英國公布合成生物學公眾對話報告，以避免早期爭議的產生

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。

　　美國參議院於2015年10月27號通過網路安全資訊共享法（Cybersecurity Information Sharing Act; CISA）。本案以74票對21票通過，今年稍早眾議院通過類似法案，預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年，目前可望兩院就立法版本達成一致而立法成功。 　　主導本案的參議院情報委員會（Intelligence Committee）主席Richard Burr於法案通過後發表聲明表示，「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外，認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。 　　CISA授權私人機構於遭受網路攻擊，或攻擊之徵兆（threat indicators）時，基於網路安全的目的，立即將網路威脅的資訊分享給聯邦政府，並且取得洩漏客戶個資的責任豁免權。基於同樣的目的，私人機構也被授權得以監視其網路系統，甚至是其客戶或第三人的網路。但僅以防禦性措施為限，並且不得採取可能嚴重危害他人網路之行動。相對於此，聯邦政府所取得該等私人機構自發性提供的網路威脅資訊，係以具體且透明的條款規制。此外，國土安全部（Department of Homeland Security）於符合隱私義務方針的方式下，管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件，以保護隱私。 　　相對於此，許多科技公司對此持反對態度，例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制，稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款，這將會促使隱私憂慮。另一方面，法案反對者也不信任聯邦政府機構將會落實隱私保護，FBI、國家安全局（National Security Agency, NSA）及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。 　　這些憂慮或許可以由法案投票前，網路法及網路安全學者共同發出的公開信窺知。「整體來說，（CISA）對有缺陷的網路安全中非常根本但真切的問題一無所助，毋寧僅是為濫權製造成熟的條件」。信中提到，該法案使聯邦機構得近用迄今為止公眾的所有資訊，並且對公司授權的範圍無明確界線，使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助，方向應該是引導各機構提高自身的資訊安全及良好管理。

