簡介2012年ITU國際電信大會修訂國際電信規則

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

韓國中小企業暨新創事業部（Ministry of SMEs and Startups）於2025年8月26日宣布，國務會議已審議通過《中小企業基本法施行法》（Enforcement Decree of the Framework Act on Small and Medium Enterprises）部分條文修正案，調整中小企業（Small and Medium Enterprises）銷售額認定基準（Sales Threshold）。 判斷企業是否屬於「中小企業」主要依據兩項因素：一、依資產和銷售額訂定的企業規模標準；二、用以評估企業是否獨立於其關係企業（affiliation）的獨立性標準。其中，以銷售額作為認定依據的基準，是按行業別三年平均值計算，自2015年制定以來至今已十年未作調整。 然而，自 COVID-19 疫情以來物價急遽上升，生產成本大幅增加，導致部分中小企業在未有實質成長的情況下，銷售額僅因通膨因素而形式上增加，進而被迫脫離中小企業範圍，失去關於中小企業的優惠保障。因此，中小企業界過去一直有呼籲調整中小企業銷售額認定基準。 為合理調整中小企業銷售額認定基準，中小企業暨新創事業部經與業界、相關部會及學界專家協商後，決定調整認定基準。爰此，《中小企業基本法施行法》部分條文修正案已由國務會議審議通過，並於2025年9月1日公布生效。 修訂案主要內容如下： 首先，中小企業部分：在44個行業別中，有16個行業的銷售額認定基準將比現行標準上調200億至300億韓元；銷售額範圍則由400億至1,500億韓元調整為400億至1,800億韓元。 其次，小型企業（Small enterprises）部分：在43個行業別中，有12個行業的銷售額認定基準將比現行上調5億至20億韓元；銷售額範圍則由10億至120億韓元調整為15億至140億韓元。 因應此次修法，受影響的中小企業─即目前享有「中小企業畢業寬限期優惠」（SME graduation grace period），但因修法而重新取得中小企業資格之企業─將予以配套措施。 所謂「中小企業畢業寬限期優惠」，係指當企業因銷售額增加而超過中小企業銷售額認定基準時，仍可在最長五年內仍被認定屬中小企業的身份，以協助其有充裕時間平穩過渡至成為中型企業（medium-sized enterprises）。 因此，「中小企業畢業寬限期優惠」僅適用於首次因銷售額增加而超過中小企業認定基準，不再屬於中小企業的企業。 然而，若目前正享有「中小企業畢業寬限期優惠」的企業，因此次修法調整銷售額認定基準而重新取得中小企業資格，導致目前享有的寬限期優惠被中斷結束，未來若再次因銷售額超過中小企業銷售額認定基準，而不再屬於中小企業，將予以配套措施，可再享有一次「中小企業畢業寬限期優惠」。 韓國此次調整中小企業銷售額認定基準並完善中小企業畢業寬限期優惠制度，可作為我國修訂中小企業政策之參考。

數位創新實驗法規沙盒制度研析 資訊工業策進會科技法律研究所 2023年01月17日 近年全球產業發展趨勢，數位創新技術往往是企業取得競爭優勢之關鍵，亦改變人們消費習慣與商業模式，同時促進社會數位轉型。但在新興技術發展過程中，部分既有法規可能成為發展限制，因此國際間積極運用沙盒機制（Sandbox）由主管機關提供業者一個法規上之安全空間（Safe Space），使其得以在現實環境中測試其新創商品、服務、商業模式，甚至是較新之法規範、多樣化新技術、商業模式的驗證性測試場域等，透過法規沙盒制度進行開展。 從而，法規沙盒制度在全球各國之運用不斷增加，考量許多萌芽中技術在研發階段因面臨高投資門檻、伴隨法規相關風險及不確定市場等因素影響，恐阻滯相關創新計劃之投資、執行，本文將著重探討可否針對數位創新商品或服務建置「泛用型法規沙盒」，以協助業者降低法規風險，並促使其後續順利商業化。 壹、事件摘要 我國目前法規沙盒制度有《金融科技發展與創新實驗條例》、《無人載具科技創新實驗條例》及《國家重點領域產學合作及人才培育創新條例》，限於「金融科技」、「無人載具」及「產學合作」三類相關技術開放申請創新實驗，係以特定個別領域區分之法規沙盒制度，其共通點為國家高度監理特許事業、受法令嚴格限制領域，相關具體法規範相對較可被事先盤點進而列入正面排除之法律中。由於當前仍有許多他領域之創新應用無法適用沙盒制度，而可能限縮、影響產品和服務的未來發展。 故，本文以「數位創新技術」之法規沙盒作為研析重點，透過探討建置泛用型沙盒制度，其適用標的擬含括多樣化面向之創新應用及服務，以擴大法規沙盒之適用、推動多元創新發展，將與現行個別領域之法規沙盒有所互補。 而「數位創新技術」之法規沙盒，屬以「創新技術或產品為主」之法規沙盒類別，因其涉及各面向、範圍廣泛，首先須面對問題為「數位創新技術」之範圍、定義與沙盒監管模式等，更進一步則是考量其法規排除或豁免方式，若仍欲參照《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之正面表列的法規排除方式，除事先限縮法規沙盒之適用標的進而列出正面表列之排除具體法規範外，事先盤點並列出具體相關可被排除之法規範在立法技術上具有其困難度，有掛一漏萬問題，且可能失去適用彈性而與沙盒目的相悖。 