自動駕駛車輛之分級與責任

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 　　隨著網路科技的進步，伴隨著資安風險的提升，世界各國對於資安防護的意識逐漸升高，紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量，我國於107年5月經立法院三讀通過「資通安全管理法」（以下簡稱資安法），並於同年6月6日經總統公布，期望藉由資通安全管理法制化，有效管理資通安全風險，以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外，另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法，建置了我國資通安全管理之法制框架。然而，資安法及相關子法於108年1月1日實施後，各機關於適用上不免產生諸多疑義，故本文擬就我國資通安全管理法之規範重點為扼要說明，作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 　　資安法所規範之對象，主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義，指依法行使公權力之中央、地方機關（構）或公法人，但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣（市）政府機關、依公法設立之法人（如農田水利會[1]、行政法人[2]）、公立學校、公立醫院等，均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊，故資安法排除軍事及情報機關之適用[3]。 　　特定非公務機關依資安法第3條第6款之規定，指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定，須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定，報請行政院核定，並以書面通知受核定者。須注意者為該指定行為具行政處分之性質，如受指定之特定非公務機關對此不服，則可循行政救濟程序救濟之。目前各關鍵基礎設施領域，預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 　　此外，政府捐助之財團法人，依該法第3條第9項之規定，指其營運及資金運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人，則非屬資安法所稱特定非公務機關之範圍。公營事業之認定，則可參考公營事業移轉民營條例第3條之規定，指（一）各級政府獨資或合營者；（二）政府與人民合資經營，且政府資本超過百分之五十者；（三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 　　資安法之責任架構，可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段，分述如下： （一）事前規劃 　　就事前規劃部分，資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」，使各機關得據此落實相關之資安防護措施，各機關並應依據資通安全責任等級分級辦法之規定，依其重要性進行責任等級之分級，辦理分級辦法中所要求之應辦事項[5]，並將應辦事項納入安全維護計畫中。 　　此外，在機關所擁有之資通系統[6]部分，各機關如有自行或委外開發資通系統，尚應依據分級辦法就資通系統進行分級（分為高、中、普三級），並就系統之等級採取相應之防護基準措施，以高級為例，從7大構面中，共須採取75項控制措施。 （二）事中維運 　　事中維運部分，資安法要求各機關應定期提出資通安全維護計畫之實施情形，上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件，應於機關知悉資通安全事件發生時，於規定時間內[7]，依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施，以避免資通安全事件之擴大。 （三）事後改善 　　在事後改善部分，如各機關發生資通安全事件或於稽核時發現缺失，則均應進行相關缺失之改善，提出改善報告，並應針對缺失進行追蹤評估，以確認缺失改善之情形。 三、情資分享 　　為使資通安全情資流通，並考量網路威脅可能來自於全球各地，資安法第8條規定主管機關應建立情資分享機制，進行情資之國際合作。情資分享義務原則於公務機關間，就特定非公務機關部分，為鼓勵公私間之協力合作，故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 　　我國已於107年1月將政府資安資訊分享與分析中心（G-ISAC）調整提升至國家層級並更名為「國家資安資訊分享與分析中心」（National Information Sharing and Analysis Center, N-ISAC）。透過情資格式標準化與系統自動化之分享機制，提升情資分享之即時性、正確性及完整性，建立縱向與橫向跨領域之資安威脅與訊息交流，以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 　　為使資安法之相關規範得以落實，資安法就公務機關部分，訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容，配合機關內部之人事考評規定訂定獎懲基準，而獎懲辦法適用之人員，除公務人員外，尚包含機關內部之約聘僱人員。就特定非公務機關部分，資安法則另訂有相關之罰則，針對未依資安法及相關規定辦理應辦事項之特定非公務機關，中央目的事業主管機關得令限期改正，並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分，因考量其影響範圍層面較廣，故規定特定非公務機關如未依規定進行通報，則可處以30萬元至500萬元之罰鍰。 參、事件評析 　　公務機關及特定非公務機關為落實資安法之相關規範，勢必投入相關之資源及人力，以符合資安法之要求。