美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理

歐洲人權法院（European Court of Human Rights，簡稱ECtHR）於2025年4月8日就Green v. The UK案作成判決，針對國會議員發言揭露個資是否構成隱私權侵害之爭議，強調國家就衡平立法權與司法權的界線、言論自由與隱私保護等利益享有裁量權，駁回了申訴人之請求。 一、事實背景 本案起源於英國每日電訊報（Telegraph）試圖就英國零售集團Arcadia的前員工針對其董事長Philip Green的職場性騷擾與霸凌指控進行報導。先前，Arcadia及Green已與涉及相關糾紛的員工達成了和解協議，依據協議所附保密協定，員工除正當揭露（如向警察揭露犯罪）外不得洩露相關資訊。Green於Telegraph於報導前徵求當事人評論時發現資訊遭洩露，隨即向法院申請禁制令與暫時禁制令，英國上訴法院嗣後批准了暫時禁制令，認定Telegraph獲得的資訊很可能來自違反保密協定的揭露，也不認為欲報導的內容當然具備凌駕當事人可能蒙受之損害的公共利益。Telegraph最終尊重了暫時禁制令。惟隔日，一位英國上議院議員援引言論免責權，於議會發表了雖不涉及細節，但具體提及Green身分和關於其性騷擾、霸凌的指控，並提及Telegraph遭禁制報導一事。Green因此向議會申訴，認為議員違反了司法保密規則（sub judice rule）（編按：上議院曾做成決議，認除非具全國重要性，議員不得於動議、辯論或質問中論及繫屬於法院中的個案）及濫用免責權，但上議院標準專員（House of Lords Commissioner for Standards）認為司法保密規則不屬於《上議院行為準則》。Green嗣後在法院中試圖向Telegraph請求賠償，認為Telegraph應要為議員的發言負責，違反了禁制令，並要求提供線人身分。Telegraph抗辯，在議員享有免責權的前提下，法院毋庸受理本案處理其責任問題。Green向ECtHR提出申訴，主張國家對議員使用免責權揭露受禁制令約束的資訊的權力缺乏事前和事後控制，侵犯了其受歐洲人權公約（ECHR）第8條保障的私生活權。 二、法院判斷 法院認為由於受暫時禁制令保護的資訊被揭露，Green的私生活權利確實受到干預。然而，法院不認為國家違反了公約課予國家保護私生活權之積極義務（positive obligation）。核心理由在於：國家對如何履行積極義務有廣泛的裁量權，且於各國就保護方式較無共識，或涉及基本權利間之衡平時，法院尤應尊重裁量空間。 針對本案，法院認為：（1）議會中的言論自由享有較高程度的保護，對其干涉需要非常重大的理由（very weighty reasons）；（2）涉及司法權與立法權的具體界線，以及言論自由與隱私保護的利益衡量；（3）必須考量議會自治原則在多國之間有廣泛共識；（4）英國並非完全沒有針對國會議員發言的事前、事後控制措施。儘管非屬《上議院行為準則》，但上議院所做成的司法保密規則決議，仍屬一定程度的事前控制。事後來看，國會議員若確實構成濫用免責權，法院也可以判處蔑視法庭罪。 法院總結認為，基於原則上各國議會較國際法院，更適合評估限制議會行為之必要性與手段，法院要取代這個判斷須要非常重大的理由，但本案中Green並無法成功論述這個理由存在，因此駁回Green的主張。

