歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

　　因預期超高速網路在英國將被廣泛佈建，Ofcom於2011年6月啟動諮詢程序，徵詢各界光纖網路備援電池的管制指引，以確保消費者的緊急電話服務；並於同年12月公佈諮詢結果與更新管制指引。 　　英國境內光纖到終端（FTTP）服務的覆蓋率已達到58％，雖得以提供消費者更高速的上網與影音內容，但卻有停電時無法運作的先天缺陷。由於傳統電話運作所需的電力係經由業者機房透過銅絞線供應，故即便消費者終端停電，仍能緊急電話。因此Ofcom曾於2009年要求公眾電話業者（PATS）確保消費者終端有維持供電4小時以上的備援電池，以保障民眾的身家安全。而此項管制則是納入ECN/ECS業者之第3項一般條件的管制中，業者有因而有遵守的義務。 　　此次徵詢結果，Ofcom確立了以下兩點管制指引： 1. PATS必須確保提供備援電池：PATS若由消費者選擇是否安裝備援電池，將被認為不符義務。若PATS選擇由消費者負擔更換電池之責任，應提供適切指引並確保易於取得電池；若責任由PATS承擔，則應建立適切處理程序。 2. 備援電池最低供電時數降為1小時：主要理由為英國大部分的斷電事件都不超過1小時；且行動電話相當普及，增加了安全保障。而備援電力降為1小時後，將使其電池更輕便和更易分離，因而更易於產製購買、取得與安裝。不過對於歷史上曾發生斷電超過1小時的家戶，PATS仍有義務確保較長時間的備援電力。

　　美國白宮在2015年2月27日發布了「消費者隱私權法」（Consumer Privacy Bill of Rights Act）草案，目的在於擴大消費者資料的保護範圍。 該草案的重點分列如下： 透明性：受規範主體必須提供資訊主體簡潔、明顯、易懂的公告，公告內容必須提供簡潔、明瞭及即時的隱私與安全運作，包含資訊保存、揭露以及個人資料存取機制。 個人控制：受規範主體應該在合理範圍內提供機制，讓資料主體能控制其個人資料之處理，同時也規範應讓消費者撤銷個人資料使用的同意。 注重資料蒐集與合理使用：受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時，在資料蒐集之特定目的完成後的合理時間內，必須針對所蒐集的個人資料進行刪除或是去識別化。 安全性的維護：為了維護個人資料之安全性，以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露，公司機構必須進行安全風險評估，並且採取合理的資訊安全防護措施。 存取與正確性：受規範的公司機構必須提供資訊主體合理的存取權利，同時也應該採取合理的步驟，來維護資料的正確性。 擔負隱私維護的責任：受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。 不受本草案規範之公司機構： 25名員工以下的小型公司，且其處理者僅限於員工與求職者之個人資料。 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼，並符合以下要件之一者： 在12個月內蒐集個人資料筆數在10,000筆下； 5名員工以下。 　　除了要求產業發展處理消費者資料的標準或規則，該草案也要求「聯邦貿易委員會」（Federal Trade Commission, FTC）確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定，包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」，將會面臨FTC或是州檢察長所發起的法律行動。 　　該草案引起了產業界極大的反彈，隱私團體也批評該草案太過寬鬆，留給產業界太多自由空間，同時目前國會由共和黨所主導，因此後續立法工作的進行將會面臨極大的挑戰。

　　歐盟科學與新科技倫理委員會（European Group on Ethics in Science and New Technologies, EGE）在今（2009）年11月18日公布合成生物學（Synthetic Biology）公布相關之倫理、法制與社會議題之意見，其中指出合成生物學具有可大幅降低生技藥品生產成本的極大潛力，但也可能帶來的風險，故應予注意。   　　對很多人來說，合成生物學是一個相當新穎的概念，經濟合作發展組織（Organisation for Economic Co-operation and Development , OECD）在其所公布的2030生物經濟發展議程中，將其列為最具有發展潛力的新興生物技術之一，近來更被歐美先進國家視為生物技術產業的未來重點發展方向。   　　根據OECD的定義，所謂合成生物學，是以工程方法為基礎，以改進微生物的新興領域，此技術使設計與建構新生物元件（part）、裝置（device）及系統（system），及對於既存的自然生物系統，使其更具有使用性。