初探物聯網的資通安全與法制政策趨勢
資訊工業策進會科技法律研究所
2021年03月25日
壹、事件摘要
在5G網路技術下,物聯網(Internet of Things, IoT)的智慧應用正逐步滲入各場域,如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展,需要擴大供應鏈安全,以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」(Prague Proposal)提出後,美國、歐盟皆有相關法制政策,試圖建立各類資通訊設備、系統與服務之安全要求,以強化物聯網及相關供應鏈之資安防護。是以,本文觀測近年來美國及歐盟主要的物聯網安全法制政策,以供我國借鏡。
貳、重點說明
一、美國物聯網安全法制政策
(一)核心網路與機敏性設備之高度管制
1.潔淨網路計畫
基於資訊安全及民眾隱私之考量,美國政府於2020年4月提出「5G潔淨路徑倡議[3]」(5G Clean Path initiative),並區分成五大構面,包括:潔淨電信(Clean Carrier)、潔淨商店(Clean Store)、潔淨APPs(Clean Apps)、潔淨雲(Clean Cloud)及潔淨電纜(Clean Cable);上述構面涵蓋之業者只可與受信賴的供應鏈合作,其可信賴的標準包括:設備供應商設籍國的政治與治理、設備供應商之商業行為、(高)風險供應商網路安全風險緩和標準,以及提升供應商信賴度之政府作為[4]。
2.政府部門之物聯網安全
美國於2020年12月通過《物聯網網路安全法[5]》(IoT Cybersecurity Improvement Act of 2020),旨在提升聯邦政府購買和使用物聯網設備的安全性要求,進而鼓勵供應商從設計上導入安全防範意識。本法施行後,美國聯邦政府機關僅能採購和使用符合最低安全標準的設備,將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。
另外,美國國防部亦推行「網路安全成熟度模型認證[7]」(Cybersecurity Maturity Model Certification, CMMC),用以確保國防工程之承包商具備適當的資訊安全水平,確保政府敏感文件(未達機密性標準)受到妥適保護。透過強制性認證,以查核民間承包商是否擁有適當的網路安全控制措施,消除供應鏈中的網路漏洞,保護承包商所持有的敏感資訊。
(二)物聯網安全標準與驗證
有鑑於產業界亟需物聯網產品之安全標準供參考,美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)提出「物聯網網路安全計畫」,並提出各項標準指南,如IR 8228:管理物聯網資安及隱私風險、IR 8259(草案):確保物聯網裝置之核心資安基準等。
此外,美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8](Cyber Shield Act of 2019),欲建立美國物聯網設備驗證標章(又稱網路盾標章),作為物聯網產品之自願性驗證標章,表彰該產品符合特定產業之資訊安全與資料保護標準。
二、歐盟物聯網安全法制政策
(一)核心網路安全建議與風險評估
歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」,認為各會員國應評鑑5G網路資通安全之潛在風險,並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及,5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞,並非5G網路所特有,但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深,必須特別關注。同時,對供應商的依賴,可能會擴大攻擊表面,也讓個別供應商風險評估變得特別重要,包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。
是故,各會員國應加強對電信營運商及其供應鏈的安全要求,包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性(多元化分散風險)等。其次,機敏性基礎設施禁止高風險供應商的參與。
(二)資通安全驗證制度
歐盟2019年6月27日生效之《網路安全法[11]》(Cybersecurity Act),責成歐盟網路與資訊安全局(European Union Agency for Cybersecurity, ENISA)協助建立資通訊產品、服務或流程之資通安全驗證制度,確保資通訊產品、服務或流程,符合對應的安全要求事項,包含:具備一定的安全功能,且經評估能減少資通安全事件及網路攻擊風險。原則上,取得資安驗證之產品、服務及流程可通用於歐盟各會員國,將有助於供應商跨境營運,同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性,即供應商可以自行決定是否對將其產品送交驗證。
