美國國家寬頻計畫簡介

中國大陸知識產權海關保護措施與因應對策 資策會科技法律研究所 法律研究員　林宜臻 104年12月30日 　　中國大陸是仿冒品的產銷大國，仿冒品除了於中國大陸盛行之外，更有可能於中國大陸製造後出口至海外銷售。若仿冒品不慎從中國大陸市場擴散至海外市場，將增加企業監控打擊仿冒品的成本。中國大陸為因應仿冒品的進出口，設置了知識產權(台灣稱為智慧財產權，以下同)海關保護規範和配套措施。企業可透過海關保護的行政力量，達到監控、扣留(台灣稱為查扣，以下同)仿冒品進出口的效果。甚至當仿冒品案件的損害達到一定金額時，海關會主動將案件移送刑事公安部門，權利人可利用公安部門介入調查仿冒案件的契機，找出整個仿冒製假鏈，進而從製假源頭開始打擊仿冒品。建議企業可妥善利用知識產權海關保護措施，以達成降低仿冒品擴散海外的風險。 壹、事件摘要 　　企業啟動知識產權海關保護措施有兩種方式，其一為事先將欲受保護之知識產權於「知識產權海關保護系統」中備案，其二為由企業自行監控仿冒品進出口情形，針對個案提出扣留申請。 　　第一種方式，權利人將知識產權在海關備案系統中登錄後，海關在日常監控進出口貨物時會依照權利人的備案內容檢查進出口貨物。當海關發現有疑似侵權的產品欲通關時，會主動將貨物扣留並通報權利人，權利人可立即知悉有仿冒品欲進出口並派員處理。若確認貨物的確有侵權疑慮，再向海關申請扣留該批貨物。扣留後海關即會調查貨物是否構成侵權，若發現案件侵害情節重大，即會將案件移送公安部門進行刑事立案。 　　第二種方式，若企業未事先於知識產權海關保護系統中備案，則可於發現仿冒貨品進出口的資訊後，個案向海關提出扣留申請[1]。權利人申請海關扣留，應繳納與貨物等值的擔保金[2]，提出申請書、證明文件[3]及足以證明侵權事實明顯存在的證據，證明貨物即將進出口且未經許可使用了其知識產權，始可向海關申請扣留貨物。海關依權利人的申請而扣留貨物後，不會調查該批貨品究竟侵權與否，而是留待權利人自行調查並該批仿冒品的相關業者起訴。若權利人在一定期限內沒有在法院起訴，則海關將放行貨物。 　　對企業而言，自行花時間成本監控是否有仿冒貨物進出口是較為困難且成效有限的。中國大陸各地關口甚多，可能因無法確切掌握仿冒品進出口的口岸和貨物進出口資訊而錯失申請查處的良機。根據中國海關總署的統計，查獲仿冒品的方式中，經權利人登錄備案而海關依職權扣留仿冒品的比例為99%，大幅超過依申請扣留的1%[4]。由此可知，有備案而海關主動依職權查緝扣留仿冒品的成效，遠超過企業自行查緝仿冒品進出口後申請扣留的成效。而若為海關依職權扣留，更有可能由海關移送公安部門而啟動刑事調查，降低企業自行蒐證調查的困難。 　　建議企業可積極執行知識產權海關備案，讓海關主動依職權查扣仿冒品，為企業減少日常監控所花費的人力資源等成本，並有效提升查扣成效。另外，即使於系統中完成備案，亦應於企業內部建立備案的相關因應機制，避免因未及達成海關扣留程序上的要求，而讓海關放行仿冒品，無法達成海關備案的目的。本文以下介紹企業執行備案採取知識產權海關保護措施時，企業內部應注意的事項及應建立的因應流程。 貳、重點說明 一、備案啟動海關知識產保護 　　在中國大陸註冊取得的商標權、專利權或符合著作權法中的著作權皆可登錄備案，有權登錄備案者為知識產權權利人。目前海關總署不接受知識產權的被許可人(台灣稱為被授權人，以下同)提出的備案申請，但是被許可人可以作為代理人代表權利人申請備案。中國大陸地區以外的權利人，則必須委託境內的自然人、法人或者其他組織（例如境外權利人在境內設立的辦事機構）向海關總署申請備案。備案系統為線上申請，於系統註冊成功後根據欄位填入對應資料[5]並隨附權利證明[6]，填寫並上傳完成相關證明文件後，系統即會提交至海關總署審核。海關總署將在收到申請後的30個工作日內作出准駁決定。備案申請費用一案為人民幣800元[7]，備案有效期為十年，於知識產權權利有效期限內可續展備案，每次續展十年。知識產權失效者或無續展者，海關備案失效。 　　因海關查緝仿冒品係依據備案內容審核進出口貨物，故備案時提供的資料與仿冒品查緝成效有相當程度的關聯，例如若備案時未詳細填寫合法授權人名單，將可能會導致合法經銷授權人進出口貨物遭海關扣留，延誤通關時間，或可能遭仿冒業者假冒為經銷授權人的名義進出口貨物，使海關誤認而放行。是故企業於備案系統中填寫資料時應力求詳盡完備，備案完成後若相關資料有所變更(例如經銷/代理商等授權名單變動)，應及時於備案系統中更新。 二、扣留流程中的注意事項 　　海關在監控進出口貨物時，若發現貨物有侵犯備案知識產權疑慮者，將書面通知備案權利人。權利人自通知送達日起3個工作日內需提出確認扣留申請並繳納擔保金，始可扣留該批貨物。