WTO歐盟生技產品案解析（上）

論複數決標之廠商競爭關係 資訊工業策進會科技法律研究所 108年5月3日 壹、事件摘要 　　甲機關為共同供應契約採購的訂約機關，負責辦理某財物共同供應契約採購招標事宜。考量廠商供貨能力不同，甲機關將供貨區域區分「全國各公部門」及「特定縣市公部門」，由廠商依其供貨能力擇一型式投標，並在同一採購案之招標程序分為兩個期程辦理。該採購案投標須知重點說明如下： 一、第一期程： 　　本期程先由供貨予「全國各公部門」的廠商投標，廠商如選擇投標本期程，則不得參與第二期程。由於本採購案採最低標及複數決標，由最低價廠商得標，其餘廠商可選擇是否跟進該最低標併列得標，惟本期程可跟進之廠商有家數限制，依廠商報價由低到高排列，取前80%。 二、第二期程： 　　本期程待第一期程決標後，再由有意願供貨予「特定縣市公部門」的廠商參與，廠商至多可選擇五個縣市供貨。第一期程之決標品項及該品項的決標金額，為本期程的採購品項及決標金額，故參與本期程之廠商無庸提出報價，選擇欲跟進併列得標之品項即可。廠商如選擇參與本期程，則不得參與第一期程。本期程可跟進之廠商無家數限制。 　　A廠商及B廠商分別參與本採購案第一期程、第二期程之投標，甲機關審查彼等遞交之投標文件時，發現其上所載聯絡人、傳真、電話號碼相同，投標區域與品項亦有重複，似為同一廠商備標，遂請兩家廠商說明。A廠商及B廠商均表示，兩家廠商為多年合作夥伴，B廠商因廠址遷移致人手不足，而委請A廠商作為聯繫窗口，故記載相同的聯絡資訊。甲機關認為A、B廠商之說明，無法澄清為同一廠商備標疑慮，爰依政府採購法(以下簡稱採購法)第31條第2項第8款、第50條第1項第5款及本案投標須知規定，不決標予A、B廠商，且不予發還押標金。 　　A、B廠商不服，提起異議及申訴。是本案應探究者為，於同一採購案參與不同期程投標的相異廠商，彼等投標文件所載之聯絡人、傳真、電話號碼相同，甲機關是否可認定屬採購法第50條第1項第5款所訂「不同投標廠商間之投標文件內容有重大異常關聯者」？又，因本案係同一採購案區分兩期程投標，且投標須知規定(1)廠商僅得選擇一個期程投標；(2)第二期程的決標金額係依第一期程決標之結果；(3)未限制第二期程可跟進之廠商家數，則本案廠商無法釐清非屬同一廠商備標時，甲機關之處理是否會有不同？ 貳、重點說明 　　行政院公共工程委員會(以下簡稱工程會)民國91年11月27日工程企字第09100516820號令[1]曾就前述採購法第50條第1項第5款所稱「重大異常關聯」，說明「機關辦理採購有下列情形之一者，得依政府採購法第五十條第一項第五款『不同投標廠商間之投標文件內容有重大異常關聯者』處理：……四、廠商地址、電話號碼、傳真機號碼、聯絡人或電子郵件網址相同者。五、其他顯係同一人或同一廠商所為之情形者。」故不同投標廠商間之投標文件倘有聯絡資訊相同，顯係同一人或同一廠商所為之情形，即構成投標文件內容有重大異常關聯，屬影響採購公正之違反法令行為。 　　本案A、B廠商之投標文件有聯絡人、傳真、電話號碼記載相同情形，且該等廠商未能合理說明其緣由，似已符合「重大異常關聯」要件。然採購申訴審議委員會指出本案無採購法第50條第1項第5款規定之適用，其理由為： 一、投標廠商間未有競爭情形存在時，無適用採購法第50條第1項第5款之餘。 　　採購法第50條第1項第5款規定「投標廠商有下列情形之一，經機關於開標前發現者，其所投之標應不予開標；於開標後發現者，應不決標予該廠商：……五、不同投標廠商間之投標文件內容有重大異常關聯者。」該條款係91年2月6日增訂，依立法院交通委員會審查會通過送院會二讀之條文對照表說明欄記載「第1項增訂第5款，以防止假性競爭行為，例如不同廠商間之投標文件內容筆跡相同、押標金由同一人繳納、掛號信連號、地址相同、電話號碼相同之情形……」，復參工程會96年6月25日96工程企傳字第F961354號函(以下簡稱工程會96年函)揭示「關於政府採購法50條第1項第5款規定，係為防止假性競爭之情形。依來函所述個案採分項決標，且地址、傳真、電話相同之二家廠商各投不同項目，尚非彼此互相競爭，自無上開條款之適用」[2]，是採購申訴審議委員會認為，採購法第50條第1項第5款立法目的係為防止假性競爭之行為，倘投標廠商間無須有競爭情形存在時，即無條款之適用。 二、本案第一期程與第二期程之廠商間，以及第二期程之廠商間無須競爭，故無採購法第50條第1項第5款適用。 　　採購申訴審議委員會指出，本採購案採二期程招標方式辦理，投標須知規定：「第二期程之招標於第一期程採購決標後再公告」、「曾參加第一期程投標之廠商，不論是否合格或得標或併列得標，均不得參加第二期程之投標」、「第一期程決標品項即為第二期程之採購項目。第一期程採購各項之決標金額即為第二期程採購之決標金額，廠商僅得就招標機關……公告第一期程決標金額及對應之品項中選擇適合者投標(跟進)，不得報列公告之決標金額以外之價格及非屬第一期程所公告之決標品項」、「第一期程決標項目之決標價格及合格品項，俟決標後本局將另行於第二期程之招標文件公告」、「本案競標機制，……以投標廠商最低價者得標並採複數決標，得跟進最低價併列得標之廠商家數依第一期程全區廠商依報價由低至高排列取前80%為上限，第二期程單區廠商不設上限」。 　　