RFID應用發展與相關法制座談會紀實

　　2015年9月25日，聯合國發布「2030永續發展議程（2030 Agenda for Sustainable Development）」，強調科研創新是推動永續發展願景的核心關鍵（STI for SDGs），透過科學（Science）、技術（Technology）、創新（Innovation）三項STI指標以落實各國永續發展目標（Sustainable Development Goals，簡稱SDGs）。又為達成科研創新推動永續發展目標，必須建立技術促進機制（Technology Facilitation Mechanism, TFM）， TFM主要透過聯合國成員國、民間社會、私營部門、科學界及其他利益相關方間的經驗分享與合作，由三部分組成包括：聯合國跨機構任務小組（Inter-Agency Task Team, IATT），科學、技術、創新促進永續發展目標多方利害關係人論壇（Multi-stakeholder Forum on science, technology and innovation for the sustainable development Goals, STI Forum），線上平台（online platform）。 　　其中，聯合國跨機構任務小組（IATT）於2019年6月擬定的「科學、技術和創新促進永續發展目標路線圖（Science, Technology and Innovation for SDGs Roadmaps, STI for SDG Roadmap）」，邀請各國參與試點計畫，協助國家檢視現有科研創新政策需求、掌握未來科研發展趨勢與可能面臨的挑戰與機會，乃協助政府決策的科技前瞻支援工具，藉此達成STI for SDGs科研創新政策與永續發展目標間之平衡。關於國家科研創新路線圖規畫方法論，可以區分為基礎（Foundation）、調適（Adaptation）、整合（Integration）三部分：盤點各國現有科研創新政策需求，歸納與SDGs間落差；嘗試將SDGs理念注入政策目標，建構符合SDGs的科研創新規範與政策監管標準；運用科技前瞻方法掌握未來發展趨勢，研擬對策並面對挑戰。

　　為因應有害化學物質所產生之公安事件，2015年6月8號美國職業安全管理局(Occupational Safety and Health Administration,簡稱(OSHA))發佈一項措施，針對具危險性化學物質之運輸過程，規範處理程序，包括製造商須提供物質安全數據表，以及可能具有風險的有害物質說明書等。 　　為此，OSHA考量到此將影響化學製造商營業秘密保護，遂提出判斷準則，以釐清對於化學製造商而言，何種情況將構成營業秘密，包括：(1)在一定的程度內該資訊是否已被外界所知；(2)在一定程度內，該資訊對於員工或其他參與者是否已知；(3)是否有一定程度對於該資訊內容進行保護措施；(4)該資訊對於競爭對手是否有價值；(5)是否投入大量時間和金錢開發該資訊；(6)該資訊對企業而言是否得被他人簡易取得與複製。 　　進而在符合上述營業祕密要件時，企業即無須對一般員工(非研發工程師)揭露化學公式等內容，其中包括一般操作人員或者運輸人員等。然而考量到此等人員接觸化學物質情況頻繁，倘若操作人員或者運輸人員工作過程中，因有害但屬營業祕密之化學物質造成意外傷害，為平衡公眾安全與營業秘密之保障，OSHA要求化學製造商必須立即提供醫護人員有害化學物質方程式等內容，但可要求醫護人員簽訂保密協議，藉此兼顧公安與營業秘密之保障。

　　在現今資訊流通快速蓬勃發展的時代，巨量資料(Big Data)帶來效率與生產力等龐大效益已無庸置疑。相較於將資料以「資料倉儲」(Data Warehouse)模式儲存，「資料湖泊」(Data Lake)被廣泛視為巨量資料快速演進的下一步。 　　美國的醫療保健領域為因應巨量資料發展並提升醫療保健系統的透明度與有責性，美國醫療保險與補助中心(Centers for Medicare & Medicaid Services, CMS)於2013年底建立CMS虛擬研究資料中心(Virtual Research Data Center, VRDC)，讓研究員能夠以安全有效率的方式取得並分析CMS的龐大醫療保健資料。此種資料倉儲模式會對進入的資料預先分類，並整合為特定形式以指導後續分析的方式。缺點在於為讓資料更易於分享，會進行「資料清理」(data cleaning)以檢測及刪除不正確資訊並將其轉換成機器可讀取格式，各資料版本會被強制整合為特別形式，但資料清理和轉換的過程會導致明顯的數據流失，對研究產生不利的限制。有鑑於此，為更有效益的應用巨量資料，Pentaho首席技術官James Dixon提出新的資料儲存理論­­—資料湖泊(Data Lake)，此概念於2011年7月21日首先被討論於美國《富士比》雜誌中，目前在英美國家公部門和民間企業間已被熱烈討論。 　　與Data Warehouse最大不同在於Data Lake可包含「未被清理的資料」(unclean data)，保持其最原始的形式。故使用者可取得最原始模式的資料，減少資源上處理數據的必要，讓來自全國各政府機關的資料來源更易於結合。Data Lake主要有四點特性：1.以低成本保存巨量資料(Size and low cost)2.維持資料高度真實性(Fidelity)3.資料易取得(Ease of accessibility)4.資料分析富彈性(Flexible)。儲存超過百萬筆病患資料的加州大學歐文分校醫療中心(UC Irvine Medical Center)即以Hadoop架構為技術建立了一個Data Lake，該中心能以最原始的形式儲存各種不同的紀錄數據直到日後需要被分析之時，可協助維持資料的來源與真實性，並得以不同形式的醫療數據進行分析項目，例如患者再住院可能性的預測分析。 　　但相對的Data Lake在安全性和檢視權限上也有一定的風險，尤其是醫療保健領域，因為這意味著病患的資料在個資生命週期裡隨時可被取得，因此資訊的取得應被嚴密控制以維持各層級的安全與保障，在建立安全的Data Lake之前，必須審慎考慮誰有資訊檢視權限以及透過什麼媒介取得Data Lake中的資料等問題。

　　歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件，點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 　　歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 　　此份報告指出，該重要性部門之資安等級需求並不盡相同，因此導致各部門面對資安事件之準備無法相提並論。例如，能源產業會用到SCADA系統，而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級，故此份報告目的係確認該部門當前的處境，並與現階段可取得之網路安全訓練對照，進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 　　我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫，並向中央目的事業主管機關或直轄市、縣（市）政府提出該計畫之實施情形，在未來實際落實各重要性設施之資安維護以及資安小組訓練時，須意識到各重要性設施之資訊安全需求差異性，及相關人員必須針對不同單位而受不同之訓練。