申請扣留需出具扣留申請書、侵權鑑定書，並繳納擔保金。易言之，自收到海關扣留通知起只有3個工作天的時間可準備申請書、鑑定書和籌措擔保金，假設企業內部事先未建立相關處理流程，很容易因時間延誤而無法提出扣留申請，平白喪失扣留仿冒品的機會。建議企業在收到海關通知後，盡快派員前往海關現場處理侵權鑑定事宜，並應事先作成鑑定侵權貨物時的侵權檢視要點，避免人員特地到現場鑑定卻無功而返，反而浪費寶貴的時間。有備案的情形下，扣留所需的擔保金上限為十萬元[8]，建議企業可事先編列經費支付申請海關扣留擔保金的來源，避免無法在期限內籌措擔保金而錯過扣留機會。權利人逾期未提出申請或未提供擔保者，海關不得扣留貨物[9]。 　　海關扣留貨物後，自扣留之日起30個工作日內完成貨物侵權調查認定，不能認定是否侵權者亦會書面通知權利人[10]。海關調查時，若認定仿冒案件侵害情節重大[11]，會將案件移送公安部門刑事立案，立案成功後公安即介入以刑事案件調查仿冒貨物。若仿冒貨物可藉由海關刑事移送而轉以刑事案件調查，將可藉由公安部門的刑事力量降低企業自行蒐證上的困難。故在海關調查的階段，建議企業可積極提供侵權事證給海關，並確認海關核算的侵害金額是否合理，以確保可達刑事移送的標準。海關扣留的同時，權利人應積極向法院起訴，否則若海關調查完畢認定不侵權或無法認定是否侵權，且又未收到法院發出的協助執行通知，即會放行該批貨物[12]。另外，待案件結束後可向海關請求返還擔保金，返還的金額應為繳納的擔保金金額扣除處理仿冒貨物所發生的倉儲或侵權貨物銷毀等費用。但因擔保金返還的時程並未明文規定於知識產權海關保護相關條文中，故建議企業在案件結束後可積極向海關跟催擔保金返還進度，以免因延宕過久而不了了之。 參、小結 　　企業妥善利用知識產權海關保護措施，可更及時地阻止仿冒品進出口，避免仿冒侵權損失進一步擴大至其他市場。啟動知識產權海關保護措施可分為事先備案，和企業自行監控發現仿冒品欲進出口後向海關個案申請扣留兩種方式。若企業有執行海關備案，不需自行監控仿冒品的進出口，海關即會根據備案資料針對進出口貨物進行侵權與否的比對，發現有疑似侵權的貨品欲通關，即會扣留該批貨品並通知權利人處理，確認扣留後海關更會主動調查貨物的侵權情形。而透過知識產權海關保護措施的執行，企業更有機會藉由海關行政查處或移送刑事部門立案後的調查，取得更多仿冒品的相關資訊和證據，進而有效且徹底的打擊整個仿冒產業鏈，降低仿冒再發的風險。 　　除了事先於海關備案系統登錄備案外，企業亦應於企業內部建立海關扣留仿冒品的因應流程，以確保知識產權海關保護措施可發揮最大的效益。權利人在海關備案系統登錄欲受保護的知識產權後，海關即會於日常審閱報關單時依據權利人在備案系統中登錄的資料扣留有侵權疑慮的貨品。建議企業應盡可能詳盡填寫備案系統中的欄位並提供相關佐證資料，若備案完成後資料有任何更動也應即時在系統中更新，以提升海關查緝扣留仿冒品的機率。收到海關扣留通知後因提出確認扣留申請的時間很短，建議應事先做成侵權檢視要點清單，提高現場人員的鑑定效率，並預先編列支付擔保金的預算，以免超過支付期限而無法扣留。海關調查期間則應積極提供仿冒貨物的侵權證據給海關，並確保仿冒貨品的侵害金額計算無誤，以促成海關將案件移送刑事公安部門立案。同時建議企業應盡快向法院提起訴訟，避免海關因誤判貨物未侵權而放行。案件結束後應注意積極跟催擔保金返還進度，以免擔保金石沉大海。除此之外，因從收到海關通知到企業提出扣留申請的期限很短，建議企業應提早在企業內部建立海關扣留應對處理流程(包含權責主管及人員、處理時限、經費來源、外部合作顧問單位等)，以及時因應侵權案件的處理，使知識產權海關保護措施發揮最大效益，盡可能降低仿冒品擴散到海外市場的風險。 [1]中華人民共和國知識產權海關保護條例第12條：「知識產權權利人發現侵權嫌疑貨物即將進出口的，可以向貨物進出境地海關提出扣留侵權嫌疑貨物的申請。」 [2]中華人民共和國知識產權海關保護條例第14條：「知識產權權利人請求海關扣留侵權嫌疑貨物的，應當向海關提供不超過貨物等值的擔保，用於賠償可能因申請不當給收貨人、發貨人造成的損失，以及支付貨物由海關扣留後的倉儲、保管和處置等費用。」 未備案而依申請扣押的情形中，企業需負擔與貨物等值的擔保金金額，亦即擔保金金額無上限。而若有備案而依職權扣押，則擔保金支付最高上限為十萬元，大幅限縮了企業的負擔，是故此亦為建議企業事先備案的原因之一。 [3]中華人民共和國知識產權海關保護條例第13條：「知識產權權利人請求海關扣留侵權嫌疑貨物的，應當提交申請書及相關證明文件，並提供足以證明侵權事實明顯存在的證據。 