臺灣醫療資訊標準大平臺已移除了爭議CQL專案的連結,工研院承包單位也在4月27日,補正了爭議CQL專案的相關授權使用要求,參考來源來自多個不同開源專案,各自的授權條款也略有不同,這個專案至少涉及了四種。
「要獲得大家的信賴,我們現在認為,開源授權和使用是一件高度專業的事,需要專人把關,所以,我們將設立開源專案辦公室(Open Source Program Office,簡稱OSPO)。」衛福部資訊處處長李建璋開門見山的告訴我們。
政府機構帶頭擁抱開源,來打造產業共用的資訊基礎建設,原本是一件美事,卻因為委外承包團隊的授權爭議,引爆開源社群的怒氣,社會輿論一片撻伐,更讓不少業界人士,擔心未來公私合作的智慧財產權風險。
事件發生後9天,4月28日下午,iThome特別專訪衛福部資訊處處長李建璋,來了解衛福部的未來改善做法。一見面,李建璋也承諾,今年內將設立獨立的開源專案辦公室,來強化開源授權的管理。
衛福部委外專案兩大授權爭議始末
時間回到4月19日下午2點半,這起授權爭議事件的曝光,源自一位長期投身醫療資訊標準FHIR的開源社群工程師,他在自己的臉書上貼文,揭露衛福部資訊處委託工研院執行「次世代數位醫療平臺專案辦公室」計畫,有兩大不當授權爭議,迅速引爆臺灣開源社群的怒氣,數千人轉發。沒幾小時,這起事件就登上媒體版面,也引發社會輿論的批評聲浪。(相關報導詳見:工研院出面道歉!承包衛福部次世代數位醫療平臺計畫,引發2大開源授權爭議)
衛福部於4月19日當天晚間7點半發文,回應已立即要求開發單位進行調查,並限期內完整說明,同時也主動聯繫美國開發單位美國衛健研究局(AHRQ),說明專案授權的使用情況。
工研院則在隔天,4月20日晚間發表道歉聲明,針對授權聲明不清的爭議提出說明,並說明啟動補正,但沒有對另一項逕行禁止特定人使用的爭議提出回應,聲明中也沒有說明後續如何強化團隊開源軟體授權認知和授權控管。工研院的道歉,沒有消弭輿論的質疑,反而引發了更多的批評,幾天後,這起授權爭議事件成了立法院環衛委員會的質詢重點之一。
根據該社群工程師的在臉書上的說明,這次事件主要有2大爭議,第一是授權聲明未標注。這位社群工程師於4月13日時發現,「次世代數位醫療平臺專案辦公室」計畫官方網站「臺灣醫療資訊標準大平臺」中,上架了一份儲存在工研院承包單位GitHub賬號下的健保申報規則原始碼,完全複製了美國衛健研究局(AHRQ)開源專案CQL-Testing-Framework程式碼來改作,卻全部刪除了應有的授權聲明,連README說明檔也一字不漏挪用、未附上授權聲明。這名工程師認為,此舉即是抄襲,並在臉書上發文說明。
幾天後,工研院承包團隊修改了GitHub上這個爭議CQL專案的授權檔,但沒有引用原始作者的授權檔案,而是複製網路範本檔案再貼上,連範例姓名都沒改,此舉同樣不符原作的授權條款。披露的工程師便在爭議CQL專案開一個「issue」討論區,提出相關建議。
4月19日,該工程師發現了第二項授權爭議,工研院承包團隊的另一個專案中,明文禁止這一位社群工程師本人及其公司使用。他在貼文中指出,在工研院承包單位GitHub帳號下的另一項計畫專案TW Core IG中更新授權聲明,提及著作權屬於衛福部、但卻在授權條款中禁止他及其所屬的公司使用該標準,未提供任何法源依據,僅以商業與技術安全考量為由。
4月27日,爭議專案補齊不同來源的授權使用要求
衛福部在4月19日當天稍晚,得知爭議專案封鎖特定人後,很快地要求承包單位,不管是交付內容或衍生內容,都要開放給民眾。這項引起爭議的授權禁用條款在幾個小時後移除。該名工程師在工研院GitHub帳號的發言權限也一度遭封鎖,直到4月20日才解除。
目前,臺灣醫療資訊標準大平臺網站上,已經移除了爭議CQL專案的連結,改為直接提供下載檔案,而工研院承包單位也在4月27日,補正了爭議CQL專案的相關授權使用要求,交代開發專案的參考來源,來自多個不同開源專案,各自的授權條款也略有不同,從新增加的說明檔內容來看,這個開發專案至少就涉及了四種不同的授權,如Apache License 2.0開源授權、 CDS Authoring Tool 使用條款、 Gradle軟體授權授權條款、 NLM UMLS授權條款等。
短期做法:衛福部2周內召開專家委員會處理爭議
