美國航空公司控告Google銷售不當的關鍵字廣告

　　據報載， 5 月 25 日 起在我國舉行兩天之台灣與美國貿易投資架構協定（ TIFA ）會談，藥廠權益乃雙方談判焦點，美方這次來台所提出之談判項目中，對台灣藥廠衝擊較大的是資料專屬權（ Data Exclusivity ），及專利連結（ Pattern Linkage ）兩項，本土製藥業擔心，政府若妥協將可能造成台灣藥廠及研究單位新台幣上百億元的損失。 　　儘管去年初立法院已經三讀通過藥事法 40 條之 2 的「資料專屬權保護」條文，但預料美方這次將要求政府重新修法，以保障外商藥廠的權益。此外，專利連結（ patent linkage ）也是衛生署嚴陣以待的項目，外商訴求此一機制之目的，係希望透過專利資訊之揭露，使任何申請上市許可之學名藥品，均係在專利到期後或未侵害專利之前提下，使得上市。 　　專利連結制度首見於美國，美國食品藥物管理局 (FDA) 對藥品有所謂之「橘皮書」，要求公布各藥品的專利內容及安全性與療效資訊，並以此作為日後學名藥賞上市或與原開發藥廠發生專利侵權爭訟時之參考。業界認為，如果台灣也比照美國 FDA 專利連結的規定，可能導致外商藥廠得以輕易對台灣藥廠展開侵權訴訟官司，衝擊我國製藥產業。

淺談台灣行動寬頻覆蓋率議題 科技法律研究所 法律研究員　黃志雯 2013年11月26日 壹、事件摘要 　　我國4G頻譜拍賣在歷經40天、393回合的「同時多回合上升」競標後，終在2013年10月底結束。這次的競標價金不僅高達1186.5億元外，也加入了國碁電子（鴻海集團）與台灣之星（頂新集團）兩家新進電信業者，使整體產業競爭性提高。預計民眾最快在2014年中時，即可享受靜態1Gbps、行動間100Mbps的高速網路，在無線寬頻的高速下，許多新興服務可孕育而生。 　　根據我國政府的規劃，4G營運時間越早，無論對產業、或是民眾皆是利大於弊。但是，從我國3G發展經驗可知，行動寬頻基地台建置的普及程度，攸關整體產業發展的關鍵。因此，行政院於今（2013）年11月成立「加速無線寬頻基礎設施小組」，依據電信法第32條第2項的規定，並透過跨部會協調，逐步落實公有建築物開放建設基地台之政策，增加4G業者涵蓋率，督促其儘速開台服務。同時，立法院為讓公有建物建設基地台能順利推行，於同年11月三讀通過修正電信法第32條。依據新修正之條文，未來除了因應輿論認為電磁波可能影響青少年發展，故允許高中職以下學校「得不同意」第一類電信事業設置室外基地台外，其餘公有建築物之主管機關，無正當理由不得拒絕業者申請。 　　透過落實公有建築物開放的政策，不僅可加速未來4G的發展外、亦可提升既有3G的覆蓋率。除此之外，當4G涵蓋全台後，其高速、穩定的特性將可被視為具有如固網般最後一哩（Last Mile）之效益，進而協助政府克服偏遠地區鋪設寬頻的困境，使全國居民皆可享有網際網路的便利。 貳、重點說明 　　政府透過落實公有建築開放架設基地台之政策，協助4G業者加速開台義務（5年內達人口涵蓋率50%），更希望能降低協商、架設基地台的成本，減少我國行動寬頻在都會區基地台數量不足、非都會區距離過遠之問題。其實，如何增加行動寬頻涵蓋率，是當前每一個國家致力發展的目標。新加坡與英國政府為了實現無所不在網路的目標，在管制的手段上分別是： 　　(一)新加坡：為了協助電信服務業者可利用建物空間架設通訊設備，達到「行動寬頻訊號戶外覆蓋率99%、室內覆蓋率85%」的目標，新加坡修訂「建築物資通訊設施實施條例」。本條例要求開發商或屋主在建設大型建案時，必須依據建案大小設置「行動通訊設備布放空間」，以提供電信業者使用，增加行動寬頻覆蓋率。本條例落實後，預期可協助4G業者在既定時間內（2.5GHz須最早實現）完成全國、所有捷運/公路隧道內必須可接收4G訊號的要求。 　　(二)英國：英國為了改善既有行動寬頻涵蓋率，在今（2013）年11月提出5點改善措施。其中，在相關規範上，Ofcom除了直接提高3G業者涵蓋義務、在訊號難以達到區域建設基礎設施、定時提供行動寬頻速率報告，以及與交通部(Department for Transport and Network Rail)共同改善行動寬頻於鐵路、道路的覆蓋率與品質外，Ofcom認為4G寬頻亦扮演重要角色。當時，Ofcom即透過4G頻段拍賣，賦予一張2017年須提供98%人口於室內、95%人口能於英國境內取得行動寬頻服務義務之執照，希冀實現偏遠地區亦能擁有寬頻服務之理想。 參、事件評析 　　綜合上述，各國為了讓4G覆蓋全國，使所有民眾皆能享有高速、穩定的網路，無不透過兩階段方式，拍賣前賦予部分頻段提前完成涵蓋率普及的義務、拍賣後透過政策、法律協助、要求業者維護網路品質。台灣屬於地狹人稠的國家，行動寬頻業者對政府賦予的涵蓋義務，絕非是行動寬頻發展困境。