世界衛生組織透過「COVID-19疫苗全球取得機制COVAX」,促進疫苗研發及公平分配

  世界衛生組織(World Health Organization, WHO)於2020年8月24日公布「COVID-19疫苗全球取得機制(COVID-19 Vaccines Global Access Facility, COVAX)」,由全球疫苗與預防注射聯盟(Global Alliance for Vaccines and Immunisation, GAVI)、流行病預防創新聯盟(Coalition for Epidemic Preparedness Innovations, CEPI)及WHO共同主導,與多家疫苗廠商合作,協助取得多種疫苗組合的授權及核准,促進COVID-19全球疫苗研發及公平分配。

  COVAX是WHO「獲取COVID- 19工具加速計畫(Access to COVID-19 Tools Accelerator, ACT Accelerator)」下的疫苗分配機制。ACT-Accelerator透過匯集各國政府、衛生機構、科學界、產業界、民間團體的力量,共同合作開發創新診斷方法、加速融資研發治療工具、制定公平分配與交付疫苗機制、確保衛生系統與社區網路連接等四大領域,以盡快結束大流行疫情。

  COVAX作為COVID-19疫苗聯合採購機制,預計2021年底要提供20億劑疫苗,籌資181億美元;由GAVI與高收入國家簽訂投資契約,透過全球融資機制採購9.5億劑疫苗,同時搭配WHO制定的疫苗倫理分配架構,使COVAX能夠集中各國經濟體的購買力,保證候選疫苗的採購數量,鼓勵擁有專業知識的疫苗廠商盡速投入大規模的新疫苗生產,確保參與COVAX的國家及經濟體,皆能迅速、公平公正地取得大量有效的疫苗。

  COVAX承諾將為全球92個中低收入經濟體提供參與COVAX的融資工具;超過80個高收入經濟體已提交參與COVAX的意向書,將從公共財政預算中編列全球疫苗研發的捐助資金,並與92個中低收入國家結成疫苗合作夥伴。透過COVAX機制產出的疫苗,將會按照參與國人口比例公平地分配給所有國家,並且優先提供疫苗給衛生醫療工作者、老年人及疾病弱勢群體;隨後再根據各國家需求、易受感染程度與COVID-19威脅情況,提供更多劑量的支援。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 世界衛生組織透過「COVID-19疫苗全球取得機制COVAX」,促進疫苗研發及公平分配, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8588&no=645&tp=5 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
澳大利亞政府擬修正《支付系統管理法》將數位支付,如Apple Pay、Google Pay納入法律規範中

澳大利亞國庫部(Department of the Treasury)於2023年10月11日發布《支付系統管理法》(Payment Systems(Regulation)Act 1998)修正草案,擬擴張法案適用主體,將Apple Pay、Google Pay等數位支付或提供此項支付服務事業納入規範,其目的在於提升企業的開放性及責任,並關注大型科技企業在其中扮演的角色。 本次修正案中,將修改現行支付系統的定義及適用主體,擴大至提供支付服務平臺企業,將被視為金融機構受到拘束,並授權澳大利亞準備銀行(the Reserve Bank of Australia,下稱RBA)監管數位支付平臺。修正草案內容整理如下: 1.重新定義「支付系統」。現行法定義為「透過任何形式或方式促進貨幣流通的系統」,草案則納入非貨幣(non-monetary,如數位貨幣)及提供便利支付服務的支付平臺系統。 2.擴大「參與者」定義。現行法規中參與者僅包含管理、運作支付系統的企業,草案則擴張至與支付價值鏈(payments value chain)具直接或非直接相關連之所有企業。 3.現行規範中,僅RBA在可能涉及使用者財務安全及公共利益(下述)考量時,有指定支付系統的職權,並有權監管該支付系統,包含決定新參與者的加入、訂定制度內參與者應遵守的標準及指引、對相關爭議問題進行仲裁等。修法後國庫部部長(Minister)將擁有相同權力。規範所稱之「公共利益」,指有助提升財務安全、高效率並具有競爭性,且不會導致金融體系風險增加。 4.提高法案中刑事處罰的罰金金額。現行法規授權RBA訂定支付制度之相關標準及指引,若制度內參與者未依標準或指引行事,RBA會提出要求企業為特定行為或不行為之指示,仍未依循可能會科處澳幣5,500元的罰金(約臺幣11萬3千元),修法後將提高至2倍,惟罰金之處罰權最終仍須法院審判決定。 我國針對電子支付產業有電子支付機構管理條例、金融消費者保護法規範,並要求第三方支付服務業者落實洗錢防制法規定,避免淪為洗錢或地下匯兌工具,未來可持續觀察澳大利亞及其他國家對於支付平臺議題之討論及發展趨勢,作為我國評估相應治理措施及手段參考基礎。