「衛福部立場很清楚,第一是尊重著作權,第二是公部門資源產出對全民開放原則。」李建璋強調。
得知事件後的第一時間,李建璋立即要求工研院,用透明方式檢視爭議內容,並作必要的引用補正,同時衛福部也諮詢美國著作權專業律師,聯絡了程式碼原作者美國AHRQ說明這起事件,並陸續報告補正內容,「AHRQ目前沒有要求我們停止,下架,或是額外聲明或引用補正。」李建璋補充。
針對各界的疑慮,李建璋表示:「預計兩周內召開專家委員會來處理這起爭議事件處理,邀請學界、法界、民間代表等不同角色的專家。」由他們判定這起事件過失的嚴重程度,衛福部再依過失程度和合約精神,來決定如何處理。
這個「爭議事件處理委員會」將參考四種證據來判定,第一是工研院自己的內部檢討報告,其次是諮詢國外律師的報告,第三是委外合約內容,再加上當事人約談。透過公平、公開、公正的機制,判定情節輕重和比例原則來處理。
召開委員會來處理爭議事件只是特例,也是短期治標做法之一,更重要的是衛福部如何從這起事件學到經驗,對於開源授權的管理,找出可以長期的治本做法,而非只是短期的治標對策。
長期做法:設立開源專案辦公室把關開源軟體管理
後續開源軟體管理上,李建璋表示:「衛福部未來涉及開源軟體的專案,都要經過開源專案辦公室的把關。在智慧財產權上,採取最高倫理標準,不只有法律合規而已。政府專案衍生的成果,也不會封鎖任何一個民眾。」
開源專案辦公室這個做法不是臺灣獨創,而是近幾年來,國外逐漸開始流行設立的開源授權管理專門單位。
隨著雲原生技術成為IT技術的主流,再加上2021年爆發了開源軟體Log4Shell漏洞風暴,影響了數百萬套消費產品,涵蓋不同類型的軟體、應用系統等,幾乎全球都受到這波軟體供應鏈漏洞的衝擊之後,後續幾年,全球性影響的軟體供應鏈威脅事件越來越多。這些風險,讓企業越來越重視開源軟體的管理,也讓開源專案辦公室這個編制開始受到重視。
根據Linux基金會去年公布的開源專案辦公室全球調查報告,這是由OSPO推廣組織TODO連續第七年的追蹤調查,統計到2024年,不只大型科技公司標榜自己擁有OSPO,像是微軟、SAP、Meta、紅帽、Salesforce等,也有不少大型企業設立, 如第一資本金控、Walmart技術創新部門 Walmart Labs、保時捷汽車、賓士汽車等。在公部門,則像是歐盟、荷蘭稅務與海關、義大利數位部、法國巴黎市政府、美國聯邦醫療保險和補助服務中心等機構,近幾年都陸續跟進設立。
TODO組織在報告中指出,開源專案OSPO帶來的明顯效益,除了改善授權合規,提高內部合作的透明度,對內有助於改善非開發人員對開源的認知,也讓機構或企業更有能力與外部的開源社群合作。高達8成參與調查的機構更直言,可以幫助資安治理的法遵做得更好,所以,近4成設立開源專案辦公室的機構,直接將開源軟體安全,交給這個單位全權負責。
世界衛生組織WHO也在2020年時,找來GitHub公司協助,設立了自己的開源專案辦公室,這是聯合國體系中的第一個。這個辦公室會負責協助WHO組織下各個團隊善用開源軟體或開源開發,工作範圍包括了法務面、政策與採購面、技術面、內部文化推廣,以及對外的社會經濟影響來提供協助。
衛福部資訊處處長李建璋表示:「衛福部未來涉及開源軟體的專案,都要經過開源專案辦公室的把關。」攝影/洪政偉
衛福部設開源專案辦公室,臺灣政府機關第一例
不過,開源專案辦公室設立,在臺灣相當少見,甚至連開源社群老手都很少聽到,在臺灣有企業設立這樣專門的開源管理單位。較常見的作法是,不少臺灣科技業者,透過法務部門或小型任務小組,來管理和推廣開源授權。
衛福部在這起授權爭議事件後,承諾要設立的開源專案辦公室,將是臺灣第一個政府機關的開源專案辦公室,甚至幾乎可說臺灣第一個亮相的開源專案辦公室。
李建璋指出,今年底前將設立「開源專案辦公室」,透過衛福部補助款另成立一個計畫型的獨立專案辦公室,負責開源方面的管理工作,而不是由委外開發單位(工研院)擔任球員兼裁判。
這個開源專案辦公室將負責監督「次世代數位醫療平臺計畫」以及其他資訊處下轄計畫要交付的開源程式碼,確保依照開源軟體國際授權規範正確的標註和使用。除了設立開源專案辦公室,也會要求承包單位工研院要一套自律的標準作業流程,「希望有兩道智慧財產權的防火牆。」李建璋表示。
