台灣每人二氧化碳排放量逐年增加 全球第二十二名

　　人工智慧（Artificial Intelligence, AI）的應用，已逐漸滲透到日常生活各領域中。為提升AI運用之效益，減少AI對個人與社會帶來之負面衝擊，英國資訊委員辦公室（Information Commissioner’s Office, ICO）於2019年3月提出「AI稽核框架」（Auditing Framework for Artificial Intelligence），作為確保AI應用合乎規範要求的方法論，並藉機引導公務機關和企業組織，評估與管理AI應用對資料保護之風險，進而建構一個可信賴的AI應用環境。 　　AI稽核框架主要由二大面向所構成—「治理與可歸責性」（governance and accountability）以及「AI特定風險領域」（AI-specific risk areas）。「治理與可歸責性」面向，係就公務機關和企業組織，應採取措施以遵循資料保護規範要求的角度切入，提出八項稽核重點，包括：風險偏好（risk appetite）、設計階段納入資料保護及透過預設保護資料（data protection by design and by default）、領導管理與監督（leadership management and oversight）、政策與程序（policies and procedures）、管理與通報架構（management and reporting structures）、文書作業與稽核紀錄（documentation and audit trails）、遵循與確保能力（compliance and assurance capabilities）、教育訓練與意識（training and awareness）。 　　「AI特定風險領域」面向，則是ICO特別針對AI，盤點下列八項潛在的資料保護風險，作為風險管理之關注重點： 一、 資料側寫之公平性與透明性（fairness and transparency in profiling）； 二、 準確性（accuracy）：包含AI開發過程中資料使用之準確性，以及應用AI所衍生資料之準確性； 三、 完全自動化決策模型（fully automated decision making models）：涉及人類介入AI決策之程度，歐盟一般資料保護規則（General Data Protection Regulation, GDPR）原則上禁止無人為介入的單純自動化決策； 四、 安全性與網路（security and cyber）：包括AI測試、委外處理資料、資料重新識別等風險； 五、 權衡（trade-offs）：不同規範原則之間的取捨，如隱私保護與資料準確性； 六、 資料最少化與目的限制（data minimization and purpose limitation）； 七、 資料當事人之權利行使（exercise of rights）； 八、 對廣泛公共利益和權利之衝擊（impact on broader public interests and rights）。 　　ICO將持續就前述AI特定風險領域，進行更深入的分析，並開放公眾討論，未來亦將提供相關技術和組織上之控制措施，供公務機關及企業組織進行稽核實務時之參考。

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