故，如何在開放大範圍之技術創新下，並遵守法律位階理論及法律明確性等立法原則，以法律訂立明確可預見之排除條款或運作機制，作為法規沙盒之法律或豁免依據也成為本文主要討論重點之一。 文中將先說明法規沙盒建置所需留意重點、再透過比較法學方法簡要觀察日本、韓國「以創新技術或產品為主」之法規沙盒制度，了解其制度運作、法制模式及法規排除方式等，作為我國建置泛用型沙盒之參考。 一、國際法規沙盒制度發展與比較 日本、韓國皆有針對創新技術或產品為主之（近）泛用型法規沙盒制度，且日、韓皆為成文法系，我國多數規範受日影響頗深，而韓國產業結構與我國相似，其規範模式或可作為我國立法之參照。 故本文選擇上述國家與泛用型沙盒概念較為相近之立法例及法規沙盒政策模式進行研析，包含立法模式（政策依據）、範圍擇定、法規排除模式及監管方式等內容，作為我國研訂數位創新實驗政策及立法之參考與分析基礎。 （一）日本專案型沙盒（規制のサンドボックス制度）簡介 本文主要針對日本以「新興技術[1]」相關應用測試的沙盒制度，可泛用於各類產業應用領域—新技術實證制度[2] （專案型沙盒）進行介紹、研析。主要法源原先為2018年6月6日施行之《生產力向上特別措施法》，其中第二章「促進創新事業活動」（革新的事業活動の促進）即為「專案型沙盒」之依據[3] 。惟《生產力向上特別措施法》已於2021年6月廢止，而相關重要政策若有延續則分別移置其他法規，其中專案型沙盒相關制度已常設化，而其法源則移至《產業競爭力強化法》[4] 。 欲申請專案型沙盒之業者，須與內閣官房下成立的申請實證實驗之單一窗口「新興技術社會實施推動團隊」（新技術等社会実装推進チーム）[5] ，進行「事前面談」，並由該單一窗口於計畫申請前與事業主管機關進行意見交換。接著，遞交申請「新興技術實證計畫」（新技術等実証）時，由企業經營者擔任提案主體透過身為單一窗口的內閣官房向主管機關提出申請書，主要在於加速行政機關間的協調，協助業者與政府之間的溝通[6] ，以利集中計畫。 除此之外，若需要「法規特例措施」（規制の特例措置），應於計畫申請前向主管機關申請（與計畫認定相同程序）[7] 。《產業競爭力強化法》所稱的「法規特例措施」，係指針對法律所規定之規範，分別創造以法律規定特例措施，以及針對政令或主務省令所規定之規範，有另以政令等規定之特例措施[8] ，類似於我國的法規排除適用， 此沙盒機制透過限制參與業者的數量和一定實證期間，在暫時不受既有法規約束情境下，於創新事業活動中使用具有顯著新穎性[9] 之技術或方法，且該技術或手法可創造出高附加價值者，創建一個實驗環境，供業者進行新興科技技術實證[10] 。藉此加快技術發展、蒐集法規改革所需之數據資料，透過與市場的對話和實證過程，引導後續監管政策[11] 。 （二）韓國ICT法規沙盒（ICT규제 샌드박스）簡介 在韓國監理沙盒五法當中[12] ，與新興技術和創新服務領域最為相關的《資通訊融合法[13] 》（정보통신 진흥 및 융합 활성화 등에 관한 특별법），於2019年1月17日修訂施行，特針對資通訊領域之創新應用而設計的監管改革體系[14] ，本法設計了「ICT之法規沙盒」制度，以下將進一步整理、簡介其內涵。 該實驗機制於2019年1月開始受理申請，其主管機關為科學技術資訊通訊部（과학기술정보통신부，Ministry of Science and ICT，MSIT[15] ）。 韓國ICT法規沙盒限定與「資訊通訊融合」新興科技領域有關之創新產品和服務為主，適用申請對象為運用、研發資通訊融合等新興技術、服務者皆可申請[16] 。 韓國ICT法規沙盒，主要再區分為以下三種態樣： 1.「迅速處理制度」（신속처리）：當管制模糊時，依《資通訊融合法》第36條，企業可洽詢新技術、新服務是否受管制及相關內容，且在30天內得到科學技術資訊通訊部回覆[17] ，採「迅速處理制度」[18] 。 2.「實證管制特例」（실증특례）：按《資通訊融合法》第38-2條規定，可採取「實證管制特例」[19] 。擬利用新資訊通訊融合技術、服務開展業務者，若符合法律所規定之特定事由時（例如：依據其他法令規定，無法申請新資訊通訊融合等技術、服務相關許可等的情況；依據許可等之根據法令，適用基準、規格、必要條件時，不明確或不合理的情況），可於一定條件下進行安全性試驗及驗證，向科學技術資訊通訊部申請「實證管制特例」措施，排除適用管制[20] 。 3.「臨時許可」（임시허가）：按《資通訊融合法》第37條，擬利用新資訊通訊融合技術、服務開展業務者，若符合法律所規定之特定事由時（例如：依據其他法令規定，無法申請新資訊通訊融合等技術、服務相關許可等的情況；依據許可等之根據法令，適用基準、規格、必要條件時，不明確或不合理的情況），而難以使新產品和服務商業化時，可向科學技術資訊通訊部申請「臨時許可」，排除適用管制，並將相關產品或服務在一定條件下投放於市場[21] ，故「臨時許可」與「實證管制特例」主要差異在於是否進入市場。 針對法規排除方式，「實證管制特例」及「臨時許可」之法規排除條件相同，主要差別則是「臨時許可」以市場推出為目的，後續也有規定應對相關法令進行調整和因應。