WTO歐盟生技產品案解析（下）

　　英國傳播、電信、科技及媒體相關領域業者及團體於 2006 年 4 月聯合發表一份意見書，反對歐盟提出的新視聽媒體服務指令（ Audiovisual Media Services Directive ）草案。同時英國政府也正關注這項草案並與其他會員國進行討論。 　　自 2005 年 9 月起，歐盟開始針對電視無國界指令（ Television without Frontiers Directive ）的修正進行討論。歐盟考慮將該指令修改為視聽媒體服務指令，擴大其規範範圍，使其包括各種與電視相似（ TV-like ）的服務，並將所有視聽媒體服務區分成線性（ linear ）及非線性（ no-linear ）服務，分別給予不同程度的管制。 　　不過英國有許多業者及團體對於這項新指令的制訂深表不贊同，其認為： (1) 就非線性服務（例如隨選視訊）而言，目前既有法規以及業者自律規範已足以保障消費者； (2) 線性及非線性的分類方式可能不適宜作為法律定義的基礎； (3) 新指令將可能阻礙新進業者參與市場的意願，甚至導致投資者轉向其他國家發展。所以希望透過連署，要求歐盟重新檢視這項新指令。

英國Patent Box租稅優惠政策 科技法律研究所 2014年03月25日 壹、政策背景 　　歐盟在2000年規劃的里斯本策略[1]，就創造工作機會與保障勞工權益方面積極作為，驅使歐盟各國稅法改革，成功使歐盟在國際上擁有強大稅制上競爭力。而後法國、匈牙利、盧森堡、比利時、荷蘭、西班牙等國家，先後就研發活動施行優惠稅制，更強化其研發活動創造、發展的誘因。 　　2011年英國政府成長計畫[2]檢討近10年來，各國降低稅率、打破貿易壁壘、培育專家人才，同時英國經濟疲弱，負債且競爭力下降。因此英國政府在計畫中提出要建立G20[3]中最具競爭力之稅制。在不願與其他國家進行稅金削價競爭下，英國政府決定自專利著手，認為專利與高科技研究發展最具關連性，且專利本身已具完備審查機制，於是以專利獲利為主的優惠稅制逐步成形，稱為Patent Box，2011年6月英國財政局HMRC廣納各界意見，並在2012年Finance Act修法草案第8A章節提出。 　　對於Patent Box的設計，英國政府提出幾個原則：首先為不造成企業困擾，Patent Box必須為自願性參加；並且2013年4月起，為來自專利的獲利提供10%的優惠稅率；專利獲利之計算應避免為企業製造不必要的行政成本；不以總收入計算而以淨獲利計算；鼓勵持續研發等。 貳、政策方針 一、政策目的 　　英國政府早期對法人的租稅獎勵，係針對中小法人購置網際網路軟硬體設備、研發相關費用等，提供100%當年度投資抵免的獎勵；而為促進法人進行科學技術研究，2000年開始提供中小法人投入研發投資抵減獎勵，2002年擴及於大法人亦得適用，但抵減率降為25%。 　　英國政府為了鼓勵法人將高值專利與其運用發展紮根國內，以法人稅（Corporation Tax）角度出發，提議租稅優惠方案「Patent Box」。政府認為此方案能夠提供國內法人額外動機，將高價值工作與專利相關生產活動留在國內，並強化英國法人目前在全球的高值研發能量。 　　此方案由工黨政府提出，但直到2010年11月保守黨政府執政時，才將之納入執政提議政策，隔年6月與幕僚單位諮詢相關立法細節與範圍後，迅速於同年12月擬出草案。2012年7月，Patent Box方案經皇家同意被納入「法人稅法（the 2010 Corporation Taxes Act）」之修法法案「財政法（the 2012 Finance Act）」之中。2013年4月起，英國法人若透過自主研發或委託研發所產生之專利而賺取之收入，法人稅可由原本的20~24%（2013年4月法人稅為23％），調降適用10%的優惠稅率。 　　此方案的推出，一部份原因為產業界輿論稱英國原租稅制度使法人逐漸喪失競爭力；而之所以將租稅優惠鎖定為專利權（與特定植物品種權），係因為專利權與高科技研發生產具有很強的鍊結，並且專利權本身的審核制度更已為Patent Box方案挑選出真正的創新科技發明。 二、Patent Box 優惠稅制影響評估 （一）英國國庫 　　英國Patent Box採逐步調降稅率之實施方式，以減輕對國庫的負擔，2013年以獲利的60%適用Patent Box 10%的優惠法人稅稅率，之後隔年增加10%，直至2017年4月1日，100%獲利適用10%之優惠法人稅稅率。而HMRC預算預估之英國專利獲利金額，係以其資料庫為基礎推算之。 （二）英國法人 　　調降法人稅對英國法人而言，也降低了將相關專利獲利移出境外之動機；此外，對於未申請專利者，Patent Box更增加其申請的動機，繼而提高發明之價值。 　　對於中小型法人而言，此方案可使其檢視自身專利布局，但對於未接觸過專利想加入此方案者，會增加該些中小型法人之相關行政成本，但Patent Box一產品僅須具一專利之設計，可減輕對此類法人之負擔調降法人稅對英國法人而言，也降低了將相關專利獲利移出境外之動機；此外，對於未申請專利者，Patent Box更增加其申請的動機，繼而提高發明之價值。 　　對於中小型法人而言，此方案可使其檢視自身專利布局，但對於未接觸過專利想加入此方案者，會增加該些中小型法人之相關行政成本，但Patent Box一產品僅須具一專利之設計，可減輕對此類法人之負擔。 （三）英國經濟 　　由專利獲利的法人可受惠於此方案，尤其是醫藥、生技、電子、國防等產業。Patent Box方案更可吸引國外創投資金，增進國內經濟並增加高值工作機會。 [1]Directorate-General for International Policies - Policy Department, The Lisbon Strategy 2000-2010, European Parliament (2011), http://www.europarl.europa.eu/document/activities/cont/201107/20110718ATT24270/20110718ATT24270EN.pdf (last visited, Feb 19, 2014) [2]HM Treasury, The Plan for Growth, March 2011, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/31584/2011budget_growth.pdf (last visited, Feb 11, 2014) [3]G20，一個國際經濟合作論壇，由八國集團（美國、日本、德國、法國、英國、義大利、加拿大和俄羅斯）以及其餘十二個重要經濟體（歐盟、中華人民共和國、巴西、印度、澳大利亞、墨西哥、韓國、土耳其、印尼、沙烏地阿拉伯、阿根廷和南非）組成。