衛福部開源專案辦公室兩大任務:教育和把關
衛福部期待這個新設立的開源專案辦公室任務,可以先達成兩大目標。「開源專案辦公室的第一個任務是教育,針對開源知識的教育。」李建璋解釋,這次事件讓我們意識到對開源知識的不足,如何做好開源,要有更好的知識。「衛福部的立場是,用正確的開源知識,來教育相關人員。」
開源專案辦公室的第二個任務是把關。衛福部未來釋出的開源開發專案,不論大小,都希望能符合國際規範,透過這個辦公室的專家來把關,也要公平地處理相關的爭議。
為何採取計畫型辦公室的做法,李建璋直言,現在是臺灣醫療資訊發展的關鍵時期,開源管理這件事,快比久更重要,先用短期計畫型補助來設立辦公室,再來處理長期的制度面工作。
李建璋坦言,衛福部的目標是用資訊來改善健康,這個任務從上游程式開發,到下游的民眾健康應用,是一條很長的過程。「因為技術變化很快,衛福部資訊處一方面人力有限,二方面考量衛福部的屬性和使命,所以只聚焦在建立規則和推動標準。」
過去,衛福部以文字來建立各種健康資訊運用的標準,現在則是更進一步,提供可程式化的規則檔,但後續如何運用這些規則檔,則是讓產業自行應用。衛福部自己也有一臺TW Core IG管理平臺的伺服器,提供官方版檔案的下載,這個伺服器由一位專人管理,連資訊處長都沒有權限。
「衛福部資訊處的策略是,在標準部分,採取和國際醫療資訊先進國,尤其以美國ONC(美國國家醫療IT協調辦公室)和歐盟的做法為主,步調一致。」他們若有哪些醫療IT發展策略,像是開源做法,衛福部資訊處就會跟進。
ONC是主導訂定了美國健康資料統一交換標準USCDI的推動單位,衛福部就是參考了這個美國標準USCDI,來制定出臺灣核心資料交換集TW CDI(TW Core for Data Interoperability),作為電子病歷必須標準化的最小資料元素。可以說,臺灣電子病歷這一波現代化發展,借鏡了不少ONC的做法和所推動的標準。
ONC在2024年改組為ASTP/ONC(技術政策助理部長辦公室),負責範圍跨大到醫療的AI、網路安全和資料治理的協調。兩大目標是,促進醫療IT發展運用,以及實現資料共享的期待,新增了數據長、AI長等領導職務。衛福部若持續跟進ASTP/ONC的發展策略,可預期,衛福部也會跟著逐漸跨入到醫療AI和醫院資料治理的發展,來促進臺灣的醫療IT運用和資料共享。
「衛福部想做好自己有把握的事情,釋出其他的資源,善用民間的活力來推動。」李建璋表示。擁抱開源就是他善用民間活力的關鍵策略。
善用開源打造國際醫資標準的應用,臺灣有高度創新潛力
為何衛福部如此積極擁抱開源?李建璋解釋,目前在醫療資訊領域中,「國際醫療資料交換標準FHIR」、「臨床品質語言CQL」以及「醫療應用程式標準SMART on FHIR」已成為國際間公認的三大主流標準。全球各國正積極競爭,試圖將上一世代的電子病歷系統,全面升級為以這三大標準為基礎的新一代健康資訊系統。
這三大標準的開發和測試工具,本質上皆由國際HL7協會或是美國政府委託相關單位開發,並向全球公開,目的在於透過開源技術,促進全球醫療資訊的整合與無縫接軌。
因此,李建璋強調:「若我們希望推動臺灣醫療資訊的國內整合與國際接軌,就必須大量採用這些國際開源工具。在國際醫療資訊標準的制定上,臺灣空間有限,但在這些標準基礎上所能開發的應用,臺灣卻擁有高度的創新潛力。」
衛福部資訊處能夠加速導入並熟悉這些國際開源標準工具,「臺灣廠商就會有更寬廣的國際舞臺,臺灣也不會成為醫療資訊孤島。」這是李建璋想要實現的願景。
工研院坦言內部違規,從嚴調查後懲處,也承諾改進內控機制
衛福部外包專案的授權爭議,成了4月23日早上的立法院衛環委員會的質詢重點之一。隔天24日,這起專案的承包單位工研院,由工研院法務長王鵬瑜帶隊,連同工研院生醫所所長莊曜宇(爭議專案承包單位)、工研院產科國際所副所長張慈映(次世代數位醫療平臺專案辦公室計畫主持人)等人,到葛如鈞立委辦公室說明這起承包專案授權不當的案情。
葛如鈞在個人官網公開了工研院這次拜會內容的錄音逐字稿,以及一份工研院強化軟體開發流程的內控機制通告。從這份資料,可以看到工研院對授權爭議的初步調查結果以及後續做法。