申請書應當包括下列主要內容： （一）知識產權權利人的名稱或者姓名、註冊地或者國籍等； （二）知識產權的名稱、內容及其相關資訊； （三）侵權嫌疑貨物收貨人和發貨人的名稱； （四）侵權嫌疑貨物名稱、規格等； （五）侵權嫌疑貨物可能進出境的口岸、時間、運輸工具等。」 [4]海關總署政策法規司(2013)，《中國海關知識產權保護狀況及備案名錄(2013)》，北京：中國海關出版社 [5]中華人民共和國知識產權海關保護條例實施辦法第6條：「知識產權權利人向海關總署申請知識產權海關保護備案的，應當向海關總署提交申請書。申請書應當包括以下內容： （一） 知識產權權利人的名稱或者姓名、註冊地或者國籍、通信地址、連絡人姓名、電話和傳真號碼、電子郵箱位址等。 （二） 註冊商標的名稱、核定使用商品的類別和商品名稱、商標圖形、註冊有效期、註冊商標的轉讓、變更、續展情況等；作品的名稱、創作完成的時間、作品的類別、作品圖片、作品轉讓、變更情況等；專利權的名稱、類型、申請日期、專利權轉讓、變更情況等。 （三）被許可人的名稱、許可使用商品、許可期限等。 （四）知識產權權利人合法行使知識產權的貨物的名稱、產地、進出境地海關、進出口商、主要特徵、價格等。 （五）已知的侵犯知識產權貨物的製造商、進出口商、進出境地海關、主要特徵、價格等。 知識產權權利人應當就其申請備案的每一項知識產權單獨提交一份申請書。知識產權權利人申請國際註冊商標備案的，應當就其申請的每一類商品單獨提交一份申請書。」 [6] 權利證明文件如商標註冊證、著作權自願登記證明或可證明為著作權人的資料、專利證書等。其他文件如授權他人使用的合約、權利人合法行使知識產權的貨物及包裝照片、已知侵權貨物進出口資訊等。 [7]費用以「權利」計案。例如，五個專利使用在一個商品上，需提出五件備案申請；一個專利用在五種商品上，只需提出一件備案申請。 [8]中華人民共和國知識產權海關保護條例實施辦法第23條：「有事先備案之知識產權權利人請求海關扣留侵權嫌疑貨物的，應當按照以下規定向海關提供擔保： （一）貨物價值不足人民幣2萬元的，提供相當於貨物價值的擔保； （二）貨物價值為人民幣2萬至20萬元的，提供相當於貨物價值50％的擔保，但擔保金額不得少於人民幣2萬元； （三）貨物價值超過人民幣20萬元的，提供人民幣10萬元的擔保。」 [9]中華人民共和國知識產權海關保護條例第16條 [10]中華人民共和國知識產權海關保護條例第20條 [11] 例如侵害金額達十五萬元以上、著作權盜版光碟達五百片以上者。 [12]中華人民共和國知識產權海關保護條例第24條：「有下列情形之一的，海關應當放行被扣留的侵權嫌疑貨物： （一）海關依照本條例第十五條的規定扣留侵權嫌疑貨物，自扣留之日起20個工作日內未收到人民法院協助執行通知的； （二）海關依照本條例第十六條的規定扣留侵權嫌疑貨物，自扣留之日起50個工作日內未收到人民法院協助執行通知，並且經調查不能認定被扣留的侵權嫌疑貨物侵犯知識產權的； （三）涉嫌侵犯專利權貨物的收貨人或者發貨人在向海關提供與貨物等值的擔保金後，請求海關放行其貨物的； （四）海關認為收貨人或者發貨人有充分的證據證明其貨物未侵犯知識產權權利人的知識產權的； （五）在海關認定被扣留的侵權嫌疑貨物為侵權貨物之前，知識產權權利人撤回扣留侵權嫌疑貨物的申請的。」

　　德國最高法院在2018年2月27日判決，Google在搜尋結果連結顯示之前，並無須確認該網站是否存在毀謗性言論，亦即，Google沒有義務事先審查搜尋結果中連結的內容。 　　此案件的背景是由兩個受到網路言論攻擊的人所提出，其主張為防止其他網路使用者攻擊他們言論的網站出現在Google搜尋結果的連結上，因此希望Google其中的一個部門—Alphabet公司，設置搜尋過濾器，就用戶曾經在網站上發表過不良評論以及損害賠償的相關資訊不會在未來的搜尋結果出現。 　　本案涉及關於「被遺忘權」(“Right To Be Forgotten”)的討論，所謂被遺忘權是由2014年5月，歐盟法院(ECJ)所作成之裁定，即人們可以要求Google和微軟Bing（MSFT.O）等搜尋引擎於搜尋人名出現的網頁結果中，刪除不適當或不相關的訊息。 　　本案中，對於Google沒有對搜尋結果進行過濾，Google是否因此有侵害被遺忘權之爭議，德國最高法院表示，搜尋引擎經營者僅須於收到明確且具識別性侵犯個人權利的通知時，採取相關行動即可，並毋須事先檢查該網站之內容是否合法。蓋立法者及社會皆普遍認為，若將搜尋引擎審查網站的內容定為其一般性義務，則其商業模式的本質將備受嚴重質疑，且又由於數據具有管理上的困難性，若無此類搜尋引擎的幫助，人們不可能在網路上獲得有實質有意義的使用，因此搜尋引擎不須將此列為其義務。

