基因轉殖複製羊 創造生技產業的新利基

防止境外勢力影響國家安全，加拿大將敏感技術納入投資審查 資訊工業策進會科技法律研究所 2026年02月04日 加拿大創新、科學與經濟發展部（Innovation, Science and Economic Development，ISED）擬於2026年夏天公告修正後之《加拿大投資法》（Investment Canada Act，ICA）[1]，以敏感技術為投資審查中，對國家安全風險之評估要件[2]；並對該類型之投資，採事前申報制[3]。加拿大政府定期盤點敏感技術項目，研究者應自行評估其研究計畫有無涉及敏感技術；ISED亦試圖於2026年，以投資審查方式，防免境外勢力取得加拿大敏感技術，本文分析如下。 壹、背景摘要 依據加拿大於2025年10月公布之《2025年至2027年監理前瞻計畫：外國投資審查與經濟安全部門》（2025-2027 Forward Regulatory Plan – Foreign Investment Review and Economic Security Branch），於C-34法案（Bill C-34）中修正ICA[4]。本次之ICA草案，為對《國家安全投資審查條例》（National Security Review of Investments Regulations）和《加拿大投資條例》（Investment Canada Regulations）之修正[5]。申言之，ICA草案以相關的投資條例為修正標的，提升外國投資對加拿大國家安全之風險評估。 ICA為加拿大政府審查外國投資之依據。目的為審查重大外國投資，對加拿大之淨經濟效益（net economic benefit），與投資有無可能損及加拿大之國家安全[6]。C-34法案於2024年3月通過，大部分條款於2024年9月生效。新修正之ICA聚焦於強化加拿大投資的透明度，與投資者的可確定性，並賦予加拿大政府必要的審查權限[7]。 貳、重點說明 一、階段生效，ICA納入對敏感技術之國安審查 ICA採分階段生效之立法模式，2024年9月生效的條款，主要為擴張ISED部長的審查權限，審慎評估外國投資對國家安全的影響[8]。修正內容為授權ISED部長得延長對國家安全之投資審查期限，與臨時提出審查條件[9]；投資者所提出的承諾具有拘束力，得作為審查的依據，並視情形要求修改或解除承諾[10]。以及強化與國際執行投資審查業務之主管機關共享資訊，和提升司法審查過程中對資訊之保護等[11]。 針對敏感技術之投資審查，ISED預計於2026年夏天公布最終版本[12]。ICA草案擬要求事前申報對敏感產業領域（sensitive sectors）之投資，並強化對違規行為的處罰力度，且主管機關具審查國營事業投資淨效益的權限等[13]。 綜上所述，ICA之修正，要求境外投資敏感技術應事先申報，以評估對於國家安全之影響。並配合2024年9月生效的條款，賦予ISED部長得依據個案情形，彈性調整審查期限或條件，以因應不同類型的投資風險。 二、配套措施，全面保護敏感技術 （一）敏感技術連接投資審查 加拿大於2025年3月5日修訂《國家安全投資審查指引》（Guidelines on the National Security Review of Investments），於審查境外投資應考量之國家安全因素，包含該投資對加拿大國防與國家利益之潛在影響；投資若屬於2025年2月6日公布敏感技術清單（Sensitive Technology List）項目[14]之研究、設計、製造，則可能影響加拿大境外敏感技術的移轉[15]。亦即若為與敏感技術相關的投資，應經國家安全審查。 （二）敏感技術研究計畫之評估 加拿大於2025年5月7日更新「敏感技術研究領域清單」[16]，研究者應依據《敏感技術研究與附屬機關（構）政策》（Policy on Sensitive Technology Research and Affiliations of Concern），先自行評估所研究之技術，是否歸屬於加拿大政府公布之敏感技術類型；次為檢視參與研究人員所隸屬之機關（構），是否屬於加拿大政府公布之「指定研究機關（構）清單」[17]。若研究目的為產出敏感技術，或研究過程有助於敏感技術的發展，則參與該敏感技術研究的人員，不得與指定研究機關（構）具有隸屬關係，或受該些機關（構）的資助[18]。換言之，若預期的研發成果可歸類為敏感技術，則計畫經費應排除來自於特定的機關（構），或與執行計畫人員具隸屬關係。 （三）國內外敏感技術研究合作 依據ISED發布《研究合作的國家安全指引》（National Security Guidelines for Research Partnerships），敏感研究的國內外合作，有國家安全風險者，包含具軍民兩用應用潛力技術的研究；或於該研究中產出的技術，能協助提升國外的軍事、情報與監視能力，擾亂加拿大經濟、社會和關鍵基礎設施，損害加拿大國家利益[19]。研究者應識別潛在的風險，並採取必要的緩解措施，以保護敏感技術的研發成果[20]。此有助研究者評估風險，避免敏感技術因國內外之合作研究，而外洩相關的研發機密。 參、事件評析 外國對加拿大敏感技術研究、設計、製造等之投資，納入投資審查的項目，以避免技術外流所形成的國家安全風險。研究計畫若涉及敏感技術，參與計畫之人員，亦應避免與加拿大政府列舉之特定機關（構）具有隸屬關係，或受其資助；並提供研究者指引，以識別合作研究的潛在風險。加拿大以ICA之國安審查，防堵敏感技術經由投資手段外流。ICA之執法，對敏感技術之保護效能，仍有待評估。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1] Innovation, Science and Economic Development Canada, Red Tape Review – Foreign Investment Review and Economic Security Branch, Government of Canada Gouvernement du Canada, 2025-09-08, https://ised-isde.canada.ca/site/acts-regulations/en/red-tape-review-progress-report/red-tape-review-foreign-investment-review-and-economic-security-branch (last visited Jan. 13, 2026). [2] Innovation, Science and Economic Development Canada, What