是以，A廠商係參加本案第一期程投標之廠商，不論其是否合格或得標或併列最低標得標，均不得參加第二期程之投標，而參與第二期程之B廠商，係按甲機關公告之第一期程決標品項及金額跟進，且第二期程得標廠商之家數並無限制，故參與第二期程與參與第一期程之廠商彼此間，以及參與第二期程之廠商彼此間，均無須競爭，爰本案無採購法第50條第1項第5款之適用。 參、事件評析 　　就本案申訴審議委員會提出之理由及所為之結論，筆者以為有下述二點得再為細部討論： 一、本案第二期程雖可跟進最低標併列得標廠商之家數未設上限，惟廠商於履約階段與相同供貨區域之其他得標廠商仍具有競爭關係，自有適用採購法第50條第1項第5款規定必要。 　　查，採購申訴審議委員會以採購法第50條第1項第5款立法理由，以及工程會96年函內容，認為廠商間有競爭情形始得適用該條款，此見解固屬正確，然採購申訴審議委員會認為B廠商不適用採購法第50條第1項第5款規定，係因第二期程之廠商彼此間無須競爭，實有討論空間。蓋本案爭議應為參與不同期程之廠商間，如彼等投標文件有聯絡資訊記載相同情形，甲機關得否以採購法第50條為處理。故採購申訴審議委員會就本案B廠商不適用上開法條所提理由，似未解決本案爭執之點。 　　次查，採購申訴審議委員會以採購法第50條第1項第5款立法理由，以及工程會96年函文，似認為僅在投標階段始禁止廠商彼此間假性競爭，而本案投標須知既然未限制第二期程之得標廠商家數，第二期程之廠商彼此間自無競爭問題。惟本案第二期程之廠商間，是否確無競爭關係，以及是否僅需於投標階段討論競爭關係，筆者均認有待商榷。 　　觀諸採購申訴審議委員會援引之採購法第50條第1項第5款立法理由及工程會96年函文，並未排除履約階段之適用。甚且，由政府採購法第1條規定「為建立政府採購制度，依公平、公開之採購程序，提升採購效率與功能，確保採購品質，爰制定本法」，以及採購法施行細則第33條第1項前段規定「同一投標廠商就同一採購之投標，以一標為限」可知，政府採購各程序均應維持公平、公正之秩序，故無論於投標、開標、決標乃至履約階段，自應防止廠商間有假性競爭可能，廠商不得利用人頭在同一採購案分別投標，以維護各個投標廠商及得標廠商間之平等，始為恰當。 　　經查，因本案第二期程可跟進最低標併列得標廠商之家數未設上限，當同一採購項目之得標廠商愈多，各廠商於該項目獲得訂單之機會將被稀釋。則某一廠商為了使其有更多適用機關之訂單，而利用多數人頭參與第二期程投標，且均跟進成為得標廠商，自難謂未牴觸政府採購要求之公平及公正。而此競爭關係存在於履約階段，如將之排除於採購法第50條第1項第5款之適用範圍，即可能成為法規漏洞而導致廠商有投機行為，自非採購法所允許。 　　準此，尚不得以本案可跟進最低標併列得標廠商之家數未設上限，即可逕認第二期程投標廠商間無須競爭，蓋本案第二期程廠商之競爭關係存在於履約階段，為確保採購程序公平、公正秩序，本案第二期程仍應適用採購法第50條第1項第5款規定。 二、參與本案第一期程及第二期程投標廠商間有競爭關係，適用採購法第50條第1項第5款規定。 　　本案雖區分二種投標型式，然均屬同一採購案；無論是第一期程之「全國各公部門」或第二期程之「特定縣市公部門」，皆允許有二家以上之得標廠商；參與第一期程「全國各公部門」之得標廠商可供貨至全國各縣市，自會與第二期程「特定縣市公部門」之供貨區域重疊，是若第一期程之廠商與第二期程之廠商於本案之投標品項重複時，於彼此相同供貨區域即屬相互競爭關係。 　　再者，本案針對第一期程「全國各公部門」設有跟進廠商家數上限，復規定參與第一期程投標之廠商不得參與第二期程，是參與第一期程之廠商如為避免無法跟進，或為增加取得適用機關訂單之機會，自有可能與第二期程廠商透過共謀投標文件而營造假性競爭之可能，確保其能進入本採購案。 　　準此，本案第一期程之A廠商與第二期程之B廠商因供貨區域及投標品項有重複情形，故A、B廠商於履約階段具有競爭關係，倘彼等無正當理由釐清投標文件何以所載聯絡人、傳真、電話號碼相同，投標區域均相同，甲機關自得依採購法第50條第1項第5款規定處理。末查，前述採購法施行細則第33條第1項前段規定同一投標廠商就同一採購以投一標為限，依此法理，自須禁止參與第一期程廠商以人頭方式再參與第二期程投標，以迂迴手法規避上揭規定而於同一採購案投標二次，併此敘明。 [1] 〈行政院公共工程委員會令 工程企字第○九一○○五一六八二○號〉，政府採購法規解釋函令及相關函文，http://plan3.pcc.gov.tw/gplet/mixac.asp?num=1673（最後瀏覽日：2019/04/11）。 [2] 〈行政院公共工程委員會令 96工程企傳字第F961354號〉，政府採購法規解釋函令及相關函文，http://plan3.pcc.gov.tw/gplet/mixac.asp?num=2516（最後瀏覽日：2019/04/11）。