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 　　隨著網路科技的進步，伴隨著資安風險的提升，世界各國對於資安防護的意識逐漸升高，紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量，我國於107年5月經立法院三讀通過「資通安全管理法」（以下簡稱資安法），並於同年6月6日經總統公布，期望藉由資通安全管理法制化，有效管理資通安全風險，以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外，另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法，建置了我國資通安全管理之法制框架。然而，資安法及相關子法於108年1月1日實施後，各機關於適用上不免產生諸多疑義，故本文擬就我國資通安全管理法之規範重點為扼要說明，作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 　　資安法所規範之對象，主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義，指依法行使公權力之中央、地方機關（構）或公法人，但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣（市）政府機關、依公法設立之法人（如農田水利會[1]、行政法人[2]）、公立學校、公立醫院等，均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊，故資安法排除軍事及情報機關之適用[3]。 　　特定非公務機關依資安法第3條第6款之規定，指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定，須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定，報請行政院核定，並以書面通知受核定者。須注意者為該指定行為具行政處分之性質，如受指定之特定非公務機關對此不服，則可循行政救濟程序救濟之。目前各關鍵基礎設施領域，預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 　　此外，政府捐助之財團法人，依該法第3條第9項之規定，指其營運及資金運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人，則非屬資安法所稱特定非公務機關之範圍。公營事業之認定，則可參考公營事業移轉民營條例第3條之規定，指（一）各級政府獨資或合營者；（二）政府與人民合資經營，且政府資本超過百分之五十者；（三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 　　資安法之責任架構，可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段，分述如下： （一）事前規劃 　　就事前規劃部分，資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」，使各機關得據此落實相關之資安防護措施，各機關並應依據資通安全責任等級分級辦法之規定，依其重要性進行責任等級之分級，辦理分級辦法中所要求之應辦事項[5]，並將應辦事項納入安全維護計畫中。 　　此外，在機關所擁有之資通系統[6]部分，各機關如有自行或委外開發資通系統，尚應依據分級辦法就資通系統進行分級（分為高、中、普三級），並就系統之等級採取相應之防護基準措施，以高級為例，從7大構面中，共須採取75項控制措施。 （二）事中維運 　　事中維運部分，資安法要求各機關應定期提出資通安全維護計畫之實施情形，上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件，應於機關知悉資通安全事件發生時，於規定時間內[7]，依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施，以避免資通安全事件之擴大。 （三）事後改善 　　在事後改善部分，如各機關發生資通安全事件或於稽核時發現缺失，則均應進行相關缺失之改善，提出改善報告，並應針對缺失進行追蹤評估，以確認缺失改善之情形。 三、情資分享 　　為使資通安全情資流通，並考量網路威脅可能來自於全球各地，資安法第8條規定主管機關應建立情資分享機制，進行情資之國際合作。