歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

　　歐盟執行委員會依展望2020 (Horizon 2020)於2016年4月14日至15日召開未來工廠公私夥伴合作 (FoF cPPP)研討會，並展示目前資助的研究與創新成果，透過本計畫將協助歐盟內製造業，特別是中小企業，將資通訊及關鍵技術與整個工廠生產鏈結合，達到整體製造業升級。 　　計劃具體目標如下：(1)以資通訊技術為基礎的解決方案導入製造業生產過程，增加產品獨特性、多樣化、可大規模生產，及保有高度靈活性，以迅速反應瞬息萬變的市場。(2)縮短進入市場的研發製程，提升產品質量，並透過數位化設計、成型、模擬實作及預測分析，提升工作效率。(3)改善整合生產環境的人為因素。(4)透過現代資通訊基礎的生產技術使得資源、材料、能源更有持續性。(5)促進並強化製造領域的共同平台及其生態系統。(6)從獨特的地理位置創建虛擬價值鏈，從而善用優秀人才的潛力。 　　我國為整合新創能量，以創造製造業下一波成長動能，今年亦陸續公布「智慧機械產業推動方案」與「數位國家‧創新經濟發展方案」，以具高效率、高品質、高彈性等特徵之智慧生產線，透過雲端及網路與消費者快速連結，打造下世代工廠與聯網製造服務體系。

歐盟「藥品法規包裹法案」（Pharma Package）重點說明與簡析 資訊工業策進會科技法律研究所 2025年09月10日 歐盟理事會（the Council of the European Union）於2025年6月4日就歐盟「藥品法規包裹法案」（Pharma Package）取得一致立場，且正與歐洲議會及歐盟執委會展開三方協商（trilogue），以共同研議最終立法版本[1]。法案預計於2026年初進行表決，若順利通過且加上過渡期，最快將於2028年正式施行，並可能重塑歐盟藥品市場之上市與投資規劃。 壹、背景摘要 有鑑於歐盟現行的藥品法規制度，自2004年修正後施行至今已逾20年，難以充分回應公共衛生需求、藥品可及性落差以及國際市場競爭等多重挑戰。因此，歐盟執委會（European Commission, EC）於2023年4月公布「藥品法規包裹法案」，旨在強化藥品供應鏈穩定性、提升藥品創新與競爭力，以建立更公平、具韌性與永續性的歐洲醫藥市場[2]。而2024年4月歐洲議會（European Parliament）[3]、2025年6月歐盟理事會亦分別提出不同版本，以促進歐洲整合為單一藥品市場。 本次改革對生技製藥產業影響深遠，為協助我國製藥產業在進入歐洲市場前先行掌握相關動向，以下將進行重點說明與分析。 貳、立法重點與比較 一、藥品監管保護期間之修正 在本次藥品法規包裹法案中，有關藥品監管保護期間之修正，為歐盟執委會、歐洲議會與歐盟理事會分歧最大，也是外界高度關注之核心重點。首先，現行歐盟新藥保護是由8年資料專屬保護期（Regulatory Data Protection, RDP）[4]與2年市場獨占期（Market Exclusivity, ME）所構成[5]，若於資料專屬保護期間內取得新適應症可再延長1年市場獨占期，亦即保護期共為10~11年。 歐盟執委會則提議將資料專屬保護期縮短至6年，並搭配延長誘因機制，最多可再延長3年，條件包含： 1.滿足現有醫療需求可延長0.5年。 2.藥品在所有歐盟成員國上市可延長2年。 3.進行比較性臨床試驗可延長0.5年。 此外，不同於現行制度將新適應症延長1年納入市場獨占期，歐盟執委會則提議將此移至資料專屬保護期，因此合併原有2年市場獨占期後，保護期共為8~12年。 反之，歐洲議會則擬將資料專屬保護期調整為7.5年，並同樣設有延長誘因機制，但總延長上限至多1年，條件包含： 1.滿足現有醫療需求可延長1年。 2.進行比較性臨床試驗可延長0.5年。 3.在歐盟境內透過公私協力進行研發可延長0.5年。 若公司另取得比現有療法更有顯著臨床優勢之新適應症，則原有2年市場獨占期可再延長1年，合併計算後保護期共為9.5~11.5年。 而歐盟理事會則不同於歐盟執委會、歐洲議會，選擇將資料專屬保護期維持現行8年，但無法再延長。然而，市場獨占期則提議縮減為1年，但若符合特定條件則可再延長至2年，合併計算後保護期共為9~10年。條件包括： 1.滿足現有醫療需求。 2.產品含有新活性物質，並同時符合以下3項要件： (1)上市許可申請具關聯性且有證據基礎的比較性臨床試驗結果作為支持。 (2)在一個以上的歐盟成員國內進行臨床試驗。 (3)申請人須證明已優先於歐盟申請上市許可，或於首次向歐盟以外地區提出申請後90日內完成歐盟上市申請。 圖一、歐盟藥品法規包裹法案提議版本比較 資料來源：本研究整理 二、針對抗菌藥物引入創新研發機制 抗菌藥物抗藥性（Antimicrobial resistance, AMR）為近年全球公共衛生重要議題，並為世界衛生組織（World Health Organization, WHO）所列全球十大健康威脅之一[6]。因此，除嚴格限制抗菌藥物濫用外，為有效促進新型抗菌藥物之研發，本次藥品法規包裹法案中亦引入「可轉讓資料專屬保護權憑證」（Transferable Exclusivity Voucher, TEV）作為獎勵措施。 使用此憑證可賦予持有人額外1年資料專屬保護期，且除可用於抗菌藥品外，亦可適用於公司內其他更具商業價值藥品，或將此憑證轉賣給其他藥廠，為藥廠提供額外收入，但每張憑證僅能轉讓一次。 考量到憑證可能被用於商業利益龐大之藥品，藉此延緩學名藥與生物相似藥進入市場，並影響病患取得藥物之可及性，歐盟執委會於提議時亦強調此制度預計僅實施15年，或至多核發10張憑證後即停止適用[7]。此外，在歐盟執委會所提議之版本中，對於憑證使用亦設有限制，包含必須於憑證核發後5年內使用，且僅限用於尚在資料專屬保護期前4年之藥品，以確保市場可預測性。 歐洲議會與歐盟理事會雖然大致表態支持，但對憑證效力採取不同立場。歐洲議會態度較為保留，其提議使用憑證所額外延長之資料專屬保護期應依據抗菌藥品優先等級區分為6個月、9個月或12個月，且同樣受有總延長至多1年之限制。換言之，在歐洲議會提議版本下，無論延長事由為何，資料專屬保護期至多僅能延長至8.5年。 