台灣政府放棄等待流感藥物專利

2024年9月1日，澳洲生效《政府負責任地使用人工智慧的政策》（Policy for the responsible use of AI in government，下稱政策）。澳洲數位轉型局（Digital Transformation Agency，以下稱DTA）提出此政策，旨於透過提升透明度、風險評估，增進人民對政府應用AI的信任。 1. AI之定義 此政策採經濟合作暨發展組織（OECD）之定義：AI系統是一種基於機器設備，從系統接收的資訊進而產出預測、建議、決策內容。 2.適用範圍 (1)此政策適用於「所有非企業的聯邦個體（non-Corporate Commonwealth entities, NCE）」，非企業的聯邦個體指在法律、財務上為聯邦政府的一部分，且須向議會負責。此政策亦鼓勵「企業的聯邦實體」適用此政策。 (2)依據2018年國家情報辦公室法（Office of National Intelligence Act 2018）第4條所規定之國家情報體系（national intelligence community, NIC）可以排除適用此政策。 3.適用此政策之機構，須滿足下列2要件 (1)公布透明度聲明 各機構應在政策生效日起的6個月內（即2025年2月28日前）公開發布透明度聲明，概述其應用AI的方式。 (2)提交權責人員（accountable official，下稱AO）名單 各機構應在政策生效日起90天內（即2024年11月30日前）將AO名單提供給DTA。 所謂AO的職責範圍，主要分為： I.AO應制定、調整其機構採取之AI治理機制，並定期審查、控管落實情況，並向DTA回報；鼓勵為所有員工執行AI基礎知識教育訓練，並依業務範圍進行額外培訓，例如：負責採購、開發、訓練及部署AI系統的人員，使機構內的利害關係人知道政策的影響。 II.當既有AI 應用案例被機構評估為高風險AI應用案例時，通知DTA該機構所認定之高風險AI應用案例，資訊應包括：AI的類型；預期的AI應用；該機構得出「高風險」評估的原因；任何敏感性資訊（any sensitivities）。 III.擔任機構內協調AI的聯絡窗口 IV.AO應參與或指派代表參與AI議題之政策一體性會議（whole-of-government forums）。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　美國眾議院於2015年4月22日以307票同意，116票反對，通過網路保護法（The Protecting Cyber Networks Act）。本法之立法目的在於移除法規障礙，美國公司藉此將得以與其他公機關或私人分享資安威脅的相關資訊，以防範駭客攻擊。 　　本法之重點內容主要係為對於網路威脅指標與防禦辦法之分享。依網路保護法第102條與第104條之規定，分享的客體包括「網路威脅指標」（cyber threat indicator）與「防禦辦法」（defensive measures），分享之對象則分為非聯邦機構（non-Federal entities）以及（國防部或國安局之外的）適當之聯邦機構（appropriate Federal entities）。本法第102條規定，在符合機密資訊、情報來源與方法、以及隱私及公民自由之保護下，國家情報總監（the Director of National Intelligence, DNI）經與其他適當聯邦機構諮商後，應展開並頒布相關程序，以促進下列事項之進行：「（一）與相關非聯邦機構中具有適當安全權限之代表，及時分享（timely sharing）聯邦政府所有之機密網路威脅指標；（二）與相關非聯邦機構及時分享聯邦政府所有，且可能被解密並以非機密等級分享之網路威脅指標；（三）於適當情況下與非聯邦機構分享聯邦政府所有，且與該些機構即將或正在發生之網路安全威脅（cybersecurity threat）有關之資訊，以防止或降低該網路安全威脅所造成之負面影響。」 　　以及，對於隱私權與公民自由之保障亦非常重要，就隱私權與公民自由之保障，網路保護法主要在第103條第4項設有相關規定。對於資訊安全，該項第1款規定，依本法第103條之規定進行資訊系統之監控、執行防禦辦法、或提供或取得網路威脅指標或防禦辦法之非聯邦機構，應實施適當之安全管控，以保護該些網路威脅指標或防禦辦法免遭未經授權之近用或取得。同項第2款則更進一步規定了特定個人資料在一定條件下應被移除。該款規定，依本法進行網路威脅指標分享的非聯邦機構，於分享前應合理地對該網路威脅指標進行復核，以評估該指標是否含有任何令該機構合理相信（reasonably believes）與網路安全威脅非直接相關，且於分享時（at the time of sharing）屬於特定個人之個人資訊或指向特定個人之資訊，並移除該等資訊。

　　美國食品暨藥物管理局(U.S. Food and Drug Administration，以下簡稱FDA)向來負有保障境內國民健康與人身安全之義務，於今(2010)年1月底，美國參議員Mark Pryor提出「2010奈米科技安全法案」(The Nanotechnology Safety Act of 2010， S.2942)，擬授權FDA對使用奈米科技的醫藥與健康產品(medical and health products)進行管理規範。 　　「2010奈米科技安全法案」規劃將在聯邦食品、藥物與化妝品管理法(Federal Food, Drug and Cosmetic Act)的第十章中加入第1101節「奈米科技研究計畫」 (Nanotechnology Program)，透過設置研究計畫對FDA管轄範圍內的產品展開調查，藉由研究進一步了解奈米材料對於生物體的作用與影響，經由對奈米材料毒性的認識，歸納出原則性規範，並將奈米材料依照等級劃分，建立以科學證據為基礎的資料庫，同時於內部單位設置奈米材料專家以供諮詢，故為利於日後收集相關科學證據資料作為資料庫之用，協助管理規範上可供參考與遵循之依據，FDA將研究與分析奈米材料係如何被人體吸收，以及如何設計奈米材料使其得以運載對抗癌症之藥物以消除腫瘤，抑或是植入骨骼的奈米級組織是如何強化關節並減少不必要的感染等，未來本法案若順利通過，FDA將對於使用奈米材料之醫藥品、醫療器材與食品添加劑進行規範。 　　美國參議員Pryor再度重申，FDA需要相當之資源與經費建立以科學證據為基礎的規範體系架構，確保以奈米材料為成分的醫藥健康產品係安全有效，若無相關研究提供完善證據資料，將無從檢驗含有奈米材料的醫藥健康產品，也將無從保障國民之健康安全，故未來期望此一法案之通過將授權FDA投入管理規範體系之建置，亦將有助於實踐以奈米科技改善人類健康與降低醫療成本之理想。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。