發展奈米 應避開專利地雷

科技部產學合作企業資格認定釋疑 資策會科技法律研究所 法律研究員　林思妤 105年02月15日 壹、前言 　　產學合作，顧名思義，是指產業界與學界合作的模式，為的是讓產業界能有來自學界源源不絕的創新想法以及研發能量；相對地，學界人員自身的知識亦可與產業界作連結，甚至進一步於產業界獲取實務經驗。透過產學合作，雙方得以人才流通、資源共享，以創造更多雙贏局面，促進產業發展，提升國家競爭力。 　　日前我國產學合作有由科技部補助或是由經濟部、教育部建立產學合作資訊平台供相關單位申請利用，各有不同的運作方式。而隨著申請者增加，申請者類型也更多元，些許問題漸漸浮上檯面，尤以「科技部補助產學合作研究計劃作業要點」（以下簡稱作業要點）中合作企業的認定備受關注。 　　故本文將就該作業要點的合作企業認定作一討論。首先，分析合作企業組織型態的適用範圍，再由其組織形態進一步探討合作企業是否應以營利為目的；並就近期部分申請者如補習班、醫療機構、公益性社團法人等，是否符合要點中合作企業的要件一一進行說明。 貳、科技部產學合作要點合作企業認定 　　作業要點第二點第三項中對於「合作企業」定義如下：「係指依我國相關法律設立之獨資事業、合夥事業及公司，或以營利為目的，依照外國法律組織登記，並經中華民國政府認許，在中華民國境內營業之公司，並以全程參與本部產學合作研究計畫（以下簡稱產學合作計畫）為原則」。 一、合作企業應以營利為目的 　　作業要點第二點第三項規範，合作企業為獨資、合夥事業及公司，亦即：一人出資經營、獨掌主權、獨享利益、獨負虧損責任的獨資事業；兩人以上互約出資，以經營共同事業之契約（民法第667條）:共同從事商業經營、共享營利、共負虧損的合夥組織；以營利為目的，依照公司法組織、登記成立之社團法人（含無限公司、兩合公司、有限公司、股份有限公司、閉鎖性股份有限公司等）。申言之，上述各項組織型態皆以營利為目的，故本作業要點合作企業對象應以營利為必要，僅法無明示而已。 　　至於該點後段特明訂以營利為目的之外國公司在我國政府認許之下亦得為合作企業，便再次顯示了以營利為目的之重要性。該項之所以會在外國公司部分特別說明，應是為了避免我國與他國之間對於組織型態在是否以營利為目的的要件上有所不同而強調。 　　故國內補習班、診所為獨資、合夥事業或公司組織，並依相關法規進行設立登記後，應符合作業要點中合作企業之資格。另外，像是各式醫療機構、財團法人、公益性社團法人，則不符合現行合作要點合作企業的要件。 二、補習班及診所適用現行作業要點之合作企業 (一)、補習班組織形態以獨資、公司為主 　　根據經濟部商業司商業登記資料查詢系統[1]，目前我國補習班有獨資、公司的組織型態，像是一般的文理補習班多為獨資[2]，而以公司組織形態設立者，如沈赫哲文教事業股份有限公司等。 　　而在現今強調知識經濟的環境下，數位教育，知識庫的建立是不可或缺的。相關學術單位與補習班可藉由產學合作，達到師資、教材資源的共享、流通，相信多元化的學習方式對於學子必有幫助；同時，這樣的資源分享，亦可降低雙方教學成本。但學校教師是否會因此有被認為是在補習班兼任，以及產學合作產出之教學產品是否需要在行銷方面作限制，以免有學校教師利用產學合作圖利等疑慮皆是隱憂，必須注意。 (二)、診所組織形態以獨資為主 　　診所組織型態則多為獨資，尤以一般常見診所為主[3]。一般而言，各式醫療機構與學界的合作，不外乎是讓醫學體系學生能有機會實習，與實務界共同研究醫療議題，期待醫療技術之進步。然而，在業界的醫護人員，不管是醫院或是診所，都有由醫師公會與學校一起合辦的強制進修課程[4]，課程時數多寡類別，則依醫護人員所持有之專業執照有所不同。姑且不論醫護人員進修效果如何，但診所成為合作企業對象之實益可能有限。 (三)、有限合夥應納入作業要點合作企業範圍 　　2015年6月24日增訂公告有限合夥法所規定之有限合夥組織[5]，亦屬以營利為目的之事業，科技部應可將其納入作業要點合作企業對象範圍。有限合夥組織的增訂是為了提供單純投資者與積極經營者共同從事商業活動的新選擇樣態，賦予投資者與經營者不同權責，期能促進我國產業發展，提升國際競爭力。 三、其他合作企業組織型態認定疑義 (一)、社團法人醫療機構有解釋空間 　　就醫療機構的部分，根據醫療法第十二條，醫療機構設有病房收治病人者為醫院，僅門診者為診所；非以直接診治病人為目的而辦理醫療業務之機構為其他醫療機構。除診所以外，目前醫療機構有由政府機關、公營事業機構或公立學校所設立之公立醫療機構（醫療法第三條）；由醫師或依有關法律規定辦理醫療業務之公益法人及事業單位所設立之私立醫療機構（醫療法第四條）；由捐助人捐助一定財產，以從事醫療業務為目的，經許可設立為財團法人之醫療機構（醫療法第五條），以從事醫療事業辦理醫療機構為目的，經中央主管機關許可登記之社團法人醫療機構（醫療法第五條）[6]。 　　當中，就是否為營利事業的角度來看，社團法人醫療機構結餘可按出資比例分配予社員，具有營利性質，屬所得稅法第11條第2項所稱之其他組織方式成立之營利事業，卻非作業要點稱之獨資、合夥或公司之組織型態，故有其解釋空間，建議可修正作業要點納入之。 (二)、財團法人及公益性社團法人非現行作業要點合作企業 財團法人如基金會、協會，以及公益性社團法人等，非公司法及商業登記法所規範之獨資、合夥或公司等，且非以營利為目的之組織，不適用商業法令之相關規定，其是否得經營營利組織（事業）須依各主管法令規定辦理。又依商業登記法第9條第1項第6款及第7款之立法意旨，係指自然人始得經營商業，則政府機關、人民團體及財團法人均不得為獨資、合夥事業之負責人或合夥人，自無商業登記法之適用。老人安養院，依據老人福利法第37條，老人福利機構不得兼營營利行為，可能不符合本作業要點精神。 (三)、專門職業人員組織非作業要點合作企業組織 　　根據經濟部函釋[7]，依法令規定應由專門職業人員辦理之業務，尚非公司或商業得登記經營之營業項目，自不得以組織公司或獨資、合夥之事業經營。故不符合作業要點合作企業資格。 1.查建築師係建築師法規定之專門職業人員。是以「○○○聯合建築師事務所」之名稱自無涉及商業登記法之適用[8]。 2.物理治療師、技師、護理師[9]亦同。 參、建議與結論 　　綜上所述，現行作業要點之合作企業組織型態唯獨資、合夥，以及公司，且由該組織型態觀之，合作企業對象應以營利為目的。補習班與診所的組織型態因多在規定之合作企業組織型態範圍內，其資格當無疑義。然就醫療機構、財團法人，以及公益性社團法人等組織型態並非現行作業要點合作企業組織型態範圍內，又非皆以營利為目的，是否得申請科技部產學合作相關補助，具有疑義。 　　儘管如此，若由產學合作的目的性為考量依據，放寬科技部產學合作企葉對象，似無不可。當中，建議科技部可隨現行組織型態的增加納入有限合夥，亦可補充非商業登記法範圍內之組織型態，甚至是否有可能於作業要點中納入「不以營利為必要條件」的相關字語，放寬合作企業的認定。如此放寬合作企業對象，必能使產學合作更加多元，促進產業提升。惟放寬資格之際，為了同時把守產學合作素質及效益，或可進行實質必要性檢視，如：合作企業資本額、內部人員持有專業證照類型及比例等，達到產學合作最高效益。 [1]經濟部商業司-商業登記資料查詢。 http://gcis.nat.gov.tw/moeadsBF/bms/bmsInfoListAction.do?method=first&agencyCode=allbf&showGcisLocation=true&showBusi=true&showFact=false (最後流覽日:2015/2/22) [2]以補習班為關鍵字輸入經濟部商業司商業資料查詢系統，點入之後，可看見多數診所為獨資。 http://gcis.nat.gov.tw/moeadsBF/bms/bmsInfoListAction.do [3]以診所為關鍵字輸入經濟部商業司商業資料查詢系統，點入之後，可看見多數診所為獨資。 http://gcis.nat.gov.tw/moeadsBF/bms/bmsInfoListAction.do (最後流覽日:2015/2/22) [4]中華民國醫師公會全國聯合會醫師繼續教育課程一覽表。 http://www.tma.tw/credit/credit_4.asp(最後流覽日:2015/2/22) [5]有限合夥法是有鑒於先前我國營利事業組織型態，大致上可分為具有法人格的公司，以及不具有法人格的獨資及合夥。在實務運作上，因合夥不具法人格，不僅對合夥的經營造成困擾，亦間接降低合夥的競爭力。此外，合夥人對於事業須負連帶無限清償責任，未實際參與合夥事業經營的合夥人承受過大的經營風險，也降低投資者選擇以合夥型態經營商業的誘因。 [6]醫療法人經中央主管機關及目的事業主管機關之許可，得附設下列機構：護理機構、精神復健機構、關於醫學研究之機構、以及老人福利法等社會福利法規規定之相關福利機構。 [7] 經濟部96.11.15經商字第09602149510號函。 [8] 同註3。 [9] 經濟部100.9.16經商字第10002120700號函。

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 　　資訊科技的發展，從早期「超級電腦/大型電腦」、近期「個人電腦」，到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用，未來電腦運算設施就像是水、電；資料儲存與應用就像是銀行，只要連上網路就可以使用，不必各自投資發展。因此，「雲端運算」未來將成為每個國家的重要基礎建設。 　　將雲端運算列為重要的產業發展重心，已是各國的趨勢，而運用雲端運算所帶來的效益，如節省經費、提升效率等，亦為普遍地承認，再加上公部門相較於民間，其擁有較多的經費及資源來進行雲端運算的導入，而藉由公部門導入雲端運算，可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此，各國均皆致力於促進公部門導入雲端運算。 　　