英國劍橋大學技術移轉機制－Cambridge Enterprise Limited Company之介紹

　　3D列印（3D printing），屬於快速成形技術的一種，以數位模型檔案為基礎，運用粉末狀金屬或塑膠材料等可粘合材料，透過逐層堆疊累積的方式來構造物體的技術（即「積層造形法」）。過去其常在模具製造、工業設計等領域被用於製造模型。現在則可用於產品的直接製造，特別是一些高價值應用（比如髖關節或牙齒，或一些飛機零組件）已經有使用這種技術列印而成的零組件，技術漸漸成熟普及。 　　3D列印通常是採用數位技術材料印表機來製作。3D印表機的產量以及銷量2013年以來已經得到了極大的增長，其價格也正逐年下降，未來家家戶戶擁有3D列印機器可能就如同擁有洗衣機般平凡，帶出新的商機。該技術在珠寶、鞋類、工業設計、建築、工程和施工（AEC）、汽車、航空太空、牙科、醫療產業、教育、地理訊息系統、土木工程、槍枝以及其他領域都有所應用。 　　然而3D列印機器的普及只要透過網路平台下載相同的數據檔案，就能夠不花費一毛錢即可得到相同的內容，因此引發了智慧財產權的爭論。 　　3D列印所涉及的法律議題相當廣泛，有：著作權、專利權、商標權。再者，而在工商業等公司法領域，亦有可能可透過公平法加以保護。另外，專利法、新型專利法 （Gebrauchsmuster）、外觀設計法（Designrcht）對於實際上不能保密的技術解決方案和設計，例如，在產品具體化過程、在跨企業生產時、或物流遞送和服務提供過程中，在法律保護上，則重大意義。 　　又，在工業4.0因使用跨越國界之互聯網程序和系統，亟需國際法之保護，唯智慧財產權部分仍應該遵守屬地原則，以在該國有法律規定者為限。 　　在歐洲法律的層級，歐陸未來歐盟專利（EU-Patent）或稱歐洲專利一體化效果（Europäisches Patent mit einheitlicher Wirkung, EPeW） 將得到簡化，將具備共通的專利保護法律框架。

美國產學合作利益衝突管理機制 資策會科技法律研究所 法律研究員　朱啟文 104年11月27日 　　自從1980年美國拜度法案（Bayh-Dole Act[1]）通過後，智慧財產權下放至大學與研究機構，大學有權自主把智慧財產授權予廠商甚至成立新創公司[2]，從而衍生出拜度法案潛藏副作用之ㄧ：「鼓勵學術機構與私人企業將研發成果商品化，將使學術機構產生利益衝突[3]」。因此「利益衝突」問題逐漸引起各界關注，特別是大學如何兼顧好教學、研究及公共服務[4]；以及研究人員、大學教授在技術移轉或研發成果商品化過程中，應該扮演的角色及獲取何種利益，常因為法律或大學政策規定的不周全、認知的不一致，而造成教研人員的困惑[5]。 　　產學合作的利益衝突，容易發生於顧問服務、技術移轉、贊助研究、臨床試驗、科研採購、師生指導關係、機構關係與特定贈禮等活動中，因此利益衝突管理為產學合作中不可忽視的重要措施。以往「揭露利益衝突」被視為是管理利益衝突之主要方法[6]，但此種管理利益衝突措施應該加以改進，且須建立處理學研機構內利益衝突之新思維，為了健全國內產學合作發展，政府有必要率先提出更新、更有效率之利益衝突管理方式，才能達到預防、監督、控管效果。本文擬藉由美國產學合作利益衝突法制規範，及美國大學因應解決產學合作利益衝突方式，提出對於本國法制調整之建議。 壹、美國利益衝突管制類型 　　美國利益衝突管制規範分成兩大類型[7]，一是針對政府所屬的研究機構，像美國國家衛生院NIH；另一是一般研究機構或大學(包含公、私立)，當它們申請聯邦政府經費的時候所受規範。如果是對於政府所屬的研究機構，它的利益衝突規範是比後者更為嚴格，因為研究人員直接領取國家薪水和使用國家經費，負有更多「公」的任務。舉例而言：一名美國國家衛生院研究員，亦是研究阿茲海默症的知名科學家，因其研究與藥廠間的利益衝突，於2006年12月被聯邦法院判決有罪，隨後被迫從NIH 離職。三名哈佛大學醫學院教授，2009年3月由檢察官、聯邦衛生福利部進行調查，他們擔任某藥廠顧問，但同時發表研究論文，支持醫界增加使用該藥廠生產之特定藥物，被質疑有利益衝突問題[8]。 貳、美國利益衝突管制規範 　　美國聯邦法律規定（18 US Code §208－Acts affecting a personal financial interest[9]），凡是向聯邦政府申請研究經費的各個學術機構，無論公立或是私立，其研究人員都必須向所屬機構「申報揭露」自己及家人與產業界的的財務上利益，並接受機構的審查監督，以避免科學研究的誠實正確性被個人利益影響，確保病人或受試者的安全與權益，並且維護社會大眾對於科學研究的信賴[10]。 　　