歐洲專利局《2023年戰略計畫》

　　去（2005）年11月，全球幹細胞研究先驅－韓國首爾大學黃禹錫（Hwang Woo-suk）教授承認其研究有國際醫學倫理瑕疵，引發軒然大波。其後，相關的醜聞頻傳，黃教授更被控研究造假，使得原本以前瞻之胚胎幹細胞研究技術（即體細胞核轉置技術”somatic cell nuclear transfer”）獨步全球的韓國科學界，研究信譽遭受嚴重打擊。 　　偵辦「黃禹錫科研論文造假醜聞案」的南韓檢察當局，經連日傳訊相關人員後，正考慮對黃禹錫等四人採取司法懲處。 對於被查出不法獲得並使用科研用卵子的黃禹錫，檢方考慮依據違反「生命倫理及安全之法律」等條文予以懲處。 　　據指出，檢方在調查中，掌握了2004年及2005年刊登在「科學」雜誌上的科研論文，黃禹錫等人捏造體細胞複製幹細胞，和為病患複製培育胚胎幹細胞的科研數據，矇騙了整個科學界。調查顯示，黃禹錫去年十一月檢驗幹細胞的遺傳基因(DNA)指紋之前，似乎真的不曉得根本就不存在為病患量身打造複製培育胚胎幹細胞的事實。但檢方卻證實黃禹錫確實指示屬下研究員，將部分照片等科研數據和資料，自我膨脹等造假的事實。 　　由於生醫研究給許多病患帶來新的治療希望，因此其通常會以實際行動（即自願捐贈研究用檢體、協助經費募集等）表達支持。惟研究瑕疵或造假則會讓病患及一般民眾認為遭受欺騙，進而影響其未來捐贈檢體或以受試者身份參與生醫研究之意願。可見生醫倫理並不僅是道德呼籲，也是生醫研究能否順利進行、生醫研究能否生根發芽的重要基石。 黃禹錫案之相關報導可參見 The Economists, December 3 rd 2005, p. 71; The Economist, December 24 th 2005, p. 109-110

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　2019年6 月19日歐盟普通法院（THE GENERAL COURT）於以商標並不具備獨特性裁定，長年深植人心之Adidas「三條紋」商標（下稱系爭商標）無效。 　　Adidas於2013年底，將系爭商標向歐盟智慧財產局提交「圖形商標」（figurative mark）之註冊申請，並登記商標用途為服裝、鞋類、帽子。而於隔年比利時鞋類公司Shoe Branding Europe BVBA依相關規定（Article 52(1)(a)、Article 7(1)(b) of Regulation No 207/2009）提出系爭商標無效之申請，經審議後系爭商標因無任何獨特性，批准無效。隨後Adidas向歐盟智慧財產局提出上訴（Articles 58 to 64 of Regulation No 207/2009），上訴聲明中並未針對系爭商標缺乏獨特性一事提出異議，而是稱系爭商標已符合「經使用取得其獨特性」之規定（Article 7(3) and Article 52(2) of Regulation No 207/2009）。惟歐盟智慧財產局認為，Adidas無法證明系爭商標在歐盟境內有經使用而取得獨特性駁回上訴，隨後Adidas再向歐盟普通法院提出訴訟。 　　最終歐盟普通法院之裁決，仍維持2016年歐盟智慧財產局取消此系爭商標註冊之決定。歐盟普通法院認為Adidas未能證明「三條紋」在全歐盟28國內有「獨特性」，系爭商標僅只為「普通的象徵標記」。所謂「獨特性」應為於全歐盟國之消費者清楚知悉系爭商標之「三條紋」等於Adidas，並能與其他公司之產品作出區分。

　　今年7月31日最新一期的巴伐利亞邦政府公報(Allgemeines Ministerialblatt, AllMBl)，揭露今年6月5日的巴伐利亞內閣會議紀錄─關於巴伐利亞邦執行DSGVO的方式。　　 公報內容指出幾個重點： 業餘體育俱樂部(Amateursportverein)、樂隊(Musikkapelle)或由志願者投入者組成的協會(Verein)，不須任命資料保護官員(Datenschutzbeauftragten, DSB)。 如果因為對法律的不熟悉而初次違反DSGVO，並不會被罰款；相關單位的指示和建議將優先於處罰。因依據DSGVO第83條第1項規定，處罰應該是有效、適當且具有懲戒性的。故對於非第一次違反的情況，就可能直接依據DSGVO第83條規定處以罰款。 巴伐利亞邦不能接受「警告律師」(Abmahnanwälten)告誡企業資料保護行為違規的做法。 邦政府將向有關單位進一步確認DSGVO中的相關規定，其應用尤其必須能夠確保正確且適當的符合DSGVO的目標。 邦政府將與協會和中小企業進行進一步有關DSGVO適用的討論。 　　在巴伐利亞邦政府公布的新聞稿中，總理馬庫斯索德進一步表示：「DSGVO實現了更大程度的隱私保護，但不應該成為官僚主義的怪物。巴伐利亞將提供對協會及中小企業都友善的DSGVO適用方式。我們提供的是幫助，而不是懲罰。」內政部長Joachim Herrmann則表示：「DSGVO希望促使人民接受，但不是在人民的日常生活製造更多的困擾和額外的官僚主義。最重要的是，所有的協會、許多有志願者投入的地方或中小企業，必須透過適當和正確地應用DSGVO，來保護其免受過度的資料保護要求。」 　　巴伐利亞資料保護監督辦公室(BayLDA, Bayerische Landesamt für Datenschutzaufsicht)並進一步公布了對許多中小企業，如：協會、醫療診所(Arztpraxis)、稅務顧問(Steuerberater)……等行業，遵循DSGVO的參考指引，提供進一步的遵循指示。