歐洲藥物管理局(European Medicines Agency,簡稱EMA)發佈針對準備與審查產品特性摘要(summaries of product characteristics,簡稱SmPCs)的指導方針

  EMA近日針對醫藥公司,在其欲申請人體藥物上市核准的申請文件中,針對如何準備與審查產品特性摘要之文件,提供醫藥公司相關的指導方針。

 

  產品特性摘要不僅是醫藥公司之新藥物在向歐盟申請上市核准時所必須提供的重要文件,也是健康照護專業人員在獲知如何有效並安全使用藥物時的基本資訊來源。產品特性摘要在藥品生命週期存續時必須定時保持更新,以確保無藥物效用性與安全性疑慮的新問題發生;同時,其也是在藥物包裝上所必須含有的基本資訊,以確保藥物服用者能對其所服用的藥物有更多的了解和進行各類風險評估。

 

  產品特性摘要文件,主要係依據歐盟2001/83/EC號指令第8(3)(j)條與歐盟第726/2004號法規第6(1)條之要求而提供。前述法規要求醫藥公司在提出藥物上市許可之申請時,必須遵循歐盟2001/83/EC號指令第11條之規定,附加產品特性摘要於申請文件,以供主管機關作為申請核駁之依據。在EMA針對產品特性摘要所提供的指導方針中,主要係以簡報與影片的方式,來教導醫藥公司如何在產品特性摘要的各個項目中,提供有關申請藥物更為完整與細部的背景資訊。其中,有關於解釋如何完成治療指示(therapeutic indication)與藥物藥效成分(pharmacodynamic properties of a medicine)之項目,於EMA的指導方針中,亦以明確的影片指導來協助醫藥公司提供高品質的產品特性摘要內容。

 

  有鑑於治療人體疾病之藥物,對於人類生理與心理層面攸關重大,如何要求醫藥公司在提出人體藥物上市許可之申請時,能提供藥物完整的背景資訊,以確保從事健康照護之人員以及藥物服用者,完全了解藥物使用方式、效用與風險,則是主管機關無從推卸的責任。觀察EMA針對人體藥物之產品特性摘要製作出完整的指導方針,或許我國衛生機關也可效仿該種方式,來提供國內醫藥公司在提出藥物上市申請時之參考,以確保各項資訊透明並保護藥物使用者在「知」方面的權益。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 歐洲藥物管理局(European Medicines Agency,簡稱EMA)發佈針對準備與審查產品特性摘要(summaries of product characteristics,簡稱SmPCs)的指導方針, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=6012 (最後瀏覽日:2024/02/27)
引註此篇文章
你可能還會想看
從美國聯邦最高法院判決探討實用物品設計之著作權保護原則