1995年10月公布的美國國家科學基金會（以下簡稱「NSF」）《研究員財務揭露政策[11]》，與食品藥物管理局（以下簡稱「FDA[12]」）《研究規範中的客觀性[13]》規範中，提出了相當近似的概念，均要求學研機構須訂有「書面記載利益衝突的政策，並對利益衝突的政策應落實執行」；利益衝突政策內容至少要包含（1）限定且具指標性的財務報告，（2）任命特定人檢閱此等報告，（3）管理機制實施，且當發現無法解決的問題時，應向出資機構報告等[14]。 　　其中NSF的《研究員財務揭露政策》規定：「當能合理地認為有顯著的利益，能直接或顯著的影響此項研究或教育活動的報告、行為、設計時，即認可在此存在利益衝突。『顯著的財產上利益』，指任何有價的物品，不限於薪水或其他服務提供對價（如諮詢費或報酬）、股本利益（如股票、股票選擇權，或其他財產利益），和智慧財產權（如專利、著作權，和其他權利的授權利潤）[15]」。 參、學研機構自主管理機制 　　美國對於產學利益衝突的管制，主要是透過政府、學術組織、大學等方面加以控管。就大學而言，以麻省理工學院為例，教職員雖可擔任企業顧問，但不可擔任企業的正式職員，對於個人的企業持股，必須受到各系所委員會的監督審查，在校內的研究方向亦須和其所持股公司之職責有所區別[16]。另外，哈佛大學在1993年即制訂利益衝突的行為規範，其中包括授權對象係由技轉辦公室整體評估，當教研人員與授權相關的研究成果發表時，必須公開財務利益關係及其內容[17]。而史丹佛大學關於技術授權，則有完整的標準作業流程（Research Policy Handbook）及利益衝突政策[18]，可供校內教研人員依循參考。 　　許多美國學研機構都列有利益衝突的規範，甚至是管理利益衝突的專屬委員會，當研究人員就其研究結果牽涉個人或家人的商業利益時，原則上就不得參與該研究計畫。這也正是「美國全國醫學院聯盟[19]」(American Association of Medical Colleges，簡稱「AAMC」) 及「美國全國大學協會[20]」(Association of American Universities，簡稱「AAU」) 所建議的利益衝突規範標準；「美國大學技術經理人協會[21]」（The Association of University Technology Managers，簡稱「AUTM」）的技術移轉實務指南，對利益衝突部份也著墨甚多[22]。當學研機構明確管理標準，就能避免掉許多爭議，而能在產學合作與維持科學信任間取得平衡。 肆、結論與建議 一、美國利益衝突規範越趨嚴格 　　美國自1995年起便將利益衝突規範入法，早期政策比較寬鬆但隨著法令修改後逐漸趨於嚴格。2011年8月美國國家衛生主管機關[23]（HHS），亦修正公布有關「公共衛生經費贊助之研究案，申請人有義務促進科學研究之客觀性」（42 C.F.R. Part 94）及「應負責的潛在契約主體」（45 C.F.R. Part 94）此二部分相關規定[24]，要求接受國家衛生主管機關贊助款項或與國家衛生主管機關合作機構，必須符合上開二部分監管規定[25]。首先，除申報門檻降低外，凡與研究者在所屬機關內之工作義務或責任有關的所有利益，均須申報，不再限於1995年規定的財務上利益方須申報。其次，新規定也從原僅須向研究計劃主持人所屬機關申報的「內部揭露」，改成須向大眾公開的「外部揭露[26]」，並強制要求所有執行聯邦政府資金補助計劃之研究者，定期接受包括利益衝突相關規範在內的研究倫理訓練[27]。另外自2013年起，美國的醫材與藥品製造者，每年須定期透過電子申報方式，提供所資助學研機構與金額資料，低至10美元以上都得通報；美國聯邦衛生福利部與國民健康有關的政府資助計畫（PHS funding），針對財務利益衝突也詳加規範認定、申報及處理之措施[28]。 二、我國利益衝突政府規範不足 　　我國針對「科研機構及其人員利益衝突」問題，於民國100年通過修正的《科學技術基本法》第6條第3項規定，凡由政府出資的科技研究其所獲得之智慧財產及成果，關於其歸屬及運用，針對「迴避及其相關資訊之揭露事項」，授權行政院統籌及各主管機關訂定相關子法，即修訂《政府科學技術研究發展成果歸屬及運用辦法》第5條；《科學技術基本法》第17條針對「技術作價投資比例及兼任職務與數額」事項，授權行政院會同考試院訂定相關辦法，即增訂《從事研究人員兼職與技術作價投資事業管理辦法》第4至8條。目前各主管機關已陸續完成相關子法修正，要求學研機構制定內部管理機制及利益衝突規範。 　　雖然在《科學技術基本法》修訂後，對於產學合作利益衝突問題已有初步規範，但由我國產學合作利益衝突子法可得知，目前政府主管機關並未有ㄧ套完整、具體之產學合作利益衝突監管政策，且各主管機關標準寬鬆不ㄧ，欠缺實質完整監管機制，無法切實維持政府所資助研究計畫之客觀性。