is the Investment Canada Act?, Government of Canada Gouvernement du Canada, 2024-11-20, https://ised-isde.canada.ca/site/investment-canada-act/en/what-investment-canada-act#s4.2 (last visited Jan. 20, 2026). [3] Innovation, Science and Economic Development Canada, Modernization, Government of Canada Gouvernement du Canada, 2025-08-21, https://ised-isde.canada.ca/site/investment-canada-act/en/investment-canada-act/modernization (last visited Jan. 20, 2026). [4] Innovation, Science and Economic Development Canada, 2025-2027 Forward Regulatory Plan – Foreign Investment Review and Economic Security Branch, Government of Canada Gouvernement du Canada, 2025-10-09, https://ised-isde.canada.ca/site/acts-regulations/en/forward-regulatory-plan/foreign-investment-review-and-economic-security-branch (last visited Jan. 13, 2026). [5] Id. [6] Innovation, Science and Economic Development Canada, supra note 1. [7] Id. [8] Id. [9] Id. [10] Innovation, Science and Economic Development Canada, supra note 3. [11] Id. [12] Innovation, Science and Economic Development Canada, supra note 1. [13] Innovation, Science and Economic Development Canada, supra note 3. [14] Sensitive Technology List, Government of Canada Gouvernement du Canada, 2025-02-06, https://www.canada.ca/en/services/defence/nationalsecurity/sensitive-technology-list.html (last visited Jan. 15, 2026). [15] Guidelines on the National Security Review of Investments, Government of Canada Gouvernement du Canada, paragraph 9(i)(ii), March 5, 2025, https://ised-isde.canada.ca/site/investment-canada-act/en/investment-canada-act/guidelines/guidelines-national-security-review-investments (last visited Jan. 20, 2026). [16] Sensitive Technology Research Areas, Government of Canada Gouvernement du Canada, 2025-05-07, https://science.gc.ca/site/science/en/safeguarding-your-research/guidelines-and-tools-implement-research-security/sensitive-technology-research-and-affiliations-concern/sensitive-technology-research-areas#top (last visited Jan. 15, 2026). [17] Innovation, Science and Economic Development Canada, Policy on Sensitive Technology Research and Affiliations of Concern, Government of Canada Gouvernement du Canada, 2025-05-22, https://science.gc.ca/site/science/en/safeguarding-your-research/guidelines-and-tools-implement-research-security/sensitive-technology-research-and-affiliations-concern/policy-sensitive-technology-research-and-affiliations-concern (last visited Jan. 15, 2026). [18] Id. [19] Innovation, Science and Economic Development Canada, National Security Guidelines for Research Partnerships, Government of Canada Gouvernement du Canada, 2025-05-12, https://science.gc.ca/site/science/en/safeguarding-your-research/guidelines-and-tools-implement-research-security/national-security-guidelines-research-partnerships#top (last visited Jan. 19, 2026). [20] Id.