考量公務機關或特定非公務機關之資源有限，故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌，以避免資源或相關措施重複建置，以下則列舉幾點建議： 一、風險評估與安全措施 　　資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制，與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似，故各機關於適用上可協調內部之資安與隱私保護機制，共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 　　資安法第18條要求機關應訂定資通安全事件通報應變機制，而個人資料保護法第12條亦規定有向當事人通知之義務，兩者規定雖不盡相同，惟各機關於訂定通報應變機制上，可將兩者通報應變程序進行整合，以簡化通報流程。 三、委外管理監督 　　資安法第9條要求機關負有對於委外廠商之監管義務，個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同，惟均著重對於資料安全及隱私之保護，故各機關可從資料保護層面著手，訂定資安與個人資料保護共同之檢核項目，來進行委外廠商資格之檢視，並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 　　資安法施行細則第6條要求於建置安全維護計畫時，須先進行內部之資產盤點及分級，而個人資料保護法施行細則第12條中，則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時，可建立內部共同之資料盤點清單及資料管理措施，並增加資料使用軌跡紀錄，建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定，軍事機關指國防部及其所屬機關（構）、部隊、學校；情報機關指國家情報工作法第3條第1項第1款（包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊）及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定，行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關（構），於其主管之有關國家情報事項範圍內，視同情報機關。 [4] 羅正漢，〈臺灣資通安全管理法上路一個月，行政院資安處公布實施現況〉，iThome, 2019/02/15，https://www.ithome.com.tw/news/128789 （最後瀏覽日：2019/5/13）。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級，各機關應依據其責任等級應從管理面、技術面及認知與訓練面向，辦理相應之事項。 [6] 資通系統之定義，依資通安全管理法第3條第1款之規定，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後，應於1小時內依規定進行資通安全事件之通報；如為第一、二級資通安全事件，並應於知悉事件後72小時內完成損害控制或復原作業，第三、四級資通安全事件，則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉，行政院國家資通安全會報技術服務中心，https://www.nccst.nat.gov.tw/NISAC（最後瀏覽日：2019/5/14）。

日本修正施行藥機法與醫療法以強化藥品供應韌性 資訊工業策進會科技法律研究所 2026年03月10日 日本政府為因應後疫情時代全球供應鏈失衡，以及國內學名藥產業因品質違規（GMP）引發的結構性缺藥危機，徹底解決國內藥品供應鏈之脆弱性，於 2025 年（令和 7 年）5 月 14 日國會表決通過《確保藥品及醫療器材等之品質、有效性及安全性法》（下稱《藥機法》）與《醫療法》等之修正法（令和7年法律第37號），並自同年 11 月 20 日起分階段施行。此項歷史性改革象徵日本為了確保藥品供應韌性，從藥事管制與確保醫療提供體制之觀點，將企業的自主遵從正式躍升為國家經濟安全保障之核心位階。管理手段亦從過往的行政上通知，轉向具備法律強制力之「韌性監控體系」。 壹、立法背景 2020 年底，日本因日醫工、小林化工等學名藥龍頭發生大規模 GMP 違規，引發震驚全國的缺藥潮，徹底暴露日本醫藥產業的四大結構性危機：首先是「少量多品目」特徵與惡性低價競爭導致產業結構失衡，使企業陷入收益低且產線缺乏彈性的惡性循環；其次是每年藥價改訂持續壓縮利潤，致使醫療必需藥品難以維持生產成本；再者是 API 原藥料高度依賴中、韓、印等海外市場，造成嚴重的供應鏈脆弱性；最後則是產銷資訊不透明與總價議價機制導致流通失靈，誘發恐慌性囤貨。厚勞省體認到單靠市場機制與行政指導已難以為繼，遂決定修訂《藥機法》與《醫療法》，將供應安全提升至法律位階，建立國家主導的「強韌性監控體系」，從根本強化藥品供應韌性。 貳、立法重點說明 本次修法首要戰略係建立由廣入深之金字塔監控體系。 一、特定藥品（處方藥）的基礎監控 （一）特定藥品之申報義務 依據修正後《藥機法》新設「特定藥品」定義，將絕大多數處方藥納入監控，確立「常態性申報義務」。製造販賣業者負有定期申報製造、進口及銷售流量數據之法定義務，旨在消除資訊黑洞並實現供應鏈可視化。 （二）供應不穩之報告與公開 製造販賣業者若發生出貨停止或限制出貨情形，或預見 6 個月內有發生之虞，應向厚勞大臣報告。大臣應將該申報內容公開，並得要求相關業者（含批發商）就製造、銷售、授與狀況提出報告，以利掌握替代藥品之供應現狀。 （三）請求相關業者協力（醫療法權限） 大臣針對特定藥品供應不足或具極大可能性（蓋然性）時，得要求供應端（藥廠、批發商）增產或調整銷售；針對使用端（藥局、醫院），得要求在調劑或處方上採取適當配慮（如節約使用）。 （四）設置供應體制管理責任者 藥廠必須指定專門負責人，其法律地位與品質負責人對等，專職負責供應鏈風險管理。若違反義務，行政機關可命強制撤換該負責人。 