從無形資本於全球價值鏈中角色談智慧財產權對經濟之影響 資訊工業策進會科技法律研究所 法律研究員　許椀婷 107年03月01日 壹、背景說明 　　現代訊息和通訊、運輸等科技技術的發達，以及各國為促進經濟發展採取之自由貿易政策興盛，使進行國際貿易的成本下降，導致分散多地點生產的成本效益提升，促成全球價值鏈之興起，我國出口以臺灣接單、海外生產之模式，即為全球價值鏈之實踐。全球價值鏈是為實現商品或服務價值，而連結生產、銷售等過程的全球性跨企業網絡，涉及從最初的原料採購和運輸、半成品及成品的生產和分銷、直至最終到消費端和回收處理的整個過程。全球化下各產品供應鏈或全球價值鏈的每一個階段，都涵蓋越來越多無形資本的投入，所謂無形資本為無法觸及的東西，包括外觀、感覺、功能和產品的吸引力等等，對市場的成功與否產生影響。世界智慧財產權組織（World Intellectual Property Organization, WIPO）2017年11月WIPO發布的世界智慧財產權報告（World Intellectual Property Report, WIPR），首次針對無形資本創造的價值進行評估，報告顯示於世界各地流通銷售的產品中，近三分之一來自於無形資本，如品牌、設計和技術[1]，因為智財經常用於保護無形資本，連帶展現智財作用影響力的擴大。藉由觀察報告可了解智慧財產權在無形資本創造附加價值中所扮演的角色，及對於這些資本的回報。 貳、無形資本於全球價值鏈中之角色 　　1992年宏碁電腦董事長施振榮提出產業發展策略：微笑曲線(smile curve)概念，將企業透過營運產生附加價值之過程分為左、中、右三段，左段為技術、專利，中段為組裝、製造，右段為品牌、服務，曲線看起來像微笑符號是因為中段位置附加價值較低，而在左右兩段附加價值較高，意即要增加企業附加價值，需要發展提升左右端幅度。[2]1970年到2017年全球價值鏈下附加價值之變動，左右二階段的幅度有顯著提升，反映技術、設計、品牌價值、技能和管理知識，也就是無形資本，在動態競爭市場中變得至關重要。[3]企業需不斷對無形資本進行投資，以保持領先。報告區分無形資本為知識型：技術、設計及管理相關訣竅，以及聲譽型：品牌、形象。知識型資本在國際間流動時受各種智慧財產權影響，如專利、工業設計、著作權和營業秘密等。[4]而聲譽型資本是企業於市場成功與否的關鍵，影響產品在全球價價值鏈的分佈。據統計，2000年到2014年無形資本平均占全球製造銷售的所有產品總值的30.4％，[5]等同於消費者所購買之產品有近三分之一的價值由品牌、外觀設計和技術等無形資本所創造。 參、無形資本之智慧財產權的價值創造 　　WIPO之WIPR報告指出，全球與跨境智慧財產權交易相關的利潤轉移可達約每年1,200億美元。[6]利潤轉移模式一般而言主要於高稅率國家企業發展、提升、維護和保護之智財，往低稅率國家關係企業進行銷售，可藉以在仍保智財持有的情況下，縮減風險，並能再對其他高稅率國家企業進行授權來獲利；如在美國，研發密集型企業傾向於藉由外國子公司流通無形資本，達減稅方面作用。[7]為獲得上述利益，企業對智慧財產權的投資與管理重要性顯而易見。在WIPR報告中對於太陽能光電系統案例分析中，展現有效規劃管理智慧財產權所創造的商業效益之成功案例，中國藉由收購技術、專業人力取得競爭優勢，並以商標增加產品區隔，成就品牌價值，使最初進行光電系統研發的高收入國家在已不受專利保護下，技術漸轉移到新興經濟體，最終受到取代。該案例除充分顯示積極購買、延續智財長期下的效益，亦強調對於製造技術初始的智財防護及維護之重要性。[8] 肆、結論 　　綜上述，無形資本於全球價值鏈中重要性的提升，連帶智慧財產權對全球經濟產生影響，不僅是智慧財產權流動時所創造的金流，授權時促成的收購及合資等合作關係、技術人員流動進而擴散移轉智慧財產權，都牽動著全球經濟的變化。因仰賴進口及出口競爭力弱化，我國於全球價值鏈體系參與度減少，製造業使用進口原物料比重高，國內產出附加價值相對小。國內產業偏向使用壓縮成本的生產策略，導致實質GDP雖然成長，生產品價格GDP平減指數卻是下降的。[9]要提升國內產出附加價值，我國政府應重視促進對無型資本投資意願之相關措施，涵蓋對於智慧財產權之掌握與管控，以利產出附加價值之提升。智慧財產權對企業無形資產的影響包括使企業長保領先優勢、產生超額利潤、避免受競爭對手模仿等等，藉以發展企業核心競爭力。企業對智慧財產權的管理及運用模式，決定企業發展核心競爭力的成本以及風險。為促使產業能了解智慧財產權的價值所在，進而提升投資無形資本意願，需以政府公共政策之力量導引企業對智慧財產權的運用和管理，據此帶動企業智慧財產權增值。如可以銀行等金融機構為先導示範，開展智慧財產權領域相關的貸款投資，擴增企業對智慧財產權之運用模式。並配合產業發展政策調整智慧財產權申請、利用、管理等相關法制配套，如此一來，便能有效協助降低智慧財產權的管理成本，增進生產利潤。 [1] WORLD INTELLECTUAL PROPERTY ORGANIZATION, WORLD INTELLECTUAL PROPERTY REPORT 2017 – INTANGIBLE CAPITAL IN GLOBAL VALUE CHAINS 11 (2017). [2]施振榮、林文玲，《再造宏碁：開創、成長與挑戰》，天下文化，第二版，頁286（2004）。 [3] WORLD INTELLECTUAL PROPERTY ORGANIZATION WORLD INTELLECTUAL PROPERTY REPORT 2017 – INTANGIBLE CAPITAL IN GLOBAL VALUE CHAINS 10 (2017). [4] WORLD INTELLECTUAL PROPERTY ORGANIZATION [WIPO], World Intellectual Property Report 2017-Intangible Capital in Global Value Chains (2017), at 30-31, http://www.wipo.int/edocs/pubdocs/en/wipo_pub_944_2017.pdf (last visited Dec. 15, 2017) [5] WORLD INTELLECTUAL PROPERTY ORGANIZATION [WIPO], World Intellectual Property Report 2017-Intangible Capital in Global Value Chains (2017), at 11, http://www.wipo.int/edocs/pubdocs/en/wipo_pub_944_2017.pdf (last visited Dec. 15, 2017) [6] WORLD INTELLECTUAL PROPERTY ORGANIZATION [WIPO], World Intellectual Property Report 2017-Intangible Capital in Global Value Chains (2017), at 32, http://www.wipo.int/edocs/pubdocs/en/wipo_pub_944_2017.pdf (last visited Dec. 15, 2017) [7] Id. [8] WORLD INTELLECTUAL PROPERTY ORGANIZATION [WIPO], World Intellectual Property Report 2017-Intangible Capital in Global Value Chains (2017), at 71-90, http://www.wipo.int/edocs/pubdocs/en/wipo_pub_944_2017.pdf (last visited Dec. 15, 2017) [9]林依伶、楊子霆，〈經濟成長、薪資停滯？初探台灣實質薪資與勞動生產力成長脫勾之成因〉（2017）。

　　《確保關鍵礦產安全可靠供應的聯邦戰略》（A Federal Strategy to Ensure Secure and Reliable Supplies of Critical Minerals），為美國商務部於2019年6月4日發布的一項國家層級礦產行動計劃，制定依據為美國總統於2017年12月20日發布的13817號行政命令，戰略目標是強化美國製造業與國防工業及礦產供應鏈彈性，推進研究開發工作，減少美國對中國大陸等外國實體的關鍵礦產資源依賴。 　　美國商務部表示，確保關鍵礦產供應穩定及供應鏈彈性，對於美國經濟繁榮與國防安全至關重要，過去美國過分依賴外國關鍵礦產資源及供應鏈，導致經濟和軍事出現戰略性弱點。據統計共有35種與美國經濟與國家安全相關的礦產品，包括鈾、鈦和稀土元素，為智慧手機、飛機、電腦和GPS導航系統及風力發動機、節能照明與混合動力汽車電池等綠色科技產品的必要組成。35種關鍵礦產中有31種選擇進口，其中更有14種關鍵礦產是完全依賴國外進口。 　　《確保關鍵礦產安全可靠供應的聯邦戰略》提出6項行動綱領包括：（1）推動關鍵礦產供應鏈的轉型研究、開發與部署；（2）加強美國關鍵礦產供應鏈和國防工業基地；（3）強化與關鍵礦產相關的國際貿易合作；（4）提升對國內關鍵礦產資源知識；（5）提升在美國聯邦土地上獲得關鍵礦產資源的機會，並簡化授權開採的審查程序；（6）增加美國關鍵礦產資源勞動力等。