美國國會通過《2022年保護美國智慧財產法》，加強營業秘密保護力道

　　新加坡個人資料保護委員會（Singapore Personal Data Protection Commission, PDPC）於2022年5月17日，公布「於安全性應用程式負責任地利用生物特徵識別資料指引」（Guide on the Responsible Use of Biometric Data in Security Applications），協助物業管理公司（Management Corporation Strata Title, MCST）、建築物及場所所有者或安全服務公司等管理機構，使各管理機構更負責任地利用安全攝影機和生物特徵識別系統，以保護蒐集、利用或揭露的個人生物特徵識別資料。 　　隨著安全攝影機等科技應用普及化，管理機構以錯誤方法處理個人生物特徵識別資料之情形逐漸增多，因此PDPC發布該指引供管理機構審查其措施。其中包括以下重點： （1）定義生物特徵識別資料包含生理、生物或行為特徵，及以此資料所建立之生物特徵識別模版； （2）說明維安攝影機及生物特徵識別系統運用所應關鍵考量因素，如避免惡意合成生物特徵之身分詐欺、設定過於廣泛而使系統識別錯誤等情形，並舉例資料保護產業最佳範例，如資料加密以避免系統風險、設計管理流程以控管資料等； （3）說明生物特徵識別資料在個資法之義務及例外； （4）列出實例說明如何安全監控之維安攝影機，並提供佈署建築物門禁或應用程式存取控制指引，例如以手機內建生物識別系統管理門禁，以取代直接識別生物特徵，並有提供相關建議步驟及評估表。 　　該指引雖無法律約束力，仍反映出PDPC對於安全環境中處理生物特徵識別資料之立場。而該指引目前僅針對使用個人資料的安全應用程式之管理機構應用情境，並未涵蓋其他商業用途，也未涵蓋基於私人目的使用安全或生物特徵識別系統之個人，如以個人或家庭身分使用居家高齡長者監控設備、住宅生物特徵識別鎖等應用情境。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

　　美國食品及藥物管理局（the U.S. Food and Drug Administration）於2019年1月更新「軟體預驗證計畫（Software Precertification Program）」及公布該計畫「2019測試方案（2019 Test Plan）」與「運作模式初版（A Working Model v1.0）」，使審查流程更加明確及具有彈性，並促進技術創新發展。 　　在更新計畫中，FDA聚焦於審查架構的說明，包含考量納入醫療器材新審查途徑（De Novo pathway）及優良評估流程（Excellence Appraisal process）的審查內涵。在優良評估流程中，相關研發人員須先行提供必要資訊，以供主管機關驗證該軟體器材之確效（validation）及是否已符合現行優良製造規範（current good manufacturing practices）與品質系統規範（Quality System Regulation, QSR）的要求。而由於以上標準已在此程序中先行驗證，主管機關得簡化上市前審查的相關查證程序，並加速查驗流程。 　　在測試方案中，則說明FDA將同時對同一軟體器材進行軟體預驗證審查及傳統審查，並比較兩種途徑的結果，以確保軟體預驗證審查途徑中的每一個程序都可以有效評估產品上市前所應符合的必要標準。最後，FDA綜合軟體預驗證計畫及測試方案，提出「運作模式初版」，以協助相關人員了解現行的規範架構與處理程序，並期待藉此促進技術開發者及主管機關間的溝通。FDA並於運作模式文件中提到，將在2019年3月8日前持續接受相關人員的建議，而未來將參酌建議調整計畫內容。

　　日本於2021年7月13日公布〈智慧財產推進計畫2021〉。〈智慧財產推進計畫〉為智慧財產戰略本部自2003年開始，每年持續修訂至今的行動計畫。今年最新公布的〈智慧財產推進計畫2021〉，指出日本企業在智財．無形資產的投資活動相較於其他國家有嚴重停滯之現狀，並提出今後智財戰略的7項重點施政： 促進智財、無形資產的投資及運用：藉由企業揭露自身的經營戰略，吸引投資者關注智財並投資，藉此建立智財交易環境。 推動「運用標準戰略」：數位化使產業結構改變，從傳統金字塔型價值鏈轉為以功能連結的階層模式；此轉變讓標準戰略成為建立市場競爭優勢不可或缺的手段。 建立促進數據活用的環境：例如制定跨領域合作的數據流通基礎方針，或是創建數位交易市場，將數據交易的價值可視化，藉此吸引投資。 建立著作權集中許可制度：為解決數位化所產生的權利處理成本問題，需建立可以快速處理龐大且多樣化的著作權集中許可制度。 強化智財權在初創或中小企業、農業領域的運用：例如提供企業智財布局的諮詢窗口、建立農業技術的商業機密保護制度。 強化支援智財運用的體制、營運和人才基礎：例如商標審查效率強化、實現各級學校智財教育的普及。 重建COOLJAPAN戰略：因應疫情後的社會變化，追加建立數位技術的運用，以確保COOLJAPAN戰略持續發展。 本文同步刊登於TIPS網站（https://www.tips.org.tw）