「資訊儲存服務」提供者法律責任之研究-以日本實務新興發展為例

刊登期別
第20卷,第1期,2008年01月
 

※ 「資訊儲存服務」提供者法律責任之研究-以日本實務新興發展為例, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=2756&no=55&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
你可能還會想看
日本通過科學技術基本法等修正案,將創新與人文科技發展納為規範對象

日本通過科學技術基本法等修正案,將創新與人文科技發展納為規範對象 資訊工業策進會科技法律研究所 2020年12月10日   日本國會於2020年6月24日通過由內閣府提出的「科學技術基本法等修正案」(科学技術基本法等の一部を改正する法律)[1],為整合修正科學技術基本法、科學技術與創新創造活性化法(科学技術・イノベーション創出の活性化に関する法律,下稱科技創新活性化法)等法律之包裹式法案。其旨在新增創新與人文科學相關科技發展目標,將之列入基本法。並因應此一立法目的調整,修正科技創新活性化法,增訂大學、研發法人出資與產業共同研究途徑,同時調整中小企業技術革新制度之補助規範。 壹、背景目的   日本內閣府轄下之整合科學技術與創新會議(総合科学技術・イノベーション会議)於2019年11月公布的「整合提振科學技術與創新目標下之科學技術基本法願景(科学技術・イノベーション創出の総合的な振興に向けた科学技術基本法等の在り方について)」報告書提出,科學技術與創新之議題高度影響人類與社會的願景,而近年聚焦之重點,則在於全球化、數位化、AI與生命科學之發展。該報告書並進一步揭示了科學技術基本法的修訂方向[2]:(1)納入「創新創造」(イノベーション創出)之概念;(2)自相互協力的觀點,併同振興自然學科與人文學科之科學技術發展;(3)允許大學與研發法人以自身收入資助具特定創新需求、或發展新創事業之外部人士或組織;(4)從鼓勵創新創造的角度,調適建構中小企業技術革新制度。   基於該報告書之決議要旨,內閣府於2020年3月10日向國會提出本次法律修正案,並於同年6月24日正式公告修正通過[3]。公告指出,AI、IoT等科學技術與創新活動的急遽發展,造就了人類社會推動願景和科技創新密不可分的現況。因之,本次修法除將人文科學項目納入基本法科學技術振興的範疇內,亦意圖落實同步推動科學技術及創新創造振興之政策構想,建構具整合性且二者並重發展的法制環境。 貳、內容摘要   本包裹式法案主要修正科學技術基本法與科技創新活性化法。首先,本次修正並列創新與科技發展為科學技術基本法規範主軸,因之,將該法更名為「科學技術與創新基本法」(科学技術・イノベーション基本法,下稱科技創新基本法),並修訂科技創新基本法立法目的為「提升科學技術水準」以及「促進創新創造」;同時,參照科技創新活性化法相關規定,明文定義創新創造為「透過科學發現或發明、開發新商品或服務、或其他具創造性的活動,催生新興價值,並使之普及,促成經濟社會大規模變化之行為」。同時,增訂科技與創新創造的振興方針主要包含:(1)考量不同領域的特性;(2)進行跨學科的整合性研究開發;(3)推動時應慮及學術研究與學術以外研究間的衡平性;(4)與國內外的各相關機關建立具靈活性且密切的合作關係;(5)確保科學技術的多元性與公正性;(6)使創新創造之振興與科學技術振興之間建立連動性;(7)有益於全體國民;(8)用於建構社會議題解決方案。此外,亦增訂研究開發法人、大學與民間企業之義務性規範,要求研究開發法人與大學應主動、且有計畫地從事人才養成、研發與成果擴散作為;而民間企業則應致力於和研發法人或大學建立合作關係,進行研發或創新創出活動。