情資分享義務原則於公務機關間，就特定非公務機關部分，為鼓勵公私間之協力合作，故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 　　我國已於107年1月將政府資安資訊分享與分析中心（G-ISAC）調整提升至國家層級並更名為「國家資安資訊分享與分析中心」（National Information Sharing and Analysis Center, N-ISAC）。透過情資格式標準化與系統自動化之分享機制，提升情資分享之即時性、正確性及完整性，建立縱向與橫向跨領域之資安威脅與訊息交流，以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 　　為使資安法之相關規範得以落實，資安法就公務機關部分，訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容，配合機關內部之人事考評規定訂定獎懲基準，而獎懲辦法適用之人員，除公務人員外，尚包含機關內部之約聘僱人員。就特定非公務機關部分，資安法則另訂有相關之罰則，針對未依資安法及相關規定辦理應辦事項之特定非公務機關，中央目的事業主管機關得令限期改正，並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分，因考量其影響範圍層面較廣，故規定特定非公務機關如未依規定進行通報，則可處以30萬元至500萬元之罰鍰。 參、事件評析 　　公務機關及特定非公務機關為落實資安法之相關規範，勢必投入相關之資源及人力，以符合資安法之要求。考量公務機關或特定非公務機關之資源有限，故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌，以避免資源或相關措施重複建置，以下則列舉幾點建議： 一、風險評估與安全措施 　　資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制，與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似，故各機關於適用上可協調內部之資安與隱私保護機制，共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 　　資安法第18條要求機關應訂定資通安全事件通報應變機制，而個人資料保護法第12條亦規定有向當事人通知之義務，兩者規定雖不盡相同，惟各機關於訂定通報應變機制上，可將兩者通報應變程序進行整合，以簡化通報流程。 三、委外管理監督 　　資安法第9條要求機關負有對於委外廠商之監管義務，個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同，惟均著重對於資料安全及隱私之保護，故各機關可從資料保護層面著手，訂定資安與個人資料保護共同之檢核項目，來進行委外廠商資格之檢視，並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 　　資安法施行細則第6條要求於建置安全維護計畫時，須先進行內部之資產盤點及分級，而個人資料保護法施行細則第12條中，則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時，可建立內部共同之資料盤點清單及資料管理措施，並增加資料使用軌跡紀錄，建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定，軍事機關指國防部及其所屬機關（構）、部隊、學校；情報機關指國家情報工作法第3條第1項第1款（包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊）及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定，行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關（構），於其主管之有關國家情報事項範圍內，視同情報機關。 [4] 羅正漢，〈臺灣資通安全管理法上路一個月，行政院資安處公布實施現況〉，iThome, 2019/02/15，https://www.ithome.com.tw/news/128789 （最後瀏覽日：2019/5/13）。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級，各機關應依據其責任等級應從管理面、技術面及認知與訓練面向，辦理相應之事項。 [6] 資通系統之定義，依資通安全管理法第3條第1款之規定，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後，應於1小時內依規定進行資通安全事件之通報；如為第一、二級資通安全事件，並應於知悉事件後72小時內完成損害控制或復原作業，第三、四級資通安全事件，則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉，行政院國家資通安全會報技術服務中心，https://www.nccst.nat.gov.tw/NISAC（最後瀏覽日：2019/5/14）。

