OECD公布「為中小企業永續發展提供資金—推動力、阻力和政策」研究報告

　　標準必要專利（standards-essential patents，SEPs）是國際標準組織所採行的一種專利運用模式，主要係為了使標準共通技術普及之同時平衡專利權人之利益，將技術發展中重要的標準共通技術結合專利保護，同時均要求專利權人須簽署FRAND（Fair，Reasonable and Non-discriminatory）條款，以公平、合理、無歧視之原則收取合理數額之專利授權費供標準化組織成員有償使用。然而，因專利本身即是一種合法壟斷，是以標準必要專利之授權模式可實現利益最大化；但涉及到具高度共通性又難以迴避的技術時，應當避免少數專利權人濫用專利權和市場壟斷。因此，專利權人和被授權人之間，對於收取合理專利授權費之議題，在一直無法取得共識之下，往往訴諸法律解決。從美國聯邦法院涉及標準必要專利侵權之訴訟案例，可看出美國針對標準必要專利目前主要有下列幾種趨勢：(1)合理之專利授權費以該技術佔產品元件之比率計算；(2)標準必要專利之授權費金額逐步降低；(3)專利權人必須先進行授權流程(4)不能直接申請禁制令。

　　澳洲隱私保護辦公室（Office of the Australian Information Commissioner,OAIC）在2019年11月發布的「2018-2019年度健康數位資料報告」（Annual Report of the Australian Information Commissioner’s activities in relation to digital health 2018–19），主要說明澳洲政府實施「選擇退出機制」（opt-out）後，對「我的健康紀錄系統」（My Health Record System）（下稱系統）發生的影響，以及有將近1成的國民大量選擇退出系統，造成系統的醫療健康資料統計困難之檢討。 　　OAIC認為會發生國民大量選擇退出系統的原因，主要是不信任政府對系統資料保護及不清楚系統使用功能有關，因此提出年度報告，內容如下: 一、改善民眾對醫療資料保護的不信任，例如對醫療業者，開發保護病患隱私的指導教材，防止、外洩即時處理的能力。 二、加強宣傳，例如開發線上資源、影音等，讓民眾在使用系統時能有更清楚認識，且對選擇退出有更明確的認知。 三、改進系統設計，讓民眾能更清楚的看見使用說明，也能隨時掌握在系統上的資訊、設置警報提醒來防止他人侵入、也增加取消功能使資料達到永久刪除的效果。 　　建置該系統之目的，是因為國家有蒐集與使用國民的醫療健康資料需求，國民也能使用系統查看醫療紀錄、藥物過敏紀錄、曾使用與正在使用的藥物、血液檢查等；醫療人員也能透過醫療資料之電子化，減少重複及不必要的醫療檢查、對症下藥、避免因過敏引起的反應等，將醫療資源做有效的運用。 　　系統建置是依據「我的健康紀錄法」（My Health Records Act 2012）第三章第一節註冊規定，要將國民的醫療健康資料納入系統，但不願意加入者，得選擇退出系統。而澳洲政府依據此法訂定選擇退出機制，2018年7月正式實施，要求全民強制加入系統，同時開放選擇退出機制，讓不願意加入系統的國民能選擇退出系統；選擇退出機制截止日期原先在2018年10月中旬，但在國民大量反應下，澳洲政府決定延至2019年1月底；在選擇退出機制的實施截止後，OAIC在2019年11月對選擇退出機制做出檢討報告，期望能透過檢討報告提出的建議來增強民眾對系統的信任與促進系統使用率。

　　日本著作權法第2條第1項第1款規定對著作物定義中，創作性之表現必須為具有個人個性之表現，日本對於無人類行為參與之人工智慧創作物，多數意見認定此種產品無個性之表現，非現行著作權法所保護之產物。人工智慧之侵權行為在現行法的解釋上，難以將人工智慧解釋其本身具有「法人格」，有關人工智慧「締結契約」之效力為「人工智慧利用人」與「契約相對人」間發生契約之法律效果。日本政府及學者對人工智慧之探討，一般會以人工智慧學習用資料、建立資料庫人工智慧程式、人工智慧訓練/學習完成模型、人工智慧產品四個區塊加以探討。日本政策上放寬著作權之限制，使得著作物利用者可以更加靈活運用。為促進著作之流通，在未知著作權人之情況下，可利用仲裁系統。在現今資訊技術快速成長的時代，面對人工智慧的浪潮，日本亦陸續推出相關人工智慧研發等方針及規範，對於爾後之發展值得參酌借鏡。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。