美國國家標準與技術研究院公布人工智慧風險管理框架（AI RMF 1.0）

　　國際油價持續飆漲，如何找到替代能源，已成為生技發展的一項重要課題，財團法人生物技術開發中心過去兩年密集和美國德拉瓦州的 Fraunhofer 分子生物科技中心（ Fraunhofer USA Ins.- Center for MolecularBiotechnology ）技術合作，以微生物發展工業酵素，可取代乙二醇（ EG ）做為塑膠材料，這項合作已吸引台塑及中油的高度興趣。 　　生技中心自去年起與美國 Fraunhofer 衍生公司 Athenabio 合作，投入二十萬美元發展工業酵素，以微生物來取代化工製程，開發出一三丙二醇。這項化工原料在西方已被視為取代乙二醇，扮演「生化煉油廠」的典型產品，結合對苯二甲酸（ TPA ）後，可做為保特瓶等塑膠容器。 　　除了工業酵素外，生技中心也與美國 Fraunhofer 分支機構分子生物科技中心簽署合作協議，計劃未來兩年內，以植物根部來生產流感疫苗，而以植物來生產流感疫苗的技術，其收成期僅需二至三周，每公斤的植物根部可生產的疫苗約○．二至○．五毫升，同時可省下四億美元投資額的生物發酵槽。此項利用植物扮演製藥廠的構想，該中心算是這項領域的技術領先者，以相同的技術所生產之炭疽疫苗，已獲美國食品藥物管理局（ FDA ）核准進入臨床（ IND ），將進行一期臨床試驗。

　　我國藥廠普遍以產製學名藥為主，而新藥研發風險高且非一蹴可及，故當前藥品科專的研發重點以發展類新藥（redesign drugs）主軸，希冀透過類新藥研發的「成功經驗」，引導業界走出學名藥，投入更高層次藥品領域，推動產業發展。鑑於製藥產業乃是高度規管的產業，除了技術研發以外，也必須切實掌握相關的法規議題，避免因不諳法規致使研發投資錯置或浪費。 　　觀察國際新藥研發成果保護法制之發展趨勢，藥品查驗登記程序與專利有效性相互扣合的機制（patent-registration linkage），極可能在可預見的未來成為國際間討論的重要議題，鑑於藥品科專之研發補助方向已由學名藥延伸至新藥技術能量，實有必要瞭解政府投入資源鼓勵研發的類新藥，未來由業界承接後是否可能受到此一機制的影響。 　　藥品查驗登記程序與專利有效性相互扣合機制一般被簡稱為「專利連結」（patent linkage），「專利連結」亦有稱為「專利扣合」，概念上係指將學名藥（generic drug）的上市審查程序，與原開發藥廠之參考藥品（the originator reference product）的專利權利狀態連結在一起；進一步而言，一旦新藥通過主管機關的審查上市後，只要在該新藥相關的專利有效期間，主管機關即不應核准該新藥之仿製藥品上市。 　　專利連結乃是美國藥品法規與專利法交錯下特有之產物，然美國透過不斷地對其貿易伙伴訴求專利連結的重要性，在美國以外，已有多個國家於其藥品審查程序中建立與專利之連結關係，例如：加拿大、新加坡、澳洲等國。在藥品上市審查之過程中予以專利連結之目的，係為透過機制設計，確保主管機關不得在原開發藥廠之專利到期前核准學名藥上市。在美國法制下，專利連結的運作植基於四大核心概念：（一）新藥相關之專利資訊應於上市後系統化公開；（二）新藥專利有效期間內，主管機關不應核可後續申請者之上市申請；（三）盡可能於許可學名藥上市前解決專利有效性爭議；（四）鼓勵未涉及專利侵權之學名藥及早上市。 　　值得注意的是，美國專利連結法制所講的學名藥，包括狹義及廣義的學名藥，前者是指具有相同的活性成分、相同的劑型、治療相同適應症的藥品；後者則是指對已上市新藥的改良藥品，可見其概念上涵蓋我國當前鼓勵研發的類新藥。專利連結對於類新藥之影響，需視其如何上市而定，若類新藥是以NDA方式申請上市，雖然上市成本高，但其研發成果卻可以因為實施專利連結制度，享有更進一步的保護；另一方面，若廠商基於成本考量不願自行或委託他人進行臨床試驗，因而無法提出完整之NDA申請資料者，則專利連結將會對其產生衝擊。 　　綜上所述，雖然專利連結制度具有鼓勵新藥研發的作用，但由於我國當前製藥產業結構仍以中小型規模的學名藥為主，加上我國藥品專利之申請及取得者，90％以上為外國藥廠，故若實施專利連結，短期內勢將衝擊我國製藥產業，且美國、加拿大的實務運作經驗顯示，專利連結制度容易被藥廠濫用，因此我國在考慮是否建立此一制度之前，必須先就我國製藥產業的競爭情勢有所瞭解，並充分掌握我國產業結構與先進國家製藥產業之根本性差異，始能根據我國國情制訂權衡原開發藥廠與學名藥廠雙方利益，並保障公眾健康權益之法制。 　　當前最重要者仍是要提醒廠商尊重智慧財產之重要性，既然學名藥是要在專利到期後上市，則學名藥廠商在進行其新藥開發時，自應有完整規劃與佈局。開發狹義學名藥，其幾乎等同原開發藥廠的品牌藥，對於我國廠商技術能力之提升有限，故應鼓勵廠商投入廣義之學名藥（類新藥）之研發，如此不但有迴避專利之可能，亦可逐步累積我國產業之研發能量，則專利連結將不會成為其研發與競爭之阻力。