其中針對政府補助計畫所涉利益衝突的申報揭露範圍事項和具體數額，及申報揭露後之審核與糾正等，相關子法條款並未如同美國主管機關建立具體管制措施，及「向社會大眾公開揭露」之管制模式，以有效達到預防、監督、控管效果。 三、配套法令機制具體修正建議 　　為有效達到預防、監督、控管效果，本文建議政府參考美國衛生主管機構HHS所制定之利益衝突監管規定，制定資助機構利益衝突基本原則並提供指引協助、將研究人員含配偶及未成年子女於特定定期間內獲得超過一定金額以上報酬或股權利益、智慧財產權等重大財務利益收益列為揭露事項、要求研究人員應定期接受教育訓練、由學研機構於申請補助時及發現利益衝突時向資助機關提出報告、要求學研機構明訂解決利益衝突方式例如請該研究人員退出計畫、修改計畫、減少或消除持股等，並對未被即時查覺或管理的利益衝突事件於限期內回顧審查並向資助機關報告。透過上述內部/外部監控，蒐集學研機構之利益衝突政策及相關資訊（透明化機制），助益資助機關進行調查評估違反利益衝突情形並酌量是否必須暫停補助款之發放，如此將可進一步建立更完整、具體之產學合作利益衝突監管法令制度。 [1] Bayh-Dole Act，Landmark Law Helped Universities Lead the Way http://www.autm.net/advocacy-topics/government-issues/advocacy-public-policy/legislative-issues/bayh-dole-act/ (最後瀏覽日：2015/11/26)。 [2] 南佐民，＜《拜杜法案》與美國高校的科技商業化＞，《比較教育研究》，第25卷第8期，頁75-78（2004）。 [3] 王偉霖，＜產學合作引發利益衝突及知識近用限制之研究＞，第二屆科技發展與法律規範學術研討會，頁1-2（2008）。 [4] 新台灣國策智庫網站，＜由陳垣崇事件省思台灣的國家創新系統＞，http://www.braintrust.tw/article_detail/251（最後瀏覽日：2015/11/26）。 [5] 2011年6月22日檢調懷疑中研院生醫所所長陳垣崇，將兩種人體專利試劑轉移給與其親屬相關的世基公司，再轉賣回中研院，因此約談陳垣崇夫婦及其助理，以及搜索陳垣崇辦公室。陳垣崇最後以六十萬元交保。這是台灣最高學術桂冠的中研院，第一次遭檢調搜索，若遭起訴，也將是第一位院士遭到起訴。陳垣崇案，引發最大的爭議就是技轉後，科學家能否與這家公司繼續合作以及合作模式為何，此為檢調偵辦的重點。 [6] 王偉霖，＜產學合作引發利益衝突及知識近用限制之研究＞，第二屆科技發展與法律規範學術研討會，頁2-3（2008）。 [7] 王偉霖，＜美國產學合作制度利弊之檢討－台灣科學技術基本法之借鏡＞，《世新法學》，第3期，頁1-41（2006）。 [8]陳志剛，＜論生物醫學產學合作中利益衝突之規範＞，中原大學財經法律系碩士論文，頁23-24（2013） [9] 刑法利益衝突及除外規定：嚴格禁止國家機關行政人員(含官員與受雇主)之決定涉及其知識上、本身、配偶、未成年子女、合夥人、或其服務組織之財務利益；事先向指派其任務的長官諮詢過，完全揭露此利益；服務之需要性遠超過其潛在利益衝突；原則公開揭露，不公開為例外。https://www.law.cornell.edu/uscode/text/18/208（最後瀏覽日：2015/11/26） [10]5 C.F.R. Part 2640: Interpretation, Exemptions, Waiver Guidance Concerning 18 U.S.C. 208 (Acts Affecting a Personal Financial Interest)。http://www.oge.gov/Laws-and-Regulations/OGE-Regulations/5-C-F-R--Part-2640--Interpretation,-Exemptions,-Waiver-Guidance-Concerning-18-U-S-C--208-(Acts-Affecting-a-Personal-Financial-Interest)/（最後瀏覽日：2015/11/26）。 [11] NSF 510 CONFLICT OF INTEREST POLICIES（July 2005），http://www.nsf.gov/pubs/manuals/gpm05_131/gpm5.jsp#510（最後瀏覽日：2015/11/26）。 [12] 對於美國生技產業而言舉足輕重的管制機關食品藥物管理局（FDA），自1999年起也要求申請產品上市的藥廠和醫材公司於提出申請時，必須揭露其當做申請基礎的臨床試驗研究者，和該公司之間的財物給付和財務利益關係，以便FDA進行審查時評估上述關係是否影響研究設計及數據可信度。 [13] FDA CONFLICT OF INTEREST POLICIES，http://www.fda.gov/iceci/compliancemanuals/regulatoryproceduresmanual/ucm176718.htm#SUB3-5-1（最後瀏覽日：2015/11/26）。 [14] 劉江彬，＜借鏡美國利益衝突管理＞，高教技職簡訊：高教論壇，2012年10月12日，http://tekezgo.com/index.php?do=news&act=detail&id=103（最後瀏覽日：2015/11/20）。 [15] 曾瑞鈴，＜院資本主義下的美國生技醫藥產業：兼論台灣現況＞，《社會科學論叢》，第3卷第2期，頁119-154（2009）。 [16] 麻省理工學院：MIT Policies and Procedures－4.4 Conflict of Interest，http://web.mit.edu/policies/4/4.4.html（最後瀏覽日：2015/11/26）。 [17] 哈佛大學：Policy on Conflicts of Interest and Commitment，http://hms.harvard.edu/about-hms/integrity-academic-medicine/hms-policy/faculty-policies-integrity-science/interim-policy-statement-conflicts-interest-and-commitment（最後瀏覽日：2015/11/26）。 [18] 史丹福大學：Research Policy Handbook https://doresearch.stanford.edu/policies/research-policy-handbook，Faculty Policy on Conflict of Commitment and Interest (RPH 4.1)，https://doresearch.stanford.edu/policies/research-policy-handbook/conflicts-commitment-and-interest/faculty-policy-conflict-commitment-and-interest（最後瀏覽日：2015/11/26）。 [19] American Association of Medical Colleges (AAMC), Task Force on Financial Conflicts of Interest in Clinical Research, 78 ACADEMIC MEDICINE 225 (2003), https://www.aamc.org/download/75302/data/firstreport.pdf (last visited Nov. 26, 2015) [20] Association of American Universities (AAU), Framework Document on Managing Financial Conflicts of Interest, Elements of a Conflict-of-Interest Policy 1-13 (1993), http://www.aau.edu/WorkArea/DownloadAsset.aspx?id=2690 (last visited Nov. 26, 2015) [21] The Association of University Technology Managers (AUTM), Conflicts of Interest Policies, http://www.autm.net/resources-surveys/technology-transfer-practice-manual/ttp-manual-2nd-edition/volume-1-pr-test/1/pertinent-policies/strong-conflict-of-interest-policies-strong/ (last visited Nov. 26, 2015) [22] 李素華，＜美國技術移轉相關立法與機制之簡介＞，《技術尖兵》，第55期，頁17（1999）。 [23]5 CFR Part 5501 - Supplemental Standards Of Ethical Conduct For Employees Of The Department Of Health And Human Services美國衛生主管機構補充標準。1995放寬取消院外活動的時間數、報酬與持股等限制，一年最高總酬勞可超過5萬美元，但是必須填寫利益衝突揭露表，目的留住高水準科學家。2005年趨嚴禁止所有的科學家從事院外的諮詢、演講等活動，賣掉所持有的生技藥物公司股份，非生技的股票必須低於1.5萬美元。https://www.law.cornell.edu/cfr/text/5/part-5501（最後瀏覽日：2015/11/26） [24] 2011 Public Health Service (PHS) Regulations: Responsibility of Applicants for Promoting Objectivity in Research for which PHS Funding is Sought (42 C.F.R. Part 50, Subpart F); Responsible Prospective Contractors (45 C.F.R. Part 94)，http://grants.nih.gov/grants/policy/coi/（最後瀏覽日：2015/11/26） [25] 李毓華，＜從美國生醫研究利益衝突新規範檢視我國相關法制＞，《醫事法學》第19卷第2期，頁22-24（2012）。 [26] 財務揭露報告義務：填寫實質受影響組織財務利益表格－HHS Form 716 (共14頁；公開)，https://ethics.od.nih.gov/forms/hhs-716f.pdf；HHS From 717-1 (共14頁；不公開)，https://ethics.od.nih.gov/procedures/HHS-717-1-Employee-Instructions.pdf（最後瀏覽日：2015/11/26）；美國國會2010年通過的健康保險改革立法裡，規定生醫廠商必須定期向政府申報其給付醫師及教學醫院的顧問費、研究經費、差旅費、餐費等酬勞和補助，以及其在各該公司的投資及股份，並必須對外公開揭露，一般大眾均可查詢。 [27] 劉靜怡，＜透明治理與公共課責＞，蘋果日報即時新聞，2014年07月11日，http://www.appledaily.com.tw/realtimenews/article/new/20140711/431221/（最後瀏覽日：2015/11/26）。 [28] 陳志剛，＜論生物醫學產學合作中利益衝突之規範＞，中原大學財經法律系碩士論文，頁78-84（2013）

機關實體安全維護現行法制與實務運作之研析（下） 科技法律研究所 2013年08月25日 貳、澳洲防護性安全政策架構：機關實體安全維護政策暨相關規範 一、「防護性安全政策架構」概說 　　防護性安全政策架構（Protective Security Policy Framework）[1]由澳洲司法部（Attorney-General’s Department）發布，最新版本修訂於101年12月，其宗旨在協助機關有效鑑別安全風險容忍度的等級、達成安全維護之要求並因應各機關業務目標發展適合的安全文化，同時也能達到預期的行政效能、獲得人民及國際間的信任。其架構設計成四個層次。 　　最上層為「政府業務安全性指令（Directive on the security of government business）」，屬於防護性安全政策架構的基石，訂明機關及委外廠商的安全性要求。第二層進一步訂定「核心政策/法定強制要求（Core Policies/Mandatory Requirements）」，核心政策從三大面向出發：人員安全、資訊安全及實體安全。第三層則分別就三大核心政策制訂細節性的實施指引、安全保護措施和風險管理文件的範本，包含應用標準，使所有機關作法具一致性，使跨部門的業務執行更加順暢。最末層則為「機關特定防護安全政策與程序（Agency-Specific Protective Security Policies& Procedures）」，協助機關發展出合乎自身特性和業務需求的專屬政策和程序，同時補充和支援其他機關的的營運程序。 二、機關實體安全管理指引：管制區及風險減輕控制[2] 　　本指引的規範客體為政府機關內所有人員及接受政府機關委外安全維護服務的承包商（contractor）及個人。保護範圍涵蓋所有政府設備設施、實體資產及機關人員駐點場所，但若澳洲法律有比本指引更嚴格的要求，應優先遵守。