然而，在雲端運算帶來龐大經濟效益的同時，伴隨而來的，是新的資訊管理議題，雲端安全防護聯盟（Cloud Security Alliance, CSA）提出了雲端運算可能遭遇的九大安全威脅 ： 一、資料外洩（Data Breaches） 二、資料遺失（Data Loss） 三、帳號被駭（Account Hijacking） 四、不安全的APIs程式（Insecure APIs） 五、拒絕服務（Denial of Service） 六、惡意的內部人員（Malicious Insiders） 七、濫用雲端服務（Abuse of Cloud Services） 八、審慎評鑑不足（Insufficient Due Diligence） 九、共享環境議題（Shared Technology Issues） 　　面對前述的安全威脅，政府部門在考量導入雲端服務時，首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度，以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 　　美國政府在2010年12月發表了25項聯邦IT轉型重點政策，其中一項核心的政策便是「雲優先政策」（cloud first policy）。根據「雲優先政策」，聯邦機構必須在三個月內找出三項轉移到雲端的政府服務，並且要在一年內導入其中一項。 　　然而，此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰，傳統由各機關分頭洽談所導入資訊系統與應用規格之方法，並實施個別的資訊安全需求與政策的作法，對服務商而言，其所提供的相同服務，在各機關導入時，卻必須將受各個機關的審查，造成各機關投入過多的資源在審查程序上，導致政府資源的浪費，不但耗費時間、審查重複，且無法達到建構妥善操作程序的效果。 　　2012年6月6日，聯邦政府總務管理局（General Service Administration, GSA）宣布「聯邦風險與授權管理計畫」（Federal Risk and Authorization Management Program,以下稱FedRAMP）開始正式運作，GSA並表示，「FedRAMP」的正式運作，將解決美國政府在雲端產品及服務需求上，因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費，並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用，預期效益相當可觀。 　　「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範，建立一套可遵循之依據。未來所有雲端產品的服務提供者，都必須遵守及達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 貳、重點說明 　　「聯邦風險與授權管理計畫」主要由預算與管理辦公室（Office of Management and Budget, OMB）負責組織預算與管理；聯邦資訊長（the Federal Chief Information Officer，CIO）負責跨部門的整合；國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析；總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序，並成立計畫管理辦公室（ Program Management Office， PMO）負責FedRAMP之操作與管理；以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準；最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局，組成共同授權委員會（Joint Authorization Board, JAB），負責對服務提供者的授權與定期檢視。 　　FedRAMP制度的精神在於「作一次並重複使用」（Do once ,Use Many Times），同一內容的雲端服務，透過FedRAMP，僅須經過一次的評估與授權，即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性，造成資源浪費的問題，將可獲得解決。當其他機關欲採用雲端服務時，可透過FedRAMP，免去再一次的評估與驗證。 　　FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成，簡單介紹如下： 一、第三方評估機構的認證 　　FedRAMP的特殊之處，在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構（3PAO）來進行審查，而第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下： （一）申請檢視 　　機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力，並且自行檢視FedRAMP網站上的申請表，自行檢視是否合乎要求，然後決定是否提出申請。 （二）完成要求 　　機構須分別完成申請表所要求的系統安全計畫（system security plan, SSP）、系統評估計畫（system assessment plan, SAP）、安全評估報告（security assessment report, SAR）。於完成後向計畫管理辦公室提出申請。 （三）審查 　　在接受申請後，總務管理局會與ISO網路安全專家共同組成「專家審查委員會」（Expert Review Board , ERB），審查該申請。 （四）決議 　　審查完畢後，FedRAMP計畫管理辦公室（PMO）會檢視ERB的意見，決議是否通過該申請。 　　於通過申請後，該機構將會被列入FedRAMP官方網站（www.FedRAMP.gov）的第三方評估機構名單，目前為止，陸續已有十五個機構通過共同授權委員會的授權，日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 　　在「聯邦風險與授權管理計畫」的機制設計中，政府機關或雲端服務提供者任一方，皆可提出申請（Request）啟動雲端服務的安全性評估（Security Assessment）程序，此程序中共有四個主要階段： （一）提出申請 　　在申請人將所須文件初步填寫完畢之後，計畫管理辦公室（PMO）即會指派資訊系統安全官（Information Systems Security Officer, ISSO）進行指導，使之得進行安全控制、出具必要文件、並實施安全測試。之後，PMO會與雲端服務提供者簽署協議，並要求相關機關實施對雲端服務系統的安全性測試。 （二）檔案安全控管 　　雲端服務提供者必須作成系統安全計畫（System Security Plan, SSP），表明安全控制之實施方法，及其相關文件如IT系統永續計畫（IT Contingency Plan）、隱私衝擊調查（Privacy Impact Questionnaire），並送交ISSO進行審查，再由雲端服務提供者就對審查意見予以回覆之後，由ISSO將案件送至共同授權委員會（Joint Authorization Board, JAB）進行審查，以確認所提交的SSP安全措施符合雲端系統所需。 （三）進行安全測試 　　服務提供者與第三方評估機構（Third Party Assessment Organization, 3PAO）簽約，且由PMO約集雲端服務提供者與3PAO，確認雙方對於安全測試實施的期待與時程，再由3PAO獨立進行該雲端系統測試，並完成安全評估報告（Security Assessment Report, SAR），闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果，作成行動與查核點報告（Plan of Action & Milestones (POA&M)），以提出矯正弱點與殘餘風險（residual risks）的措施、資源與時程規劃。 　　雲端服務提供者再將前述SAR與POA&M提交予PMO，由JAB決定是否接受該弱點及其修正計畫，或者提出修正建議。倘若JAB可接受該弱點及其他因應措施，則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 （四）完成安全評估 　　雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案，並提出證明將確實執行其安全控制措施。由JAB檢視此方案，並作出最終決定是否授予「附條件之授權」（Provisional Authorization）。得到此授權的雲端服務提供者名單，將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權，PMO會指導如何進行重新申請。 三、持續的評估與授權 　　持續的評估與授權（ongoing Assessment and Authorization, A&A）通常也被稱為持續監控（Continuous Monitoring），在FedRAMP中第三個也是最後一個流程，透過持續的評估與授權機制，來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面： （一）操作的能見度 　　操作能見度的目標，是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度，而不必政府機構另行要求。 （二）變更控制程序 　　雲端服務提供者更新她們的系統是常有的事，此處的變更控制程序並非針對例行性的維修或變更，而是要求若有發生影響臨時性授權或的顯著變更時，服務提供者必須提供此種具衝擊性變更的有效資訊，使FedRAMP得以評估此變更的影響與衝擊。 （三）事件回應 　　事件回應方面聚焦於新風險和漏洞的因應，服務提供者在發現影響授權的新風險或漏洞時，應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 　　在各國紛紛投入雲端運算的推動熱潮中，我國也不能在此項產業推動中缺席。