參、事件評析
我國在「資安即國安」之大架構下,行政院資通安全處於2020年底提出之國家資通安全發展方案(110年至113年)草案[12],除了持續強化國家資安防禦外,對於物聯網應用安全亦多有關注,其間,策略四針對物聯網應用之安全,將輔導企業強化數位轉型之資安防護能量,並強化供應鏈安全管理,包括委外供應鏈風險管理及資通訊晶片產品安全性。
若進一步參考美國與歐盟的作法,我國後續法制政策,或可區分兩大性質主體,採取不同管制密度,一主體為受資安法規管等高度資安需求對象,包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈,其必須遵守既有資安法課予之高規格的安全標準,未來宜完善資通設備使用規範,包括:明確設備禁用之法規(黑名單)、高風險設備緩解與准用機制(白名單)。
另一主體則為非資安法管制對象,亦即一般性產品及服務,目前可採軟性方式督促業者及消費者對於資通設備安全的重視,是以法制政策推行重點包括:發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度,以及鼓勵聯網設備進行資安驗證與宣告。
[1]經濟部工業局,〈物聯網資安三部曲:資安團隊+設備安全+供應鏈安全〉,2020/08/31,https://www.acw.org.tw/News/Detail.aspx?id=1149 (最後瀏覽日:2020/12/06)。
[2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 (North Atlantic Treaty Organization, NATO)的代表,出席由捷克主辦的布拉格5G 安全會議 (Prague 5G Security Conference),商討對5G通訊供應安全問題。本會議結論,即「布拉格提案」,建構出網路安全框架,強調5G資安並非僅是技術議題,而包含技術性與非技術性之風險,國家應確保整體性資安並落實資安風險評估等,而其中最關鍵者,為確保5G基礎建設的供應鏈安全。是以,具體施行應從政策、技術、經濟、安全性、隱私及韌性(Security, Privacy, and Resilience)之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021).
[3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021);The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021).
[4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020).
[5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021).
[6]孫敏超,〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉,2020/12,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 (最後瀏覽日:2021/02/19)。
[7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020).
[8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021).
[9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021).
[10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021).
[11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15.
[12]行政院資通安全處,〈國家資通安全發展方案(110年至113年)草案〉,2020/12,https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf (最後瀏覽日:2021/04/09)。