規範內容可分成四大項：降低風險與確保措施（risk mitigation and assurance measure）、管制區方法論及要求（the security zones methodology and requirements）、個別控制要素（detail of individual control measures）、行政管理上的實體安全要素（Physical security elements in administrative security）。 （一） 降低風險與確保措施 　　機關應依指定之標準和要求進行風險評估[3]及風險管理[4]。風險評估是設計安全維護措施的基礎，且至少每兩年便應重新評估。又機關可能因為某些特別的原因易生潛在的特定威脅，需要額外的加強實體安全性，機關可以透過檢視自己業務是否具爭議性、辦公場所地區犯罪發生率、出入訪客數量及以往發生衝突的機率、是否因持有特定資訊或資產而易於成為攻擊目標、設施是否與民間企業共構及其他誘因等進行風險評估。 　　接著，機關應依風險程度差異區分不同安全等級的工作區，或區分上下班時間，評估可能遇到不同的風險。例如，上班時間會有洽公民眾或訪客，需特別注意內部威脅；下班後則要特別注意外部入侵問題。又辦公室動線的設計與有效的安全控制攸關，故可以考慮進行「關鍵路徑規劃（Critical path）」，亦即在動線設計上，讓可能的外來危險入侵到辦公場所核心領域的成功時間盡可能延長，使應變小組有時間偵測、延遲並能及時回應跟阻止入侵。最後，機關若能擁有獨立建物時，於設計時需考量「透過環境設計預防犯罪（Crime prevention through environmental design/CPTED ）」，避免建物有太多死角而易於進行不法或犯罪行為[5]。 （二）管制區方法論及要求 　　管制區（Security Zone）共分為五個安全等級，也就是依風險評估劃分工作區，並賦予相應的控管措施[6]。機關得按自身需求決定要設置幾個等級的管制區。例如，一級管制區指公眾可出入的場所、車輛會不斷進出的作業區，故得使用、儲存的資訊及資產敏感性不得超過一定等級；二級管制區是所有員工及委外廠商的自由出入的區域，公眾在一定條件下得出入，通常是指標準辦公場所、機場工作區或具一定隔離、出入管制措施的訪客區或展示區；三級以上管制區則對於能進出的內部人員的資格益加限縮，且外部人士或委外廠商可能需由專人全程護送，同時也能使用或儲存高重要性的資產和資訊，如情報機構本身即屬五級管制區。 （三）個別控制要素 　　此部分在提供機關判斷、選擇控制措施的準則，機關可以根據風險評估的結果選擇相應的安全控制措施，共分為15項，主要包括了澳洲安全建設及設備委員會（The Security Construction Equipment Committee/SCEC）認可的產品目錄清單及產品選擇標準的指導手冊、建築物安全配備的標準、警報系統與相關設備、門禁管制、訪客管控、警衛與保全人員的聘用、安全置物箱或保險庫及周遭環境的安全管制（Perimeter access control）等。 　　又警衛與保全人員之聘用，必須擇用有證照者。澳洲依行政區有不同的保全證照制度與規定[7]，以澳洲首都區（ACT）為例，主要係依2003年保全業法（Security Industry Act 2003）[8]、2011年保全業修正法（Security Industry Amendment Act 2011）[9]及2003保全業規則（Security Industry Regulation 2003）[10]，證照共分五種：保全公司證照、保全人員證照、保全教官證照、見習保全證照及臨時保全證照。保全證照每三年需換發一次。另外，若在販賣酒精的場所工作或需使用槍枝，則需另外取得許可。 　　澳洲保全業的主管機關為法制服務辦公室（Office of Regulatory Service），職掌教育訓練、監督與查核、自我規範、資訊分享及強制執行。主要查核項目為定期檢查及工時外的抽查（afterhours inspection），前者著重於申訴案，證照的暫時中止或撤銷懲處；後者著重於高風險事件，例如非法經營的保全公司、不適當行為及保全業非法雇用未成年人員等[11]。 （四）行政管理上的實體安全要素 　　在行政作業程序上，機關得運用一些實體設備設施達成安全管理的需求，例如在傳遞小量的實體資產或資訊（如公文紙本）至其他機關，應使用保險箱、集裝箱；又銷毀機密紙本時使用碎紙機或水銷方式等。 三、防護性安全管理指引：委外服務與職能安全性 [12] 　　本指引在協助機關將業務委外時，如何建立完善的委外政策和擬定契約，詳述防護性安全政策架構4.12節以及機關要如何遵守政策架構下第12條規定：「機關必須確定委外服務廠商遵守本政策架構及所有的防護性安全規則書（protective security protocols）的要求」。