從美國聯邦最高法院判決探討實用物品設計之著作權保護原則 資訊工業策進會科技法律研究所 法律研究員 龔芳儀 107年8月25日 壹、事件摘要   運動服飾設計製造與銷售公司Varsity Brands, Inc.(後稱Varsity公司)擁有兩百餘件美國平面美術著作,而另一家運動服飾銷售公司Star Athletica, LLC(後稱Star公司)所販售之產品包含啦啦隊用品及啦啦隊服等。   Varsity公司於2014年向美國田納西州西區聯邦地區法院對Star公司提起著作權、商標權等侵權訴訟,本文將針對著作權爭議進行討論,Varsity公司控告Star公司於2010年的產品型錄與網站中所展示的啦啦隊服相似於其五件已註冊為美國著作之啦啦隊服設計,請參見圖一。 資料來源:JD Supra, LLC彙整 圖一 Varsity公司指出Star公司之啦啦隊服相似於Varsity公司已註冊為美國著作之啦啦隊服設計[1]   Varsity公司所擁有之五件平面美術著作[2],如圖二所示,其中兩件(Design 299A與Design 299B)為啦啦隊服照片,另三件(Design 074、Design 078與Design 0815)為啦啦隊服之設計圖稿。被告Star公司認為Varsity公司之設計圖稿明顯是以啦啦隊服之輪廓進行設計,且當隊服缺乏設計時便成為空白之布料而失去啦啦隊服之功能,因此該些設計具有功能性,進而不符合美國著作權法第1302條第4項所指「設計之呈現僅為功能實現(dictated solely by a utilitarian function of the article that embodies it)」而不受保護之設計項目,即設計在作品上之呈現方式,僅展現功能性質,也就是說啦啦隊服上的圖樣設計為凸顯啦啦隊服功能,該些圖樣具功能性而不受著作權所保護。而Varsity公司主張設計師構思設計時並未被要求須考量啦啦隊服之功能、或實際製造之可行性,因此該設計不涉及功能性,而可受美國著作權法所保護。 資料來源:美國田納西州西區聯邦地區法院判決 圖二 Varsity公司之五件美國平面美術著作   美國田納西州西區聯邦地區法院法官[3]認為Varsity公司啦啦隊服可承受劇烈動作、吸汗等功能係屬於實用物品、且其顏色與設計在概念上無法從所依附的啦啦隊服分離,而認定該設計不被著作權法所保護,即Varsity公司所擁有之著作權無效,並在簡易法庭中認同Star公司之見解:啦啦隊員因穿著隊服而產生啦啦隊效果,使觀察者看到穿著啦啦隊服者而知道其為啦啦隊員,若少了啦啦隊服上的設計則失去啦啦隊意象,認為該啦啦隊服具備功能性而無法受著作權所保護,故Star公司無從侵害Varsity公司之五件平面美術著作。   本案經Varsity公司上訴,聯邦第六巡迴上訴法院於2015年推翻了一審法院判決[4],認為Varsity公司啦啦隊服上之設計為圖形設計[5]且可被分離、獨立於啦啦隊服,即圖形設計與啦啦隊服可各別存在,使該些設計可被著作權法所保護。   一、Varsity公司具有有效之著作權(ownership of a valid copyright)   Varsity公司分別於2005年至2008年間於美國著作權局(Copyright Office)完成前述五件平面美術著作註冊,得以推定Varsity公司擁有原創著作。   二、Star公司所抄襲之元素為著作保護標的   針對證明Star公司是否抄襲,Varsity公司須考量Star公司在創作時是否以其著作當作創作模型之事實問題(a factual matter)、進而判斷受Star公司所抄襲之元素是否為著作保護標地之法律問題(a legal matter)。   上訴法院針對法律問題進行討論,列有分離性判斷原則之五個提問,並針對Varsity公司設計之分離性進行分析,如表一所示。 表一 以上訴法院分離性判斷原則比對Varsity公司之設計 上訴法院分離性判斷原則 比對Varsity公司之設計 (1)該設計是否屬「圖畫、圖形及雕塑著作」? Varsity公司之設計已取得平面美術著作註冊,係屬「圖畫、圖形及雕塑著作」 (2)若是,該設計是否為實用物品之設計? Varsity公司之設計係為啦啦隊服之設計,而該啦啦隊服為本質上具有實用性功能之物品,而非僅描繪(portray)該物品之外觀或傳達訊息(information) (3)實用物品之實用面為何? 啦啦隊服本質上之實用性功能為「覆蓋身體(cover the body)」即吸濕氣並承受運動員劇烈之動作 (4)一般設計觀察者是否能從實用物品之實用面辨識出圖畫、圖形及雕塑之設計特徵? 觀察者能辨識Varsity公司設計之圖形特徵,Varsity公司之客戶能從型錄中辨識不同圖形特徵之設計,即可從中挑選客製圖形設計 (5)實用物品之圖畫、圖形及雕塑設計特徵是否能獨立存在於實用物品之實用面? Varsity公司之設計師進行設計圖形特徵時,並未被要求考量啦啦隊服生產過程且該些設計具可換性(interchangeability),推斷圖形設計與啦啦隊服係可分離,可附於其他類型之服飾上,因此圖形特徵能獨立存在於啦啦隊服 資料來源:本研究彙整   另一方面,啦啦隊服之表面圖形設計是為織品設計(fabric design),如符合該分離性判斷標準則屬著作權法保護之範疇;相對地,隊服輪廓剪裁則具有遮蔽、包覆人體等功能係屬於服裝設計(dress design),該功能性則不受著作權保護。   