開放台資過半持股取得ICP經營許可證之初步評估-以遊戲產業為主- 科技法律研究所 2013年06月25日 壹、背景說明 　　根據海基會、海協會於102年6月21日共同簽署的兩岸服務貿易協議[1] ，其就電信服務類之增值電信服務，以「在線數據處理與交易處理(僅限於經營性電子商務網站)」為範圍，開放「允許臺灣服務提供者在福建省設立合資企業，提供在線數據處理與交易處理業務，臺資股權比例不超過 55%」。 貳、簽署前中國大陸對台遊戲業設置經營網站之限制說明 一、電子商務網站經營者皆須取得ICP證、SP證（本次開放重點） （一）互聯網信息服務增值電信業務經營許可證（ICP證） 　　依照中國大陸「互聯網信息服務管理規定」第3條、第4條規定，互聯網信息服務依照是否有償提供信息服務活動，區分為經營性互聯網信息服務及非經營性互聯網信息服務。並依照「互聯網信息服務管理規定」第7條規定，透過互聯網向互聯網上網用戶有償提供信息服務活動者，須向地方電信管理機構或工信部申請，取得「互聯網信息服務增值電信業務經營許可證」（大陸簡稱ICP證）[2]取得ICP經營許可證者，才能從事：網上廣告、代製作網頁、出租服務器內儲存空間、主機託管、有償提供特定信息內容、電子商務及其它網上應用服務等。 　　在外商申辦ICP證的情況中，依照中國大陸「互聯網信息服務管理規定」第17條規定，應事前經中國大陸國務院信息産業主管部門審查同意，且外商投資的比例應符合相關規定。對此，中國大陸在加入WTO後，僅承諾有限度地開放電信業務市場。 　　在中國大陸商務部發布的「外商投資產業指導目錄」中，電信公司增值電信業務屬於「限制外商投資」項目，包括組織型態、業務活動範圍、投資比例等投資條件與審批程序，皆有一定的規範。根據中國大陸國務院「外商投資電信企業管理規定」[3]第2條規定，外商投資電信企業，只能以「中外合資經營」形式[4]，共同投資經營電信業務。同時「外商投資電信企業管理規定」第6條規定，外商投資電信企業，在增值電信業務部分，外方投資者在企業中的出資比例，最終不得超過50%[5]。亦即，在一般外商投資電信企業的情況中，受限於股權比例上限，外商通常無法掌握企業經營權。 （二）增值電信業務經營許可證 　　在網站經營涉及增值電信業務時，根據中國大陸「電信業務經營許可管理辦法」[6]，亦需取得「增值電信業務經營許可證」（大陸簡稱SP證）[7]。其中業務覆蓋範圍在兩個以上省、自治區、直轄市的，須經國務院資訊產業主管部門審查批准，取得「跨地區增值電信業務經營許可證」。若業務覆蓋範圍在一個省、自治區、直轄市行政區域內的，須經省、自治區、直轄市電信管理機構審查批准，取得「增值電信業務經營許可證」[8]。且同樣地，依據「電信業務經營許可管理辦法」第9條第3項規定，外商投資電信企業申辦電信業務經營許可證亦須根據「外商投資電信企業管理規定」辦理。亦即，一般而言在外商投資者出資比例不得超過50%。 　　在本次兩岸服務貿易協議中，爭取到台資得以試點方式在福建地區以過半股權提供「在線數據處理與交易處理業務」，依據中國大陸「電信業務分類目錄(2003版)」規定，亦屬於增值電信業務一種。此業務是指「利用各種與通信網絡相連的數據與交易/事務處理應用平臺，通過通信網絡為用戶提供在線數據處理和交易/事務處理的業務」。簡言之，包括交易處理業務、電子數據交換業務和網絡/電子設備數據處理業務。 二、網路遊戲網站經營尚需取得其他經營許可證 　　在中國大陸除上述ICP證外，還必須經過相關主管機關審批，取得相對應的主體資格與許可證後，始得經營線上遊戲業務。也就是除ICP證外，還必須取得：「網絡文化經營許可證」、「互聯網出版許可證」。 （一）網絡文化經營許可證 　　有關「網絡文化經營許可證」，依據中國大陸文化部「互聯網文化管理暫行規定」，網路遊戲屬於一種互聯網文化產品，因此要經營網路遊戲前，就必須先申請設立「經營性互聯網文化單位」，通過審批同意設立後，方可領取「網絡文化經營許可證」（大陸簡稱文網文）。並依照「關於文化領域引進外資的若干意見（文辦發[2005]19號）」及「經營性互聯網文化單位申報指南」規定，除香港和澳門服務提供者可設立由中國大陸控股的經營性互聯網文化單位外，不受理外商投資互聯網信息服務提供者申請從事互聯網文化活動。亦即由台灣業者投資設立之企業無法取得網絡文化經營許可證。 （二）互聯網出版許可證 　　其次，根據中國大陸的「互聯網出版管理暫行規定」第5條規定，互聯網信息服務提供者將自己創作或他人創作的作品經過選擇和編輯加工，登載在互聯網上或者通過互聯網發送到用戶端，供公眾瀏覽、閱讀、使用或者下載的在線傳播行為稱為互聯網出版，包括，圖書、報紙、期刊、音像製品、電子出版物等出版物內容或者在其他媒體上公開發表的內容。對此，根據「互聯網出版管理暫行規定」第6條規定，需先經過新聞出版總署的批准，具備合法互聯網出版機構的資格，並領有「互聯網出版許可證」，方可從事網路遊戲的線上營運業務。同時，依據中國大陸新聞出版總署發出「關於貫徹落實國務院〈“三定”規定〉和中央編辦有關解釋，進一步加強網絡遊戲前置審批和進口網絡遊戲審批管理的通知」規定，外商禁止以獨資、合資、合作等方式在中國境內投資從事網絡遊戲運營服務，任何外商不得通過設立其他合資公司、簽訂相關協議或提供技術支持等間接方式實際控制和參與境內企業的網絡遊戲運營業務。亦即，由台灣業者投資設立之企業亦無法取得網絡文化經營許可證。 三、針對內容本身，亦須完成相關審批作業 　　台灣線上遊戲產品進口中國 ，除須向中國新聞出版總署提出「引進版互聯網遊戲出版物出版申請」審批同意、取得「中國標準書號（業界一般俗稱版號）」，版號每年有總量管制，核發過程容易受技術性操作而影響取得版號時間。另依據中國文化部「關於加強網絡遊戲產品內容審查工作的通知」（2004）第十點規定：「進口中國香港、澳門特別行政區和臺灣地區的網路遊戲產品參照外國網絡遊戲產品辦理相關手續」。也就是說，臺灣的線上遊戲上市前填具「文化部進口遊戲產品內容審查申請表」、「文化部進口網絡遊戲產品材料登記表」等，向中國文化部提出遊戲產品內容審查。 　　本次協商，線上遊戲業管機關在徵詢業者意見後，努力向陸方爭取其承諾「在申請材料齊全的情況下，對進口臺灣研發的網絡遊戲產品進行內容審查(包括專家審查)的工作時限為2個月」。 附件、遊戲出版相關審批 ‧電子出版物出版單位與境外機構合作出版物之審批：《外商投資產業指導目錄》，電子出版物（含電子遊戲、網路遊戲等產品）的出版、製作和進口屬於「禁止外商投資項目」，因此台灣遊戲業者要進入中國大陸市場，僅能透過與當地廠商以合作的方式出版遊戲產品，而合作案也須先經過新聞出版總署的審批程序，方可進行。 ‧電子出版物出版許可證：根據《出版管理條例》第41條與《電子出版物出版管理規定》第38條規定，出版遊戲的企業必須具備電子出版物出版單位的資格，並領有電子出版物出版許可證，才是合法的出版單位。 ‧電子出版物專用書號：根據中國大陸《出版管理條例》第29條規定，出版物須載明書號、刊號或版號等，此處所指「書號」係指「電子出版物專用書號」。遊戲產品亦屬於電子出版物一種，按規定必須要申請到「電子出版物專用書號」方可出版。 ‧出版物進口經營許可證：依據其《出版管理條例》第41條規定，只要是出版物（報紙、期刊、圖書、音像製品、電子出版物）之進口，都必須透過領有「出版物進口經營許可證」的出版物進口經營單位。 ‧文化部進口網絡遊戲產品內容審查：根據中國大陸文化部2004年發布《關於加強網絡遊戲產品內容審查工作的通知》規定，外國網路遊戲產品須經文化部之內容審查通過後，方可上線營運。因此，一款境外的網路遊戲產品應由具備《網絡文化經營許可證》及營業執照之互聯網文化單位，向文化部提出內容審查的申請。 ‧出版境外著作權人授權的互聯網遊戲作品審批：台灣的網路遊戲若要進口到中國大陸，除須經過其文化部有關網路遊戲的內容審查程序外，尚須經過向其新聞出版總署提出「引進版互聯網遊戲出版物出版申請」，通過「出版境外著作權人授權的互聯網遊戲作品審批」的審查程序。 ‧圖書、期刊、音像製品、電子出版物重大選題備案：根據2011年甫修訂之《出版管理條例》第20條規定，在中國大陸從事出版行為，若有涉及國家安全、社會安定的重大選題，一律向其中央新聞出版總署申請「重大選題備案」程序，待備案通過後，方允許出版含有該內容之出版物。 ‧複製經營許可證：根據《出版管理條例》、《電子出版物出版管理規定》，電子出版物的複製業務係採許可制度，即須向其新聞出版總署提出電子出版物複製單位的設立申請；且電子出版物亦應委託經領有《複製經營許可證》之複製單位複製。若屬於境外委託複製之出版物，尚須持著作權人授權書，向著作權行政部門進行登記。 ‧出版物經營許可證：臺灣業者若在中國大陸申請設立電子出版物發行單位，便須按照其預計從事的業務活動範圍（例如：總發行、批發、零售）提出審批申請，經批准許可後，皆領取《出版物經營許可證》，但會在證書上註明准予從事的業務活動範圍。 ‧出版境外著作權人授權的電子出版物審批：臺灣作者可將作品內容授權給中國大陸電子書業者置入電子書閱讀器出版，惟依據《電子出版物出版管理規定》，應由當地業者備妥相關文件，提出「出版境外著作權人授權的電子出版物審批」的申請程序。 [1]兩岸服務貿易協議，頁35，http://www.mac.gov.tw/public/Attachment/362114511675.pdf（最後瀏覽日102/06/22）。 [2]互聯網信息服務管理規定第7條：「从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证（以下简称经营许可证）。」 [3]《外商投资电信企业管理规定》(国务院令第333号2001.12.11)（2008.09.10修訂） [4]《中外合资经营企业法》第4條第1項（主席令第48号2001.03.15）：「合營企業的形式為有限責任公司」，故具有中國大陸法人資格。 [5]且根據《中外合资经营企业法》（主席令第48号2001.03.15），在「中外合资经营企业法」的註冊資本中，外國合資經營者的投資比例不得低於25%。 [6]《电信业务经营许可管理办法》（工业和信息化部令第5号2009.03.01） . [7]參考《电信条例》第9條（國務院令第291號2000.09.20）：「经营增值电信业务申请许可流程：业务覆盖范围在两个以上省、自治区、直辖市的，须经国务院资讯产业主管部门审查批准，取得『跨地区增值电信业务经营许可证』；业务覆盖范围在一个省、自治区、直辖市行政区域内的，须经省、自治区、直辖市电信管理机构审查批准，取得『增值电信业务经营许可证』。」 [8]參考《电信条例》第9條（國務院令第291號2000.09.20）：「经营增值电信业务申请许可流程：业务覆盖范围在两个以上省、自治区、直辖市的，须经国务院资讯产业主管部门审查批准，取得『跨地区增值电信业务经营许可证』；业务覆盖范围在一个省、自治区、直辖市行政区域内的，须经省、自治区、直辖市电信管理机构审查批准，取得『增值电信业务经营许可证』。」

　　美國專利商標局（USPTO）在2005年11月，與歐洲專利局（EPO）及日本專利局（JPO）之三邊會前會上，提出了一個簡稱為「三路」（Triway）的檢索共享計畫，該計畫希望能使三局的檢索技術發揮槓桿效果，進而能使專利申請者及各該專利管理當局受惠。 　　三局其後在2007年11月的三邊會前會上同意先期進行有限的試驗計畫。 　　「三路」的基本構想乃希望透過縮短時效來推廣資源分享，同時能使申請者及各該管理當局在很短的一定時間內取得三局的檢索結果，進而使申請者及各該局有機會能分享及考量所有的檢索結果，同一協助改善各該局對同一專利申請者專利審定之品質。 　　在「三路」試行計畫下，各該局對於在巴黎公約下之同一專利申請將適時提早進行檢索，且各該局的檢索結果將由三局共同分享以減少各該局的檢索及審查工作量。 　　三局同意「三路」試行計畫之試行對象限於在美國專利商標局首次提出申請者，並限於一百個試行專利申請案，試行計畫將在明年的同一時間結束，或在接受一百個試行專利申請案後提前結束。