由於委外服務的執行人員能夠進入機關內部辦公場所、接近機關資訊資產，故機關有責任建立人員安全控管程序（necessary personnel security procedures），管理委外服務的安全性風險。本指引提供一個持續性、結構性的方法幫助機關決定：委外廠商經營場所應有的安全維護措施、委外廠商使用人員的安全調查程序（security clearance requirements）及契約中安全管理措施的約定（protective security management arrangements）[13]。 　　契約中必須明訂委外廠商應遵守的相關法律規定、機關所需的必要安全維護要求與遵守期間、規律和持續性的監督辦法（例如機關代表可進入委外廠商的經營場所進行查核，檢視各項紀錄或設備設施）及危安事件發生時廠商的通報義務。機關依防護性安全政策架構所擬訂獨有的政策與程序，其內容必須於契約中明確的約定，不允許概括約定委外廠商必須遵守防護性安全政策架構。又機關的安全性要求可能會隨時間而變化，所以該部分的約定宜與本約分開，以利日後修正與變更。 　　若委外廠商的執行人員因業務得接近機密或敏感性資訊資產，必須通過安全查核程序（Security Clearance）[14]；若不需接受安全查核，則需簽署保密條款（Non-Disclosure Agreement），機關應諮詢法律專業意見制訂屬於機關本身特定的保密條款[15]，有複委外情形時亦同。機關可以從澳洲政府安全調查局（Australian Government Security Vetting Agency /AGSVA）調出相關人員的安全調查資料，如果該人員擁有尚未逾期且屬機關需求等級的安全資格，機關就不需要再做一次調查。 參、建議與結語 　　藉由對澳洲立法例之研析，可發現澳洲對於機關的辦公場所、設備設施及出入之內外部人員的控管，有嚴謹縝密的管理機制與具體標準供機關依循。相較於此，我國相關法制框架尚有強化空間，建置更明確性、細節性之規範及標準作業流程。例如我國法制上僅有「責任區」的概念，可考慮引進「管制區」及「關鍵路徑規劃」等項目。其次，機關宜將自訂的安全維護機制確實內化至與委外保全業者的契約內，訂明權利義務關係、落實監督管理辦法、監控畫面資料儲存、備份和刪除方式及保密義務範圍（如機關監視系統配置、巡邏時間）等，另考量當機關日後對於安全性要求之修正與變更可能，委外契約與安全性要求的細部文件宜分開訂立。至人員管控部分，應重視預防勝於治療之概念，於適當時（例如對負責監控機關內部監視系統或夜間巡邏等對機關生態、人員活動及弱點相當清楚者）採取如澳洲的安全查核程序，對人員擔任保全工作的適性程度進行評價，而不僅以保全業法所訂之資格條件作為唯一判準。 　　末者，機關之實體安全維護，是否適合全權委外保全業者，尤以本身屬高重要性的機敏機關而言，值得再斟酌，在保全人員素質頗受爭議與警政機關因業務繁重而無法有效輔導管理保全業的困境下，或可考慮是否有必要在組織內編列專職維安人員。 [1]Australian Government: Attorney-General’s Department （2012, December）. Protective Security Policy Framework-securing Government business. Version1.5. Retrieved from http://www.protectivesecurity.gov.au/pspf/Documents/Protective%20Security%20Policy%20Framework%20amended%20December%202012.pdf （last accessed May.29,2013） [2]Australian Government: Attorney-General’s Department （2011, June）, Physical security management guidelines: Security zones and risk mitigation control measures, Retrieved from http://www.protectivesecurity.gov.au/physicalsecurity/Documents/Security-zones-and-risk-mitigation-control-measures.pdf ,下稱「本指引」. [3]Australian Standard AS/NZS ISO 31000:2009 Risk Management–Principles and guidelines, Australian