關於「臨時許可」之法規排除部份，可參見《資訊通訊融合法》第37條第1項規定，擬利用新資訊通訊融合技術、服務開展業務之人，若符合法律所規定之特定事由時，包括：1.許可等之根據法令內容中，無適合該新資訊通訊融合等技術及服務的標準、規格、條件等之情況；2.許可等之根據法令內容中規定之標準、規格、條件等不明確或不合理之情況。符合上述情況時，為了將該技術或服務率先投入、推出市場，可向科學技術資訊通訊部申請臨時許可。為使臨時許可之效力有效延續，並發揮其法規調適之功能，韓國政府於2021年6月通過《資訊通訊融合法》第37條第6項之修正，主要規範主管機關應於臨時許可有效期間內完成相關法令之修訂；若相關法令未及時完備，臨時許可之有效期限則延長至法令修正並完備為止[22] 。而法令一經修正完成，申請人則須依據同條第7項之申請正式許可。綜合上述，法規排除的部分，特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等，或不清楚是否需要許可等而模糊不明」之情況。 （三）綜整說明日本、韓國法規沙盒制度 本文綜整、介紹上述二國之沙盒制度，其主要內涵可參照下表，包括「制度簡介」、「運作方式」、「法規排除方式」、「實驗管理與後續作法」以及「案例分析」等面向。 表1：主要國家法規沙盒立法例比較 日本 韓國 制度名稱 專案型沙盒 ICT法規沙盒 法源依據 原為《生產力向上特別措施法》，2021年6月後移至《產業競爭力強化法》 《資通訊融合法》 制度特色/法規排除方式 需透過法律具體排除特定條文之適用：創造「法規特例措施」以排除特定法令之適用。 透過法律排除特定情況下之法規限制：特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等或不清楚是否需要許可等而模糊不明」之情況可申請「臨時許可」。 主管機關 經濟產業省 科學技術資訊通訊部 適用範圍 以「新興技術」應用為主：創新事業活動中使用具有顯著新穎性之技術或方法，且該技術或手法可創造出高附加價值者。 限定與「資訊通訊融合」新興科技領域有關之創新產品和服務為主。 實驗管理重點 負責管轄新興技術相關規定的主管機關，針對新興技術等應有之相關規範進行檢討，並根據檢討結果，廢除或鬆綁法規或採取其他必要措施。 ●申請人對該技術、服務導致使用者受到人力、物力的損失時，應負賠償責任。 ●應加入責任保險。 案例 （截至2022/12） 共計29件實證案例，其中有1件制定法規特例措施[23] 。 臨時許可48件；實證管制特例77件[24] 。 資料來源：本文整理 二、我國建置數位創新實驗法規沙盒制度之分析 （一）我國規範現況與待改善之處 從立法架構觀察，除《國家重點領域產學合作及人才培育創新條例》立法架構較為特殊外，《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之架構及規範較為相似，未來若發展其他類型之法規沙盒，或可循類似立法模式，因而，先將我國既有法規沙盒制度主要規範重點整理如下表，而後討論目前實際運行所遇之問題，作為建置泛用型沙盒之基礎參考。 表1：我國法規沙盒規範重點 金融科技 無人載具 產學合作 法源 《金融科技創新與發展實驗條例》 《無人載具科技創新實驗條例》 《國家重點領域產學合作及人才培育創新條例》 目的 提供金融科技研發試作之安全環境，讓業者可以在低度監理空間，測試其創新商品、服務或商業模式，不會立即受到現行法規的制約，並能在風險可控情形下，驗證該科技在金融服務上的可行性及成效。 藉由推動實驗條例，暫時排除相關法規的適用，運用地方政府場域，提供業者發展無人載具創新科技之實驗環境。 促進國家重點領域產學合作及人才培育之創新，提升國立大學研究發展成果效益，培育高階科學技術人才，強化產業競爭力。 主責機關 金管會 經濟部 教育部 適用對象 自然人、獨資或合夥事業、法人得申請主管機關核准辦理創新實驗。（第4條第1項） *解釋上以本國人為主，文件要求中華民國住居所或辦理登記 經濟部 教育部 進行測試之資格與標的 一、屬於需主管機關許可、核准或特許之金融業務範疇。 二、具有創新性。 三、可有效提升金融服務之效率、降低經營及使用成本或提升金融消費者及企業之權益。四、已評估可能風險，並訂有相關因應措施。 五、建置參與者之保護措施，並預為準備適當補償。 六、其他需評估事項。（第7條） 一、具有創新性。 二、確認屬於依現行法規無法取得目的事業主管機關許可或核准之範疇，及為進行創新實驗而應排除適用之法律、法規命令或行政規則。 三、具有於開放性場域實驗之可行性，並已提出曾於模擬或封閉性場域測試之相關經驗及數據分析資料。 四、可有效提升交通運輸服務或系統之效率、提升安全或降低經營及使用成本。 五、已提出維持交通順暢及確保交通安全之因應措施。 六、已評估潛在風險並定有相關因應措施，及其他與創新實驗計畫相關之安全或風險控管措施。 七、建置參與實驗者及實驗利害關係人之保護措施，並預為準備適當補償。 八、其他經審查會議決議應由申請人提出說明之事項。(第7條) 國立大學設立國家重點領域研究學院進行產學合作及人才培育經營模式之創新。（第3條） 實驗期間 消費者保護與風險管理機制 最長3年 1.