美國網路安全相關法規與立法政策走向之概覽

美國網路安全相關法規與立法政策走向之概覽 科技法律研究所 法律研究員 沈怡伶 104年08月11日   網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。 壹、美國聯邦政府相關網路安全規範、標準及措施 一、金融業相關管制規範   對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。   另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]。 二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)   該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]。 三、醫療健康資訊相關管制規範   「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]。 貳、立法焦點新況:網路安全及網路威脅資訊共享   美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]。   針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。 現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之: 一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。 二、能破解安全控制或利用安全漏洞的方法。 三、安全漏洞。包括能指出安全漏洞存在的異常活動。 四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。 五、惡意網路命令和控制。 六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。 七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。 八、任何結合上開措施之行動。   防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。   就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。   美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。 參、小結   網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]。   就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。 [1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015). [2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015). [3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015). [4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015). [5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015). [6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015). [7] https://www.congress.gov/bill/114th-congress/senate-bill/754 [8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015). [9] Sec.2(15). [10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015). [11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015). [12] Sec.2(6). [13] Sec.2(7). [14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。 [15]Paul et al., supra note 2, at 2.

英國發布著作權與人工智慧報告書與影響評估

英國發布著作權與人工智慧報告書與影響評估 資訊工業策進會科技法律研究所 2026年04月09日 英國政府於2026年3月18日依據《資料使用與存取法》(Data (Use and Access) Act 2025,下稱DUAA)第135條及第136條之法定義務,發布《著作權與人工智慧報告書》(Report on Copyright and Artificial Intelligence,下稱「報告書」)[1]及《著作權與人工智慧影響評估》(Copyright and AI Impact Assessment,下稱「影響評估」)[2]兩份官方文件。前揭文件係英國政府對人工智慧(Artificial Intelligence,下稱AI)使用著作權作品所進行之全面性政策評估,並對英國在AI著作權的修法路徑造成實質影響,使政府原先屬意的修法路徑被迫暫停推進。 壹、事件摘要 英國政府自2024年12月17日起展開「著作權與人工智慧」公開意見徵詢,徵詢期間至2025年2月25日止,共計收到11,520份回應。回應者涵蓋著作權人、創作者、AI模型開發者、學術研究機構、文化遺產機構及法律專業人士等,惟各自占比並未揭露。基於DUAA第135條及第136條之法定義務,英國政府須於法案通過後九個月內完成相關報告,遂於2026年3月18日同步公布「報告書」及「影響評估」。 報告書之主軸在於評估四大政策選項:選項0(維持現狀)、選項1(強化著作權保護)、選項2(廣泛資料探勘例外)、選項3(資料探勘例外附加選擇退出機制)。徵詢結果顯示,英國政府原傾向推動之「選項3」(附選擇退出之廣泛例外),在逾萬份回應中僅獲約3%之支持率,致使政府不得不重新審視其政策立場。 貳、重點說明 一、《資料使用與存取法》之立法脈絡 AI訓練資料可能涵蓋大量受著作權保護作品,如何權衡創作者權益與AI創新的效益,是目前各國所面臨的核心挑戰。此部分涉及各國著作權法規是否允許AI在未經授權的情況下利用著作權保護之作品,各國對此採取不同立場,相關法制爭議至今仍未有定論。