二、戰略保衛層：醫療法上「供給確保藥品」之計畫管理 針對前述特定藥品中，大臣得指定「醫療上不可或缺」且「供需風險顯著」之品項為「供給確保藥品」或「重要供給確保藥品」。 （一）藥品分類標準與指定 厚勞大臣衡量疾病嚴重性、有無替代療法及供應鏈狀況等，綜合考量後進行指定，並將藥品依重要性分為三類： 1. A類： 斷貨將直接危及生命且無替代藥（如全麻劑、碳青黴烯類抗生素）。 2. B類： 臨床必需，替代藥切換具高度挑戰（如抗癲癇藥、窄治療窗口藥品）。 3. C類： 臨床常用藥，替代容易且供應來源分散（如一般血壓藥）。 厚勞省於2025年11月10日公告（厚生勞動省告示第292號）供給確保藥品及重要供給確保藥品清單，並自同年月20日起實施。供給確保藥品共762成分，其中重要供給確保藥品清單75成分（A+B）[1]，其管制強度由強至弱。A類與B類之差異為相對性之結果，其因指定所產生之法律效果相同。 （二）上游管理與強化義務 指定對象包含「製造該藥品不可或缺之原料或材料」，將管理延伸至活性成分（API）及關鍵賦形劑。業者負有強化義務，包括遵循「穩定供應確保指針」、配合平時監測及遵循行政機關之協力要請。 （三）平時監測配合義務，接受政府針對供應鏈穩定性之常態化檢查與壓力測試。 （四）.協力要求之遵循，當供應不足出現徵兆時，行政機關可發布正式之「協力要求」，要求業者調整出貨計畫或優先供給特定醫療機構。 三、重要供給確保藥品之強制義務 針對「重要供給確保藥品」，厚勞大臣擁有兩階段強大權限： （一）預防階段：發布「未然防止措置指示」 若合理判斷存在供應不足之蓋然性，大臣得指示業者擬定並申報「供給不足未然防止措置計畫」。業者負有法定義務執行預防措施，如原料多軌化或增加庫存儲備。 （二）危機階段：發布「增產等指示」 當「現已供應不足」或不足之蓋然性特別高時，大臣得指示業者擬定並申報「製造或輸入計畫」。此機制賦予政府在市場失靈時直接介入，將企業計畫轉化為法律強制義務。 參、立法評析與建議 日本此次修正施行之核心在於使藥品供應韌性具備強制性法律基礎。將通報門檻提前至「預見風險之虞」，並擴大監控範圍至關鍵原料，確保行政機關得以早期介入。並建立法治化的管制手段，賦予主管機關下達「強制增產指令」與「流向調控指令」的法源，並將批發商納入義務對象，確保調度實效性。 我國115年3月4日公布修正《藥事法》，核心為確立必要藥品「常態性申報義務」，要求藥商定期回報產銷數據並於六個月前預警缺藥（§27-2）；授權主管機關得限制供應流向及專案核准替代品（§27-3）（以上兩條另訂施行日期）；並擴大緊急專案核准之要件（§48-2）。違者最高可處200萬元罰鍰。此舉標誌著我國由被動通報正式轉向主動監控機制。 相較於日本將監控觸角延伸至上游原料（API）並賦予政府下達「強制增產指令」的剛性權力，臺灣新法雖強化了監控與流向限制，但管理深度仍侷限於成品藥。日本的「分級管理」與「專職管理員」制度，相較臺灣現行的必要藥品申報，展現出更具層次感的精準干預能力與法律規範力。 [1]2021年厚勞省以「安定確保藥品」名稱，公布第一次關鍵藥品清單共506成分，其中A成分21種、B成分29種。本次藥機法法律明文定為「供給確保藥品」清單增加約1/3成分。

　　隨著英國國家健康服務（National Health Service, NHS）的改革，英國於去（2012）年3月27日通過衛生和社會照護法（The Health and Social Care Act 2012）。當中一項主要的變革即是成立衛生與社會照護資訊中心（The Health and Social Care Information Centre, HSCIC）作為醫療健康資料的專責機構。而這樣的變革，也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定，HSCIC若受到衛生部長（Secretary of State for Health）指示、或來自照護品質委員會（Care Quality Commission, CQC）、英國國家健康與臨床卓越研究院（National Institute for Health and Clinical Excellence, NICE）、醫院監管機構Monitor的命令要求時，在這類特定情況之下，可以無需尋求病患同意，而從家庭醫師（GP Practice）處獲得病患的個人機密資料（Personal Confidential Data, PCD）。 　　今(2013)年3月獲NHS授權， 由HSCIC於6月開始執行的care.data服務，即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料，對病患於國內所為的各項健康和社會照護資訊（例如病患的住院、門診、意外事故和緊急救護記錄）進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員，進而達到care.data所設定的六項目標，支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性，並驅動經濟成長。 　　然而，由於care.data是以英國民眾就醫行為中，屬於基礎醫療的家庭醫師（General Practitioner, GP）系統為基礎，所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標，以及所有NHS處方。其次，care.data在進行初級和次級資料連結時，將會透過NHS號碼、生日、性別和郵遞區號，這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除，但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑，質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制（opt-out）並未妥善等。 　　care.data是NHS所推出的創新資料現代化服務，但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策，英國的案例值得我們持續觀察其發展。