歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。

  本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。

  報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:

  1. 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
  2. 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
  3. 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
  4. 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
  5. 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 歐盟資通安全局公布《提升歐盟軟體安全性》研究報告, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8522&no=55&tp=1 (最後瀏覽日:2026/07/14)
引註此篇文章
你可能還會想看
日本簽署SBOM國際共通指引,強化軟體弱點管理,全面提升國家網路安全

由美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 簡稱CISA)自2024年以來,持續主導並規劃《SBOM網路安全之共同願景》(A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity)之指引訂定,作為保障網路安全之國際共通指引。於2025年9月3日,由日本內閣官房網路安全統括室為首,偕同經濟產業省共同代表日本簽署了該份指引,包含日本在內,尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門,皆同步完成簽署。以下為指引之重點內容: 1. 軟體物料清單的定位(Software Bill of Materials, 簡稱SBOM) SBOM於軟體建構上,包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。 2. 導入SBOM的優點 (1) 提升管理軟體弱點之效率。 (2) 協助供應鏈風險管理(提供選用安全的軟體,提升供應商與使用者之間溝通效率)。 (3) 協助改善軟體開發之進程。 (4) 提升管理授權軟體之效率。 3. SBOM對於利害關係人之影響 (1) 使軟體開發人員可選擇最符合需求的軟體元件,並針對弱點做出適當處置。 (2) 軟體資訊的透明化,可供採購人員依風險評估決定是否採購。 (3) 若發現軟體有新的弱點,使軟體營運商更易於特定軟體與掌握弱點、漏洞。 (4) 使政府部門於採購流程中,發現與因應影響國家安全的潛在風險。 4. SBOM適用原則與相關告知義務 確保軟體開發商、製造商供應鏈的資訊透明,適用符合安全性設計(Security by Design)之資安要求,以及須承擔SBOM相關告知義務。 近年來軟體物料清單(SBOM),已逐漸成為軟體開發人員與使用者,於管理軟體弱點上的最佳解決方案。然而,針對SBOM的作法與要求程度,各先進國家大不相同,因此透過國際共通指引的簽署,各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計,以確保所有類型的資通訊產品(特別是軟體)之使用安全,也鼓勵製造商為每項軟體產品建立SBOM並進行管理,包含軟體版本控制與資料更新,指引更強調SBOM必須整合組織現有的開發與管理工具(例如漏洞管理工具、資產管理工具等)以發揮價值。此份指引可作為我國未來之參考借鏡,訂定相關的軟體物料清單之適用標準,提升政府部門以及產業供應鏈之網路安全。

英國資訊委員辦公室推出資料分析工具箱協助組織檢視資料保護情形

  英國資訊委員辦公室(Information Commissioner's Office, ICO)於今(2021)年2月17日推出資料分析工具箱(data analytics toolkit)供所有考慮對個人資料進行資料分析的組織使用,旨在幫助組織駕馭人工智慧(Artificial Intelligence, AI)系統對個人權利所可能帶來的挑戰。   ICO表示,越來越多的組織使用AI來完成特定任務,例如使用軟體自動發現資料集(data sets)的模式,並藉此進行預測(predictions)、分類(classifications)或風險評分(risk scores),組織在使用個人資料進行資料分析時,納入資料保護的概念是至關重要的,除符合法律要求外,也能增強民眾對技術的信任與信心。   使用ICO的資料分析工具箱時,首先會詢問組織所適用的法律,並引導至相對應的頁面,並透過合法性(lawfulness)、問責與治理(accountability and governance)、資料保護原則(data protection principles)以及資料主體權利(data subject rights)等一系列的問題瞭解組織的資料保護情形,在回答所有問題之後,工具箱將產生一份報告,提供組織關於資料保護的建議,提高組織資料保護的法令遵循程度。   ICO強調,組織應該要在個人資料處理的過程中考量報告中所提及的建議,並向組織的資料保護長(Data Protection Officer, DPO)徵詢其意見,在組織委託、設計與實施資料分析時落實個人權利與自由的保障。