最後,基本法內原即有要求政府應定期發布「科學技術基本計畫」,作為未來一定期間內推動科技發展政策的骨幹,本次修正除將之更名為「科學技術與創新基本計畫」(科学技術・イノベーション基本計画),亦額外要求基本計畫應擬定培養研究與新創事業所需人才的施政方針。   另一方面,配合科技創新基本法修訂與政策方向,科技創新活性化法的修正重點則為:(1)新增本法適用範圍,擴及「僅與人文科學相關的科學技術」;(2)明文創設大學或研究開發法人得與民間企業合作進行共同研究的機制,允許大學或研究開發法人出資設立「成果活用等支援法人」,並給予人力與技術支援。其可將大學、研發法人持有之專利授權給企業、與企業共同進行研究或委外研究等,藉以推動研發成果產業化運用,透過計畫的形式,和企業間建立合作關係;(3)為鼓勵與促進中小企業與個人從事新興研發,調整設立「特定新技術補助金」制度,用以補助上述研發行為;每年度內閣府則需與各主管機關協議,就特定新技術補助金的內容與發放目的作成年度方針,經內閣決議後公開。同時,在特定新技術補助金下設「指定補助金」之類型,由國家針對特定待解決之政策或社會議題,設定研發主題,透過指定補助金的發放,鼓勵中小企業參與該些特定主題之研發。 參、簡析   本次科技創新基本法的修正,為日本國內的科技發展方向,作出法律層級的政策性宣示。除將人文學科相關的科技研發正式納入基本法的規範對象內,最主要的意義,在於使創新與科技發展同列為基本法的核心目的之一,顯示其科研政策下,創新與科技的推展實存在密不可分且相輔相成的關係,而有必要整合規劃。而科技創新活性化法一方面拓展大學、研發法人等學術性或公部門色彩較為強烈的機構與民間企業合作研發、成果產業化運用的途徑;另一方面,則延續近期相關政策文件強調創新價值應自社會需求中發掘的構想[4],設置了激勵中小企業投入社會議題解決方案相關研發的補助金類型。   我國立法體例上,同樣存在科學技術基本法的設計,用以從法制層級確立國內科技發展的基礎政策方向。於COVID-19疫情期間,技術研發的創新落地應用,亦已成為我國產出各式疫情應對方案、以及後疫情時期重要政策的關鍵之一。則如何延續我國對抗COVID-19過程中所掌握的協作與成果運用經驗,或可借鏡日本的作法,使創新能量能透過研發補助機制的優化,充分銜接政策與社會需求。 [1]〈科学技術基本法等の一部を改正する法律の公布について〉,日本內閣府,https://www8.cao.go.jp/cstp/cst/kihonhou/kaisei_tuuchi.pdf (最後瀏覽日:2020/12/08)。 [2]〈「科学技術・イノベーション創出の総合的な振興に向けた科学技術基本法等の在り方について」(概要)〉,日本內閣府,https://www8.cao.go.jp/cstp/tyousakai/seidokadai/seidogaiyo.pdf(最後瀏覽日:2020/12/08)。 [3]〈第201回国会(常会)議案情報〉,日本參議院,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/201/meisai/m201080201047.htm(最後瀏覽日:2020/12/08)。 [4]〈中間とりまとめ2020未来ニーズから価値を創造するイノベーション創出に向けて〉,經濟產業省,https://www.meti.go.jp/press/2020/05/20200529009/20200529009-2.pdf(最後瀏覽日:2020/12/10)。