英國係於《著作權、設計及專利法》(Copyright, Designs and Patents Act 1988,下稱CDPA)第29A條[3]設有文字及資料探勘(Text and Data Mining,下稱TDM)例外,意即資料使用者得於特定條件下,對其可合法取用之著作進行自動化分析而不構成侵權。惟其適用範圍僅限於「非商業研究目的」,使得AI業者在商業訓練場景中難以援引此一例外。 為解決前述挑戰,英國提出四種政策方向並徵詢公眾意見,其結果可見於「報告書」及「影響評估」。以下針對此四種政策選項進行說明。 二、四大政策選項之比較分析 (一)選項0:維持現狀 選項0係維持英國現行著作權法架構,AI業者原則上須就使用著作權作品取得授權,僅得於CDPA第29A條非商業研究之例外範圍內進行TDM。影響評估指出,現行制度對著作權人之保護在理論上尚稱完備,然受限於AI訓練資料來源缺乏透明度,著作權人實際上難以知悉其作品是否遭擅自使用,舉證更屬不易,致使授權機制形同虛設。此外,若境外AI業者以海外訓練之模型輸入英國市場,英國著作權人之權益亦難以獲得有效保障。 (二)選項1:強化著作權保護 選項1主張進一步強化著作權保護,要求所有AI訓練使用之材料均須取得授權,包括境外AI模型輸入英國市場時,亦須證明已依英國著作權法取得合法授權。就創意產業而言,此選項能更有力保障著作權人之財產權,並使其得從AI訓練中獲得合理報酬;然對AI業者而言,合規成本之提高將增加訓練門檻,可能壓抑英國本土AI產業之競爭力。影響評估亦指出,此選項下AI服務成本或轉嫁至終端用戶,影響政府及企業之AI採用率。選項1獲得了最高的支持度,有81%回應者贊同此一制度。 (三)選項2:廣泛TDM例外 選項2主張設立廣泛TDM例外,使AI業者無論商業或非商業目的均可對合法取得之資料進行探勘與訓練,無需逐一取得著作權人授權。此一制度係參考日本著作權法第30條之4。該條文指出,只要目的非在「享受著作物所呈現之思想或感情」原則上均可免授權使用,意即資料分析、資料蒐集與AI訓練等基於「情報解析」行為皆屬TDM例外範疇。 選項2雖有助於降低AI業者法遵成本並提升英國AI研發之國際競爭力,然創意產業普遍擔憂,廣泛例外將使生成式AI大量學習創作者作品,卻無需給付任何報酬,且可能產出直接競爭於原著作人之內容,嚴重侵蝕其市場利益。此選項僅有極少數回應者支持,如OpenAI、Anthropic等大型AI公司。 (四)選項3:TDM例外附加選擇退出機制 選項3原先為英國政府屬意推動的政策選項,亦與歐盟《數位單一市場著作權指令》(DSM Directive)第4條[4]之商業TDM例外架構相近,其核心設計係為原則上允許AI業者對合法取得之資料進行TDM,但著作權人得透過技術手段(如robots.txt)明確保留其權利(即選擇退出機制)。 然而,此選項在公開意見徵詢中僅獲約3%之支持率,其主要爭議在於:對創作者而言,選擇退出機制實質上將著作權保護之責任轉嫁至個人,中小型的創作者往往缺乏必要之技術能力或資源執行退出操作;並非所有爬蟲程式均遵從robots.txt協議;跨境訓練亦難有效管制。此外,在欠缺揭露義務的前提下,創作者仍無從知悉其作品是否遭侵權使用。 三、訓練資料透明度要求 報告書顯示,逾90%之意見回應者認為AI開發者應揭露訓練資料來源,惟各方對於揭露顆粒度(granularity)之要求存在明顯分歧:著作權人傾向主張細緻揭露至個別作品層次;AI業者則認為高層次概括揭露即已足夠。 就國際立法例而言,歐盟《AI法》(AI Act)第53條[5]第1項第4款已要求AI模型提供者製作並公開訓練內容摘要;美國加州亦已制定《生成式AI訓練資料透明度法》(Generative Artificial Intelligence: Training Data Transparency Act)。[6]英國雖無相關法定揭露義務,但在報告書中表示將持續監測其他國家透明度規範之實施效果,並與業界合作制定訓練資料揭露之最佳實務,以期為著作權人提供更有效之權利主張基礎。 參、事件評析 公眾諮詢的結果顯示,尋求著作權保護與AI創新發展的平衡點極具挑戰性。由於引起及大的社會反彈,英國政府被迫放棄「TDM例外附加選擇退出機制」之規劃,然而未來是否會徹底走向「強化著作權保護」仍未可知。然而,在本次諮詢中,有90%之回應者支持AI訓練資料透明度要求;歐盟AI法、美國加州生成式AI透明度法均課予AI業者一定程度的訓練資料揭露義務。從此觀之,縱使著作權人與AI業者之間存有諸多重大分歧,但透明度要求是目前雙方的共識基礎。 我國現行法制下AI訓練所遭遇到的爭議與英國類似,著作權人與AI業者的利益衝突如何化解亦為我國當前AI發展的課題。故英國經驗揭示,政策推行或法令修正宜建立多元利害關係人持續對話機制;此外,在法令、技術標準尚未成熟之情況下,業界最佳實務指引或可作為過渡性替代方案。 [1] GOV.UK, Report on Copyright and Artificial Intelligence (2026), https://assets.publishing.service.gov.uk/media/69ba692226909a14239612e4/CP2602959_-_Report_on_Copyright_and_Artificial_Intelligence_web.pdf (last visited. Apr. 9, 2026). [2] GOV.UK, Copyright and AI Impact Assessment (2026), https://assets.publishing.service.gov.uk/media/69ba68f7c06ba9576435abb0/CP2602959_-_AI_and_Copyright_Impact_Assessment_Web.pdf (last visited. Apr. 9, 2026). [3] Copyright, Designs and Patents Act 1988, legislative.gov.uk, https://www.legislation.gov.uk/ukpga/1988/48/section/29A (last visited Apr. 9, 2026). [4] Directive (EU) 2019/790, art. 4, 2019 O.J. (L 130) 92, 114. [5] Regulation 2024/1689, art. 53, 2024 O.J. (L 1689) 1, 84. [6] Bill Text - AB-2013 Generative artificial intelligence: training data transparency, California Legislative Information, https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=202320240AB2013 (last visited Apr. 9, 2026).

物聯網時代的資料保護防線-以歐盟GDPR為中心

TOP