立委葛如鈞在個人官網上公開了一份工研院4月22日發布的「強化軟體開發流程到產品/服務上線的內控機制」內部文件,說明工研院未來將採取三項內控改進措施。圖片來源/葛如鈞官網
先來看這次涉及授權爭議的兩個開源專案,位於工研院生醫所GitHub帳號ITRI-BDL-D下的「CQL-Project-template」專案(後簡稱CQL範本專案)和「MOHWTWCoreIG」 (後簡稱臺灣版IG專案)。
工研院說明,這兩個專案都屬於承包團隊的自有專案,並非交付給衛福部的程式碼專案,也非衛福部官方下載來源。
CQL範本專案是一個用臨床品質語言CQL,來描述臺灣健保申報規則的專案,工研院在113年委外專案合約要求中,需要交付50條臺灣健保申報用的CQL在地化應用的規則,像是檢查類、手術類、放射線診療類健保申報規則CQL程式碼,如「碘-131癌症追蹤檢查-施打Thyrogen」規則定義了這項檢查如何申報健保點數1,9475點。
工研院坦言,承包團隊犯的第一個錯誤是,將這個自有CQL範本專案網址和用來測試規則的工具程式。
引起爭議的專案工程師,未經過同意,將自己的專案網址,放到衛福部新上線的「臺灣醫療資訊標準大中臺」網站上,成了官方推薦的下載檔。這是讓外界誤以為這個專案是衛福部委外專案成果,最關鍵的錯誤。爭議工程師將自己的作業後臺與官方的發布前臺,「這個不當的連接,是我們覺得第一個不應該的地方。」工研院這樣表示。
工研院說明的第二項重點是,所有爭議和授權問題,都發生在工研院自己所屬的工作平臺(也就是工研院自家GitHub帳號下),包括了不當封鎖他人,開源授權沒有標示出處等,「這些行為都違反了工研院的規定。」
另一個引起爭議的專案「臺灣版IG專案」,工研院則表示,開發過程中的程式碼和內容屬於工研院擁有,完成後交付的內容才歸屬於衛福部。引起爭議的專案是屬於工研院作業過程的內容,而非最後會交付的內容。但因,違規工程師將開發過程用的版本,連結到衛福部官方提供下載的伺服器,而在工研院的作業專案說明檔中,也沒有清楚區分兩者,導致外界誤以為這也是衛福部的官方來源。
針對工研院在這次拜會中提到的委外合約交付內容,iThome另外向衛福部取得113年可公開的委外合約部分資訊來了解。
從這些資料可以看到,這個次世代數位醫療平臺計畫是一項4年計畫,從113年執行到116年。這次引起爭議事件的專案內容,來自第一期113年委外計畫標案(標案案號M
在113年委外合約的成果要求中,針對CQL的要求是,完成一個有50筆案例的Rule Library建置,而對TWCDI 部分的要求是建立臺灣核心最小資料交換集TWCDI,包含TWCDI 20大類、109個資料元素。這是將國際標準調整為符合臺灣電子病歷適用的在地化版本。原四年計畫提到的相關平臺、中臺開發成果,則將於後續標案中執行與交付。
根據這些合約資訊,授權爭議GitHub專案,並非屬於承包單位要交付給衛福部的內容,換句話說,這不是衛福部所有的GitHub專案。衛福部目前沒有註冊自已的官方GitHub帳號。
啟動內部調查小組,從嚴審查完整程式碼違規情節
針對爭議工程師的行為,工研院初步訪談當事人後,部分檔案如Readme檔明確違反授權規範,雖然工程師否認爭議程式碼有抄襲行為,但工研院表示,將從嚴審查,已經組成內部調查小組,找來學者和律師,仔細比對整個專案的程式碼,再依照授權違規情節,來決定懲處方式。另外,針對爭議工程師不理性封鎖他人等明確的違規行為,也會進行懲處。
工研院也公開了一份在4月22日發布的「強化軟體開發流程到產品/服務上線的內控機制」內部文件,由工研院資安長余孝先具名,提出多項內控機制,包括了第一項是開源軟體從入門到館列為必修內訓,工研院原本就有訂定強化與開源社群平臺的合作政策,這次事件後,將「開源軟體法遵課程」從選修改為開源軟體技術人員的必修課程,還由資安長帶頭檢討內控機制與開源專案的合規情況。
另外,也要強化軟體設計從開發、測試到上線的全流程管控的教育,像是工研院原本就有一套「軟體開發管控」做法,將列為參與計畫成員的必修,通過才能參與計畫。最後則要正向引導員工行為的管理,像是鼓勵同仁勇於任事知錯能改。
熱門新聞
2025-05-22
2025-05-19
2025-05-19
2025-05-20
2025-05-19
2025-05-20
2025-05-20