日本經產省與國交省提出「自動駕駛推動發展與制度規劃」檢討報告

  日本經濟產業省於2016年11月14日召開第二次「自動駕駛商業檢討會」,邀請產官學研各界對於自動駕駛未來國際標準的動向以及諸如協調領域、社會接受度、制度和基礎建設等方面所涉議題,交換意見。   該檢討會首先注意到美國、歐洲以及韓國對於自動駕駛各式規則或指引制定的討論。在協調領域方面,檢討會指出:關於自動駕駛所需的地圖資訊,應由各汽車製造商協調,透過合作機制或規範來確保資訊與資金提供的公平性。   社會接受度方面,檢討會則提出建議考量是否需要針對不擅駕駛的高齡者或初學者,提供有效系統的必要性。在制度與基礎建設方面,檢討會則指出:以現狀而言,自動駕駛服務的商業永續性仍不明朗,必須持續進行實證試驗。   此外,為減少交通事故與因應少子化,與汽車的ICT革命等議題,由國土交通省於同年11月25日設立「自動駕駛戰略本部」(自動運転戦略本部),並於12月9日召開第一次會議。   該次會議討論的範圍包括:為實現無人駕駛的環境整備、自動駕駛技術的研發、普及與促進,以及為實現自動駕駛的實證與社會試驗。   會議結論則由國土交通大臣指示針對「車輛的技術基準」、「年長者事故對策」、「事故發生時的賠償規則」、「大卡車列隊行走」、「非平地道路間以車站為據點的自動駕駛服務」等議題速成立工作小組。

