歐盟新一代關鍵資訊基礎設施保護計畫

  2011年3月31日,歐盟執委會啟用新一代的關鍵資訊基礎設施保護計畫(Critical Information Infrastructure Protection, CIIP)。上一代的關鍵資訊基礎設施保護計畫在2009年公布並已取得一定的成果。新一代的計畫集中在全球化的挑戰,著重在歐盟成員國與全球其他國家的合作,與相互之間的合作關係。

  為了達成這個目標,歐盟執委會訂定以下的行動綱要:
(1)準備和預防:利用成員國論壇(European Forum for Member States, EFMS)分享資訊及政策。
(2)偵測和反應:發展資訊分享及警示系統,建置民眾、中小型企業與政府部門間的資訊分享、警示系統。
(3)緩和及復原:發展成員國間緊急應變計畫,組織反應大規模網路安全事件,強化各國電腦緊急反應團隊的合作。
(4)國際與歐盟的合作:根據歐盟成員國論壇所制訂的,歐洲網際網路信賴穩定指導原則和方針,進行全球大規模網路安全事故的演習。
(5)制訂資訊通信技術的標準:針對關鍵資訊基礎設施制訂技術標準。

  另外,在2011年4月14-15日舉行的關鍵資訊基礎設施保護電信部長級會議(Telecom ministerial conference on CIIP),整個會議針對歐盟成員國、私人企業、產業界及其他國家進行策略性的對話,強化彼此在數位環境中的合作與信任關係。並針對新一代的關鍵資訊基礎設施保護計畫,向歐盟執委會提出相關政策建言。

  受全球化、資訊化發展的影響,以及各國間互賴程度的增加,使得影響關鍵資訊基礎設施(CIIP)安全的問題,不再侷限於單一區域,更需要各方多元的合作。

相關連結
※ 歐盟新一代關鍵資訊基礎設施保護計畫, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=5496&no=57&tp=1 (最後瀏覽日:2026/07/01)
引註此篇文章
你可能還會想看
研發成果下放就不適用國有財產法嗎?