Star公司不服上訴法院判決,本案於2016年進入美國聯邦最高法院[6],法官於2017年3月認同聯邦第六巡迴上訴法院見解,認為Varsity公司啦啦隊服之圖形設計與啦啦隊服可分離,並提出實用物品之設計在符合以下兩構件之分離性判斷原則,即為著作權所保護之標的範圍:(1)當設計特徵可被視成為平面或立體著作並且能與實用物品分離(can be perceived as a two- or three-dimensional work of art separate from the useful arti­cle);以及(2)若該設計特徵符合圖畫、圖形及雕塑著作(pictorial, graphic, and sculptural works, ”PGS works”),可被設想為可分離於實用物品,不管是獨立存在、或者依附於其他媒體上(either on its own or fixed in some other tangible medium of expression),即為著作權所保護之標的。   如表二,根據上述條件與Varsity公司之設計進行比對。Varsity公司啦啦隊服上之線條、圖紋、色塊等圖形設計係屬圖形著作,且該些圖形設計可從啦啦隊服分離,而可依附在其他媒體上、或獨立存在,因此該圖形設計為著作權法所保護之標的,Star公司確實侵害Varsity公司之五件平面美術著作。 表二 以聯邦最高法院分離性判斷原則比對Varsity公司之設計聯邦最高法院分離性判斷原則 聯邦最高法院分離性判斷原則 比對Varsity公司之設計 (1)當設計特徵可被視成為平面或立體著作並且能與實用物品分離。 Varsity公司啦啦隊服上之線條、圖紋、色塊等圖形設計係屬圖畫、圖形及雕塑著作中之圖形著作。 (2)若該設計特徵符合圖畫、圖形及雕塑著作(PGS works),可被設想為可分離於實用物品,不管是獨立存在、或者依附於其他媒體上,即為著作權所保護之標的。 該些圖形設計可從啦啦隊服分離,而可依附在其他媒體上、或獨立存在,如裝飾其他形式之服裝、或裱掛於牆上之圖形藝術,因此該圖形設計為著作權法所保護之標的。 資料來源:本研究彙整 貳、重點說明─實用物品設計是否為著作權標的,應分析與實用物品分離後之圖形設計而非物品本身   美國著作權法並未將屬實用物品之工業設計產品之設計納為保護標的,但工業設計不全是具功能之設計,當工業設計產品之設計附有藝術元素時,該保護界線便難以劃分。   對此,美國著作權法第101條[7](17 U.S.C.§101)提供實用物品之設計有限的著作權保護:當實用物品之設計具備圖畫、圖形及雕塑之藝術特徵(”pictorial, graphic, and sculptural features” of the “design of a useful article”),且該些特徵可被分離、或獨立存在於該物品之實用面(that can be identified separately from, and are capable of existing independently of, the utilitarian aspects of the article),應認為係屬圖畫、圖形或雕塑著作,該特徵便可受著作權法所保護。   進一步分析美國著作權法[8]所定義之實用物品(useful article)係指本質上具備固有的實用功能、並非僅是勾勒物品之外觀或資訊傳達(having an intrinsic utilitarian function that is not merely to portray the appearance of the article or to convey information)。   因此,判斷附於實用物品之藝術特徵是否適用著作權法,應就當實用物品除去藝術特徵後,該藝術特徵是否為著作權法所保護之標的。至於除去藝術特徵之實用物品則維持相似之實用性(remain similarly useful)即可,而非觀察當實用物品除去藝術特徵時是否喪失與原本相同之實用性(equally useful)[9],換言之,有無藝術特徵對實用物品的影響相對次要。   就本案而言,聯邦最高法院判斷啦啦隊服之圖形設計是否受著作權法所保護,並非針對當Varsity公司啦啦隊服移除圖形設計後,而使隊服不具備或削弱了啦啦隊意像而喪失與原本相同之實用性,就此認定該些設計具功能性、而不被著作權法所保護。據此,應將附有設計之Varsity公司啦啦隊服與未有裝飾設計之素白啦啦隊服兩者進行比較,兩啦啦隊服具有相似之實用功能,而針對該些啦啦隊服之設計係屬可分離於啦啦隊服之圖形著作,因此符合著作權法之保護標的。同時,聯邦最高法院根據上訴法院的觀點,敘明前述之判斷並不含括該啦啦隊服之剪裁及規格尺寸,其實質上係為功能設計,即非著作權法所保護之範圍。 參、事件評析   一直以來,實用物品之設計是否具可分離性而受著作權法所保護,美國法院未有一個共通的判決原則因此存在著不確定性,而本案釐清了判斷方法,並提供實用物品之設計是否為著作權法所保護之判斷原則。   如同過去法院或學者對於著作權標的所判斷關鍵,本判決仍著重於可分離性(separability),即設計是否能從實用物品分離,並且該設計可獨立存在或依附在其他物品上。而本判斷原則強調應針對分離後之設計而非物品進行討論,對應到本案即應討論啦啦隊服之設計而非啦啦隊服,即從啦啦隊服分離後之啦啦隊服設計係為圖形著作,屬著作權法之保護標的。   如此,除了讓既有的時尚產業對於服裝設計、布料裝飾等是否受著作權法保護有了較為明確的判斷方法,進而影響了工藝品、文創作品、甚至是逐漸大眾化之3D列印製品[10]等同時具備藝術設計與功能性之物品,其藝術設計特徵是否屬著作權法所保護之標的之辨別。   