技術性創新需求，此程序不包含對研發成果的商業化採購，亦不受政府採購法之規範，能夠從需求面刺激廠商創新研發，讓研發從一開始即以機關需求為核心。 　　RELIEF計畫劃分為PCP之準備階段以及執行階段。於準備階段會進行PCP招標文件準備、採購團隊的需求及現有技術分析、公開市場徵詢(Open Market Consultation, OMC)；由於採購機關對其需求尚無具體的規格描述，必須經廣泛的市場意見徵詢與溝通以進一步定義，正在進行中的OMC將聚集採購團隊、潛在投標者（例如對健康照護、數位照護、病患賦權與互動性有鑽研之ICT業者）、終端使用者等，以廣蒐相關利害關係團體意見並進行充分互動溝通，作為執行階段的重要參考基礎。 　　PCP正式公告後的執行階段即區分為階段A「解決方案設計(Solution design)」（計半年）、階段B「原型開發(Prototype development)」（計半年）、階段C「商業化前開發：場域測試(Pre-commercial development: field test)」（計一年）。各階段將設定參與廠商應達成目標，以篩選出較符合需求者始得進入下一階段，以維持廠商間良性競爭，於階段C最後決標予研發成果最符合計畫需求之廠商（可能1家以上）。 　　歐盟目前的創新推動策略上PCP屬尚未被充分運用的工具，從該計畫的規劃可見準備階段對後續PCP執行階段的重要性，透過其示範可供政策規劃者為借鏡，運用創新採購驅動產業創新發展以更有效益解決社會與政府需求。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2017年7月公告Royal Free國家健康服務基金信託（Royal Free London NHS Foundation Trust）與Google人工智慧研究室DeepMind之間的資料分享協議，違反資料保護法（Data Protection Act）。 　　該協議之目的在使DeepMind利用Royal Free所提供的醫療資料，開發一款名為Streams的應用程式，透過人工智慧系統分析得知病患惡化之情況，並以手機警示方式通知臨床醫生。由於涉及病患的可識別個人資料且人數多達160萬人，協議的合法性，尤其在資料分享是否經病患同意方面，受到質疑。 　　Royal Free與DeepMind主張因應用程式是直接對病患進行醫療照護，具有病患默示同意（implied consent）之正當基礎，且資料經加密後才傳給DeepMind。惟經ICO調查結果如下： 就資料將被使用作為應用程式測試一事，病患未獲充分告知亦無合理期待； 雖執行隱私影響評估，惟僅於資料傳給DeepMind後才進行，無法發揮事前評估作用； 應用程式尚在測試階段，無法說明揭露160萬病患紀錄的必要性與手段合理性。 　　目前Royal Free已承諾改進以確保其行為合法性。ICO之認定突顯創新不應以「減損法律對基本隱私權保障」作為代價。