合成生物學的目的，在於藉由設計細胞系統，使其具備特定功能，從而消除浪費細胞能量之非期待的產物，以增進生物效率。目前合成生物學與市場較為接近的案例，乃一種將青蒿（sweet wormwood herb）、細菌與酵素等基因、分子路徑（molecular pathway）作結合，製造出可以生產治療瘧疾（malaria）的青蒿酸之細菌，此項開發成功突破過去僅能透過植物青蒿獲得，並產量有限的瓶頸。   　　正由於看好和成生物學的發展潛力，美國、英國與歐盟都開始對此項技術可能帶來的倫理、法制與社會爭議進行評估，歐盟EGE更公布意見以作為未來訂定法規範時的參考。EGE在意見中表示合成生物學使用於能源技術、生物製藥、化學工業或材料科學等都深具前景，故建議歐盟執委會應對此技術發展給予支持，並在歐盟架構計畫下，以產業利用為前提，給予經費的支持；然也必須重視其ELSI問題，包括使用合成生物產品的安全性、對環境的長期影響、惡意使用之防免、專利與公共財的爭議等，為了解決此等問題，其也要求各會員國必須針對合成生物學的各種議題，加強與民眾、利害關係人及社會的對話。由於我國一直將生技產業視為發展重點，合成生物學關係著生技產業未來發展，其未來發展實不容為我國所忽略。

醫療科技公司轉型提供資料類型產品解決方案於美國之智財權布局建議 資訊工業策進會科技法律研究所 2023年05月31日 過去，醫療科技公司僅專注於開發針對醫療問題的硬體解決方案，近年這些企業則致力於轉型開發收集及利用大量病人、資料提供者資料之產品，而轉變成資料平台公司，而更可以全面了解病人及客戶生活習慣及健康狀況。 其中許多解決方案均利用人工智慧(Artificial Intelligence, AI)及機器學習(Machine Learning, ML)，相較傳統上研發成果多為硬體設備，現今則轉變成出現大量軟體解決方案，保護研發成果之方式將發生改變，如何選擇合適的智慧財產權保護研發成果成為企業重要課題，此亦影響企業如何做智慧財產布局及擬定公司相關經營策略，因此建議企業——尤其是開發醫療資訊平台之醫療科技公司，特別是致力於開發醫療器材軟體(Software as a Medical Device, SaMD)、醫療設備嵌入式軟體(Software In a Medical Device, SiMD)及應用於醫療技術中的人工智慧等新興領域時可以參考以下提供之思考方向選擇對於企業發展最適切之智慧財產權保護態樣。[1] 研發成果如欲獲得專利保護，該發明必須係獨一無二且可以傳授的——即人們不能將自然發生或不可再現的事物申請專利，因為發明需透過專利以清楚的方式概述，並明確定義專利內容，並向公眾揭露，以便於申請人取得專利、並於專利期限屆滿後(專利保護期限因各國法規、專利類型而將有所不同，建議企業應了解欲布局之國家相關法規規定，如台灣之發明專利[20年]、新型專利[10年]、設計專利[15年])，使大眾得藉以實施該技術內容。[2] 在美國，專利係由美國專利商標局賦予所有權人於一定期間內壟斷其發明之權利，即美國聯邦法律更使專利所有權人在專利權效期內得以禁止他人於該期間內於美國製造、使用、銷售或進口至美國這項已獲得專利保護之發明，此給予專利權人一個得以建立一個阻止他人進入市場的巨大障礙，可防止競爭及保護專利權人可以自由實施該權利。[3] 因專利有上述特性，文章作者建議，如裝置(device)、該裝置使用之軟體，對於從事新藥開發之藥廠，於保護新穎成分(New Chemical Entities)、相關之治療方法及人工智慧相關發明較適合以專利保護。[4] 營業秘密係指資訊擁有者已盡合理努力保密，且不為公眾所周知或非可被公眾輕易探知而具有獨立經濟價值的，任何形式及類型之資訊。合理努力可能包括(但不限於)，要求員工簽署保密協議、定期提醒員工其負有保密義務(如：針對職務不同/所從事不同工作之員工，保密義務內容、程度、時間是否有所不同?)、踐行必要而知悉(need to know) 原則(如：執行不同工作之人員是否可互相存取各自的資料? 抑或僅能存取自己工作所需之資料?)、佈署IT安全措施或辦公室安全措施之狀況(如：是否有門禁?資料如有異常存取狀況時是否有示警機制?)並須即時調查及採取行動打擊涉及盜用營業秘密之行為(如：是否有相關通報不當使用營業秘密之管道及監控機制?)[5] 在美國，傳統上營業秘密之保護是結合各州法律而成，除了紐約州及北卡羅萊納州以外，所有州都頒布了其特有版本的《統一營業秘密法》(Uniform Trade Secrets Act, UTSA)——係一項1979年頒布的統一法案。於2016年，國會又頒布了《保護營業秘密法Defend Trade Secrets Act, DTSA》，該法案保障當事人於聯邦法院提起營業秘密訴訟之權利，且只要促進犯罪行為之行為發生於美國，當事人即可於國外進行訴訟，此外，《統一營業秘密法》中規定營業秘密包含公式、模式、彙編、程式、設備、方法、技術或過程。