身為世上最大基因改良( GMO)棉花生產者的 中國大陸 ,已經批准將經過基因改良的混種棉花進行商業化,預料可以解決生活日用品上的短缺。相對於此, 歐盟 的農業部長們,卻對於是否批准編號1507的基因改良玉米,陷入一個進退維谷的困境。但是經過8年激烈的反對, 丹麥 卻允許基因改良玉米的進口。 而在 美國 有 85﹪的大豆,76﹪的棉花,45﹪的小麥是經過基因改良的。至於 澳洲 農業與資源經濟局則最近則對基因改良作物做出一份報告,認為各省禁止基因改良食品會減小經濟效益,使 澳洲 面對世界各地日益增多的基因改良作物發展,屈居弱勢。至終可能會在十年後造成1.5億到6億澳幣的損失。
日本政府決定採用共通編號制的三個方案,也會顧及消費稅的逆進性日本政府於6月29日召開關於賦予國民每一個人一個編號以便掌握每個人所得的「共通編號制度」的檢討會,會中決定將以利用於納稅與社會保障給付為軸心,朝引進制度推動的三種選擇方案。會中也討論到利用於減緩使低收入群負擔愈加沈重的消費稅的「逆進性」上。目前提出相關方案也有緩和參議院改選中有關增稅批評的目的。 從之後的1個月內會開始募集國民的意見後,到年底會將三種方案綜合為一案,以明年的一般國會會期中提出相關法案的方向推動。 有關共通編號制度,當然被指出會有個人資訊外洩與侵害隱私權的憂慮。菅直人首相在檢討會中提到「希望是立於國民本位制度上的來思考,也必須得到國民大眾的瞭解」。在檢討會中承認僅供稅務使用的A案、用於稅務與社會保障的B案及用於大範圍的行政領域上的C案,使用範圍各自不同的三種方案。 也出現希望所賦予的新編號能與目前正在使用中的「住民票號」能夠接軌的想法。利用編號制度正確掌握國民的所得情形,進而在增加消費稅之時,就有可能適切地對低收入群進行減稅與用現金補助。 消費稅是對包含生活必需品等大範圍的物品及服務課稅,所以愈是對將收入用於消費的比例龐大的低收入群會對增稅的負擔愈感沈重。 對減緩此一逆進性的有效制度,就是對有繳納的所得稅給予減稅,沒繳納所得稅的給予現金補助的「附給付的稅額扣減」。充分利用編號制度,將可補足反映所得所能退補的金額。
歐盟發布「歐盟植物品種權制度對歐盟經濟和環境影響」執行摘要,顯示歐盟植物品種權制度的影響歐盟植物品種事務局(Community Plant Variety Office, CPVO)與歐盟智慧財產局(European Union Intellectual Property Office, EUIPO)於2022年4月28日聯合發佈「植物品種權制度對歐盟經濟和環境影響」執行摘要(Impact of the Community Plant Variety Rights System on the EU Economy and the Environment–Executive Summary),以量化方式顯現「歐盟植物品種權」(Community Plant Variety Rights, CPVR)制度的影響: (1)若無CPVR制度,則在2020年時,歐盟耕地作物的收成量會比實際情形減少6.4%、水果減少2.6%、蔬菜減少4.7%、觀賞植物減少15.1%;換言之,因有CPVR制度帶來的額外收成,足以將耕地作物多供給予5,700萬人、水果多供給予3,800萬人,蔬菜多供給予2,800萬人。 (2)以總體經濟學(macro-economic)的角度觀之,若無CPVR制度帶來的額外收成量,歐盟在世界貿易的地位會惡化,而境內的消費者也將面臨更高的農作物價格。受CPVR制度保護的農作物對歐盟GDP之「額外」增長貢獻約為130億歐元,其中耕地作物約佔有71億歐元、水果11億歐元、蔬菜22億歐元、觀賞植物25億歐元。 (3)而因CPVR制度帶來的農作物額外收成,使歐盟農業的僱用情形提升;以耕地作物來說,增加近25,000個工作機會、園藝作物19,500個、觀賞植物45,000個,總計增加近90,000個工作機會。此僅單就上游的農業及園藝產業而言,其與下游產業(例如:食品處理業)合計增加近80萬個就業機會。 (4)不僅工作機會增加,從業者報酬也有所提高;相較於未有CPVR制度前,耕地作物從業者可獲得12.6%更高的報酬、園藝作物從業者可獲得11%更高的報酬。 (5)受有 CPVR保護之公司總計僱用了70,000名以上之員工,而其營業總額超過350億歐元;此等公司多為中小企業(SMEs),其佔有CPVR申請量90%以上,而其目前持有约歐盟整體60%的CPVR。 (6)在有CPVR制度後,歐盟農業及園藝業所排放的溫室氣體(greenhouse gas, GHG)每年減少6,200公噸;此二產業所需用水量減少了超過140億立方公尺。 綜上,由於減少對環境之衝擊、於農業與園藝上減少資源之使用、使從業者收入增加,及使消費者用更低廉價格購得農產品,故CPVR制度對於聯合國永續發展目標(Sustainable Development Goals)有所貢獻。除此之外,本執行摘要亦提及CPVR制度有潛力符合歐盟執委會(European Commission, EC)「歐洲綠色政綱」(The European Green Deal)目標。
