日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢

　　日本經濟產業省於2020年7月13日發布「創新治理：實現Society5.0的法規與結構設計（GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン）」報告書。其作成背景係依據日本在去（2019）年G20峰會時，基於大阪框架（大阪トラック、Osaka Track）下的「可資信任的資料自由流通機制（Data Free Flow with Trust（DFFT））願景，所提出的創新治理目標。該目標指出，過往的治理模式主要依靠法律規範，但明顯已追趕不及數位化與創新的快速步伐，致生新型態風險無法獲得有效控管、法律可能阻礙創新等問題，因而有必要革新治理模式，以掃除創新活動的障礙。基此，就上述創新治理模式的必要性與方式，日本召集國內外法律、經濟、科技、經濟等各界專家徵求意見進行討論，彙整後作成本報告書。 　　本報告書主張，應擺脫法規範的設計、法遵與執行，均由國家主導的傳統模式，建立提高企業參與規範擬定與實施程度的治理型態。具體主要包含以下作法： （1）法規範制定層面：規範之制定方向，改以作成價值決定的目的導向為主。至於細節性的行為義務，包含企業如何在數位化的虛擬場域內，透過程式語言等途徑落實上述法目的，則應由該些企業、以及在虛擬場域活動的社群或個人等利害關係人共同參與擬定相關的指引或標準。 （2）法遵層面：如上（1）所述，未來法規範制定將轉為形塑價值與目的為主，不會明確訂定企業的行為義務，而交由企業來擬訂。企業所制定之行為規範能否達成法規範目的，則須仰賴企業主動揭露其法遵方法，供外界檢視。因此，除企業應採用創新手法達成法目的、並對內落實法遵事項的說明外，應運用各種內外部查核機制來控管風險。同時，應著手研發相關技術或措施，讓利害關係人得取用企業之即時資料，以隨時確認企業所採取方法有無達成法遵，實現有效監督。 （3）執法層面：政府應以企業之行為對社會產生影響的程度，作為執法標準。若遭遇AI參與決策而衍生的事故，不應歸責於個人，而應建立獎勵機制，鼓勵企業積極協助究明事故原因。另一方面，亦應推動訴訟與訴訟外紛爭解決機制的線上化（Online Dispute Resolution, ODR），例如共享經濟平台服務的認證機制與標準、就電商平台上發生的小額消費糾紛由平台透過公告罰則等方式抑止與處理糾紛。

　　加州立法體系在2018年6月28日通過了美國最嚴格的個人資料隱私法規，該法案無異議通過，並已經加州州長Jerry Brown簽署同意，將於2020年1月1日施行，以賦予科技產業修正其內部政策的緩衝期間。 　　該法案之所以如此速戰速決，據媒體解讀是為了避免該法案內容成為加州11月選舉併公民投票之公投提案的一部分。如以公投方式通過這部法規，日後修正時將重新以公民投票進行，有造成修法困難的疑慮；而以立法者立法方式通過這部法規，賦予立法者有對其修訂改正權限，於日後能以一般修法程序進行修法。 　　該法案內容與2018年5月25日實施的歐洲GDPR規範相近似，將造成加州原先隱私權規範些許改變，與倡議最初法案不同的地方在於，揭露接受個資第三人的相關資料時需揭露該第三者之類型（category）而非其身分。 　　隨著本年度加州消費者隱私保護法（The California Consumer Privacy Act）的修法，大型科技公司如Google和Facebook等蒐集有大量消費者個人資料者，都將受到重大影響，依據該法，一般使用者可以向企業確認被蒐集的個資種類以及個資販賣流向，亦可以請求中止個資的蒐集及販賣，提升了一般使用者在以往對於個資使用上的地位。 　　自歐洲GDPR規範實施以來至目前，美國聯邦法尚未有相應強度之規範，本次加州修法可認係GDPR實施以來美國國內第一部因應而修正之法律。

美國食品藥物管理局（U.S. Food and Drug Administration, US FDA）綜整近20年產官學研的建議，今年7月發布《人類細胞及基因製劑生產變化及可比性試驗》（Manufacturing Changes and Comparability for Human Cellular and Gene Therapy Products）指引草案，提供細胞及基因製劑（含組織工程產品）製造商執行可比性試驗依循的標準，做為實際運作上的參考。US FDA並強調若臨床開發與製程開發同步，將會使產品品質提升、產品供應增加或製造效率提高，讓國內外申請商申請新藥臨床試驗（Investigational New Drug, IND）及上市許可有明確的遵循方向。 之所以會需要有此指引的提出，乃是因為現今全球評估生物製劑原料藥或成品在製造品質變更前後的比較，需提供可比性試驗報告，做法上都是參考2004年國際醫藥法規協和會（International Council for Harmonisation of Technical Requirements for Pharmaceuticals for Human Use, ICH）公布「生物製劑可比性試驗」（ICH Q5E Biotechnological/biological products subject to changes in their manufacturing process: comparability of biotechnological/biological products）指引，但主要適用對象為蛋白質藥品及其衍生物，並不完全適用細胞及基因製劑。 可比性試驗的目的是確保化學製造管制（Chemistry, Manufacturing, and Controls, CMC）變更前後的原料藥或成品，品質需具有高度相似性，才可引用之前的CMC或IND的資料；如果使用的細胞種類、病毒載體及組織工程產品等重大改變，已嚴重影響原料藥或成品的品質，不適用目前的可比性試驗，需重新申請IND或上市許可，將造成申請商需要投入更多的成本，影響產品上市時程。 細胞及基因製劑屬於新興療法，其可比性試驗的審查迄今全球並沒有明確的規範，都是參考ICH Q5E建議，而FDA發布本指引草案正向表列細胞及基因製劑，其驗證確校、安定性及批次變更的可比性依據。讓業者可依循本指引草案，加速細胞及基因製劑的開發、IND申請及產品上市，提升生醫產業的發展。 本文同步刊載於stli生醫未來式網站（https://www.biotechlaw.org.tw）