短期做法:卫福部2周内召开专家委员会处理争议
「卫福部立场很清楚,第一是尊重著作权,第二是公部门资源产出对全民开放原则。」李建璋强调。
得知事件后的第一时间,李建璋立即要求工研院,用透明方式检视争议内容,并作必要的引用补正,同时卫福部也咨询美国著作权专业律师,联络了程式码原作者美国AHRQ说明这起事件,并陆续报告补正内容,「AHRQ目前没有要求我们停止,下架,或是额外声明或引用补正。」李建璋补充。
针对各界的疑虑,李建璋表示:「预计两周内召开专家委员会来处理这起争议事件处理,邀请学界、法界、民间代表等不同角色的专家。」由他们判定这起事件过失的严重程度,卫福部再依过失程度和合约精神,来决定如何处理。
这个「争议事件处理委员会」将参考四种证据来判定,第一是工研院自己的内部检讨报告,其次是咨询国外律师的报告,第三是委外合约内容,再加上当事人约谈。透过公平、公开、公正的机制,判定情节轻重和比例原则来处理。
召开委员会来处理争议事件只是特例,也是短期治标做法之一,更重要的是卫福部如何从这起事件学到经验,对于开源授权的管理,找出可以长期的治本做法,而非只是短期的治标对策。
长期做法:设立开源专案办公室把关开源软体管理
后续开源软体管理上,李建璋表示:「卫福部未来涉及开源软体的专案,都要经过开源专案办公室的把关。在智慧财产权上,采取最高伦理标准,不只有法律合规而已。政府专案衍生的成果,也不会封锁任何一个民众。」
开源专案办公室这个做法不是台湾独创,而是近几年来,国外逐渐开始流行设立的开源授权管理专门单位。
随著云原生技术成为IT技术的主流,再加上2021年爆发了开源软体Log4Shell漏洞风暴,影响了数百万套消费产品,涵盖不同类型的软体、应用系统等,几乎全球都受到这波软体供应链漏洞的冲击之后,后续几年,全球性影响的软体供应链威胁事件越来越多。这些风险,让企业越来越重视开源软体的管理,也让开源专案办公室这个编制开始受到重视。
根据Linux基金会去年公布的开源专案办公室全球调查报告,这是由OSPO推广组织TODO连续第七年的追踪调查,统计到2024年,不只大型科技公司标榜自己拥有OSPO,像是微软、SAP、Meta、红帽、Salesforce等,也有不少大型企业设立, 如第一资本金控、Walmart技术创新部门 Walmart Labs、保时捷汽车、宾士汽车等。在公部门,则像是欧盟、荷兰税务与海关、义大利数位部、法国巴黎市政府、美国联邦医疗保险和补助服务中心等机构,近几年都陆续跟进设立。
TODO组织在报告中指出,开源专案OSPO带来的明显效益,除了改善授权合规,提高内部合作的透明度,对内有助于改善非开发人员对开源的认知,也让机构或企业更有能力与外部的开源社群合作。高达8成参与调查的机构更直言,可以帮助资安治理的法遵做得更好,所以,近4成设立开源专案办公室的机构,直接将开源软体安全,交给这个单位全权负责。
世界卫生组织WHO也在2020年时,找来GitHub公司协助,设立了自己的开源专案办公室,这是联合国体系中的第一个。这个办公室会负责协助WHO组织下各个团队善用开源软体或开源开发,工作范围包括了法务面、政策与采购面、技术面、内部文化推广,以及对外的社会经济影响来提供协助。
卫福部资讯处处长李建璋表示:「卫福部未来涉及开源软体的专案,都要经过开源专案办公室的把关。」摄影/洪政伟
卫福部设开源专案办公室,台湾政府机关第一例
不过,开源专案办公室设立,在台湾相当少见,甚至连开源社群老手都很少听到,在台湾有企业设立这样专门的开源管理单位。较常见的作法是,不少台湾科技业者,透过法务部门或小型任务小组,来管理和推广开源授权。
卫福部在这起授权争议事件后,承诺要设立的开源专案办公室,将是台湾第一个政府机关的开源专案办公室,甚至几乎可说台湾第一个亮相的开源专案办公室。
李建璋指出,今年底前将设立「开源专案办公室」,透过卫福部补助款另成立一个计划型的独立专案办公室,负责开源方面的管理工作,而不是由委外开发单位(工研院)担任球员兼裁判。
这个开源专案办公室将负责监督「次世代数位医疗平台计划」以及其他资讯处下辖计划要交付的开源程式码,确保依照开源软体国际授权规范正确的标注和使用。除了设立开源专案办公室,也会要求承包单位工研院要一套自律的标准作业流程,「希望有两道智慧财产权的防火墙。」李建璋表示。
