國有研發設施開放近用之法制規範研析－以美日韓規定為核心

　　為促進美國境內個人化診斷醫療器材發展並進一步實現個人化醫療之理想與目標，於今(2011)年7月14日時，FDA於各界期盼下，正式對外公布了一份「個人化診斷醫療器材管理指引文件草案」(Draft Guidance on In Vitro Companion Diagnostic Devices)。而於此份新指引文件草案內容中，FDA除將體外個人化診斷醫療器材定義為：「一種提供可使用相對應之安全且有效治療產品資訊之體外診斷儀器」外，亦明確指出，將視此類個人化檢測醫療器材產品為具第三風險等級之醫療器材，並採「以風險為基礎」(Risk-Based)之管理方式。 　　依據上述新指引文件草案內容，FDA對於此類產品之管理，除明訂其基本管理原則外，於其中，亦另列出兩項較具重要性之例外核准條件。第一項，是關於「新治療方法」(new therapeutics)部分，FDA認為，於後述情況下，例如：(1)該項新治療方法係針對「嚴重」或「威脅病患生命」、(2)「無其他可替代該新治療方法存在」、或(3)將某治療產品與未經核准(或未釐清)安全或功效之體外個人化診斷醫療器材並用時，其為病患所帶來之利益，明顯高於使用該項未經許可或未釐清之體外個人化診斷醫療器材所將產生之風險等前提下，FDA或將例外核准該項新治療方法。其二，是關於「已上市治療產品」部分，依據新指引文件草案，於下列各條件下，或將例外核准製造商以補充方式所提出之「新標示」產品之上市申請案，包括：(1)該新標示產品乃係一項已通過主管機關審查之醫療產品，且已修正並可滿足主管機關於安全方面之要求；(2)該產品所進行之改良須仰賴使用此類診斷試劑(尚未取得核准或未釐清安全功效)；(3)將此項已上市治療產品與未經核准或未查驗釐清安全(或功效)之體外個人化診斷醫療器材並用時，其為病患所帶來之利益，明顯高於使用該項未經許可或查驗釐清之體外個人化診斷醫療器材所具之風險等。 　　此外，FDA方面還強調，若針對某項個人化診斷醫療器材之試驗結果顯示，其具較顯著之風險時，將進一步要求業者進行醫療器材臨床試驗(Investigational Device Exemption，簡稱IDE)。而截至目前為止，此項新指引文件草案自公布日起算，將開放60天供外界提供建議，其後FDA將參考各界回應，於修正後，再提出最終修正版本指引文件；然而，究竟FDA目前所擬採取之規範方式與態度，究否能符合境內業者及公眾之期待與需求？則有待後續之觀察，方得揭曉。

　　美國國家標準與技術研究院（NIST）於2020年1月16日發布「隱私框架1.0版」（NIST Privacy Framework Version 1.0），為促進資料的有效利用並兼顧對隱私權的保障，以風險管理（risk management）的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」（Framework for Improving Critical Infrastructure Cybersecurity Version 1.1）架構，包含框架核心（Core）、狀態評估（Profile）與實施層級（Implementation Tier），以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制，透過狀態評估來判斷當前與設定目標的實施層級，進而完成組織在隱私保護上的具體流程與資源配置。 　　NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架，用以促進開發者導入隱私設計思維（privacy by design），以及協助組織保護個人隱私，其目標包含透過支持產品或服務設計中的倫理決策（ethical decision-making）及最小化對隱私的侵害來建立客戶的信任；在當前與未來的產品或服務中，因應持續變化的技術與政策環境遵守對隱私的保護義務；以及促進個人、企業夥伴、稽核者（assessor）與監管者（regulator）在隱私權保護實踐上的溝通與合作。 　　本隱私框架並非法律或法規，亦不具備法律效果，而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具，企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求，掌握其產品或服務所隱含的隱私權侵害風險，並識別隱私權相關法律規範，包含加州消費者隱私法（California Consumer Privacy Act）與歐盟一般資料保護規則（General Data Protection Regulation, GDPR）等，提出更具創新性與有效性的解決方案，並有效因應AI與物聯網技術的發展趨勢。

　　日本內閣府網路安全戰略本部（サイバーセキュリティ戦略本部）於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧（2020年及びその後を見据えたサイバーセキュリティの在り方（案）－サイバーセキュリティ戦略中間レビュー－），針對網路攻擊嚴重程度，訂立網路安全判斷基準（下稱本基準）草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀，為使相關機關可以做出適當之處理，進而可以迅速採取相應之行動，特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論，將於2017年年底發布相關政策。 　　本基準設置目的：為了於事故發生時，具有視覺上立即判斷標準，以有助於事故相關主體間溝通與理解，並可以做為政府在面對網路侵害時判斷之基準，成為相關事件資訊共享之體制與方法之基準。 　　本基準以侵害程度由低至高，分為第0級至第5級。第0級（無）為無侵害，乃對國民生活無影響之可能性；第1級（低）為對國民生活影響之可能性低；第2級（中）為對國民生活有影響之可能性；第3級（高）為明顯的對國民生活影響，並具高可能性；第4級（重大）為顯著的對國民生活影響，並具高可能性；第5級（危機）為對國民生活廣泛顯著的影響，並具有急迫性。除了對國民及社會影響，另外在相關系統（システム）評估上，在緊急狀況時，判斷對重要關鍵基礎設施之安全性、持續性之影響時，基準在第0級至第4級；平常時期，判斷對關鍵基礎設施之影響，只利用第0級至第3級。 　　本次報告及相關政策將陸續在一年內施行，日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作，按照統一之標準採取措施，並依據資訊系統所收集和管理之資料作出適當的監控及觀測，藉由構建之資訊共享系統，可以防止網絡攻擊造成重大的損失，並防止侵害持續蔓延及擴大，同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」，而日本以國民生活之影響程度標準列成0至5等級，其區分較為精細，且有區分平時基準及非常時期基準等，日本之相關標準可作為綱要修正時之參考。