從歐洲對於侵害第二醫療用途專利之見解評析相關產業之潛在風險

從歐洲對於侵害第二醫療用途專利之見解評析相關產業之潛在風險 資訊工業策進會科技法律研究所 法律研究員 方玟蓁 2018年6月19日 壹、背景介紹   新藥開發雖具龐大商機,惟需負擔高成本及高失敗風險,因此出現了「老藥新用」策略,產生出第二醫藥用途藥物。知名個案如威爾剛從治療心血管疾病轉而被廣泛用於治療男性性功能障礙;阿斯匹靈從原本的消炎止痛藥至目前被作為預防冠狀動脈硬化之預防藥。由於許多第二醫藥用途藥物在市場上獲得顯著的成功效益,驅使了許多藥廠投入第二醫藥用途藥物之研發。   然而,我國與多數國家皆有明訂不予專利事由包含人類或動物之治療方法,因此有關醫藥用途之發明專利大多採取瑞士型請求項撰寫型式。瑞士型請求項係於1984年由瑞士聯邦智慧財產局(Swiss Federal Intellectual Property Office)在Bayer案[1]中所提出相對於德國型請求項之見解;瑞士型請求項係指一種「物質或組成物X於製備治療疾病Y之藥物的用途」,德國型請求項則為一種「物質或組成物X於治療Y之用途」;惟因德國型請求項在多數歐洲國家仍被認為屬於治療方法,職是,在2007年以前,瑞士型請求項之撰寫型式廣泛地被歐洲專利審查實務上所採用。我國亦參照歐洲專利審查實務,於2013年版的專利審查基準中認定瑞士型請求項之申請標的係指一種製備藥物方法,非屬人類或動物之治療方法。例如為避免請求項「一種治療疾病Y的方法,其係使用化合物A」或「化合物A用於治療疾病Y的用途」落入法定不予專利範疇,得以瑞士型請求項改寫成「化合物A用於製備治療疾病Y之藥物的用途」,則非屬於法定不予專利之標的;簡言之,為符合專利適格性,我國規範醫療用途發明需使用瑞士型請求項撰寫型式。   2007年12月13日,歐洲專利局施行新制歐洲專利公約(EPC 2000)[2],明訂第二或後續(second or further)醫藥用途發明可用已知物質或組合物作為專利申請標的;換言之,第二醫藥用途發明之物質或組合物,得以「限定用途之藥物」來申請專利;同前例則可改寫為「用於治療疾病Y的化合物A」。爾後於2010年2月19日,歐洲專利局(EPO)擴大上訴委員會(Enlarged Board of Appeal,簡稱EBA)就涉及老藥新用途的專利案件-G2/08案[3],提出有關歐洲專利公約(European Patent. Convention,簡稱EPC)第54條第(5)項保護範圍之解釋;G2/08案件的審理受到各國專利局與醫藥界的密切關注,EBA就G2/08案提出:未來藥物用途的瑞士型請求項將不再適用。職此,歐洲專利組織會員國對於第二或後續醫藥用途申請專利範圍之撰寫方式,始從「用途」為標的之瑞士型請求項或德國型請求項,演變至以「物」為標的之用途限定請求項。   過去使用瑞士型請求項主張直接侵害第二醫藥用途專利時,前提須有製造藥物行為;改為用途限定藥物請求項後,是否影響歐洲各國法院有關直接侵害第二醫藥用途專利之判定,成為歐洲各國持續關注議題。雖然目前歐洲各國見解尚未統一,惟近期德國、荷蘭之實務見解,已有加重學名藥廠侵權風險之趨勢,恐將影響未來我國專利審查實務之標的認定,倘若我國學名藥廠欲拓展歐洲市場,亦須留意歐洲各國之實務見解風向。 貳、德國實務見解   德國針對直接侵害第二醫療用途專利之認定已有確立之判例法,德國杜塞爾多夫高級地方法院在最近的判決[4]中更明確定義了直接侵害第二醫療用途專利之要件。   德國過去判例法針對是否侵害第二醫療用途專利係採「清單準備」概念,專利權人須證明疑似侵權人有明確安排或準備行為,且該準備行為之目的係為實現應用藥物於專利保護用途。「清單準備」行為除常見於藥物仿單指示說明內容,其他較顯著情形包括疑似侵權人已提供符合專利治療目的之藥物配製、劑量、或供使用者之即用製劑;惟若僅僅是在廣告傳單中出現一般性描述,或於銷售人員解說時提及可用於專利治療目的,則因無法確定使用者將據此應用在專利保護用途,因此過去德國實務認為營銷傳單及人員宣講不構成明確準備行為[5]。   然而,實際上藥物仿單指示說明書常常未載明有關第二或後續醫藥用途,通稱分割(crave-out)或縮減(skinny)仿單;甚至還能透過營銷傳單、廣告宣講、產品特性概述(Summary of Product Characteristics,簡稱SmPC)[6]、或產品包裝…等外部補充資訊,進而提高藥物被應用於專利治療目的之可能性。鑑此,即使專利治療目的已從藥物仿單指示說明中抽離,惟因外部資訊補充,衍生出交叉(cross)仿單現象,使得疑似侵權人得輕易繞過專利治療目的,增加專利權人舉證之難度。   2017年5月德國杜塞爾多夫高級地方法院(Düsseldorf higher regional court)已特別針對交叉仿單情形,提出可認定直接侵權的要件[7]: (1)藥物在客觀上適用於專利治療用途; (2)供應商利用外部環境之客觀優勢,係以某種「其他方式」,且該「其他方式」與「清單準備」有近似效果,得確保所提供藥物將被用於專利治療目的。   德國杜塞爾多夫高級地方法院之見解似乎擴大了德國先前判例法之「清單準備」認定範圍,連同供應商利用外部環境之客觀優勢行為也一併納入考量。假若外部環境之客觀優勢包含選定保險給付藥物、藥師以低成本藥物進行替代配藥…等情形,未來恐將提高學名藥廠侵害第二醫療用途專利之風險。 參、荷蘭實務見解   荷蘭法院同樣面臨交叉仿單之侵權認定問題。2017年4月,荷蘭最高法院於Sun/Novartis案[8]中確立了直接侵害第二醫療用途專利之評估要件: (1)不論係瑞士型請求項或限定用途藥物請求項之第二醫療用途專利,客觀上可預期或者應該可預見學名藥將有被使用在專利治療目的之意圖; (2)相關領域技術者得根據外部環境資訊,因而相信該學名藥可用於或適合用於專利治療目的; (3)若符合以上情形,那麼學名藥廠須採取合理預防措施,防止學名藥被用於專利治療目的。若僅在SmPC或產品訊息手冊(Product Information Leaflet,簡稱PIL)中抽離專利治療目的資訊,則該預防措施仍有不足。   對照德國法院的見解,荷蘭最高法院認為只要專利權人證明在客觀上可預見學名藥被用於專利治療目的,且相關領域技術人員得經由外部補充資訊取得學名藥可用於專利治療目的之認知,則學名藥廠應採取合理預防措施。荷蘭最高法院也特別強調,若只對醫藥相關法規所列表單作有關專利治療目的之資訊排除,仍然不足以達到合理預防措施之要求。言下之意,未來學名藥廠對於營銷傳單、媒體廣告、人員宣講…等內容亦應避免揭露有關專利治療目的資訊,或可增加警語標示,聲明藥物僅作為不侵害他人專利權使用。 