2010年4月，行政院科技顧問組（現已改組為行政院科技會報）責成經濟部，研擬「雲端運算產業發展方案」；2011年5月，行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」，在內部運作管理面向，將運用新興雲端運算技術推動以全國性的政府雲端應用服務，減少機關重複開發成本，並達成節能減碳效果。 　　雲端的安全問題，無論在私人企業或政府部門，均為選擇導入雲端服務的第一要務，「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點，運用雲端運算技術，創新資安服務價值，確保政府資通安全防護。 　　然而，在服務提供者的安全性方面，我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此，我國可借鏡各國的作法，適度的以透過公正第三方機構驗證，來消除雲端服務安全性的疑惑，並推動一個公開的平台，將通過驗證的廠商公布出來，提供公部門甚至私人企業作選擇，不僅可免去同一服務廠商不斷重複驗證的麻煩，亦可削減選擇上的難題，並藉此發展雲端資安技術與推動雲端產業，使我國的雲端環境能夠更臻成熟。

　　為防止網路服務企業，在提供網路服務上替客戶連接寬頻網路（Breitbandanschluss）時，僅准許使用自家公司提供之路由器（Router），進而導致路由器或數據機（Modem）市場之壟斷狀況，違反市場自由競爭，德國聯邦內閣政府於2015年8月12日決議通過德國聯邦經濟暨能源部（Bundesministerium für Wirtschaft und Energie）於2015年2月25日所提出之「電信終端設備連接與自由選擇法草案」（Gesetz zur Auswahl und zum Anschluss von Telekommunikationsendgeräten）。 　　透過該草案，德國廣播電台與電信發射設施法（Gesetz über Funkanlagen und Telekommunikationsendeeinrichtungen）新增條文，以確保所有的終端設備（Endgeräten）列為市場自由化之對象。透過法定市場自由化的規範亦達成歐盟貨物公開及自由流通（free movement of goods）之原則。 　　該草案亦修定德國電信法（Telekommunikationsgesetz），「客戶之網際網路接取」現被定義為「被動式網絡終端點（passiver Netzabschlusspunkt）」。亦即，網路的架構設定與規劃，以往通常為電信業者所指定及管理，並包括路由器在其中，然而透過新法之修訂，已將路由器排除在被動式網絡終端點外，反而明確定義為積極終端設備（aktives Endgerät）。電信業者的管轄管理權限，以草案之修訂在路由器端前就會被設限。因此，讓網際網路使用者自己可使用自己裝置的路由器來定義自身的積極連接點（aktives Zugangspunkt）。 　　然而，網路營運者仍然可以提供其客戶終端設備，像是路由器或網路數據機，但透過該草案，客戶現可擁有終端產品的選擇權，而不致被迫使用被指定之網路終端設備。

　　Macy's公司（以下簡稱Macy's）今（2017）年6月在美國俄亥俄州南區聯邦法院控告前執行副總Kristen Cox（以下簡稱Cox）與其競爭對手Burlington公司（以下簡稱Burlington）竊取其具有零售產業競爭優勢的商業機密。Cox原任職於Macy's擔任執行副總與北區商店總監，於今年4月離職，並至Burlington擔任商店資深副總，Macy's主張該行為造成其傳統百貨公司與其他品牌商店的不當競爭。 　　Cox離職時，複印了Macy's的樓層規劃策略，及內含詳細銷售資訊的財務報告。亦在未經授權的情況下，下載儲存了財務績效、產品與品牌趨勢、消費喜好和商業策略有效性評估等資料。而Burlington挖角Cox的行為，不僅使Macy's失去優秀人才，更透過Cox獲知Macy's內部營運與商業策略等營業秘密，使Burlington取得不公平競爭之優勢。 　　由於Cox與Macy's有簽訂禁止競業、禁止招攬與保密條款，Macy's主張前揭行為已違反契約規定與忠實、誠信義務。同時，Macy's亦申請臨時禁制令，禁止Cox持續在Burlington工作，避免對Macy's造成不可彌補的損害。 　　另一方面，Cox也在紐約聯邦法院針對臨時禁制令提起反訴，主張Macy's競業條款要求其2年內不得在其他主要零售業工作之限制範圍太廣，並不合理，且Cox先前工作接觸的營業秘密，與現職工作內容毫無關聯且職掌業務不同，兩家公司的營業模式也有差異，故請求可繼續在Burlington工作。惟Macy's針對Cox選擇之管轄法院提出反駁，認為有任何爭議應以合約約定的俄亥俄州為管轄法院，此案後續值得關注。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」