我國關於個人資料去識別化實務發展 財團法人資訊工業策進會科技法律研究所 2019年6月4日 壹、我國關於個人資料去識別化實務發展歷程 　　我國關於個資去識別化實務發展，依據我國個資法第1條立法目的在個資之隱私保護與加值利用之間尋求平衡，實務上爭議在於達到合理利用目的之個資處理，參酌法務部103年11月17日法律字第10303513040號函說明「個人資料，運用各種技術予以去識別化，而依其呈現方式已無從直接或間接識別該特定個人者，即非屬個人資料，自非個資法之適用範圍」，在保護個人隱私之前提下，資料於必要時應進行去識別化操作，確保特定個人無論直接或間接皆無從被識別；還得參酌關於衛生福利部健保署資料庫案，健保署將其所保有之個人就醫健保資料，加密後提供予國衛院建立健保研究資料庫，引發當事人重大利益爭議，終審判決（最高行政法院106年判字第54號判決）被告（即今衛福部）勝訴，法院認為去識別化係以「完全切斷資料內容與特定主體間之連結線索」程度為判準，該案之資料收受者（本案中即為衛福部）掌握還原資料與主體間連結之能力，與健保署去識別化標準不符。但法院同時強調去識別化之功能與作用，在於確保社會大眾無法從資料內容輕易推知該資料所屬主體，並有提到關於再識別之風險評估，然而應採行何種標準，並未於法院判決明確說明。 　　我國政府為因應巨量資料應用潮流，推動個資合理利用，行政院以推動開放資料為目標，104年7月重大政策推動會議決議，請經濟部標檢局研析相關規範（如CNS 29191），邀請相關政府機關及驗證機構開會討論，確定「個人資料去識別化」驗證標準規範，並由財政部財政資訊中心率先進行去識別化驗證；並以我國與國際標準(ISO)調和之國家標準CNS 29100及CNS 29191，同時採用作為個資去識別化驗證標準。財政部財政資訊中心於104年11月完成導航案例，第二波示範案例則由內政部及衛生福利部（105年12月通過）接續辦理。 　　經濟部標準檢驗局目前不僅將ISO/IEC 29100:2011「資訊技術－安全技術－隱私權框架」(Information technology – Security techniques – Privacy framework)、ISO/IEC 29191:2012「資訊技術－安全技術－部分匿名及部分去連結鑑別之要求事項」(Information technology – Security techniques – Requirements for partially anonymous, partially unlinkable authentication)，轉換為國家標準CNS 29100及CNS 29191，並據此制訂「個人資料去識別化過程驗證要求及控制措施」，提供個資去識別化之隱私框架，使組織、技術及程序等各層面得整體應用隱私權保護，並於標準公報(107年第24期)徵求新標準之意見至今年2月，草案編號為1071013「資訊技術－安全技術－個人可識別資訊去識別化過程管理系統－要求事項」(Management systems of personal identifiable information deidentification processes – Requirements)，主要規定個資去識別化過程管理系統(personal information deidentification process management system, PIDIPMS)之要求事項，提供維護並改進個人資訊去識別化過程及良好實務作法之框架，並適用於所有擬管理其所建立之個資去識別化過程的組織。 貳、個人資料去識別化過程驗證要求及控制措施重點說明 　　由於前述說明之草案編號1071013去識別化國家標準仍在審議階段，因此以下以現行「個人資料去識別化過程驗證要求及控制措施」（以下簡稱控制措施）[1]說明。 　　去識別化係以個資整體生命週期為保護基礎，評估資料利用之風險，包括隱私權政策、隱私風險管理、隱私保護原則、去識別化過程、重新識別評鑑等程序，分別對應控制措施之五個章節[2]。