但是，業者是否可提供如同牌告的速度與品質，一向倍受挑戰。我國3G產生這個問題，除了民眾在居家附近拒絕建置基地台之住抗問題外，其主因亦是在3G拍賣時並未賦予相關頻段義務、在「第三代行動通信業務管理規則」又僅要求涵蓋率達人口50%，導致業者不積極面對都會區基地台數量，少於負荷使用人數的事實；非都會區則是消極處理基地台與使用人距離過遠，造成訊號品質不佳、或是接收不到等問題。 　　因此，即使這次電信法32條修正後，排除高中職學校得以架設室外基地台，根據我國「行動寬頻業務管理規則」第66條規定，電波涵蓋範圍應達營業區人口50%，合理推測業者可一舉解決都會區架設基地台的問題。但是，在我國4G頻譜拍賣前，並未與新加坡、英國相同，賦予所謂的「黃金頻段」(700MHz)與「帝王頻段」(1800MHz)普及全國(含偏遠地區)之義務。在管理規則涵蓋率僅訂為整體人口50%，將可窺見多數業者終將先行投資都會區，造成部分非都會區仍存有網路延遲、或是難以接收的問題，使4G難以成為全國性最後一哩。 　　本文認為4G頻譜拍賣結束已成事實，現階段主管機關唯有透過「行動寬頻業務管理規則」第40條第二項第三款的規定，鼓勵業者積極建置偏遠地區高速基地台，並承諾於事業計畫書中。再者，從資通訊科技發展的角度，新加坡強置新建物必須具備、開放「行動通訊設備布放空間」，使業者得以自由建置基地台，對於4G、或是未來5G發展而言，建築物開放使用確實具有前瞻性。不過，在我國民眾目前仍對電磁波有所疑慮的情況下，現階段僅能開放公有建築建置基地台，唯待透過具權威的報告證明電磁波無害、且全民達成一定共識後，我國政府方能逐步推動既有建築開放、或是新建築必須具備「行動通訊設備布放空間」。最後，主管機關除了繼續支持推動相關行動上網速率測速計畫外，關於電信法第32條第1、2項，要求公有建築開放架設基地台，是否要朝向正面表列機關拒絕條款，亦是未來可探討的地方。

戰略產業與關鍵技術保護法規修正趨勢分析 資訊工業策進會科技法律研究所 2022年2月14日 　　戰略性高科技產業是我國重要的經濟發展基礎，在全球半導體產業鏈中，臺灣更是位居關鍵領先地位。半導體產業作為未來新興科技領域發展根基，內含許多國家核心關鍵技術，若此類技術洩漏至境外，將損及國家安全與整體經濟競爭優勢。 壹、國際產業經濟安全保障法案推動趨勢 　　參考國際上以產業經濟安全角度出發，且與我國同具技術保護需求之國家，以亞洲的日本及韓國為代表，正在密集推動產業競爭與供應鏈安全及技術保護相關法案。 一、日本《經濟安全保障法》 　　日本首相官邸於2021年11月19日召開第一次「經濟安全保障推進會議」，強調國家安全概念已迅速擴展到經濟和技術領域，在各國推進和加強支持工業基礎設施、防止敏感技術外流、提升出口管制等經濟安全相關措施下，日本內閣府應加強《經濟安全保障法》草案推動，確保戰略物資與維護重要關鍵技術[1]。 　　其中《經濟安全保障法》草案著重在四大工作面向：1.供應鏈：透過公私技術合作加強重要材料和原材料的供應，避免對人民生活和工業產生重大影響。2.公私技術合作：透過公共和私營部門合作共享並利用技術資訊，培育和支持尖端重要技術框架。3.核心基礎設施：確保與維護核心基礎設施功能安全性和可靠性。4.私人專利：採取補償措施以要求特定專利私有化，防止敏感發明公開外流，同時促進創新[2]。 二、韓國《國家高科技戰略產業特別法》 　　韓國產業通商資源部方面，於2022年1月25日舉行的第5次內閣會議上宣布，通過《國家高科技戰略產業特別法》立法議案。該特別法案旨在培育和保護韓國的高科技戰略產業，以維護國家和經濟安全，並取得高科技競爭力，其具體內容包含：1.成立由南韓總理主導的國家高科技戰略產業委員會，制定5年戰略產業培育和保護的基本計畫。2.指定國家關鍵技術，以發展戰略產業和保護國家經濟安全。3.全面支持戰略產業，包括投資、研發、人力資源等方案。4.為振興戰略產業生態系統，提供監管法規修訂和企業合作方向支援。5.對戰略技術的出口和併購採取部分緊縮的保護措施。 　　韓國產業通商資源部強調，全球各主要國家皆體認到，必須在高科技產業競爭環境中培育知識人才，以及保護國家戰略產業發展的重要性。《國家高科技戰略產業特別法》的制定，將由產業通商資源部採取「無縫接軌的推進措施」，並與相關產業積極溝通，以便及時協助基礎設施能力建構，並在本法案立法程序完成後落實執法[3]。 貳、我國國家核心科技修法走向 　　我國法務部與陸委會於110年7月公告《國家安全法》與《臺灣地區與大陸地區人民關係條例》部分條文修正草案，二者皆是以經濟安全角度出發，針對「國家核心關鍵技術」保護作法規調整，期能建構跨部會產業技術防堵外洩策略。 