Standards HB 167:2006 Security risk management. [4]Australian Standards HB 167:2006 Security risk management . [5]相關建議可參考以下連結：Designing Out Crime: crime prevention through environmental design,Crime Prevention through Environmental Design Guidelines for Queensland. [6]詳細規定由機關安全顧問（Agency security advisers /ASAs）發布，請參本指引第15至20頁 [7]Australian Security Industry Association Limited （n.d.）. Information about security licensing requirements and regulators in each state or territory. Retrieved from http://www.asial.com.au/Whoshouldholdasecuritylicence.（last accessed June.4,2013）. [8]ACT Government（n.d.）. Security Industry Act 2003..Retrieved from http://www.legislation.act.gov.au/a/2003-4/default.asp（last accessed June.4,2013） . [9]ACT Government（n.d.）. Security Industry Amendment Act 2011. Retrieved from http://www.legislation.act.gov.au/a/2011-37/ （last accessed June.4,2013）.其他相關規範請參http://www.ors.act.gov.au/industry/security_industry/legislation （last accessed June.4,2013）. [10]ACT Government（n.d.）. Security Industry Regulation 2003. Retrieved from http://www.legislation.act.gov.au/sl/2003-30/default.asp （last accessed June.4,2013）. [11]ACT Government（n.d.）.Security Industry Licensing Practice Manual. Retrieved from http://www.ors.act.gov.au/publication/view/1689/title/security-industry-licensing-practice-manual （last accessed June.4,2013）. [12]Australian Government: Attorney-General’s Department （2011, September）. Protective security governance guidelines-security of outsources services and functions. Version1.0. Retrieved from http://www.protectivesecurity.gov.au/governance/contracting/Pages/Supporting-guidelines-for-contracting.aspx （last accessed June.7, 2013）. [13]「防護性安全措施」Protective security依澳洲政府所發佈的「專門術語詞彙表」（glossary of security terms）的定義，指一套包括程序、實體、人員及資訊四大方向的安全維護措施，保護資訊、機關機能運作、內部人員和外部訪客。請參http://www.protectivesecurity.gov.au/pspf/Pages/PSPF-Glossary-of-terms.aspx [14]請參PSPF Australian Government personnel security core policy – PERSEC 1.。 [15]請參本指引第11頁的附件A：NDA範本。