歐洲食品安全局頒佈利益申報實施細則

  為了有效管理歐洲食品安全局(European Food Safety Authority, EFSA)內部各項活動間之利益管控與監督,EFSA日前於3月5日公布利益申報(Declarations of Interest, DOIs)施行規則(Implementing Rules),並計畫於2012年7月1日正式實施,且同時搭配一個為期4個月的過渡(Transition Period)配套措施方案。該利益申報施行規則,乃為EFSA於今年初所核准之「獨立性與科學決策過程」(Independence and Scientific Decision-Making Processes)政策的基礎規範項目之一。   本次EFSA所頒布之利益申報施行規則,其訂定之理由係因,原任職於EFSA旗下基因工程植物之首席風險評估專家,轉任至一家專門研發及生產該種植物之生物科技公司;為避免並且釐清相關因該事件所衍生之利益衝突問題,乃制定本規範。故此,為具體有效管理EFSA內部人員與其他涉及EFSA各項活動之機構間的利益監督事宜,EFSA遂進一步於今年初開始著手進行相關措施之規劃。目前該利益申報施行規則除了主要針對EFSA旗下之各層級人員訂定各項利益類型之規範準則外,更重要的是,其亦提供其旗下之專業科學研究人員,各項能有效具體確認其利益界線之劃分的保護措施。由於該利益申報施行規則授與EFSA選取與管理利益申報議題若干彈性,因此EFSA能具體且有效的利用相關規範延攬頂尖研究人員,進而協助EFSA提升其內部研發人員之創新研發能力。   政府機關成員之利益申報與迴避問題,乃為全球各國政府需面對之問題,而對於如何有效且彈性的進行相關議題之管控,更是相關政策制訂時需加以考量之點。EFSA之利益申報施行規則不僅有效管理內部人員之利益衝突與申報問題,同時亦藉由彈性的管理規範方式,延攬優秀頂尖人才,達到具體提升研發水準之功效;對此,EFSA之規範方式與運作成效,實值得加以觀察與效仿。

資通安全管理法之簡介與因應

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要   隨著網路科技的進步,伴隨著資安風險的提升,世界各國對於資安防護的意識逐漸升高,紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量,我國於107年5月經立法院三讀通過「資通安全管理法」(以下簡稱資安法),並於同年6月6日經總統公布,期望藉由資通安全管理法制化,有效管理資通安全風險,以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外,另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法,建置了我國資通安全管理之法制框架。然而,資安法及相關子法於108年1月1日實施後,各機關於適用上不免產生諸多疑義,故本文擬就我國資通安全管理法之規範重點為扼要說明,作為各機關遵法之參考建議。 貳、重點說明 一、規範對象   資安法所規範之對象,主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義,指依法行使公權力之中央、地方機關(構)或公法人,但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣(市)政府機關、依公法設立之法人(如農田水利會[1]、行政法人[2])、公立學校、公立醫院等,均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊,故資安法排除軍事及情報機關之適用[3]。   特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。目前各關鍵基礎設施領域,預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。   此外,政府捐助之財團法人,依該法第3條第9項之規定,指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人,則非屬資安法所稱特定非公務機關之範圍。公營事業之認定,則可參考公營事業移轉民營條例第3條之規定,指(一)各級政府獨資或合營者;(二)政府與人民合資經營,且政府資本超過百分之五十者;(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容   資安法之責任架構,可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段,分述如下: (一)事前規劃   就事前規劃部分,資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」,使各機關得據此落實相關之資安防護措施,各機關並應依據資通安全責任等級分級辦法之規定,依其重要性進行責任等級之分級,辦理分級辦法中所要求之應辦事項[5],並將應辦事項納入安全維護計畫中。   此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 (二)事中維運   事中維運部分,資安法要求各機關應定期提出資通安全維護計畫之實施情形,上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件,應於機關知悉資通安全事件發生時,於規定時間內[7],依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施,以避免資通安全事件之擴大。 (三)事後改善   在事後改善部分,如各機關發生資通安全事件或於稽核時發現缺失,則均應進行相關缺失之改善,提出改善報告,並應針對缺失進行追蹤評估,以確認缺失改善之情形。 三、情資分享   為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。情資分享義務原則於公務機關間,就特定非公務機關部分,為鼓勵公私間之協力合作,故規定特定非公務機關得與中央目的事業主管機關進行情資分享。   我國已於107年1月將政府資安資訊分享與分析中心(G-ISAC)調整提升至國家層級並更名為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)。透過情資格式標準化與系統自動化之分享機制,提升情資分享之即時性、正確性及完整性,建立縱向與橫向跨領域之資安威脅與訊息交流,以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則   為使資安法之相關規範得以落實,資安法就公務機關部分,訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準,而獎懲辦法適用之人員,除公務人員外,尚包含機關內部之約聘僱人員。就特定非公務機關部分,資安法則另訂有相關之罰則,針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。 參、事件評析   公務機關及特定非公務機關為落實資安法之相關規範,勢必投入相關之資源及人力,以符合資安法之要求。考量公務機關或特定非公務機關之資源有限,故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌,以避免資源或相關措施重複建置,以下則列舉幾點建議: 一、風險評估與安全措施   資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制,與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似,故各機關於適用上可協調內部之資安與隱私保護機制,共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施   資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 三、委外管理監督   資安法第9條要求機關負有對於委外廠商之監管義務,個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同,惟均著重對於資料安全及隱私之保護,故各機關可從資料保護層面著手,訂定資安與個人資料保護共同之檢核項目,來進行委外廠商資格之檢視,並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存   資安法施行細則第6條要求於建置安全維護計畫時,須先進行內部之資產盤點及分級,而個人資料保護法施行細則第12條中,則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時,可建立內部共同之資料盤點清單及資料管理措施,並增加資料使用軌跡紀錄,建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定,軍事機關指國防部及其所屬機關(構)、部隊、學校;情報機關指國家情報工作法第3條第1項第1款(包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊)及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定,行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關。 [4] 羅正漢,〈臺灣資通安全管理法上路一個月,行政院資安處公布實施現況〉,iThome, 2019/02/15,https://www.ithome.com.tw/news/128789 (最後瀏覽日:2019/5/13)。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級,各機關應依據其責任等級應從管理面、技術面及認知與訓練面向,辦理相應之事項。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後,應於1小時內依規定進行資通安全事件之通報;如為第一、二級資通安全事件,並應於知悉事件後72小時內完成損害控制或復原作業,第三、四級資通安全事件,則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉,行政院國家資通安全會報技術服務中心,https://www.nccst.nat.gov.tw/NISAC(最後瀏覽日:2019/5/14)。