一、兩岸條例修正：管制受政府委託補助關鍵技術及人員赴陸 　　依據陸委會第27次委員會議討論通過「兩岸條例第9條、第91條修正草案」，針對「受政府機關（構）委託或補助達一定標準」，並從事涉及國家核心關鍵技術業務之個人或民間團體、法人、機構成員，進行赴陸管制。其中，因國家核心關鍵技術及一定標準的具體內容，涉及高度專業性，故兩岸條例第9條修正草案授權科技部會商有關機關訂定並進行妥適規範。另外，對於違反赴陸應經許可的特定人員，依據兩岸條例第91條，可處新台幣200萬元以上1,000萬元以下罰鍰。如係違反返台通報義務者，（原）服務機關、委託機關或補助機關得處新台幣2萬元以上10萬元以下罰鍰[4]。 二、國家安全法修正：保護半導體、農業、國防關鍵技術 　　法務部國安法修正草案第2之2條，明定任何人不得替外國、中港澳、境外敵對勢力或其所實質控制的各類組織，為侵害國家核心關鍵技術的營業秘密行為；且刑度較營業秘密法提高，違者可處3年以上、12年以下徒刑，併科5百萬元以上、1億元以下罰金。至於何項技術列入關鍵技術，則交由科技部檢討，並將攸關台灣經濟、國防優勢的產業列入，包括半導體先進製程、涉及國防技術、台灣關鍵品種農業科技、關鍵生技技術等[5]。 參、法規評析 　　台灣是全球高科技代工產業的重鎮，半導體技術尤其發達且人才集中。全球晶片短缺之際，台灣也面臨人才帶槍投靠、與關鍵技術外流，危害戰略產業發展危機。未來針對我國國家核心科技認定與管制，可以由以下幾個方向作思考： 一、參考科技部政府資助國家核心科技手冊之作法 　　為避免我國有太多個不同的核心科技清單，導致法規適用的複雜，未來可能參考現有科技部政府資助國家核心科技手冊之作法，由科技部邀集相關部會自行就主責類別科技項目進行認定。篩選之科技項目(包含企業關鍵技術)，經主管機關核定後，提報科技小組，科技小組成立專責審議小組審議是否列入國家核心科技項目。 二、重新建立國家核心科技篩選標準 　　雖然產業技術保護法規強化是全球趨勢，但若是修正力度過猛或審查過嚴，也同樣可能影響產業投資、干預研發合作，甚至促使台灣關鍵產業出走，連帶失去半導體等關鍵技術研發創新動能，因此重新建立篩選管制標準是我國法規的重要課題。 　　首先，就製造業關鍵技術，應思考台灣在該產業技術上是否具國際領先地位作為優先考量。其次，就所篩選之產業，評估其對台灣經濟發展是否具核心關鍵性(例如產值高低，或者在全球供應鏈具關鍵地位)。最後，對於國家安全有重要影響之相關產業，應納入作為我國核心關鍵科技。 　　總歸而言，各國對於戰略產業與國家核心科技認定標準與方式不一，就算技術被歐美及日韓認列為新興科技管制類別，我國是否要列入國家核心科技，仍然必須綜合考量該產業技術在我國產業競爭力與國際領先定位而定。未來，可參採日韓模式，盡速建立國家層級高度的戰略產業與技術保護法規，並且制定明確清單與審查機制流程，使企業能有所預見，事先安排以降低對高科技產業的經濟發展衝擊。 [1] 経済安全保障推進会議，首相官邸，令和3年11月19日，https://www.kantei.go.jp/jp/101_kishida/actions/202111/19keizaianpo.html (最後瀏覽日：2022/1/25)。 [2] 経済安全保障法制に関する有識者会議 提言骨子，内閣官房，令和3年11月26日，https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/index.html (最後瀏覽日：2022/1/25)。 [3] Cabinet passes National High-Tech Strategic Industries Special Act, Ministry of Trade, Industry and Energy, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911(last visited 2022/02/14). [4] 為保護國家核心關鍵技術，本會第27次委員會議通過「兩岸條例第9條及第91條修正草案」，中華民國大陸委員會，110年9月29日，https://www.mac.gov.tw/News_Content.aspx?n=A0A73CF7630B1B26&sms=B69F3267D6C0F22D&s=4C0B2E06FFF6B248 (最後瀏覽日；2022/02/14)。 [5] 法務部公告「國家安全法」部分條文修正草案，法務部法檢字第11004519510號，110年7月21日，https://www.lawbank.com.tw/news/NewsContent.aspx?nid=179044.00 (最後瀏覽日；2022/02/14)。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).