OECD發布「促進人工智慧風險管理互通性的通用指引」研究報告

　　澳洲高等法院(澳洲的最高司法機關)在10月7日時做出重要判決，認為單純從人類基因體分離出來的基因序列，不足以作為專利的申請標的。本案的原告是一名69歲曾罹患乳癌的女士，他向法院起訴請求法院宣告Myriad 基因公司所擁有的BRCA1基因專利中部分的專利範圍(claim)無效。BRCA1基因的突變(mutation)或特定的表型被認為與乳癌及卵巢癌的發生機率有關。在先前的審級，法院都判決被告勝訴，但高等法院推翻了先前的見解，以7票贊成0票反對的比數\判決原告的上訴有理由，Myriad基因公司的專利無效。本案由首席法官連同其餘三位法官提出多數意見，另外有兩份協同意見。 　　本案的主要爭點在於系爭專利是否符合澳洲1990年專利法(Patents Act 1990)中，對專利應屬於一種「生產方式」(manner of manufacture)的規定。多數意見認為系爭的專利範圍只是BRCA1基因的序列，這些資訊並非由人類所「製造」，而僅是由人類所辨別。因此這無法被視為是一種生產的方式，不符合專利法的相關要求。若要將其視為生產方式，則需要進一步擴張生產方式的概念範圍，不適合由法院進行判斷。同時法院認為這個專利可能造成寒蟬效應，使得與BRCA1相關的分離技術變得過於昂貴或形成事實上的壟斷狀態，也與專利法希望促進發明的初衷不符。最後，法院在確認澳洲對於是否應承認此類專利並無國際法上的義務後，宣告此專利無效。 　　澳洲的學界對此判決表示歡迎，認為此判決將使醫療人員執行職務時免於侵犯智慧財產權的恐懼。但澳洲的生技產業則認為這個判決可能會打擊相關的研究，造成負面影響。澳洲法院的判決與美國先前的判決見解相當類似，同時該判決也可能對於其他國家的類似案件發生影響。例如在加拿大的一個與罕見心臟疾病基因有關的官司，就很可能會受到本判決的影響也宣布該基因專利無效。

　　可專利性（Patentability）與專利適格（Patent-Eligibility）常被混用，但實際上兩者並不可以畫上等號。 　　具專利適格不等於可專利一事，在指標判例In re Bilski可窺知端倪：「新穎性（Novelty）、進步性（Non-obviousness，或稱非顯而易見性）的分析，和35 U.S.C. §101（專利適格的法源）無關，而是分別以35 U.S.C. §102、35 U.S.C. §103作為法源。」顯示專利適格、實用性（Utility，或稱「產業利用性」）、新穎性、進步性，互不隸屬。梳理美國專利法教課書（Casebook）和判決內容，可知：「專利適格」是取得專利的基礎門檻、資格，具專利適格，並不必然可專利，還須符合實用性、新穎性、可進步性，才是一個「可專利」的發明。另應強調，「專利適格」除了需要滿足§101法條文字外，還需要滿足美國專利與商標局（USPTO）的兩階段標準（Two-Step Test）審查。 　　綜上，可整理出這個公式： 可專利性=專利適格（§101+兩階段標準）+實用性（§101）+新穎性（§102）+進步性（§103) 　　觀察美國專利法教科書的編排方式，亦可了解思考脈絡：先介紹專利適格，再依序介紹實用性、新穎性、進步性。另，「實用性」在作為名詞時是採“Utility”一字，而非“Usefulness”，這兩個詞微妙的差異是前者具「有價值的（Beneficial）」之意涵，也呼應Justice Story在 Bedford v. Hunt對「實用」（Useful）經常被援引的解釋：「要能在社會中做出有價值的（Beneficial）應用，不可以是對道德、健康、社會秩序有害（Injurious）的發明，也不可以是瑣碎（Frivolous）或不重要的（Insignificant）。」

　　美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）於2022年7月21日發布更新《網路安全資源指南》（A Cybersecurity Resource Guide, NIST SP 800-66r2 ipd）。本指南源自於1996年美國《健康保險流通與責任法》（Health Insurance Portability and Accountability Act, HIPAA）旨在避免未經患者同意或不知情下揭露患者之敏感健康資料，並側重於保護由健康照護組織所建立、接收、維護或傳輸之受保護電子健康資訊（electronic protected health information, ePHI），包括就診紀錄、疫苗接種紀錄、處方箋、實驗室結果等患者資料之機密性、完整性及可用性。其適用對象包含健康照護提供者（Covered Healthcare Providers）、使用電子方式傳送任何健康資料的醫療計畫（Health Plans）、健康照護資料交換機構（Healthcare Clearinghouses）及為協助上述對象提供健康照護服務之業務夥伴（Business Associate）均應遵守。 　　本指南最初於2005年發布並經2008年修訂（NIST SP 800-66r1 ipd），而本次更新主要為整合其他網路安全相關指南，使本指南與《網路安全框架》（Cybersecurity Framework, NIST SP 800-53）之控制措施等規範保持一致性。具體更新重點包括：（1）簡要概述HIPAA安全規則；（2）為受監管實體在ePHI風險評估與管理上提供指導；（3）確定受監管實體可能考慮作為資訊安全計畫的一部分所實施的典型活動；（4）列出受監管實體在實施HIPAA安全規則之注意事項及其他可用資源，如操作模板、工具等。特別在本指南第三章風險評估與第四章風險管理提供組織處理之流程及控制措施，包括安全管理流程、指定安全責任、員工安全、資訊近用管理、安全意識與培訓、應變計畫、評估及業務夥伴契約等。而在管理方面包括設施權限控管、工作站使用及安全、設備媒體控制；技術方面則包含近用與審計控管、完整性、個人或實體身分驗證及傳輸安全。上述組織要求得由政策、程序規範、業務夥伴契約、團體健康計畫所組成，以助於改善醫療領域的網路安全及隱私保護風險管理。預計本指南更新將徵求公眾意見至2022年9月21日止。

　　歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日，針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫，基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過，該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。 　　根據EDPS首長Peter Hustinx表示，由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料，因此儘管設立單一之作業管理機構，可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題，但如此一機構欲取得合法性，其活動範圍及相關責任即必須在立法中獲得明確界定，否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析，Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。 　　此外，針對後續立法進程，EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ，亦或僅限於邊境檢查及難民與移民事務；執委會與該機構之關聯性與責任等重要問題外，是否可在缺乏相關經驗及實證評估下，即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄，顯然亦有商榷餘地。EDPS就此認為，透過立法界定「大型資訊系統」之範圍，並且採取資料庫分次進入該管理機構責任範圍之方式，應係日後執委會可以努力之方向。