卫福部开源专案办公室两大任务:教育和把关
卫福部期待这个新设立的开源专案办公室任务,可以先达成两大目标。「开源专案办公室的第一个任务是教育,针对开源知识的教育。」李建璋解释,这次事件让我们意识到对开源知识的不足,如何做好开源,要有更好的知识。「卫福部的立场是,用正确的开源知识,来教育相关人员。」
开源专案办公室的第二个任务是把关。卫福部未来释出的开源开发专案,不论大小,都希望能符合国际规范,透过这个办公室的专家来把关,也要公平地处理相关的争议。
为何采取计划型办公室的做法,李建璋直言,现在是台湾医疗资讯发展的关键时期,开源管理这件事,快比久更重要,先用短期计划型补助来设立办公室,再来处理长期的制度面工作。
李建璋坦言,卫福部的目标是用资讯来改善健康,这个任务从上游程式开发,到下游的民众健康应用,是一条很长的过程。「因为技术变化很快,卫福部资讯处一方面人力有限,二方面考量卫福部的属性和使命,所以只聚焦在建立规则和推动标准。」
过去,卫福部以文字来建立各种健康资讯运用的标准,现在则是更进一步,提供可程式化的规则档,但后续如何运用这些规则档,则是让产业自行应用。卫福部自己也有一台TW Core IG管理平台的伺服器,提供官方版档案的下载,这个伺服器由一位专人管理,连资讯处长都没有权限。
「卫福部资讯处的策略是,在标准部分,采取和国际医疗资讯先进国,尤其以美国ONC(美国国家医疗IT协调办公室)和欧盟的做法为主,步调一致。」他们若有哪些医疗IT发展策略,像是开源做法,卫福部资讯处就会跟进。
ONC是主导订定了美国健康资料统一交换标准USCDI的推动单位,卫福部就是参考了这个美国标准USCDI,来制定出台湾核心资料交换集TW CDI(TW Core for Data Interoperability),作为电子病历必须标准化的最小资料元素。可以说,台湾电子病历这一波现代化发展,借镜了不少ONC的做法和所推动的标准。
ONC在2024年改组为ASTP/ONC(技术政策助理部长办公室),负责范围跨大到医疗的AI、网路安全和资料治理的协调。两大目标是,促进医疗IT发展运用,以及实现资料共享的期待,新增了数据长、AI长等领导职务。卫福部若持续跟进ASTP/ONC的发展策略,可预期,卫福部也会跟著逐渐跨入到医疗AI和医院资料治理的发展,来促进台湾的医疗IT运用和资料共享。
「卫福部想做好自己有把握的事情,释出其他的资源,善用民间的活力来推动。」李建璋表示。拥抱开源就是他善用民间活力的关键策略。
善用开源打造国际医资标准的应用,台湾有高度创新潜力
为何卫福部如此积极拥抱开源?李建璋解释,目前在医疗资讯领域中,「国际医疗资料交换标准FHIR」、「临床品质语言CQL」以及「医疗应用程式标准SMART on FHIR」已成为国际间公认的三大主流标准。全球各国正积极竞争,试图将上一世代的电子病历系统,全面升级为以这三大标准为基础的新一代健康资讯系统。
这三大标准的开发和测试工具,本质上皆由国际HL7协会或是美国政府委托相关单位开发,并向全球公开,目的在于透过开源技术,促进全球医疗资讯的整合与无缝接轨。
因此,李建璋强调:「若我们希望推动台湾医疗资讯的国内整合与国际接轨,就必须大量采用这些国际开源工具。在国际医疗资讯标准的制定上,台湾空间有限,但在这些标准基础上所能开发的应用,台湾却拥有高度的创新潜力。」
卫福部资讯处能够加速导入并熟悉这些国际开源标准工具,「台湾厂商就会有更宽广的国际舞台,台湾也不会成为医疗资讯孤岛。」这是李建璋想要实现的愿景。
工研院坦言内部违规,从严调查后惩处,也承诺改进内控机制
卫福部外包专案的授权争议,成了4月23日早上的立法院卫环委员会的质询重点之一。隔天24日,这起专案的承包单位工研院,由工研院法务长王鹏瑜带队,连同工研院生医所所长庄曜宇(争议专案承包单位)、工研院产科国际所副所长张慈映(次世代数位医疗平台专案办公室计划主持人)等人,到葛如钧立委办公室说明这起承包专案授权不当的案情。
葛如钧在个人官网
立委葛如钧在个人官网上公开了一份工研院4月22日发布的「强化软体开发流程到产品/服务上线的内控机制」内部文件,说明工研院未来将采取三项内控改进措施。图片来源/葛如钧官网