而依《保護營業秘密法》（Defend Trade Secrets Act, DTSA），營業秘密可為任何形式，無論係以物理、電子、圖形、攝影或書面形式儲存、編輯或紀錄之財務、商業、科學、科技、經濟或工程資訊均為營業秘密之範疇，因此，營業秘密之適用範圍較廣，於美國甚至抽象之想法均可受營業秘密保護。[6] 與僅提供有限保護期限之專利有別，如欲獲得營業秘密之保護，僅需資訊持續保密並存在並持續存有價值，該資訊即會持續受到營業秘密保護並擁有無限的有效期限，亦即，只要該資訊仍為秘密，即受到營業秘密之保護。如：可口可樂已將其配方作為營業秘密保護了130多年之久。惟與專利不同的是營業秘密一但被公眾周知或得以透過適當方式獨立開發(如競爭對手自己獨立開發而產出之資訊)，就將失去營業秘密之保護。[7] 因為營業秘密之特性，諸如蛋白質結構、客戶清單、機器學習演算法、原始碼、化學製程參數(如：會產生化學反應之溫度或壓力)、甚至是醫療科技公司近年致力經營的人工智慧領域所產出的人工智慧、新的模型訓練方法、優化模型參數、消極專有技術(如：不該做什麼)。[8] 惟選擇專利抑或營業秘密之方式保護其研發成果將視企業的業務為何決定，如缺乏透明度之產業可能較適合以營業秘密方式保護，而非專利。例如：網路安全公司可能傾向於營業秘密保護，因為申請專利揭露其機密安全演算法可使競爭對手開發競爭產品或使駭客進行量身訂製之攻擊。相較之下，製造容易檢測、針對消費者之電子產品之企業更依賴專利保護，製造具有行業標準化品質之產品之企業亦是如此。[9] 總體而言，是否容易被逆向工程將會是決定以專利或營業秘密保護之關鍵性調查方式。因申請專利必須揭露細節事項，將對廣泛保護資料為基礎之軟體(且有使用人工智慧或機器學習)較具挑戰性，故專利較適合保護裝置(device)及會相互作用之實體產品和軟體。而營業秘密則要求資料所有人無限期地維持秘密性，亦須注意自己的想法獲得他人關注時遭仿效之風險，故較適合造價高或難以仿效的軟體、製造方法或產品。[10] 而對於生技醫療公司而言，其應考量使用混和策略以保護人工智慧相關之創新，如：專有之原始和訓練資料、模型之優化參數、將專有技術用於訓練模型及其他難以進行逆向工程之人工智慧相關的此類機密資訊，可能較適合用營業秘密保護，同時該技術的其他方面，如人工智慧系統或使用其開發之藥物則可透過專利保護。[11]惟不論企業決定要將該資訊做為營業秘密保護或申請專利保護，企業對於研究人員發表相關資訊的行為均應審慎評估，避免因揭露而喪失專利之新穎性或營業秘密之秘密性的情形。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Kristin Havaranek, Martin Gomez, Matt Wetzel, Steven TJoe & Stephanie Philbin, Top 5 IP Considerations for Medtech Companies Transitioning To Data-enabled Product Solutions (2023), https://medcitynews.com/2023/01/top-5-ip-considerations-for-medtech-companies-transitioning-to-data-enabled-product-solutions/ (last visited June 1,2023). [2]John Quinn, Protecting Inventions Through Patents and Trade Secret (2023), https://www.newsweek.com/protecting-inventions-through-patents-trade-secrets-1788352 (last visited May 30, 2023). [3]Id. [4]Charles Collins-Chase, Kassanbra M. Officer & Xinrui Zhang, United States: Strategic Intellectual Property Considerations For Protecting AI Innovations In Life Sciences (2023), https://www.mondaq.com/unitedstates/trade-secrets/1276042/strategic-intellectual-property-considerations-for-protecting-ai-innovations-in-life-sciences (last visited May 30, 2023) [5]Id. [6]John Quinn, supra note 2. [7]Id. [8]Collins-Chase et al., supra note 4. [9]John Quinn, supra note 2. [10]Havranek et al., supra note 1. [11]Collins-Chase et al., supra note 4.