美國產學合作利益衝突管理機制美國產學合作利益衝突管理機制 資策會科技法律研究所 法律研究員 朱啟文 104年11月27日 自從1980年美國拜度法案(Bayh-Dole Act[1])通過後,智慧財產權下放至大學與研究機構,大學有權自主把智慧財產授權予廠商甚至成立新創公司[2],從而衍生出拜度法案潛藏副作用之ㄧ:「鼓勵學術機構與私人企業將研發成果商品化,將使學術機構產生利益衝突[3]」。因此「利益衝突」問題逐漸引起各界關注,特別是大學如何兼顧好教學、研究及公共服務[4];以及研究人員、大學教授在技術移轉或研發成果商品化過程中,應該扮演的角色及獲取何種利益,常因為法律或大學政策規定的不周全、認知的不一致,而造成教研人員的困惑[5]。 產學合作的利益衝突,容易發生於顧問服務、技術移轉、贊助研究、臨床試驗、科研採購、師生指導關係、機構關係與特定贈禮等活動中,因此利益衝突管理為產學合作中不可忽視的重要措施。以往「揭露利益衝突」被視為是管理利益衝突之主要方法[6],但此種管理利益衝突措施應該加以改進,且須建立處理學研機構內利益衝突之新思維,為了健全國內產學合作發展,政府有必要率先提出更新、更有效率之利益衝突管理方式,才能達到預防、監督、控管效果。本文擬藉由美國產學合作利益衝突法制規範,及美國大學因應解決產學合作利益衝突方式,提出對於本國法制調整之建議。 壹、美國利益衝突管制類型 美國利益衝突管制規範分成兩大類型[7],一是針對政府所屬的研究機構,像美國國家衛生院NIH;另一是一般研究機構或大學(包含公、私立),當它們申請聯邦政府經費的時候所受規範。如果是對於政府所屬的研究機構,它的利益衝突規範是比後者更為嚴格,因為研究人員直接領取國家薪水和使用國家經費,負有更多「公」的任務。舉例而言:一名美國國家衛生院研究員,亦是研究阿茲海默症的知名科學家,因其研究與藥廠間的利益衝突,於2006年12月被聯邦法院判決有罪,隨後被迫從NIH 離職。三名哈佛大學醫學院教授,2009年3月由檢察官、聯邦衛生福利部進行調查,他們擔任某藥廠顧問,但同時發表研究論文,支持醫界增加使用該藥廠生產之特定藥物,被質疑有利益衝突問題[8]。 貳、美國利益衝突管制規範 美國聯邦法律規定(18 US Code §208-Acts affecting a personal financial interest[9]),凡是向聯邦政府申請研究經費的各個學術機構,無論公立或是私立,其研究人員都必須向所屬機構「申報揭露」自己及家人與產業界的的財務上利益,並接受機構的審查監督,以避免科學研究的誠實正確性被個人利益影響,確保病人或受試者的安全與權益,並且維護社會大眾對於科學研究的信賴[10]。 1995年10月公布的美國國家科學基金會(以下簡稱「NSF」)《研究員財務揭露政策[11]》,與食品藥物管理局(以下簡稱「FDA[12]」)《研究規範中的客觀性[13]》規範中,提出了相當近似的概念,均要求學研機構須訂有「書面記載利益衝突的政策,並對利益衝突的政策應落實執行」;利益衝突政策內容至少要包含(1)限定且具指標性的財務報告,(2)任命特定人檢閱此等報告,(3)管理機制實施,且當發現無法解決的問題時,應向出資機構報告等[14]。 其中NSF的《研究員財務揭露政策》規定:「當能合理地認為有顯著的利益,能直接或顯著的影響此項研究或教育活動的報告、行為、設計時,即認可在此存在利益衝突。『顯著的財產上利益』,指任何有價的物品,不限於薪水或其他服務提供對價(如諮詢費或報酬)、股本利益(如股票、股票選擇權,或其他財產利益),和智慧財產權(如專利、著作權,和其他權利的授權利潤)[15]」。 參、學研機構自主管理機制 美國對於產學利益衝突的管制,主要是透過政府、學術組織、大學等方面加以控管。就大學而言,以麻省理工學院為例,教職員雖可擔任企業顧問,但不可擔任企業的正式職員,對於個人的企業持股,必須受到各系所委員會的監督審查,在校內的研究方向亦須和其所持股公司之職責有所區別[16]。另外,哈佛大學在1993年即制訂利益衝突的行為規範,其中包括授權對象係由技轉辦公室整體評估,當教研人員與授權相關的研究成果發表時,必須公開財務利益關係及其內容[17]。而史丹佛大學關於技術授權,則有完整的標準作業流程(Research Policy Handbook)及利益衝突政策[18],可供校內教研人員依循參考。 許多美國學研機構都列有利益衝突的規範,甚至是管理利益衝突的專屬委員會,當研究人員就其研究結果牽涉個人或家人的商業利益時,原則上就不得參與該研究計畫。這也正是「美國全國醫學院聯盟[19]」(American Association of Medical Colleges,簡稱「AAMC」) 及「美國全國大學協會[20]」(Association of American Universities,簡稱「AAU」) 所建議的利益衝突規範標準;「美國大學技術經理人協會[21]」(The Association of University Technology Managers,簡稱「AUTM」)的技術移轉實務指南,對利益衝突部份也著墨甚多[22]。