美國著作權保護標的之圖畫、圖形及雕塑著作,對應於台灣著作權法第5條第4項美術著作(含圖畫與雕塑)與第6項圖形著作,然而台灣著作權法對於實用物品等判斷似未見相關規範,對此美國聯邦最高法院對實用物品設計之可分離性所提出之判斷原則可作為參考。   此外,建議相關企業組織未來若在美國經營服飾、工藝品等銷售,透過美國著作權登記以取得該國著作權法第410條第(c)項[11]所規定享有著作權「初步證據-推定為著作權人」(prima facie)在訴訟上的實益,以及第412條[12]、第504條[13]與第505條[14]所規定之法定損害賠償及律師費用,以強化設計保護及爭訟過程中之主張。   針對服飾上之設計,除了透過著作權保護該些設計之概念表達外,亦可藉由設計專利保護具有設計之服飾,即保護物品之全部或部分之形狀、花紋、色彩或其結合,透過視覺訴求之創作。著作權保護不具功能性之創作表達,而設計專利則針對實體物之外觀設計進行保護;因此當設計本身擁有不具功能性的創作表達、且物品設計外觀符合產業上利用性、新穎性及創作性等設計專利要件,即可同時獲有專利法與著作權法之保護。   當該設計已具有識別性則可透過商標權保護,即藉由圖形、記號、顏色等設計組合產生足以使相關消費者認識其為表彰商品或服務之標識,當然會需要投入相對之行銷資源將該圖形、記號或顏色組合之設計讓大眾知悉且區別商品或服務來源。將設計透過商標保護之另一優點在於,該設計如果具有識別性,便不像設計專利一樣限於依附於特定物品如服飾上,還可將該設計申請註冊商標,指定使用於其他產品甚至服務類別上,更加發揮設計擴大應用。   企業組織可針對所產製之設計,規劃不同階段之智財保護策略,當創作完成時即享有著作權,建議可進行註冊登記將有助訴訟之舉證;當著作物為機械產製,且該些設計符合設計專利之要件時,可同時獲有專利法與著作權法之保護;最後,當行銷資源投入,使該設計逐漸具有識別性,進而可藉由商標註冊完善設計的各面向之智慧財產保護。 [1] JD Supra, LLC, Chevrons, Stripes, Cheerleaders, and Copyright: The Supreme Court Hears Oral Argument in Star Athletica v. Varsity Brands (2016), https://www.jdsupra.com/legalnews/chevrons-stripes-cheerleaders-and-94125/ (last visited Aug 26, 2018). [2] Varsity Brands, Inc. v. Star Athletica, L.L.C., No. 2:10-cv-02508, 2014 WL 819422, at *4 (W.D. Tenn. Mar. 1, 2014). [3] Varsity Brands, Inc. v. Star Athletica, L.L.C., No. 2:10-cv-02508, 2014 WL 819422, at *15 (W.D. Tenn. Mar. 1, 2014). [4] Varsity Brands, Inc. v. Star Athletica, LLC, 799 F.3d 468, 30 (6th Cir. 2015). [5] 17 U.S.C. § 102(a)(5) (2012). [6] Star Athletica, LLC v. Varsity Brands, Inc., 580 U.S. __, 17 (2017). [7] 17 U.S.C. § 101 (2012). [8] 17 U.S.C. § 101 (2012). [9] Star Athletica, LLC v. Varsity Brands, Inc., 580 U.S. at 13. [10] Varsity Brands, Inc. v. Star Athletica, LLC., Brief of Amici Curiae Formlabs Inc., Matter and Form Inc., and Shapeways Inc. in Support of Petitioner, 2016WL537499. [11] 17 U.S. Code § 410 (c) In any judicial proceedings the certificate of a registration made before or within five years after first publication of the work shall constitute prima facie evidence of the validity of the copyright and of the facts stated in the certificate. The evidentiary weight to be accorded the certificate of a registration made thereafter shall be within the discretion of the court. [12] 17 U.S. Code § 412. [13] 17 U.S. Code § 504. [14] 17 U.S. Code § 505.

