揭露產品溯源資訊,兼顧防偽、永續!歐盟區塊鏈物流認證計畫進行試點,將於11月發布報告
為確認產品供應鏈與物流鏈的真實來源、打擊仿冒品、提升永續資訊透明度以接軌歐盟政策,歐盟智慧財產局(下稱EUIPO)自2023年5月啟動區塊鏈物流認證計畫(下稱EBSI-ELSA),採難以竄改、公開透明的區塊鏈服務基礎設施(European Blockchain Services Infrastructure,下稱EBSI),透過數位簽章(digital signature)、時戳追溯與驗證歐盟進口產品的來源是否為智慧財產權利人。EUIPO 於2024年6月24日宣布EBSI-ELSA已上線8成基礎設施。為加速推動計畫,於2024年9月至11月間,EUIPO以產品鏈的智財權利人(例如鞋類與/或服裝、電氣設備、手錶、醫療設備與/或藥品、香水與/或化妝品、汽車零件與玩具產業別之產品智財權利人)為試點,並將於2024年11月前發布試點最終報告。
透過試點,EUIPO致力於:
(1)測試、評估於真實世界之製造與分銷系統中應用數位簽章及物流模組的情況,以作為智財權利人之企業資源規劃(ERP)的一部分。
(2)於產品歷程,測試、評估數位裝運契約(digital shipment contract)及產品數位孿生(Digital Twin)之資訊的接觸權限與品質(access to and quality of information)。如海關人員預計於產品抵運前(pre-arrival)、通關階段(inspection phases)確認產品之真實性。
(3)提供產品生命週期應用EBSI-ELSA之試點最終報告,包含實施過程、結果等相關資料。
EBSI-ELSA計畫認為其符合歐盟之數位政策與循環經濟目標,旨於採取區塊鏈技術向供應商、消費者、海關、市場監管機構等多方揭露更多的產品溯源資料,提升產品透明度,銜接歐盟之數位產品護照(Digital Product Passport, DPP)政策,該政策目的係以數位互通方式揭露歐洲市場之產品生命週期的資訊,如產品材料來源、製程、物流、碳足跡等永續資訊,強化產業的可追溯性、循環性(circularity)及透明度,以協助供應鏈利害關係人、消費者、投資者做出可持續的選擇。而負責執行歐盟資料經濟與網路安全相關政策之歐盟執委會資通訊網絡暨科技總署(DG Connect)於2024年5月所發布之「數位產品護照:基於區塊鏈的看法」報告,亦指出「為確保區塊鏈系統互通性,其IOTA區塊鏈技術框架應能與歐盟內部市場電子交易之電子身分認證及信賴服務規章(EIDAS)及EBSI標準完全接軌(fully align)」。
如我國企業欲強化既有的產品生命週期資料管理機制,可參考資策會科法所創智中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,從數位資料的生成、保護與維護出發,再延伸至存證資訊之取得、維護與驗證之流程化管理機制,協助產業循序增進資料的可追溯性。
本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。
本文同步刊登於TIPS網站(https://www.tips.org.tw)
- EUIPO, Observatory
- EUIPO, EBSI (European Blockchain Services Infrastructure) -ELSA (European Product and Logistics Services Authenticator) Go-Live
- EBSI, EBSI’s Blockchain, the Driving Force Behind the EUIPO’s Groundbreaking Anti-Counterfeiting Initiative
- EBSI, EBSI-ELSA(EUIPO)
- European Commission, Digital Product Passport
- European Commission, Digital Product Passport, a Blockchain-based Perspective
洪亮瑄
副法律研究員 編譯整理
EUIPO, Observatory, https://www.euipo.europa.eu/en/observatory/enforcement/blockathon/call-for-interest (last visited Sep. 16, 2024).