　　日本內閣府知的財產戰略本部在2019年6月21日公布本年度知的財產推進計畫（下稱本計畫），以「脫平均」、「融合」、「共感」做為本計畫三大主軸： 脫平均：依不同個體特性培養頂尖人材，促進新領域之挑戰及創造。以經產省、文科省、總務省、法務省為主責部會，實施包括培養具出色創造能力之人材、提供新創之後備資源、強化盜版因應對策、EdTech（教育科技）之活用、蒐集「STEAM教育」事例等策略。 融合：透過融合不同特性之分散個體，達成加速創新之作用。以經產省、文科省、法務省、厚生省、農林水產省、公正取引委員會為主責部會，實施包括創建智財資產平台、建構有助於AI及資料創作的相關規範等策略。另外修正資料信託認定方案的相關指針、提出資料銀行相關典範案例亦為重點。 共感：以經產省、總務省、外務省、文科省為主責部會，創造價值實現之友善環境，實施包括強化Cool Japan政策、籌劃音樂著作權利資訊資料庫、規劃能對應跨境傳輸之外語Metadata，協助將日本音樂推向海外市場等策略。 　　綜上，不難發現日本已將「創造」做為本計畫發展之核心概念。從人材培育、創造資料價值及打造軟實力產值等，都顯示智慧財產除保護之外，更應提升並擴散其價值。回顧我國智財戰略綱領在2017年結束之後，並沒有相關計畫延續。然而智慧財產是一國軟實力之展現。透過潛移默化的浸潤，能達到比任何硬實力還大之功效。我國應該思考如何重啟智財戰略，拓展我國軟性底蘊。

　　美國總統歐巴馬於2009年2月26日提出的預算計畫書中(A New Era of RESPONSIBILITY: The 2010 Budge)，提議增加無線頻譜收費(wireless spectrum fee)以幫助打銷1.7兆美元的財政赤字，該項提議預計在未來十年內，將為國庫帶來480億美元的財政收入，惟此提議卻遭質疑內容不夠清楚，且可能有礙原先政府提倡更有效率地使用頻譜之目的。 　　目前相關收費的細節不明。由於先前業者經由拍賣，以高昂價格取得頻譜執照主要係為提供語音及數據服務使用，因此外界推測此費用增加計劃可能針對電視與廣播頻譜收取頻率執照費。不過本案在送交眾議院審議前仍有改變之可能。 　　歐巴馬執政團隊於提出該項計畫後，Sprint Nextel與Verizon Wireless即刻提出問題，希望進一步了解其內容與相關規範，但白宮尚未針對該等問題做出回覆。收費標準設定勢必對現有現有廣電及電信業者，甚至頻譜交易市場造成影響，甚至影響頻譜使用的效益。 　　4月預算管理局(OMB)將提出的預算案中，會揭露更多有關該項收費增加的計劃說明。

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 　　資訊科技的發展，從早期「超級電腦/大型電腦」、近期「個人電腦」，到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用，未來電腦運算設施就像是水、電；資料儲存與應用就像是銀行，只要連上網路就可以使用，不必各自投資發展。因此，「雲端運算」未來將成為每個國家的重要基礎建設。 　　將雲端運算列為重要的產業發展重心，已是各國的趨勢，而運用雲端運算所帶來的效益，如節省經費、提升效率等，亦為普遍地承認，再加上公部門相較於民間，其擁有較多的經費及資源來進行雲端運算的導入，而藉由公部門導入雲端運算，可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此，各國均皆致力於促進公部門導入雲端運算。 　　然而，在雲端運算帶來龐大經濟效益的同時，伴隨而來的，是新的資訊管理議題，雲端安全防護聯盟（Cloud Security Alliance, CSA）提出了雲端運算可能遭遇的九大安全威脅 ： 一、資料外洩（Data Breaches） 二、資料遺失（Data Loss） 三、帳號被駭（Account Hijacking） 四、不安全的APIs程式（Insecure APIs） 五、拒絕服務（Denial of Service） 六、惡意的內部人員（Malicious Insiders） 七、濫用雲端服務（Abuse of Cloud Services） 八、審慎評鑑不足（Insufficient Due Diligence） 九、共享環境議題（Shared Technology Issues） 　　面對前述的安全威脅，政府部門在考量導入雲端服務時，首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度，以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 　　美國政府在2010年12月發表了25項聯邦IT轉型重點政策，其中一項核心的政策便是「雲優先政策」（cloud first policy）。根據「雲優先政策」，聯邦機構必須在三個月內找出三項轉移到雲端的政府服務，並且要在一年內導入其中一項。 　　