肆、法國實務見解   法國有關直接侵害第二醫療用途專利之認定,除須證明疑似侵權之學名藥物是在法國製造、進口、或出售,尚須證明相關製造商或供應商有提供使用者將藥物用於專利治療目的之意圖[9],近似於原先德國判例法之「清單準備」概念。因此,關於交叉仿單侵權情形,專利權人在舉證上仍有困難。 伍、總結   歐洲發明專利雖在申請及審查程序上已有歐洲專利局作為統一窗口,惟當專利權發生侵害時,專利權人仍須向歐盟各國法院尋求救濟。為提升訴訟便利性及避免裁判分歧,歐盟規劃整合專利訴訟制度,設立歐洲統合專利法院(The Unified Patent Court,簡稱UPC)。目前已簽屬之歐盟統合專利法院協定(Agreement on a Unified Patent Court)第25條[10]係定義直接侵權行為: (1)製造、提供、於市場販售或使用受專利保護之產品;或為前些目的而進口或儲存受專利保護之產品; (2)使用受專利保護之製程或方法;或者第三方知悉或應該知悉該製程或方法若未經專利權人同意時應被禁止使用,卻提供該製程或方法於該專利權有效締約成員國領土內; (3)作為提供、市場販售、使用、進口或儲存的產品,係直接使用受專利保護之製程或方法所製造。   雖UPC協定目前尚未對於直接侵害第二醫療用途專利態樣作統一規範,惟承本文前述,近年德國法院判決中有關直接侵害第二醫療用途之認定包含供應商利用外部環境之客觀優勢;荷蘭最高法院則認為學名藥廠須採取合理的預防措施,作法不限於將專利治療目的資訊自SmPC或PIL中排除;法國法院目前作法雖仍類似於原先德國判例法之「清單準備」概念,然而依照歐盟簽署UPC協定之意旨,未來恐導向增加相關學名藥之責任風險。有鑑於此,對於有意前往歐洲市場發展之我國學名藥廠需特別留意,避免於公開醫藥資訊或廣宣媒體中提到非屬專利權人授權之第二醫療用途專利訊息。   我國目前仍視瑞士型請求項型式為一種製備藥物方法,唯有當製造商製造藥物且該藥物仿單指示說明書中提及可用於專利治療目的,才有可能構成直接侵害第二醫藥用途專利。惟因我國於2018年1月31日發佈藥事法修正條文,導入專利連結制度,未來新藥藥品許可證所有人若向中央衛生主管機關提報醫藥用途專利,則學名藥藥品許可證申請人,應於申請藥品許可證時,就新藥藥品許可證所有人已核准新藥所登載之醫藥用途專利權,向中央衛生主管機關提出未侵害專利權、專利應撤銷、或專利已消滅之聲明。因此,我國學名藥廠在實際進入我國市場前,尚需留意提出申請查驗之學名藥是否涉及第二醫療用途專利,或可利用分割或縮減仿單方式以降低對第二醫療用途專利之侵權風險。 [1] Hydropyridine X ZB 4/83(BGH)(1984) 2 IIC 215. [2] EPC 2000 article 54(5) Paragraphs 2 and 3 shall also not exclude the patentability of any substance or composition referred to in paragraph 4 for any specific use in a method referred to in Article 53(c), provided that such use is not comprised in the state of the art. [3] G0002/08 (Dosage regime/ABBOTT RESPIRATORY) of 19.2.2010, https://www.epo.org/law-practice/case-law-appeals/recent/g080002ex1.html (last visited June 19, 2018). [4] Oberlandesgericht Düsseldorf, I-2 W 6/17. https://www.justiz.nrw.de/nrwe/olgs/duesseldorf/j2017/I_2_W_6_17_Beschluss_20170505.html(last visited June 19, 2018). [5] Paul England, Infringement of second medical use patents in Europe and the Unified Patent Court Paul England **Email: p.england@taylorwessing.com . Search for other works by this author on: Oxford Academic Google Scholar Journal of Intellectual Property Law & Practice, Volume 11, Issue 6, 426-434, June 1 2016. https://academic.oup.com/jiplp/article-abstract/11/6/426/2378971?redirectedFrom=fulltext (last visited June 19, 2018). [6] 「產品特性摘要文件,主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時,必須遵循歐盟2001/83/EC號指令第11條之規定,附加產品特性摘要於申請文件,以供主管機關作為申請核駁之依據」。摘自葉于豪,<歐洲藥物管理局(European Medicines Agency,簡稱EMA)發佈針對準備與審查產品特性摘要(summaries of product characteristics,簡稱SmPCs的指導方針>,2013年3月4日,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&i=40&d=6012(最後瀏覽日:2018年6月19日) [7] 同註解4。 [8]ECLI:NL:RBDHA:2017:3430.https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBDHA:2017:3430(last visited June 19, 2018). [9]同註解4。 [10] Agreement on a Unified Patent Court, Article 25. https://www.unified-patent-court.org/sites/default/files/upc-agreement.pdf(last visited June 19, 2018).

TOP