　　英國之胚胎幹細胞研究活動，係根據「1990年人類受精與胚胎學法」（Human Fertilisation and Embryology Act 1990，HF&E Act）和「2001年人類受精與胚胎學規則」（Human Fertilisation and Embryology (Research Purposes) Regulations 2001，Research Purposes Regulations）之規定，授權由「人類受精與胚胎學管理局」（Human Fertilisation and Embryology Authority，HFEA）依法管理。 　　新堡大學東北英格蘭幹細胞中心（North East England Stem Cell Institute）Lyle Armstrong博士，在去年底向HFEA申請一項涉及混合人類與動物細胞製造胚胎幹細胞之研究許可；其計劃利用細胞核轉置技術，將牛的卵子細胞核取出，植入人類體細胞核，並刺激其分裂形成胚囊或早期複製胚胎，用以研究培養病患所需身體組織之技術。過去HFEA從未曾核准過此類研究，僅核准過2件利用細胞核轉置技術和單性活化卵母細胞製造胚胎幹細胞株作為醫學研究之申請。此研究申請訊息一流出，即引起保守團體嘩然及指責，要求英國政府應盡速立法，禁止製造人獸混合細胞之實驗活動。面對各界抗議聲浪，HFEA表示，會暫緩此申請案。 　　事實上，去年12月英國健康部提出了一篇報告－「人工生殖及胚胎學法之檢討」（Review of the Human Fertilisation and Embryology Act），建議國會應儘速立法規範人類動物細胞混合研究。而英國政府與人民究竟能否接受混合人類動物遺傳細胞研究之合法性、合道德性，則為未來立法動向之重要指標。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).