先来看这次涉及授权争议的两个开源专案,位于工研院生医所GitHub帐号ITRI-BDL-D下的「CQL-Project-template」专案(后简称CQL范本专案)和「MOHWTWCoreIG」 (后简称台湾版IG专案)。
工研院说明,这两个专案都属于承包团队的自有专案,并非交付给卫福部的程式码专案,也非卫福部官方下载来源。
CQL范本专案是一个用临床品质语言CQL,来描述台湾健保申报规则的专案,工研院在113年委外专案合约要求中,需要交付50条台湾健保申报用的CQL在地化应用的规则,像是检查类、手术类、放射线诊疗类健保申报规则CQL程式码,如「碘-131癌症追踪检查-施打Thyrogen」规则定义了这项检查如何申报健保点数1,9475点。
工研院坦言,承包团队犯的第一个错误是,将这个自有CQL范本专案网址和用来测试规则的工具程式。
引起争议的专案工程师,未经过同意,将自己的专案网址,放到卫福部新上线的「台湾医疗资讯标准大中台」网站上,成了官方推荐的下载档。这是让外界误以为这个专案是卫福部委外专案成果,最关键的错误。争议工程师将自己的作业后台与官方的发布前台,「这个不当的连接,是我们觉得第一个不应该的地方。」工研院这样表示。
工研院说明的第二项重点是,所有争议和授权问题,都发生在工研院自己所属的工作平台(也就是工研院自家GitHub帐号下),包括了不当封锁他人,开源授权没有标示出处等,「这些行为都违反了工研院的规定。」
另一个引起争议的专案「台湾版IG专案」,工研院则表示,开发过程中的程式码和内容属于工研院拥有,完成后交付的内容才归属于卫福部。引起争议的专案是属于工研院作业过程的内容,而非最后会交付的内容。但因,违规工程师将开发过程用的版本,连结到卫福部官方提供下载的伺服器,而在工研院的作业专案说明档中,也没有清楚区分两者,导致外界误以为这也是卫福部的官方来源。
针对工研院在这次拜会中提到的委外合约交付内容,iThome另外向卫福部取得113年可公开的委外合约部分资讯来了解。
从这些资料可以看到,这个次世代数位医疗平台计划是一项4年计划,从113年执行到116年。这次引起争议事件的专案内容,来自第一期113年委外计划标案(标案案号M1309169)。113年标案执行时间是从113年2月27日开始,经过一次合约延期变更(标案案号M1309169-1),延长到114年4月26日,因为计划推动过程,卫福部政策方向的调整,移除了第一期计划标案的部分工作项目,后来再根据新政策方向,追加了新的工作项目,标案金额也因此而有异动,先减少移除项目的金额,再依据新的工作项目来追加费用,并延长了113年委外计划标案的履约时间。
在113年委外合约的成果要求中,针对CQL的要求是,完成一个有50笔案例的Rule Library建置,而对TWCDI 部分的要求是建立台湾核心最小资料交换集TWCDI,包含TWCDI 20大类、109个资料元素。这是将国际标准调整为符合台湾电子病历适用的在地化版本。原四年计划提到的相关平台、中台开发成果,则将于后续标案中执行与交付。
根据这些合约资讯,授权争议GitHub专案,并非属于承包单位要交付给卫福部的内容,换句话说,这不是卫福部所有的GitHub专案。卫福部目前没有注册自已的官方GitHub帐号。
启动内部调查小组,从严审查完整程式码违规情节
针对争议工程师的行为,工研院初步访谈当事人后,部分档案如Readme档明确违反授权规范,虽然工程师否认争议程式码有抄袭行为,但工研院表示,将从严审查,已经组成内部调查小组,找来学者和律师,仔细比对整个专案的程式码,再依照授权违规情节,来决定惩处方式。另外,针对争议工程师不理性封锁他人等明确的违规行为,也会进行惩处。
工研院也公开了一份在4月22日发布的「强化软体开发流程到产品/服务上线的内控机制」内部文件,由工研院资安长余孝先具名,提出多项内控机制,包括了第一项是开源软体从入门到馆列为必修内训,工研院原本就有订定强化与开源社群平台的合作政策,这次事件后,将「开源软体法遵课程」从选修改为开源软体技术人员的必修课程,还由资安长带头检讨内控机制与开源专案的合规情况。
另外,也要强化软体设计从开发、测试到上线的全流程管控的教育,像是工研院原本就有一套「软体开发管控」做法,将列为参与计划成员的必修,通过才能参与计划。最后则要正向引导员工行为的管理,像是鼓励同仁勇于任事知错能改。
更多相关报导