　　面對層出不窮資料違背或身份竊盜事件，2014年初， FTC於美國國會的例行會議上，就數位時代關於隱私權之保護課題進行作證，會議中，FTC乃呼籲美國國會應立即通過制定一個更強的聯邦資料安全與違背提醒的法律，其也進而提出「個人資料隱私暨安全法案（草案）」 (Personal Data Privacy and Security Act of 2014, S.1897)。該草案主要分成兩大部分: 第一部份，將強化身份竊盜和其他違反資料隱私與安全之懲罰；第二部份，係關於可茲辨識個人資料(PII)之隱私和資訊安全。 　　法案第202條係關於「個人資料隱私與安全機制」（personal data privacy and security program），目的在強化敏感性可茲辨識個人資料的保護，從行政(administrative)、技術(technical)和實體(physical)三個構面的防衛機制，進行相關標準之制訂與落實。有關適用之範疇，乃就涉及州際貿易之商業實體，而該州際貿易包含蒐集、近取、傳輸、使用、儲存或在電子或數位格式處理可茲辨識個人之敏感性資料，而這些資料總計多達1萬筆以上，然而，將不適用於金融機構(financial institutions)、醫療保險轉移和責任法(HIPPA)所管制者、服務提供者(service provider)和公共紀錄(public records)。 　　而在機制設計上，也係從「設計」(DESIGN)、「風險驗證」 (RISK ASSESSEMENT)和「風險管理」(RISK MANAGEMENT)三個角度進行切入，也必須確實提供員工教育訓練(TRAINING)、弱點測試(VULNERABILITY TESTING)、定期驗證和個人資料隱私與安全之更新，另外，在與外部與服務提供者(例如ISP)之關係上，公司必須盡到適當勤勉的義務(due diligence)，也必須透過契約(contract)方式，約定前述所建置起之資料隱私安全機制，並在安全性遭受到侵害時，以合理方式通知締約他方。 　　本案目前在聯邦參議院已經二讀通過，已交付參議院司法委員會進行下一階段的審議，該立法草案未來是否會直接或間接影響物聯網環境生態系統之商業運作，有待未來持續關注之。

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。