美國聯邦總務署（General Service Administration）於2024年6月27日發布《新興科技優先審查架構》（Emerging Technologies Prioritization Framework），該架構係為回應拜登總統針對AI安全所提出之第14110號行政命令，而在「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，以下簡稱FedRAMP）底下所設置之措施。 一般而言，雲端服務供應商（cloud service providers）若欲將其產品提供予政府單位使用，需依FedRAMP相關規範等候審查。《新興科技優先審查架構》則例外開放，使提供「新興科技」產品之雲端服務供應商得視情況優先審查。 現階段《新興科技優先審查架構》所定義之「新興科技」係為提供下列四種功能的生成式AI技術： 1.聊天介面（chat interface）：提供對話式聊天介面的產品。允許用戶輸入提示詞（prompts），然後利用大型語言模型產出內容。 2.程式碼生成與除錯工具（code generation and debugging tools）：軟體開發人員用來協助他們開發和除錯軟體的工具。 3.圖片生成（prompt-based image generators）：能根據使用者輸入之文字或圖像而產生新圖像或影像的產品。 4.通用應用程式介面（general purpose API）：基於API技術將前述三項功能加以整合的產品。 美國政府為挑選最具影響力的產品，要求雲端服務供應商繳交相關資料以利審查，例如公開的模型卡（model card）。模型卡應詳細說明模型的細節、用途、偏見和風險，以及資料、流程和參數等訓練細節。此外，模型卡應包含評估因素、指標和結果，包括所使用的評估基準。 《新興科技優先審查架構》第一波的申請開放至2024年8月31日，且FedRAMP將於9月30日宣布優先名單。這項措施將使生成式AI技術能夠以更快的速度被導入政府服務之中。

　　歐盟網路與資訊安全局於2016年11月（ENISA）提出醫院導入智慧聯網技術因應資訊安全之研究建議，此研究說明智慧醫院之ICT應用乃以風險評估為基礎，聚焦於相關威脅與弱點、分析網路攻擊情節，同時建立使用準則供醫院遵守。由於遠端病患照護之需求，將使醫院轉型，運用智慧解決機制之際，仍須考量安全防護問題，且醫院可能成為下一階段網路攻擊之目標，醫院導入智慧聯元件的同時，將增加攻擊媒介使醫院面對網路攻擊更加脆弱，因此，報告建議如下： 1.醫療照護機構應提供特定資訊安全防護，要求智慧聯網元件符合最佳安全措施。 2.智慧醫院應確認醫院內之物件及其如何進行網路連結，並根據所得資料採取相應措施。 3.設備製造商應將安全防護納入現有資安系統，並在設計系統與服務之初邀請健康照護機構參與。 　　在我國部分，2016年9月行政院生技產業策略諮議委員會議中即提到，強調將建立智慧健康生活創新服務模式，提供民眾必要健康資訊及更友善支持環境，同時結合ICT與精密機械及材料，發展智慧健康服務的模式。2016年11月，行政院推動「生醫產業創新推動方案」，藉由調適法規等方式統整醫療體系與運用ICT技術及異業整合，其中在智慧聯網應用下之資訊安全防護議題實屬重要。

　　日本因應各先進國家近年於開放科學概念下，政府資助研發計畫研究資料管理及開放之倡議與制度化推展趨勢，內閣府於2015年提出開放科學國際動向報告書，並在第5期科學技術基本計畫與2019年統合創新戰略中規劃推動開放科學。上述政策就研究資料管理開放議題，擬定了資料庫整備、研究資料管理運用方針或計劃之制定、掌握相關人才培育與研究資料運用現況等具體施政方針。在此背景下，內閣府於2018年設置「研究資料基盤整備與國際化工作小組（研究データ基盤整備と国際展開ワーキング・グループ）」，持續檢討日本國內研究資料管理、共享、公開、檢索之基盤系統建構與政府制度、國家研究資料戰略與資料方針、國際性層級之推動方向等議題，在2019年10月據此作成《研究資料基盤整備與國際化戰略》（研究データ基盤整備と国際展開に関する戦略）報告書，形成相關政策目標。 　　本報告書所設定的政策目標採階段性推動，區分為短期目標與中長期目標。短期預計在2020年前，正式開始運用目前開發測試中之研究資料基盤雲端平台系統（NII Research Data Cloud, RDC），針對射月型研發計畫研擬並試行研究資料管理制度，建構詮釋資料（metadata）之集中檢索體系，並建立與歐洲開放科學雲（EOSC）之連結；中長期目標則規劃至2025年前，持續調適運用RDC，正式施行射月型研發計畫之研究資料管理制度，確立共享與非公開型研究資料之管理框架，蒐整管理資料運用現況之相關資訊，並逐步擴張建立與全球研究資料共享平台間之連結。