資料保護：申請人於創新實驗期間應配合創新實驗業務性質，採行適當及充足之資訊安全措施，確保資訊蒐集、處理、利用及傳輸之安全。（第13條） 2.主管機關實地訪查權。（第14條） 3.主管機關廢止權。（第15條） 4.消費者保護機制。（第20條~第24條） 最長4年 1.電信管制射頻器材輸入管理、通訊干擾處理及其他相關電信監理。（第13條） 2.主管機關實地訪查權。（第14條） 3.資訊公開。（第15條第1項） 4.事故通報。（第15條第2項） 5.資料保護。（第16條、第17條） 6.公平原則。（第18條） 7.主管機關要求改善。（第20條） 8年以上12年以下 1.校務會議監督機制。（第14條） 2.監督會機制。（第15、16、17條） 3.研究學院應建立風險管理制度（第39條） 法規排除 實驗後作為 正面表列(第25、26條) 1.申請人實驗結束報告義務（第16條） 2.主管機關義務：一、檢討研修相關金融法規。二、提供創業或策略合作之協助。三、轉介予相關機關（構）、團體或輔導創業服務之基金。（第17條） 正面表列(第22、23條) 1.申請人實驗結束報告義務（第21條第1項） 2.主管機關就創新實驗之結果，得召開評估會議。（第21條第2項） 正面表列（第23條） 1.國立大學應輔導學生，協助其轉入至其他學院，並就原修習學分，依相關規定從寬予以採認抵免。 2.研究學院編制內人員，由國立大學接續聘任或任用。但經其同意辦理資遣或退休者，不在此限。 3.研究學院編制外人員，應辦理契約終止。（第49條） 資料來源：本文整理 （二）應優先處理和重視之關鍵議題 本文歸納各實驗階段常見之主要問題：1.申請前：常見的是缺乏單一窗口，使業者尋找對應窗口時遇到困難，以及程序繁瑣、耗時長，將影響申請意願，也造成實際案件少而失去該沙盒制度建置實益的窘境。同時，對於資源較少的新創業者更為不利，例如：金融沙盒的審查，對於計畫前期準備要求較多，新創業者投入的時間和成本壓力也相對較高。2.實驗執行期間：在計畫審查部分，例如：審查專家是否能完全了解創新內容、審查時間、流程與效率、是否影響申請者商業機密或專利等因素，皆可能產生不利後果。而實驗期投入的時間、成本與收益（可能無收益），有可能具有一定程度的風險。3.實驗後：該階段主要面臨相關創新產品或服務是否能順利上市，因其可能受修法時程影響導致上市時間延宕，甚至後續不一定能成功進入市場之缺點；但由於實驗後修法時程非法規主管機關所能掌握（仍需視立法機關之立/修法程序），以至於修法速度可能不及創新速度，若法規障礙持續存在，即便實驗後仍難以真正進入市場。詳整理如下表。 表2：我國執行創新實驗常見問題 申請前 執行中 實驗後 ➤缺乏單一窗口處理法規釋疑或進行跨部會協調難度較高。 ➤評估之行政程序繁瑣、費時較長，使申請意願低、案件少。 ➤對於資源較少之新創業者較為不利：例如金融沙盒的審查，須對計畫之準備要求較多。 ➤計畫審查之妥適性：例如審查專家是否真能完全了解創新內容、審查時間、流程與效率、是否影響申請者之商業機密或專利等。 ➤實驗期投入之時間、成本與收益（可能無收益）難成正比。 ➤實驗後之修法時程並非法規主管機關所能掌握，修法速度遠不及創新速度。 ➤對於創新先行者並無給與誘因，只要法規障礙仍存在，不一定能夠真正進入市場。 ➤需要其他支援。 資料來源：本文整理 回顧我國創新實驗推行至今，外界較常質疑申請案件數較國外沙盒制度緩慢，除主管機關積極透過監理門診或試辦計畫等相關配套解決業者問題外，前揭我國執行創新實驗之常見問題可能也是造成我國法規沙盒執行成效未彰之主因，除相關規範應進一步釐清及調整外，相關問題也是未來在設計數位創新實驗法規沙盒制度時，需要被優先處理和重視的部分。 貳、重點說明 關於如何設計、操作法規沙盒相對重要，部分規範也成為政策成敗關鍵。就前述所提及我國金融科技與無人載具法規沙盒之實際運行成果觀之，本文觀察到該二制度執行上浮現些許問題待解，相關問題可能導致制度未能發揮最大效益。 若要解決上述提及的先決問題、建構更為完整和妥適的法規沙盒制度，以下歸納出可在專法內明定的主要重點： 1.以具有「跨部會協調」功能之行政機關主導為宜：由於泛用型沙盒所涉範圍較廣，且在數位時代中「產業」之概念趨於模糊，甚至可能會出現既有部會皆無法進行監管之狀態，故需有跨部會任務之機關進行橫向協調，而跨部會溝通協調也可能是未來泛用型沙盒之關鍵執行步驟。 2.簡化行政程序：由於創新技術或服務多講求市場時效與效率，過於冗長或繁雜之行政程序可能使有意申請人望之卻步，因此行政程序應該盡量簡化，並配置足夠人員提升審查速率。 3.專業審查機制：由於泛用型沙盒涉及面向較廣，預期申請者所關注之技術面向有所不同，但或可參考韓國作法，針對關鍵技術可事先分組，並由機關事先快速分組審查進而交由專家審議，就各領域建立對應之專家小組審查名單。 4.縮短實驗期間：有些創新技術上並沒有太大問題也無過大風險，可能僅是法規阻礙致使上市困難，而針對此種具前景性、可行性之創新，應有可縮短實驗期間之機制並積極協助其商業化。 5.明定主管機關之修法義務：為使法規沙盒政策發揮最大效益，應明文規定主管機關之法規調適的義務，以使業者在實驗後能合法接軌上市。 6.延長許可時間：如認有修法之必要者，可參考韓國作法，於法規明定於相關修法完成前可延長其許可時間，以緩解業者上市空白期。 