當學研機構明確管理標準,就能避免掉許多爭議,而能在產學合作與維持科學信任間取得平衡。 肆、結論與建議 一、美國利益衝突規範越趨嚴格 美國自1995年起便將利益衝突規範入法,早期政策比較寬鬆但隨著法令修改後逐漸趨於嚴格。2011年8月美國國家衛生主管機關[23](HHS),亦修正公布有關「公共衛生經費贊助之研究案,申請人有義務促進科學研究之客觀性」(42 C.F.R. Part 94)及「應負責的潛在契約主體」(45 C.F.R. Part 94)此二部分相關規定[24],要求接受國家衛生主管機關贊助款項或與國家衛生主管機關合作機構,必須符合上開二部分監管規定[25]。首先,除申報門檻降低外,凡與研究者在所屬機關內之工作義務或責任有關的所有利益,均須申報,不再限於1995年規定的財務上利益方須申報。其次,新規定也從原僅須向研究計劃主持人所屬機關申報的「內部揭露」,改成須向大眾公開的「外部揭露[26]」,並強制要求所有執行聯邦政府資金補助計劃之研究者,定期接受包括利益衝突相關規範在內的研究倫理訓練[27]。另外自2013年起,美國的醫材與藥品製造者,每年須定期透過電子申報方式,提供所資助學研機構與金額資料,低至10美元以上都得通報;美國聯邦衛生福利部與國民健康有關的政府資助計畫(PHS funding),針對財務利益衝突也詳加規範認定、申報及處理之措施[28]。 二、我國利益衝突政府規範不足 我國針對「科研機構及其人員利益衝突」問題,於民國100年通過修正的《科學技術基本法》第6條第3項規定,凡由政府出資的科技研究其所獲得之智慧財產及成果,關於其歸屬及運用,針對「迴避及其相關資訊之揭露事項」,授權行政院統籌及各主管機關訂定相關子法,即修訂《政府科學技術研究發展成果歸屬及運用辦法》第5條;《科學技術基本法》第17條針對「技術作價投資比例及兼任職務與數額」事項,授權行政院會同考試院訂定相關辦法,即增訂《從事研究人員兼職與技術作價投資事業管理辦法》第4至8條。目前各主管機關已陸續完成相關子法修正,要求學研機構制定內部管理機制及利益衝突規範。 雖然在《科學技術基本法》修訂後,對於產學合作利益衝突問題已有初步規範,但由我國產學合作利益衝突子法可得知,目前政府主管機關並未有ㄧ套完整、具體之產學合作利益衝突監管政策,且各主管機關標準寬鬆不ㄧ,欠缺實質完整監管機制,無法切實維持政府所資助研究計畫之客觀性。其中針對政府補助計畫所涉利益衝突的申報揭露範圍事項和具體數額,及申報揭露後之審核與糾正等,相關子法條款並未如同美國主管機關建立具體管制措施,及「向社會大眾公開揭露」之管制模式,以有效達到預防、監督、控管效果。 三、配套法令機制具體修正建議 為有效達到預防、監督、控管效果,本文建議政府參考美國衛生主管機構HHS所制定之利益衝突監管規定,制定資助機構利益衝突基本原則並提供指引協助、將研究人員含配偶及未成年子女於特定定期間內獲得超過一定金額以上報酬或股權利益、智慧財產權等重大財務利益收益列為揭露事項、要求研究人員應定期接受教育訓練、由學研機構於申請補助時及發現利益衝突時向資助機關提出報告、要求學研機構明訂解決利益衝突方式例如請該研究人員退出計畫、修改計畫、減少或消除持股等,並對未被即時查覺或管理的利益衝突事件於限期內回顧審查並向資助機關報告。透過上述內部/外部監控,蒐集學研機構之利益衝突政策及相關資訊(透明化機制),助益資助機關進行調查評估違反利益衝突情形並酌量是否必須暫停補助款之發放,如此將可進一步建立更完整、具體之產學合作利益衝突監管法令制度。 [1] Bayh-Dole Act,Landmark Law Helped Universities Lead the Way http://www.autm.net/advocacy-topics/government-issues/advocacy-public-policy/legislative-issues/bayh-dole-act/ (最後瀏覽日:2015/11/26)。 [2] 南佐民,<《拜杜法案》與美國高校的科技商業化>,《比較教育研究》,第25卷第8期,頁75-78(2004)。 [3] 王偉霖,<產學合作引發利益衝突及知識近用限制之研究>,第二屆科技發展與法律規範學術研討會,頁1-2(2008)。 [4] 新台灣國策智庫網站,<由陳垣崇事件省思台灣的國家創新系統>,http://www.braintrust.tw/article_detail/251(最後瀏覽日:2015/11/26)。 [5] 2011年6月22日檢調懷疑中研院生醫所所長陳垣崇,將兩種人體專利試劑轉移給與其親屬相關的世基公司,再轉賣回中研院,因此約談陳垣崇夫婦及其助理,以及搜索陳垣崇辦公室。陳垣崇最後以六十萬元交保。