歐盟2020年人工智慧白皮書

　　在未來三年，中國藥品市場將以每年20-25%的成長率快速成長，並且預估可在2010年成為世界第五大藥品市場。在中國加入世界貿易組織(World Trade Organization, WTO)之後，其廣大的市場以及商機吸引了許多海外藥品製造商的興趣。然而，因為中國對智慧財產保護的社會環境非常複雜，使得本土製造的學名藥以及複製產品仍然主宰其藥品市場。 　　在歷經六年的法律戰爭後，輝瑞終於在中國成功地捍衛其關於陽痿治療藥物Viagra的專利權。根據報導，北京高等人民法院已駁回來自12家本土製藥廠所提出的專利異議案，並且同意授予輝瑞對於Viagra的專利保護至2014年為止。 　　輝瑞於1994年提出以Sildenafil (Viagra)治療陽痿的專利申請。歷經七年的審查，中國知識產權局於2001年核准該專利申請案。隨後，12家本土製藥廠提出了該專利的異議案，而中國知識產權局的專利檢定所於2004年判定此專利無效。輝瑞很快地對此決議提出異議，2006年，北京中級人民法院作出對輝瑞有利的判決。雖然前述之本土製藥廠商針對此判決向北京高等人民法院提出訴願，但北京高等人民法院於週四正式駁回訴願，並指示SIPO撤銷先前的專利無效判定。 　　這個判決結果應有助於Viagra站穩中國的陽痿治療藥物市場。然而，輝瑞在中國仍然面臨許多挑戰。今年初，該公司輸掉一個關於Viagra的商標侵權官司。而輝瑞目前正上訴中。

　　英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2020年4月17日，依據英國資料保護法（Data Protection Act 2018）第115條第3項第b款之授權，針對2020年4月10日Apple和Google因應COVID-19疫情發表之「接觸史追蹤應用程式框架」（Contacting Tracing Framework, CTF），發布意見報告。報告認為，由於CTF具備以下三大特性：（1）不會在裝置間交換個人資料，如帳戶資訊或使用者名稱；（2）配對過程僅在裝置本身進行，並不會有如應用程式伺服器之第三方介入；（3）不需要地理位置資訊就能順利運作，因此符合英國資料保護法第57條有關「透過設計並作為預設以保護個人資料」（Data protection by design and default）之規定。 　　縱然CTF符合英國資料保護法之規定，英國資訊委員辦公室仍於報告中指出：「未來軟體開發商若於接觸史追蹤應用程式中使用CTF技術，該應用程式於處理使用者之個人資料時，仍應隨時符合英國資料保護法關於透過設計並作為預設以保護個人資料之規定。」COVID-19疫情席捲全球，如何於「掌握感染者接觸史以預防疫情擴散」與「保障個人資料及隱私」間取得平衡，實為各國政府需考量之重要議題。我國人工智慧實驗室於2020年4月開發之「社交距離App」，便是使用類似Apple和Google之CTF技術。此份英國資訊委員辦公室意見報告，等於針對社交距離App是否侵害隱私權益，提供相當解答與指引。

　　英國之胚胎幹細胞研究活動，係根據「1990年人類受精與胚胎學法」（Human Fertilisation and Embryology Act 1990，HF&E Act）和「2001年人類受精與胚胎學規則」（Human Fertilisation and Embryology (Research Purposes) Regulations 2001，Research Purposes Regulations）之規定，授權由「人類受精與胚胎學管理局」（Human Fertilisation and Embryology Authority，HFEA）依法管理。 　　新堡大學東北英格蘭幹細胞中心（North East England Stem Cell Institute）Lyle Armstrong博士，在去年底向HFEA申請一項涉及混合人類與動物細胞製造胚胎幹細胞之研究許可；其計劃利用細胞核轉置技術，將牛的卵子細胞核取出，植入人類體細胞核，並刺激其分裂形成胚囊或早期複製胚胎，用以研究培養病患所需身體組織之技術。過去HFEA從未曾核准過此類研究，僅核准過2件利用細胞核轉置技術和單性活化卵母細胞製造胚胎幹細胞株作為醫學研究之申請。此研究申請訊息一流出，即引起保守團體嘩然及指責，要求英國政府應盡速立法，禁止製造人獸混合細胞之實驗活動。面對各界抗議聲浪，HFEA表示，會暫緩此申請案。 　　事實上，去年12月英國健康部提出了一篇報告－「人工生殖及胚胎學法之檢討」（Review of the Human Fertilisation and Embryology Act），建議國會應儘速立法規範人類動物細胞混合研究。而英國政府與人民究竟能否接受混合人類動物遺傳細胞研究之合法性、合道德性，則為未來立法動向之重要指標。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。