7.法規明定可提供其他協助或與他政府資源介接。 從而，本文嘗試進一步盤點目前法規沙盒制度執行時面臨的問題作為建置泛用型沙盒之基礎。包括申請前、執行中及實驗後各面臨不同重要的問題，並提出在建置泛用型沙盒時最優先要討論之五項關鍵問題，透過整理前述日、韓立法例相關規範後，建議對應作法如下表所示。 表 1：立法論上應優先處理之議題、建議參採國家與作法 關鍵議題 主要面臨問題 立法建議作法 參考國家與理由 確立、擇定主管機關 ●泛用型沙盒之適用範圍廣，須有一主管機關具有跨部會協商功能。 ●主管機關對創新技術/服務進行評估、判斷能力。 ●以具有「跨部會協調」功能之行政機關主導為宜。 ●建置跨機關溝通協調管道並有效處理涉及跨部會之議題。 ●日本。 ●跨部會疑義通常非法規主管機關可解決。 ●統一機關受理業者之法規疑義、跨部會協調需求，免去業者尋找窗口之困擾[25] 。 「數位創新技術」之定義、範圍待研議 ●釐清需要法規沙盒之目的、欲解決之問題及政府資源，以確立適用範圍，建構有效率之法規沙盒。 ●不分領域之數位創新技術之產品或應用皆可申請，惟須考量優先順序與定義。 ●可先聚焦於中央主管機關指定之數位技術，以辦法方式優先開放申請。 ●參考標準以「創新性」「市場價值」、「因法規限制而遇阻」作為申請條件。 ●日本[26] 、韓國[27] 。 ●適用範圍較寬泛、彈性。 ●有助促進創新應用、加速監管革新。 法規豁免/排除方式 ●遵守法律明確性及法律位階間之排除關係。 ●目前使用之正面表列方式，對於大規模之泛用型沙盒所需排除之規範可能掛一漏萬，如何透過負面表列或概括規範之方式完善法規豁免之需求。 ●除以正面表列方式排除既有法規外，可參考加入韓國之概括規定、負面表列的設計，並兼顧法律明確性原則，擴大豁免範圍。 ●日本[28] 、韓國[29] 。 ●因產品或服務多元、立法時空，倘若僅以正面表列之方式排除，恐會掛一漏萬。 ●日、韓之立法方式亦以法律位階進行規範。 實驗流程、風險控管 ●申請資格和實驗流程應如何設計，使其具足夠誘因（如：申請、實驗、退出、測試時間）。 ●如何控管、降低實驗風險。 ●行政成本、資源分配公平性問題。 ●【實驗流程】機關可事先快速分組審查，並建立對應之專家小組審查名單。 ●【風險控管】參考韓國作法，透過保險機制衡平風險於實驗者保護，同時也可簡化作業流程。 ●【實驗流程】日本專家審議機制，有助主管機關判斷「創新性與附加價值」。 ●【風險控管】韓國透過保險機制進行風險管理措施，確保安全性[30] 。 實驗後之調適作為 ●實驗後如何有效率進行相關法規調適或法令修正。 ●欠缺對應之落地機制、個案成效追蹤，影響商轉可能性。 ●業者因無法確定實驗後是否能合法上市而卻步。 ●設計實驗後暫時上市許可機制，截至修法完成，避免業者之上市空白期。 ●中央主管機關應參酌創新實驗辦理情形、了解業者需求，如認該產品或服務具可行性且有法律增修之必要性，得將法規調適需求函送法規主管機關，並以法規明定機關之修法義務。 ●法規明定可提供其他協助或與他政府資源介接。 ●參考韓國維持其上市許可，若期限屆至前法律仍未修定，可延長許可期限[31] 。 ●可避免業者無法確定實驗後是否合法上市而卻步。 資料來源：本文整理 參、事件評析 近年來，許多國家透過法規沙盒制度調合創新技術與既有法規間之限制，透過該等實驗方式創造小規模且限定期間之法規安全空間，並藉此觀察創新技術可能帶來之風險並作為監管革新之主要機制。我國在制定《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》後，主管機關或業者同樣倡議在其他創新領域也朝向制定實驗條例或法規沙盒制度來進行法規鬆綁[32] 。而從國外相關立法例觀之，法規沙盒之目的可能並非單純之法規鬆綁，而可能更積極地涉及新規範之建立或舊規範之革新。 於此前提下，本文認為除可先就「法規沙盒」本身之定義、影響評估要項與制度設計要素進行設定，作為數位創新實驗制度之基礎外，前階段亦需釐清我國設置法規沙盒目的、欲解決之問題及可變動之法令規範，方能確立方向並建構有效率之法規沙盒。 確立方向後，在制度面上，細部之制度設計要素則可再進一步參考外國立法例之作法，參考立法例分別為日本專案型沙盒、韓國ICT沙盒。但因為各國不同政體、立法模式及行政背景各有不同運作方式，並達成不同成效。 值得我國參採之最大差異在於法規排除模式各有不同，日本透過「法規特例措施」進行法令之豁免適用，同樣也是透過該機制具體以法律排除特定條文，需豁免之特定法律仍應具體明確修訂於法規沙盒之法源依據中，惟日本之修法制度相較我國快速且有效率，況目前日本也盡量避免制定法規特例措施而改以大量個案行政解釋取代，若該制度引進我國，可預見未來在實際執行上行政機關可能相對難以掌握制定特例措施之進度。韓國則透過法律概括規定，允許於符合法定特定情況下可申請豁免法規限制，該法定要件特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等或不清楚是否需要許可等而模糊不明」之情況，此等概括規定之作法較能符合泛用型沙盒擴大創新應用之需求，惟如何妥適設計規範以符合明確性原則，並突破既有金融科技及無人載具創新實驗條例之正面表列之立法模式，可能需要後續強化與立法者溝通。 