紐西蘭IT專家組織2012年5月發布雲端運算實務準則

　　現行促進產業升級條例第１９條之１規定，為鼓勵員工參與公司經營，並分享營運成果，公司員工以其紅利轉作服務產業增資，而取得新發行記名股票，採「面額」課徵所得稅。而依據所得基本稅額條例第１２條第１項第５款規定，對於員工「可處分日次日時價」與股票面額之間的差額部分，另計入最低稅負制課稅。 　　台聯黨團認為現行促產條例第十九條之一關於員工分紅配股以面額課稅規定，使不少高科技產業上市櫃公司，利用促產條例優惠，壓低員工本薪，以分紅配股吸引人才，造成營業成本低列，將薪資費用轉嫁給股東，扭曲財報，使高獲利的高科技產業和薪資紅利豐厚的科技人租稅優惠多繳稅少，造成政府稅收短缺，因而提出修改案，改由「市價的八成」課徵所得稅。立法院 經濟能源委員會初審通過修正促進產業升級條例，將員工分紅配股由「面額」改依「市價八折」課稅，上市櫃公司市價以配股發放日前一個月均價為準，未上市櫃公司則以配股發放日淨值為準，此規定 引發高科技業者反彈，並向經濟部反映。 　　目前員工分紅改為市價的八成課稅雖通過委員會初審，但提交下次院會討論前，須經朝野協商。經濟部表示，此案初審後尚需經過立法院政黨協商，再交由院會決定。員工分紅配股課稅方式改變，應要有配套才合宜（例如一定之緩衝期間讓業者調整員工薪資結構），若在配套未完成前就做決定，是比較不好的決策。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　日前，美國加州公共事業委員會（California Public Utilities Commission, CPUC）一致投票通過「可再生能源招標機制」（Renewable Auction Mechanism, RAM）。該委員會期待藉由此種招標機制的上路實施，在加州境內發展各種中小型可再生能源企劃案，並且針對此種企劃案下所生產之再生能源開放最高收購電力為20MW的採購標準。 　　可再生能源招標機制之實行方式為欲參與該招標機制之企劃案業者，在一年兩次的拍賣期間提出不可議價之拍賣出價，以爭取相關招標企劃案之補助經費。該種企劃案具有1. 符合加州可再生投資組合標準（Renewable Portfolio Standard, RPS）下之20% 投資比例，2.得標企劃案之相關設施地點位於加州境內三大投資人擁有（investor-owned utilities, IOUs）的電力事業服務範圍內，和3. 最高收購再生能源電力為20MW的特性。拍賣出價期間結束後，美國加州公共事務委員會會選擇最小花費之出價企劃案，並與得標之企劃案業者簽署長程契約，而該企劃案業者也會被列於快速發展建設計劃之名單中，以進行後續的計畫發展與相關設備建設。 　　目前加州相關當局針對小型可再生能源企劃案，傳統上適用一固定費率之電力收購制度（feed-in tariff, FIT）。然而，即便可再生能源招標機制之實施方式與FIT類似，卻沒有能源價格因立法管轄權和其他因素所造成之不確定性存在。故此，在可再生能源招標機制下之企劃案業者可依其所能負擔之價格參與競標，此外亦可防止如西班牙和其他地方所發生之FIT市場過熱之情況產生。 　　對於可再生能源招標機制之推行及實施，加州公共事業委員會希望其能產生促進競爭、提供最低花費與促進發展相關資源之結果。

　　美國能源部於去年 (2012) 12月21日宣布將投入九百萬美元挹注數項住屋節能科技。除此之外，美國國會亦於今年元旦通過美國納稅人緩稅法案 (American Taxpayer Relief Act of 2012)，而其中第四章能源稅延展的第408款將2005年能源政策法案 (Energy Policy Act of 2005) 第1332條所創設的能源效率新屋抵免 (Credit for Energy-efficient New Homes)，展期到2013年年底。 　　據美國能源部長朱隸文 (Steven Chu) 表示，該國家庭平均每戶每年花費近兩千美元於能源相關開銷，而其中有大部分皆因諸如住屋的屋頂、閣樓或牆壁間的空氣洩漏而流失浪費。相關研究並顯示，百分之四十二的能源都喪失於建築外殼(building envelope)，包括門、屋頂、閣樓、牆、地板和地基之中。該部於是決定投資建築圍護科技 (building envelope technology)的改進，包涵有高效能的窗戶、屋頂及冷暖器設備。 　　另方面，國會所通過的美國納稅人緩稅法案展延了包括能源效率新屋抵免(Credit for Energy-efficient New Homes)等十二項能源相關抵免或獎勵措施。其中第408條的展延將使美國國民得其於就其符合能源之星(Energy Start)認證標準之隔熱保溫工程、外部窗戶及門等2005年後所產生裝修支出 (含勞務承攬) 的百分之十，申報最高五百美元的賦稅減免。 　　2005 能源政策法法案所創設的能源效率新屋賦稅減免原定於2007年終止，之後由2006年的稅收抵免與醫療保健法案 (Tax Relief and Health Care Act of 2006) 延長至2008，再由08年的能源改進與延長法案 (The Energy Improvement and Extension Act of 2008) 展延至2009。其後，10年的減稅、失業保險再授權及工作機會增進法 (The Tax Relief, Unemployment Insurance Reauthorization, and Job Creation Act of 2010) 將其延伸至2011年年底，而目前通過美國納稅人緩稅法案再將其延至2013年12月31日。