然而，此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰，傳統由各機關分頭洽談所導入資訊系統與應用規格之方法，並實施個別的資訊安全需求與政策的作法，對服務商而言，其所提供的相同服務，在各機關導入時，卻必須將受各個機關的審查，造成各機關投入過多的資源在審查程序上，導致政府資源的浪費，不但耗費時間、審查重複，且無法達到建構妥善操作程序的效果。 　　2012年6月6日，聯邦政府總務管理局（General Service Administration, GSA）宣布「聯邦風險與授權管理計畫」（Federal Risk and Authorization Management Program,以下稱FedRAMP）開始正式運作，GSA並表示，「FedRAMP」的正式運作，將解決美國政府在雲端產品及服務需求上，因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費，並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用，預期效益相當可觀。 　　「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範，建立一套可遵循之依據。未來所有雲端產品的服務提供者，都必須遵守及達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 貳、重點說明 　　「聯邦風險與授權管理計畫」主要由預算與管理辦公室（Office of Management and Budget, OMB）負責組織預算與管理；聯邦資訊長（the Federal Chief Information Officer，CIO）負責跨部門的整合；國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析；總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序，並成立計畫管理辦公室（ Program Management Office， PMO）負責FedRAMP之操作與管理；以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準；最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局，組成共同授權委員會（Joint Authorization Board, JAB），負責對服務提供者的授權與定期檢視。 　　FedRAMP制度的精神在於「作一次並重複使用」（Do once ,Use Many Times），同一內容的雲端服務，透過FedRAMP，僅須經過一次的評估與授權，即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性，造成資源浪費的問題，將可獲得解決。當其他機關欲採用雲端服務時，可透過FedRAMP，免去再一次的評估與驗證。 　　FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成，簡單介紹如下： 一、第三方評估機構的認證 　　FedRAMP的特殊之處，在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構（3PAO）來進行審查，而第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下： （一）申請檢視 　　機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力，並且自行檢視FedRAMP網站上的申請表，自行檢視是否合乎要求，然後決定是否提出申請。 （二）完成要求 　　機構須分別完成申請表所要求的系統安全計畫（system security plan, SSP）、系統評估計畫（system assessment plan, SAP）、安全評估報告（security assessment report, SAR）。於完成後向計畫管理辦公室提出申請。 （三）審查 　　在接受申請後，總務管理局會與ISO網路安全專家共同組成「專家審查委員會」（Expert Review Board , ERB），審查該申請。 （四）決議 　　審查完畢後，FedRAMP計畫管理辦公室（PMO）會檢視ERB的意見，決議是否通過該申請。 　　於通過申請後，該機構將會被列入FedRAMP官方網站（www.FedRAMP.gov）的第三方評估機構名單，目前為止，陸續已有十五個機構通過共同授權委員會的授權，日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 　　在「聯邦風險與授權管理計畫」的機制設計中，政府機關或雲端服務提供者任一方，皆可提出申請（Request）啟動雲端服務的安全性評估（Security Assessment）程序，此程序中共有四個主要階段： （一）提出申請 　　在申請人將所須文件初步填寫完畢之後，計畫管理辦公室（PMO）即會指派資訊系統安全官（Information Systems Security Officer, ISSO）進行指導，使之得進行安全控制、出具必要文件、並實施安全測試。