綜上，我國可考量建置關於數位創新之泛用型法規沙盒，不以領域區分，擴大創新實驗範圍將更有利於市場跨域創新、競爭。 基此，本文歸納法律層面主要面臨五大關鍵問題並提出具體建議，分別為：確立主管機關、「數位創新技術」之定義、範圍待研議、法規豁免/排除方式、實驗流程、風險控管及實驗後之調適作為等，同時參考前開相關國家之作法，以及考量目前既有創新實驗所面臨之問題，提出以下建議方向。 首先，須面臨主管機關之擇定問題，由於泛用型沙盒涉及之範圍較廣泛，且加上在數位時代中「產業」之概念趨於模糊，甚至可能會出現既有部會皆無法進行監管之狀態，故需要有跨部會任務之機關進行橫向協調，而跨部會溝通協調也可能是未來泛用型沙盒之關鍵執行步驟。 另，需對「數位創新技術」進行界定，該定義牽涉到確立法規沙盒之範圍與沙盒監管模式等；更進一步則與法規排除或豁免方式連動。在「數位創新技術」之定義方面，日本與韓國皆有針對適用標的再進一步限縮，日本雖以「新興技術」為標的，但仍進一步以「創新性」及「附加價值」再判斷是否可以進法規沙盒；而韓國則以「資通訊融合」之創新技術為主，同樣以「具市場價值」或「具創意」作為判斷標準。而我國若要定義「數位創新技術」由於其範圍較廣，除以「創新」作為判斷基準外，建議可以透過授權方式，由中央主管機關進一步擇定欲發展之創新領域（例如：人工智慧、物聯網等），以限縮適用標的之範圍，讓範圍可以更明確，後續法規盤點也能夠更符合法規明確性原則。 另一需考量之問題，則是法規排除之方式，依據目前《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之法規排除方式，主要係以正面表列方式排除特定條文為主，而在我國立法上通常也較偏向如此模式。惟，如前所述，由於「數位創新技術」之範圍較廣，恐難以透過事先盤點或預想需求之方式進行具體條文之排除。而我國修法程序又未如日本般快速，且有較不可控制之影響因素存在。因此，除了可部份透過事先盤點正面表列得排除的規範外，或可參考韓國之概括立法模式，將較偏向行政上需要取得許可、核准、認證後才可為之或單純係行政流程之規範，似可設計在滿足某種特定條件下透過法律的概括規範予以排除，以增加法規沙盒之彈性應用，並滿足泛用型法規沙盒之創新效益。故，未來制度設計上或可透過法規範之進一步分類，調整可排除法規設計上之明確性強度。 關於法規沙盒之實驗流程及風險控管如何進行，由於法規沙盒應屬於低度監理空間，如何保障創新實驗安全性將成重點，同時，也須避免申請實驗和相關流程冗長、成效不彰之疑慮。又，泛用型沙盒涉及範圍較廣，建議除要求申請人事先風險評估外，可針對原則性、共通性事項進行規範，例如：隱私保護、實驗者保護、資訊揭露等。 最後，在實驗後作為方面，若認為實驗有進一步商業化之可能，可能需進一步透過法規調適進行障礙之排除。但又由於成文法系國家進行法規調適之權限仍主要掌握於立法權上，行政權較不易掌握立／修法之進度，如同我國行政機關通過草案後，向立法院提請審議之過程與時序通常不易掌握，而可能產生實驗通過且具商業化之創新模式，可能會因修法時程延宕仍存有障礙，而出現上市空窗期，造成創新之時效性不易被展現進而使業者對於法規沙盒之效益產生疑慮，而對進入法規沙盒並無強烈誘因，造成法規沙盒申請案例較少之問題。為此，考量整體制度之效益，或可參考韓國做法，在未修法完成前可延長臨時許可之時效規定，避免業者因出現上市空窗期而對法規沙盒望之卻步。又，由於我國已有《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之制度先例，或可參考相關制度運行後對於申請個案之效益、業者之反饋，再運用相關經驗對欲建置之法規沙盒規範進行調整。 是以，因法規沙盒從目的、適用範圍、法規排除、實驗設計及實驗後機制為一連串連動之規範，需要精密之事前評估方能提出最有效率、精緻且適切之創新實驗規範制度。 [1]所謂「新興技術」（新技術等実証），係指在創新事業活動中所使用具有顯著新穎性之技術或方法，且該技術或手法可創造出高附加價值者。關於新技術之相關定義，可參見《產業競爭力強化法》第2條第3項。 [2]原文：「規制のサンドボックス制度」、「新技術等実証制度」。 [3]〈生産性向上特別措置法〉，経済産業省，https://elaws.e-gov.go.jp/document?lawid=430AC0000000025（最後瀏覽日：2022/12/15）。 [4]《產業競爭力強化法》已於2021年6月16日公布並施行，詳參：https://www.meti.go.jp/press/2021/06/20210616004/20210616004.html。 [5]附帶一提，內閣官房底下設立的「新興技術社會實施推動團隊」（新技術等社会実装推進チーム）為單一窗口，高於各部會的內閣官房與內閣府成員作為日本推動監理沙盒實證實驗的單位。 [6]陳譽文，〈日本推動專案型監理沙盒制度協助新興科技發展〉，關鍵評論網，2019/10/09，https://www.thenewslens.com/article/125820（最後瀏覽日：2022/12/21）。 [7]内閣官房 新しい資本主義実現本部事務局，〈規制のサンドボックス制度（新技術等実証制度）について〉，內閣官房，https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf（最後瀏覽日：2022/12/30）。 [8]《產業競爭力強化法》第7條。 [9]「具顯著新穎性」者，則指相較於該領域的常用技術和方法，更有新穎性且得以衍生實用化和事業化討論的技術與方法，例如AI（人工智慧）、IoT（物聯網）、巨量資料、區塊鏈等等。參見新技術等実証の総合的かつ効果的な推進を図るための基本的な方針，頁1（2018），https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/underlyinglaw/basicpolicy.pdf（最後瀏覽日：2022/12/16）。 [10]其中，「創新性」與「附 加價值」之判斷，則是參考「評價委員會」的協助與提供意見。 [11]〈「生産性向上特別措置法」が施行されました〉，経済産業省，https://www.meti.go.jp/press/2018/06/20180606001/20180606001.html（最後瀏覽日：2022/12/10）；内閣官房 新しい資本主義実現本部事務局，〈規制のサンドボックス制度（新技術等実証制度）について〉，內閣官房，https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf（最後瀏覽日：2022/12/30）。 [12]包含資通訊融合法、產業融合促進法（산업융합 촉진법）、金融創新支援法（금융혁신지원 특별법）、地區專業化發展特區法（지역특구법）、行政管制基本法（행정규제기본법은）。머니투데이，〈이낙연 총리 "규제 샌드박스, 현장이 최대한 알기쉽게 설명해야"〉，머니투데이，2019/01/10，https://v.daum.net/v/20190110100115334(last visited Dec. 07, 2022). [13]全名為《促進資訊通訊及融合發展等相關特別法》（정보통신 진흥 및 융합 활성화 등에 관한 특별법）。 [14]〈ICT 규제 샌드박스 사례집〉，혁신의 실험장，https://www.sandbox.or.kr/board/data_roomDetail.do（最後瀏覽日：2022/12/09）。 [15]과학기술정보통신부，https://www.msit.go.kr/index.do（最後瀏覽日：2022/12/10）。 [16]資通訊融合法第36條。 [17]倘相關機關首長於30天內沒有回覆，則視同不屬於其管轄業務或不需要相關機關首長之許可。 [18]資通訊融合法第36條。 [19]資通訊融合法第38-2條。 [20]〈정보통신 진흥 및 융합 활성화 등에 관한 특별법 ( 약칭: 정보통신융합법 ）〉，법제처 국가법령정보센터，https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EC%A7%84%ED%9D%A5%EB%B0%8F%EC%9C%B5%ED%95%A9%ED%99%9C%EC%84%B1%ED%99%94%EB%93%B1%EC%97%90%EA%B4%80%ED%95%9C%ED%8A%B9%EB%B3%84%EB%B2%95（最後瀏覽日：2022/12/02）。 [21]資通訊融合法第37條。〈ICT 규제 샌드박스 3종 제도〉，정보통신산업진흥원，https://www.sandbox.or.kr/main.do（最後瀏覽日：2022/12/18）。 [22]과학기술정보통신부 정보통신정책실 정보통신정책관 디지털신산업제도과，〈정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안 국무회의 의결〉，KDI경제정보센터，2021/06/01，https://eiec.kdi.re.kr/policy/materialView.do?num=214468&topic=L&pp=20&datecount=&recommend=&pg=（最後瀏覽日：2022/12/30）。 [23]内閣官房 新しい資本主義実現本部事務局，〈規制のサンドボックス制度（新技術等実証制度）について〉，內閣官房，https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf （最後瀏覽日：2022/12/20）。 [24]〈ICT 규제 샌드박스 정보마당〉，정보통신산업진흥원，https://www.sandbox.or.kr/board/designated_case.do （最後瀏覽日：2022/12/20）。 [25]内閣官房日本経済再生総合事務局新技術等社会実装推進チーム，〈規制のサンドボックス制度について〉，令和元年6月，https://www8.cao.go.jp/space/policy/suborbi/dai1/siryou3-5.pdf 。 [26]日本限定以「新興技術」應用為主進行實證，而針對新興技術之定義為在創新事業活動中所使用具有顯著新穎性之技術或方法，且該技術或手法可創造出高附加價值者。