相對而言，歐盟理事會並未採納歐洲議會之提議，而是維持歐盟執委會提出增加1年資料專屬保護期之優惠設計。然而，為避免過度限制市場競爭，歐盟理事會亦新增規定，若憑證用於非抗菌藥品，則僅能在該藥品資料專屬保護期的第5年使用，且須證明過去4年內該藥品任一年銷售額均未超過4.9億歐元。 參、總結 「藥品法規包裹法案」反映出歐盟執委會、歐洲議會與歐盟理事會對新藥保護政策之差異，雖然三者皆試圖在鼓勵創新研發與提升藥品可近性之間取得平衡，但在藥品監管保護期間具體設計上仍有差異。歐盟執委會雖提議縮減資料專屬保護期，但也透過延長制度維持研發誘因。而歐洲議會則提議更高的初始保護門檻，但限制總延長期，且更著重在鼓勵研發活動而非市場擴張。至於歐盟理事會則維持現行保護年限，以持續激勵研發投入，但也透過縮短市場獨占期，加速學名藥與生物相似藥上市，以降低藥品價格並滿足醫療需求。 至於「可轉讓資料專屬保護權憑證」制度固然能為抗菌藥物提供研發誘因，但也伴隨著一定的潛在風險與利益分配爭議，如何確保該制度所帶來之公共利益超過公共衛生成本與風險，仍取決於未來最終立法版本應該如何調整與落實。對於我國製藥產業而言，此次改革有可能加速學名藥與生物相似藥進入歐洲市場，亦可能因延長誘因制度而遲延競爭時機，故仍應持續密切關注並審慎調整研發與市場策略。 [1]EUROPEAN COUNCIL, ‘Pharma package’: Council agrees its position on new rules for a fairer and more competitive EU pharmaceutical sector (2025), https://www.consilium.europa.eu/en/press/press-releases/2025/06/04/pharma-package-council-agrees-its-position-on-new-rules-for-a-fairer-and-more-competitive-eu-pharmaceutical-sector/#:~:text=The%20Council's%20position&text=obligation%20to%20supply%3A%20a%20new,patients%20in%20the%20member%20state (last visited Aug. 28, 2025). [2]EUROPEAN COMMISSION [EC], Reform of the EU pharmaceutical legislation (2023), https://health.ec.europa.eu/medicinal-products/legal-framework-governing-medicinal-products-human-use-eu/reform-eu-pharmaceutical-legislation_en (last visited Aug. 28, 2025). [3]EUROPEAN PARLIAMENT, Parliament adopts its position on EU pharmaceutical reform (2024), https://www.europarl.europa.eu/news/en/press-room/20240408IPR20308/parliament-adopts-its-position-on-eu-pharmaceutical-reform (last visited Aug. 28, 2025). [4]「資料專屬保護期」是指專利藥提出新藥上市申請時，所檢附證明藥品安全性與療效之相關申請數據資料，其他藥廠非經原廠同意，於法定保護期間內不得引用，為行政機關針對原廠新藥上市申請資料給予之保護權益。詳請參考：台灣光鹽生物學苑，〈【醫藥小專欄】什麼是資料專屬權（data exclusivity）〉，台灣光鹽生物學苑，https://www.biotech-edu.com/%E3%80%90%E9%86%AB%E8%97%A5%E5%B0%8F%E5%B0%88%E6%AC%84%E3%80%91%E4%BB%80%E9%BA%BC%E6%98%AF%E8%B3%87%EF%A6%BE%E5%B0%88%E5%B1%AC%E6%AC%8A-data-exclusivity/ （最後瀏覽日：2025/08/28）。 [5]「市場獨占期」則是指在一定期間內，即使學名藥或生物相似藥已可向主管機關提出上市許可之申請並獲得核准，但仍不得實質上市銷售，須直到市場獨占期屆滿為止。市場獨占期與資料專屬保護期之比較，詳請參考：Specialist Pharmacy Service, Understanding data exclusivity and market protection (2025), https://www.sps.nhs.uk/articles/understanding-data-exclusivity-and-market-protection/ (last visited Aug. 28, 2025). [6]〈世界抗生素週〉，衛生福利部疾病管制署，https://www.cdc.gov.tw/En/Category/MPage/t2VWXn93ooNVJPuQRF7jzg （最後瀏覽日：2025/08/28） [7]CROWELL & MORING LLP, The New EU “Pharma Package”: The transferable exclusivity voucher—A comparison of Commission/Parliament/Council positions(2025),https://www.crowell.com/en/insights/client-alerts/the-new-eu-pharma-package-the-transferable-exclusivity-vouchera-comparison-of-commissionparliamentcouncil-positions (last visited Aug. 28, 2025).