之後，PMO會與雲端服務提供者簽署協議，並要求相關機關實施對雲端服務系統的安全性測試。 （二）檔案安全控管 　　雲端服務提供者必須作成系統安全計畫（System Security Plan, SSP），表明安全控制之實施方法，及其相關文件如IT系統永續計畫（IT Contingency Plan）、隱私衝擊調查（Privacy Impact Questionnaire），並送交ISSO進行審查，再由雲端服務提供者就對審查意見予以回覆之後，由ISSO將案件送至共同授權委員會（Joint Authorization Board, JAB）進行審查，以確認所提交的SSP安全措施符合雲端系統所需。 （三）進行安全測試 　　服務提供者與第三方評估機構（Third Party Assessment Organization, 3PAO）簽約，且由PMO約集雲端服務提供者與3PAO，確認雙方對於安全測試實施的期待與時程，再由3PAO獨立進行該雲端系統測試，並完成安全評估報告（Security Assessment Report, SAR），闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果，作成行動與查核點報告（Plan of Action & Milestones (POA&M)），以提出矯正弱點與殘餘風險（residual risks）的措施、資源與時程規劃。 　　雲端服務提供者再將前述SAR與POA&M提交予PMO，由JAB決定是否接受該弱點及其修正計畫，或者提出修正建議。倘若JAB可接受該弱點及其他因應措施，則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 （四）完成安全評估 　　雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案，並提出證明將確實執行其安全控制措施。由JAB檢視此方案，並作出最終決定是否授予「附條件之授權」（Provisional Authorization）。得到此授權的雲端服務提供者名單，將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權，PMO會指導如何進行重新申請。 三、持續的評估與授權 　　持續的評估與授權（ongoing Assessment and Authorization, A&A）通常也被稱為持續監控（Continuous Monitoring），在FedRAMP中第三個也是最後一個流程，透過持續的評估與授權機制，來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面： （一）操作的能見度 　　操作能見度的目標，是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度，而不必政府機構另行要求。 （二）變更控制程序 　　雲端服務提供者更新她們的系統是常有的事，此處的變更控制程序並非針對例行性的維修或變更，而是要求若有發生影響臨時性授權或的顯著變更時，服務提供者必須提供此種具衝擊性變更的有效資訊，使FedRAMP得以評估此變更的影響與衝擊。 （三）事件回應 　　事件回應方面聚焦於新風險和漏洞的因應，服務提供者在發現影響授權的新風險或漏洞時，應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 　　在各國紛紛投入雲端運算的推動熱潮中，我國也不能在此項產業推動中缺席。2010年4月，行政院科技顧問組（現已改組為行政院科技會報）責成經濟部，研擬「雲端運算產業發展方案」；2011年5月，行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」，在內部運作管理面向，將運用新興雲端運算技術推動以全國性的政府雲端應用服務，減少機關重複開發成本，並達成節能減碳效果。 　　雲端的安全問題，無論在私人企業或政府部門，均為選擇導入雲端服務的第一要務，「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點，運用雲端運算技術，創新資安服務價值，確保政府資通安全防護。 　　然而，在服務提供者的安全性方面，我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此，我國可借鏡各國的作法，適度的以透過公正第三方機構驗證，來消除雲端服務安全性的疑惑，並推動一個公開的平台，將通過驗證的廠商公布出來，提供公部門甚至私人企業作選擇，不僅可免去同一服務廠商不斷重複驗證的麻煩，亦可削減選擇上的難題，並藉此發展雲端資安技術與推動雲端產業，使我國的雲端環境能夠更臻成熟。