　　高科技人才缺口逐年擴大，據經濟部統計，三年總計僅有一九二二位海外人才來台，政府延攬海外人才績效不及新加波、韓國。新加坡為鼓勵企業延攬國際人才，企業招聘的支出可減稅，並提供人才高薪和住房，在新加坡工作的外籍人員還可參加星政府資助的國內外培訓等獎勵措施。韓國在二○○三年更擴大辦理延攬海外科技人才，除延長外籍人士居留時間、優先核准簽證，外籍技術人員薪資所得並可五年免稅，一年延攬之科技人才高達一萬多人。除此，大陸人才濟濟，新加坡與韓國也主動延攬，新加坡對大陸人才更提供「落地永久居民批准信」。 　　相較於星、韓的積極態度，我國政府對延攬海外人才趨向被動，我國高科技人才需求是由產業提出，政府配合提供誘因，我國以補助外籍人員的來回程機票、保險費，及薪給差額等為主。另礙於兩岸關係，國內並不開放引進大陸人士，大陸碩士以上人才來台每年僅兩位數，主要從事研究活動相關，而非長期工作。 　　針對目前國內科技人才需求緊迫，立委質疑國內科技人才缺乏，政府禁止大陸人才來台，卻不限制科技人才前往大陸，形成不平衡。經濟部表示，將彙整各界意見，再思索推動政策協助；陸委會則擬在六月底前提出積極管理科技人才前往大陸的辦法。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　追蹤、定位、起訴，所有 P2P(BT) 軟體使用者的噩夢再次上演。全美製片業團體「美國電影協會」 ( Motion Picture Association of America ； MPAA ) 在 8 月 25 日對美國境內 286 位居民提起訴訟，成為首宗利用 P2P(BT) 網站伺服器記錄 ( server logs ) 追蹤 ( track down ) 盜版電影下載者的案例。 　　今年 2 月，著名 BT 網站 LokiTorrent 與 MPAA 的大戰告一段落。德州法院下令 LokiTorrent 關閉網站外，並命令 LokiTorrent 將伺服器記錄轉交給 MPAA 的調查員 ( investigator ) 。 MPAA 的發言人聲稱本月 25 日的訴訟與此事件無關，但所有人都明白 MPAA 正是憑此線索，最終找到了 P2P(BT) 用戶的行蹤。好萊塢希望藉此行動阻嚇免費下載電影的行?， MPAA 資深副總裁 John Malcom 聲稱「下載盜版電影的人要當心了，當你為著作權侵害行為時，網路上並不會有朋友站出來替你撐腰。」 　　儘管 P2P(BT) 軟體背負著助長盜版的惡名，但 P2P(BT) 的合法用途也在逐漸增加，例如使用 P2P(BT) 技術分發 ( distribute ) 開放原始碼軟體 ( open-source software ) ，網路瀏覽器軟體公司 Opera 即在新版的程式中內建了此種技術。 BT 技術的發明人 Bram Cohen 曾警告用戶，使用 P2P(BT) 軟體下載盜版是個蠢主意，因?軟體在設計時並未刻意隱藏用戶的識別資訊，這也是為何 MPAA 此次能憑藉著伺服器記錄對用戶提起訴訟的主要原因。