　　德國聯邦交通及數位基礎設施部（Bundesministerium für Verkehr und digitale Infrastruktur, BMVI）於2020年12月2日公布與道路安全資料工作組（Data Task Force for Road Safety）成員簽署多方協議，以促進交通資料於道路維運單位、聯網車、智慧基礎設施間傳輸交換，進而透過最新技術識別道路危險狀況，以提升交通安全。 　　道路安全資料工作組係由歐盟成員國、車輛製造商、相關應用服務提供商所組成的公私合營夥伴關係，其任務為透過政府與產業相關利益者之合作，促進道路安全性資料可跨品牌和跨國界共享，並於公平可靠的合作夥伴關係下，促進公平競爭。 　　而在多方協議中，歐盟成員國，道路交通管理單位，汽車製造商和供應商以及地圖服務提供商等成員，承諾進行長期資料交換，並於協議中定義如何在安全相關交通資訊（Safety Related Traffic Information, SRTI）生態系統內，以公平、可靠的方式近用相關資料，並規定合作夥伴於SRTI價值鏈中應扮演的角色與責任，和透過分享安全相關的的資料，進而提供安全性服務。而在簽署本協議前，已成功完成可行性研究，在2019年6月至2020年10月間，不斷地測試SRTI系統並交換共數百萬筆資料，包括危險事故現場、暫時性濕滑路面、視野受限、特殊天候狀況等資訊。而在初步測試報告指出，透過上述資料交換，可發出相關危險交通狀況警告，能迅速有效因應各狀況作出適當的決策。

法國國家資訊自由委員會（Commission Nationale de l'Informatique et des Libertés, CNIL）於2025年7月15日指出近年來詐騙案件快速增加，詐欺行為人假冒銀行人員，以電話引導受害者自行完成轉帳或新增收款人等操作。為降低受騙風險，部分銀行在行動應用程式中設計機制，能偵測到使用者操作較高風險的交易時若同時處於通話狀態，便可即時跳出警示或暫停交易。此等做法雖有助於阻詐，惟因涉及個人資料存取，故須符合《歐盟一般資料保護規則》（General Data Protection Regulation, GDPR）之規範。 CNIL提醒銀行蒐集通話資訊須取得使用者明確同意，不能僅依賴行動裝置的「電話」權限，亦不得因使用者拒絕同意而限制應用程式之基本使用，僅在如新增收款人、大額轉帳、或轉帳至高風險國家等異常活動操作中才能要求同意，並須提供網站、電話或分行等替代辦理方式。又相關權限請求應在交易操作過程中提出，而非在應用程式安裝時統一要求，安裝前亦應向使用者充分說明。若使用者不同意，仍必須使其能正常查詢帳戶資訊。 此外，在資料處理上須遵循資料最小化原則，僅得蒐集是否進行通話及通話時長之資訊，不得恣意擴大資料蒐集範圍。與此同時，銀行應讓使用者在同意與撤回同意操作上一樣簡便，不得僅引導至手機裝置設定，而應使消費者能在應用程式中直接操作，並清楚告知撤回同意後功能受限範圍及可替代方案。 除利用應用程式進行通話偵測，CNIL建議銀行尚應搭配其他措施，例如在應用程式內定期推送防詐提醒、舉辦宣導活動，或在確認付款時詢問客戶是否正與自稱是「銀行顧問」之人通話。若銀行欲透過應用程式偵測通話狀態來防詐，則須在合法性、必要性、資料最小化以及使用者同意之間取得平衡。