解析雲端運算有關認驗證機制與資安標準發展

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言   2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。   資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循   雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。   在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3]   歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。   值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。   雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。   在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。   在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。   在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6]   CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。   舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]   日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。   舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證   CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。 二、CSA雲端安全登錄機制   由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。   (一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。   (二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。   資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。   另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度   由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。   此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成   現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。 [10]日本経済産業省,〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉,頁36(2011)年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。 [12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。 [13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

全球最大無人機製造商DJI在美對科技新興公司Yuneec 提起專利侵權訴訟

  SZ DJI Technology Co.和DJI Europe B.V.(下簡稱DJI)來自中國,是世界上最大的無人機製造商,DJI向加州中區聯邦地區法院起訴科技新興公司Yuneec Intemational Co.Ltd.和Yuneec Usa Inc.(下簡稱Yuneec)涉嫌侵害其跟踪移動目標系統,和可拆卸支架360度攝影機鏡頭的兩項專利,且請求法院發布禁制令,以阻止進一步銷售,並請求損害賠償。   這兩項專利,一為美國專利編號9164506“跟踪移動目標系統”,一旦遠端操作員指定了目標,無人機會自動跟蹤並保持相機拍攝目標;另一個專利為美國專利編號9280038,可讓無人機的照相機旋轉360度進行拍攝,並連接到分離的手持式攝像機,DJI強調公司多年來為開發該產品投注相當的時間和資源。   總部位於香港的Yuneec在一月的消費電子展(Consumer Electronics Show)上引起轟動,Yuneec使用GPS感知技術避免危險區域如機場,媒體於消費展後的報導稱Yuneec的無人駕駛飛機已經威脅到DJI市場上的地位。   Yuneec在5月25日向加州中區聯邦地區法院提起反訴認為其無侵權,並表示目標跟踪是一個抽象的概念不能以此申請專利,“跟踪是一個古老的概念” Yuneec的代表律師威爾遜表示,“該506專利並不是要揭露新的跟踪技術,相反的它只是描述並使用眾所周知的無人機的跟踪技術“。而另項專利可拆卸的支架360度攝影機鏡頭,如GoPros已有類似的產品,甚至遠比DJI的產品還早之前。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

美國食品藥物管理局(FDA)為落實食品安全現代法案公布食品安全查檢與風險管理相關規定

TOP