EUIPO, EBSI (European Blockchain Services Infrastructure) -ELSA (European Product and Logistics Services Authenticator) Go-Live, https://www.euipo.europa.eu/en/news/observatory/ebsi-european-blockchain-services-infrastructure-elsa-european-product-and-logistics-services-authenticator-go-live (last visited Sep. 16, 2024)
EBSI, EBSI’s Blockchain, the Driving Force Behind the EUIPO’s Groundbreaking Anti-Counterfeiting Initiative, https://ec.europa.eu/digital-building-blocks/sites/display/EBSI/EBSIs+Blockchain+the+Driving+Force+Behind+the+EUIPOs+Groundbreaking+Anti-Counterfeiting+Initiative (last visited Sep. 16, 2024)
EBSI, EBSI-ELSA(EUIPO), https://ec.europa.eu/digital-building-blocks/sites/display/EBSI/EBSI-ELSA+EUIPO (last visited Sep. 16, 2024)
European Commission, Digital Product Passport, https://hadea.ec.europa.eu/calls-proposals/digital-product-passport_en (last visited Sep. 27, 2024)
European Commission, Digital Product Passport, a Blockchain-based Perspective, https://blockchain-observatory.ec.europa.eu/publications/digital-product-passport-blockchain-based-perspective_en (last visited Sep. 16, 2024)
謝明均,〈歐盟智慧財產局運用科技強化智財保護,正式啟動產品的區塊鏈物流認證計畫(EBSI-ELSA)〉,資訊工業策進會科技法律研究所,2023年7月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9018(最後瀏覽日:2024/09/16)。
EMA近日針對醫藥公司,在其欲申請人體藥物上市核准的申請文件中,針對如何準備與審查產品特性摘要之文件,提供醫藥公司相關的指導方針。 產品特性摘要不僅是醫藥公司之新藥物在向歐盟申請上市核准時所必須提供的重要文件,也是健康照護專業人員在獲知如何有效並安全使用藥物時的基本資訊來源。產品特性摘要在藥品生命週期存續時必須定時保持更新,以確保無藥物效用性與安全性疑慮的新問題發生;同時,其也是在藥物包裝上所必須含有的基本資訊,以確保藥物服用者能對其所服用的藥物有更多的了解和進行各類風險評估。 產品特性摘要文件,主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時,必須遵循歐盟2001/83/EC號指令第11條之規定,附加產品特性摘要於申請文件,以供主管機關作為申請核駁之依據。在EMA針對產品特性摘要所提供的指導方針中,主要係以簡報與影片的方式,來教導醫藥公司如何在產品特性摘要的各個項目中,提供有關申請藥物更為完整與細部的背景資訊。其中,有關於解釋如何完成治療指示(therapeutic indication)與藥物藥效成分(pharmacodynamic properties of a medicine)之項目,於EMA的指導方針中,亦以明確的影片指導來協助醫藥公司提供高品質的產品特性摘要內容。 有鑑於治療人體疾病之藥物,對於人類生理與心理層面攸關重大,如何要求醫藥公司在提出人體藥物上市許可之申請時,能提供藥物完整的背景資訊,以確保從事健康照護之人員以及藥物服用者,完全了解藥物使用方式、效用與風險,則是主管機關無從推卸的責任。觀察EMA針對人體藥物之產品特性摘要製作出完整的指導方針,或許我國衛生機關也可效仿該種方式,來提供國內醫藥公司在提出藥物上市申請時之參考,以確保各項資訊透明並保護藥物使用者在「知」方面的權益。
美國為遏止專利濫訟通過創新法案(The Innovation Act of 2013)美國眾議院今年(2013)12月5日通過創新法案(The Innovation Act of 2013,H.R. 3309),主要目的在於填補美國發明法(Leahy-Smith America Invents Act,AIA)對於遏止專利濫訟之不足。創新法案中達成立法目標之核心手段主要有以下五個方向。 1.限縮提訴要件,要求提起專利訴訟,必須說明遭侵權之商品以及遭侵權之情形,特別是針對專利侵權之因果關係的說明,以不實施專利主體(Non-practice Patents Entity,NPE)不生產製造專利產品之特性遏止其專利濫訟。 2.訴訟費用的轉移,將相關成本轉移至敗訴方,並加諸合理之賠償費用。直接以訴訟成本之轉嫁來影響訴訟意願,然而此舉是否造成真正之專利所有者保護自身專利之障礙仍須觀察個案。 3.延遲證據開示,避免證據開示過早影響判決之結果。 4.要求專利所有者持續針對所有之專利進行資訊更新,使專利所有權透明化,以揭露NPE藉由空殼公司進行濫訟之行為。 5.創新法案另試圖使專利產品之實際製造商代替消費者面對專利侵權時相關產品之訴訟。 而眾議院通過創新法案的同時,參議院也有相類似的平行立法提案,稱為專利透明化與改進法案(The Patent Transparency and Improvement Act of 2013,S. 1720)。比較參眾兩院之法案版本後,可以發現兩者立法目的以及採取的手段均類似,主要都集中在於資訊的透明化以及訴訟成本的轉嫁,試圖藉由除去專利訴訟有利可圖的情形遏止專利濫訟的現象,但是參議院版本之法案是否真的能夠達到遏止專利濫訟之情形受到各界更多的爭議。
開放非銀行從事預付式行動付款服務法制議題之研究 美國公布實施零信任架構相關資安實務指引美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景 此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。 有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要 考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft)) 主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)) 主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft)) 主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)) 此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析 美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。 此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).