關於軟體產品的智慧財產權保護建議

  近期軟體產品(特別是演算法)的智慧財產權保護受到各界廣泛注意,2022年12月美國實務界律師特別撰文對此提出相關智財權保護建議。軟體產品通常涉及演算法,指由人工智慧(AI)和分析組成,用於解決特定問題的一組規則。專利通常被企業預設為保護技術產品的最佳形式。   然而在2014年,美國最高法院在Alice Corp. v. CLS Bank International一案中可以發現將軟體申請專利保護可能存在風險,如:(一)軟體可能被認為是抽象概念(abstract ideas),非專利適格標的,而無法受專利法保護;(二)通常不易主張專利權,或可能在訴訟過程中因舉證責任造成機密資訊揭露等風險。因此該文作者認為難以受專利法保護之演算法、用於基於機器學習或訓練模型的資訊和資料集等軟體資料,亦可考慮透過營業秘密來保護,並提出以下營業秘密管理的建議: 1.員工教育訓練:建議企業可在僱傭的各階段(僱傭時、每年、終止時)採行相關措施、訓練,以減少營業秘密的竊用,及防止未來員工抗辯不知道該資訊是營業秘密。 2.機密標示:建議企業透過此階段審視組織對於機密文件之界定,再透過機密標示配合存取權限設定,協助企業控管與防止機密外流。 3.執行:瞭解需要受管理的營業秘密是什麼以及其為何重要。 4.監控和衡量員工參與度:建議企業採取相關監測機制檢視員工活動,及早發現離職動向與管控營業秘密資訊。 5.避免資訊揭露:建議企業應確保在向消費者或客戶行銷的過程中不洩露營業秘密,或至少採取相關保護措施,如簽訂保密契約。 6.確保資料安全:建議企業可建置網路安全策略、設置密碼、存取限制、外部設備使用下載或儲存限制等管控措施。   綜上所述,對於從事軟體開發的企業,除以專利保護產出成果外,還可從技術本質、後續是否容易主張、是否適合公開等面向,評估搭配營業秘密保護成果。並在選擇以營業秘密保護成果時,採行相關的管理措施避免營業秘密外洩而造成企業損失,包括:劃定需管理的營業秘密、制定員工教育訓練與相關管制措施,如機密標示、權限控管,並可搭配預警機制以便能夠即早發現異常。   本文同步刊登於TIPS網站(https://www.tips.org.tw)

TOP