這是台灣最高學術桂冠的中研院,第一次遭檢調搜索,若遭起訴,也將是第一位院士遭到起訴。陳垣崇案,引發最大的爭議就是技轉後,科學家能否與這家公司繼續合作以及合作模式為何,此為檢調偵辦的重點。 [6] 王偉霖,<產學合作引發利益衝突及知識近用限制之研究>,第二屆科技發展與法律規範學術研討會,頁2-3(2008)。 [7] 王偉霖,<美國產學合作制度利弊之檢討-台灣科學技術基本法之借鏡>,《世新法學》,第3期,頁1-41(2006)。 [8]陳志剛,<論生物醫學產學合作中利益衝突之規範>,中原大學財經法律系碩士論文,頁23-24(2013) [9] 刑法利益衝突及除外規定:嚴格禁止國家機關行政人員(含官員與受雇主)之決定涉及其知識上、本身、配偶、未成年子女、合夥人、或其服務組織之財務利益;事先向指派其任務的長官諮詢過,完全揭露此利益;服務之需要性遠超過其潛在利益衝突;原則公開揭露,不公開為例外。https://www.law.cornell.edu/uscode/text/18/208(最後瀏覽日:2015/11/26) [10]5 C.F.R. Part 2640: Interpretation, Exemptions, Waiver Guidance Concerning 18 U.S.C. 208 (Acts Affecting a Personal Financial Interest)。http://www.oge.gov/Laws-and-Regulations/OGE-Regulations/5-C-F-R--Part-2640--Interpretation,-Exemptions,-Waiver-Guidance-Concerning-18-U-S-C--208-(Acts-Affecting-a-Personal-Financial-Interest)/(最後瀏覽日:2015/11/26)。 [11] NSF 510 CONFLICT OF INTEREST POLICIES(July 2005),http://www.nsf.gov/pubs/manuals/gpm05_131/gpm5.jsp#510(最後瀏覽日:2015/11/26)。 [12] 對於美國生技產業而言舉足輕重的管制機關食品藥物管理局(FDA),自1999年起也要求申請產品上市的藥廠和醫材公司於提出申請時,必須揭露其當做申請基礎的臨床試驗研究者,和該公司之間的財物給付和財務利益關係,以便FDA進行審查時評估上述關係是否影響研究設計及數據可信度。 [13] FDA CONFLICT OF INTEREST POLICIES,http://www.fda.gov/iceci/compliancemanuals/regulatoryproceduresmanual/ucm176718.htm#SUB3-5-1(最後瀏覽日:2015/11/26)。 [14] 劉江彬,<借鏡美國利益衝突管理>,高教技職簡訊:高教論壇,2012年10月12日,http://tekezgo.com/index.php?do=news&act=detail&id=103(最後瀏覽日:2015/11/20)。 [15] 曾瑞鈴,<院資本主義下的美國生技醫藥產業:兼論台灣現況>,《社會科學論叢》,第3卷第2期,頁119-154(2009)。 [16] 麻省理工學院:MIT Policies and Procedures-4.4 Conflict of Interest,http://web.mit.edu/policies/4/4.4.html(最後瀏覽日:2015/11/26)。 [17] 哈佛大學:Policy on Conflicts of Interest and Commitment,http://hms.harvard.edu/about-hms/integrity-academic-medicine/hms-policy/faculty-policies-integrity-science/interim-policy-statement-conflicts-interest-and-commitment(最後瀏覽日:2015/11/26)。 [18] 史丹福大學:Research Policy Handbook https://doresearch.stanford.edu/policies/research-policy-handbook,Faculty Policy on Conflict of Commitment and Interest (RPH 4.1),https://doresearch.stanford.edu/policies/research-policy-handbook/conflicts-commitment-and-interest/faculty-policy-conflict-commitment-and-interest(最後瀏覽日:2015/11/26)。 [19] American Association of Medical Colleges (AAMC), Task Force on Financial Conflicts of Interest in Clinical Research, 78 ACADEMIC MEDICINE 225 (2003), https://www.aamc.org/download/75302/data/firstreport.pdf (last visited Nov. 26, 2015) [20] Association of American Universities (AAU), Framework Document on Managing Financial Conflicts of Interest, Elements of a Conflict-of-Interest Policy 1-13 (1993), http://www.aau.edu/WorkArea/DownloadAsset.aspx?id=2690 (last visited Nov. 26, 2015) [21] The Association of University Technology Managers (AUTM), Conflicts of Interest Policies, http://www.autm.net/resources-surveys/technology-transfer-practice-manual/ttp-manual-2nd-edition/volume-1-pr-test/1/pertinent-policies/strong-conflict-of-interest-policies-strong/ (last visited Nov. 26, 2015) [22] 李素華,<美國技術移轉相關立法與機制之簡介>,《技術尖兵》,第55期,頁17(1999)。 [23]5 CFR Part 5501 - Supplemental Standards Of Ethical Conduct For Employees Of The Department Of Health And Human Services美國衛生主管機構補充標準。1995放寬取消院外活動的時間數、報酬與持股等限制,一年最高總酬勞可超過5萬美元,但是必須填寫利益衝突揭露表,目的留住高水準科學家。2005年趨嚴禁止所有的科學家從事院外的諮詢、演講等活動,賣掉所持有的生技藥物公司股份,非生技的股票必須低於1.5萬美元。https://www.law.cornell.edu/cfr/text/5/part-5501(最後瀏覽日:2015/11/26) [24] 2011 Public Health Service (PHS) Regulations: Responsibility of Applicants for Promoting Objectivity in Research for which PHS Funding is Sought (42 C.F.R. Part 50, Subpart F); Responsible Prospective Contractors (45 C.F.R. Part 94),http://grants.nih.gov/grants/policy/coi/(最後瀏覽日:2015/11/26) [25] 李毓華,<從美國生醫研究利益衝突新規範檢視我國相關法制>,《醫事法學》第19卷第2期,頁22-24(2012)。 [26] 財務揭露報告義務:填寫實質受影響組織財務利益表格-HHS Form 716 (共14頁;公開),https://ethics.od.nih.gov/forms/hhs-716f.pdf;HHS From 717-1 (共14頁;不公開),https://ethics.od.nih.gov/procedures/HHS-717-1-Employee-Instructions.pdf(最後瀏覽日:2015/11/26);美國國會2010年通過的健康保險改革立法裡,規定生醫廠商必須定期向政府申報其給付醫師及教學醫院的顧問費、研究經費、差旅費、餐費等酬勞和補助,以及其在各該公司的投資及股份,並必須對外公開揭露,一般大眾均可查詢。 [27] 劉靜怡,<透明治理與公共課責>,蘋果日報即時新聞,2014年07月11日,http://www.appledaily.com.tw/realtimenews/article/new/20140711/431221/(最後瀏覽日:2015/11/26)。 [28] 陳志剛,<論生物醫學產學合作中利益衝突之規範>,中原大學財經法律系碩士論文,頁78-84(2013)