控制措施旨在使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊(personal identifiable information, PII)進行去識別化之過程。再就控制措施對應個人資料保護法（下稱個資法）說明如下：首先，組織應先確定去識別化需求為何，究係對「個資之蒐集或處理」或「為特定目的外之利用」（對應個資法第19條第1項第4、5款）接著，對應重點在於「適當安全維護措施」，依據個資法施行細則第12條第1項規定，公務機關或非公務機關為防止個資被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施；而依據個資法施行細則第12條第2項規定，適當安全維護措施得包括11款事項，並以與所欲達成之個資保護目的間，具有適當比例為原則。以下簡要說明控制措施五大章節對應個資法： 一、隱私權政策 　　涉及PII處理之組織的高階管理階層，應依營運要求及相關法律與法規，建立隱私權政策，提供隱私權保護之管理指導方針及支持。對應個資法施行細則第12條第2項第5款適當安全維護措施事項「個人資料蒐集、處理及利用之內部管理程序」，即為涉及個資生命週期為保護基礎之管理程序，從蒐集、處理到利用為原則性規範，以建構個資去識別化過程管理系統。 二、PII隱私風險管理過程 　　組織應定期執行廣泛之PII風險管理活動並發展與其隱私保護有關的風險剖繪。直接對應規範即為個資法施行細則第12條第2項第3款「個人資料之風險評估及管理機制」。 三、PII之隱私權原則 　　組織蒐集、處理、利用PII應符合之11項原則，包含「同意及選擇原則」、「目的適法性及規定原則」、「蒐集限制原則」、「資料極小化原則」、「利用、保留及揭露限制」、「準確性及品質原則」、「公開、透通性及告知原則」、「個人參與及存取原則」、「可歸責性原則」、「資訊安全原則」，以及「隱私遵循原則」。以上原則涵蓋個資法施行細則第12條第2項之11款事項。 四、PII去識別化過程 　　組織應建立有效且周延之PII去識別化過程的治理結構、標準作業程序、非預期揭露備妥災難復原計畫，且組織之高階管理階層應監督及審查PII去識別化過程之治理的安排。個資法施行細則第17條所謂「無從識別特定當事人」定義，係指個資以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人者，組織於進行去識別化處理時，應依需求、風險評估等確認注意去識別化程度。 五、重新識別PII之要求 　　此章節為選驗項目，需具體依據組織去識別化需求，是否需要重新識別而決定是否適用；若選擇適用，則保留重新識別可能性，應回歸個資法規定保護個資。 參、小結 　　國際上目前無個資去識別化驗證標準及驗證作法可資遵循，因此現階段控制措施，係以個資整體生命週期為保護基礎，評估資料利用之風險，使組織能建立個資去識別化過程管理系統，以管理對其所控制之個人可識別資訊進行去識別化之過程，透過與個資法對照個資法施行細則第12條規定之安全維護措施之11款事項，內化為我國業者因應資料保護與資料去識別化管理制度。 　　控制措施預計於今年下半年發展為國家標準，遵循個資法與施行細則，以及CNS 29100、CNS 29191之國家標準，參照國際上相關指引與實務作法，於技術上建立驗證標準規範供產業遵循。由於國家標準無強制性，業者視需要評估導入，仍建議進行巨量資料應用等資料經濟創新業務，應重視處理個資之適法性，建立當事人得以信賴機制，將有助於產業資料應用之創新，並透過檢視資料利用目的之合理性與必要性，作為資料合理利用之判斷，是為去識別化治理之關鍵環節。 [1] 參酌財團法人電子檢驗中心，個人資料去識別化過程驗證，https://www.etc.org.tw/%E9%A9%97%E8%AD%89%E6%9C%8D%E5%8B%99/%E5%80%8B%E4%BA%BA%E8%B3%87%E6%96%99%E5%8E%BB%E8%AD%98%E5%88%A5%E5%8C%96%E9%81%8E%E7%A8%8B%E9%A9%97%E8%AD%89.aspx（最後瀏覽日：2019/6/4） 財團法人電子檢驗中心網站所公告之「個人資料去識別化過程自評表_v1」包含控制措施原則、要求事項與控制措施具體內容，該網站並未公告「個人資料去識別化過程驗證要求及控制措施」，故以下整理係以自評表為準。 [2] 分別為「隱私權政策」、「PII隱私風險管理過程」、「PII之隱私權原則」、「PII去識別化過程」、「重新識別PII之要求」。