研發成果下放就不適用國有財產法嗎? 資訊工業策進會科技法律研究所 2020年3月26日   科學技術基本法(下稱科技基本法)下放研發成果予執行單位,授權各部會機關按其對研發成果管理運用的需求,彈性制訂該部會之科學技術研究發展成果歸屬及運用辦法(下稱成果運用辦法)。然據悉某些公立學校或公立機關(構)曾在盤點財產時,因漏未將研發成果登入為國有財產,或列帳時未列載相關費用而遭主計處指正,從而對研發成果是否為國有財產及如何適用國有財產法有所疑問。因此,本文先回歸科技基本法,探討國有財產法之適用範圍,再論成果運用辦法和國有財產法間互補適用的關係,以解答上述疑問。 壹、科技基本法排除國有財產法適用之範圍   按科技基本法第6條第1項及第2項[1],當研發成果歸屬於公立學校、公立機關(構)或公營事業等公部門單位時,僅排除適用國有財產法中保管、使用、收益及處分之規定,改由各部會之成果運用辦法規範,故當研發成果歸屬於公部門時,並非完全排除適用國有財產法,係僅於前揭特定管理運用事項適用科技基本法及其授權訂定之成果運用辦法。因此其他未被排除的國有財產法規定[2],包括何謂國有財產與國有財產種類之總則、國有財產登記、設定產籍與維護,以及有關國有財產之檢查與財產報告等仍須依循相關規範。前述遭主計處指正之案例,或許就是忽略歸屬於公部門之研發成果仍有前揭國有財產法之適用,致漏未將研發成果依該法登入國有財產或將相關支出列帳。 貳、成果運用辦法的適用範圍   另一可能造成執行單位在運用其研發成果時產生疑問的原因,是現行各部會之成果運用辦法中,有部分規定與前述科技基本法第6條第2項,將歸屬於公立學校與公立機關(構)之研發成果定性為國有財產之意旨扞格。以衛生福利部科學技術研究發展成果歸屬及運用辦法(下稱衛福部成果運用辦法)為例,雖然按該辦法第2條第5款定義國有研發成果為研發成果歸屬國家所有者。然該辦法第30條第1項第1款[3],卻出現執行單位為公、私立學校、公立研究機關(構)之「非國有」研發成果收入之上繳交比率規定,恐使適用本辦法之公立學校、公立機關(構),誤以為其所有之研發成果可為非國有,而產生無庸適用國有財產法之誤解,亦與該辦法第2條第5款對國有研發成果的定義產生內部矛盾,更與科技基本法第6條第2項相衝突。   當研發成果歸屬公立學校、公立機關(構)時,因上述公部門單位本即為政府機關(構),故歸屬上述單位等同歸屬於國家,凡屬上述單位所有之研發成果即為國有研發成果,也會適用國有財產法;邏輯上不應出現公部門單位擁有非國有研發成果之情況,顯然衛福部成果運用辦法第30條第1項應修正第1款,將非國有研發成果上繳比率規定之適用主體排除公立學校、公立研究機關(構)。 參、結論   現行科技基本法第6條第1項與第2項,使研發成果是否適用國有財產法,會因為其歸屬而有不同。研發成果歸屬於公部門者為國有財產原則上應適用部分國有財產法,例外於特定管理運用事項始適用各該部會的成果運用辦法;而研發成果歸屬於私部門者非國有財產,無國有財產法之適用,僅適用各該部會辦法管理。在這套體制下,執行單位須注意國有研發成果仍是國有財產,仍須依國有財產法進行財產列帳、登記及財產檢查;而出現規定公立學校、公立研究機關(構)「非國有研發成果」條文之成果運用辦法,   則顯與現行科技基本法有違,反致生誤會,建議進行修正。公立學校與公立研究機關(構)在進行研發成果之管理、運用時,除依循各部會成果運用辦法外,應注意科技基本法的意旨,以避免造成被認為未依法處理之情況。 [1]科技基本法第6條第1項及第2項:「政府補助、委託、出資或公立研究機關(構)依法編列科學技術研究發展預算所進行之科學技術研究發展,應依評選或審查之方式決定對象,評選或審查應附理由。其所獲得之研究發展成果,得全部或一部歸屬於執行研究發展之單位所有或授權使用,不受國有財產法之限制。前項研究發展成果及其收入,歸屬於公立學校、公立機關(構)或公營事業者,其保管、使用、收益及處分不受國有財產法第十一條、第十三條、第十四條、第二十條、第二十五條、第二十八條、第二十九條、第三十三條、第三十五條、第三十六條、第五十六條、第五十七條、第五十八條、第六十條及第六十四條規定之限制。」 [2]未被排除而應適用的國有財產法條為:第1條到第8條總則、第9、10、12、16條之管理機構、第17條到第19條國有財產登記、第21條到第24條設定產籍、第26條有價證券保管處所、第27條之損害賠償責任、第30、31條不動產維護、第32、34條公用國有財產之使用和非公用國有財產之變更、第37條受贈財產,第38到41條非公用財產撥用、收益、第42到44、45條不動產與動產出租、第46到48條不動產與動產之利用,處分第49到55條不動產與動產標售、第59條非公用財產之估價、第61到63條財產檢查、第65到70條財產報告、第71到73條之刑責和舉報獎金、第75到77條之施行日期等。內文未提及之其它未排除適用的條文,主要是針對有體物,即動產與不動產的相關規範,和非公用國有財產之管理;而研發成果多為無體財產,即智慧財產權等,且多為公用財產,故使用這部分條文的情況較少,在此不贅述。 [3]衛福部成果運用辦法第30條第1項第1款:「執行單位因管理及運用其非國有研發成果之收入,應依下列規定辦理:一、執行單位為公、私立學校、公立研究機關(構)者,應將其研發成果收入之百分之二十繳交本部。」

美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準

  美國商務部工業安全局(Department of Commerce, Bureau of Industry and Security, BIS)於2020年6月15日宣布修改《出口管制規則》(Export Administration Regulations, EAR),調整美國企業和中國大陸華為公司商業往來的相關禁令,允許美國企業和華為合作制定5G標準。國際標準為技術開發的重要基礎,企業在標準制定的參與和領導力,將同步影響5G、自動駕駛、AI及其他尖端技術的未來發展;美國為鞏固全球創新領導地位,積極倡導國內產業參與標準制定成為國際標準,保護國家安全與外交政策利益。雖然華為及其關係企業在2019年5月,因存在重大國家安全風險,被美國商務部列入實體管制清單,禁止美國企業在未獲商務部許可的情況下與華為進行任何業務往來,但此項政策不應妨礙美國企業參與重要的國際標準制定活動。   本次《出口管制規則》補充「一般性暫行核准(Temporary General License)」附錄,允許華為及其68家關係企業在參與國際標準化組織與5G標準制定等特殊情形下,得依據美國行政管理和預算局(Office of Management and Budget, OMB)A-119號通知所制定之標準,取得《出口管制規則》中涉及EAR99或出於反恐原因被列入美國商業管制清單之貨品與技術。代表美國企業毋需取得商務部的暫行核准,也可以在國際標準制定組織中與中國大陸華為等公司分享用於制定5G標準的相關資訊,甚至合作制定5G標準。另外,《出口管制規則》僅在非出於商業目的之合法標準制定情況下,允許美國企業向華為及其關係企業揭露此類技術;若是出於商業目的揭露,仍然須受《出口管制規則》拘束並應保存記錄。

從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

歐盟通過網路與資訊系統安全指令

  歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。   故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。   此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。   該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。  

TOP