據此，可以收斂出日本針對新興技術之判定標準以「新穎性」與「高附加價值」兩者為主。 [27]韓國以「資訊通訊融合」新興科技領域有關之創新產品和服務為主，限定於資訊通訊產業之間或與資訊通訊不同的產業間，藉由技術或服務的結合及複合，而創造新的社會性市場價值或具創意的創新性活動，而韓國可進入ICT沙盒之實驗則主要是以「資通訊技術」、「具市場價值」或「具創意」作為判斷標準。依據韓國科學技術資訊通訊部與資通訊產業振興院所公布之「ICT監理沙盒運作指南」提及關於實證管制特例之審查基準，包括：該技術、服務之創新性、對於相關市場及使用者便利所波及的影響及效果、對於國民之生命、安全是否有危害以及對於個人資料是否有安全保護處理實證用管制特例之適當性及其它在指定實證用管制特例上所需要的事項，相關基準則可為我國進一步參考。 [28]日本透過個別制定「法規特例措施」排除相關法規，惟法規特例措施同樣需經過修法程序，程序較為複雜，因此在實際運作上日本主要透過主管機關針對個案系爭之相關法規進行合規之解釋，或是調整計畫之操作方式使之合於法律規範。 [29]韓國是以概括方式規範法規可被排除之條件，按《資通訊融合法》第37條，擬利用新資訊通訊融合技術、服務開展業務者，若符合法律所規定之特定事由時，而難以使新產品和服務商業化時，可向科學技術資訊通訊部申請「臨時許可」，排除適用管制，並將相關產品或服務在一定條件下投放於市場，其條文規範之情況如下：1.需要許可之法令依據內容中，無適合該新資訊通訊融合等技術及服務的標準、規格、條件等情況；2.需要許可之法令依據內容中，規定之標準、規格、條件等不明確或不合理之情況。法規排除的部分，特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等，或不清楚是否需要許可等而模糊不明或不合理」之情況，如此規定並未明確列出可排除之法規，而是明確敘述法規可被排除之情狀，同時也避免逐一列出可被排除之法律而有所遺漏之狀況。而類此規定正也是法規沙盒政策之主要目的之一，當法規有所不合理或未規範時提供彈性空間。 [30]日本主要以事前風險評估、充分資訊揭露及參與者同意作為風險管控之主要手段；而韓國則是除資訊揭露之規範外，明定實驗風險發生時之責任歸屬及申請人之保險義務等。 [31]韓國ICT沙盒，其「臨時許可」制度係以市場推出為目的，故為避免申請人實驗後之上市空白期，2021年6月8日公布修正《資訊通訊融合法》第37條第6條明定直至法規完備為止可透過法規強制延長臨時許可，以緩解創新實驗之上市空白期，並作為銜接取得正式許可之配套。 [32]經濟部中小企業處，〈國際法規鬆綁經驗對我國實證場域未來規劃之啟示〉，關鍵評論網，2020/12/10，https://www.thenewslens.com/article/144483（最後瀏覽日：2022/12/10）。

　　英國衛生部（Department of Health and Social Care）於2018年10月23日發布基因檢測與保險自律行為準則（Code on genetic testing and insurance－A voluntary code of practice agreed between HM Government and the Association of British Insurers on the role of genetic testing in insurance），該準則係由英國政府及英國保險業者協會(Association of British Insurers, ABI)共同制定，旨在取代先前的「基因與保險之協定與延期實施」（Concordat and Moratorium on Genetics and Insurance）文件，並以更易於理解的方式呈現原「基因與保險之協定與延期實施」之內容。 　　準則中列出八項承諾，此八項承諾為ABI代表其成員議定： 承諾一：保險業者（Insurers）會公平對待要保人（applicants）。保險業者不會要求或迫使任何要保人進行預測性或診斷性基因檢測；若要保人已進行預測性基因檢測，保險業者亦不會對其作出差別待遇，除非有如下之情況。 承諾二：列入附錄一之疾病類型並超過以下金額之保單，保險業者始得要求要保人提供預測性基因檢測之結果： 人壽保險－500,000英鎊 /人。 重大疾病險－300,000英鎊 /人。 收入保障險－30,000英鎊 /年。 目前列入附錄一之類型僅有亨丁頓氏舞蹈症（Huntington’s disease）之人壽保險總額超過500,000英鎊之情形。 承諾三：保險業者不會要求要保人提供：　 要保人或被保險人於承保期間所進行之預測性基因檢測結果。 非為要保人或被保險人本人（如要保人或被保險人血親）之預測性基因檢測結果。 於科學研究背景下獲得之要保人或被保險人預測性基因檢測結果。 承諾四：若保險業者基於承諾二之規定要求要保人提供預測性基因檢測結果，亦不會針對該結果制定過於苛刻（disproportionate）的條款或條件。 承諾五：保險業者須於要保人簽約前提供明確之訊息，以說明：　　　　　 根據本準則，要保人在何種情況下必須或無須提供相關預測性基因檢測結果。 若要保人自願提供對其有利的預測性基因檢測結果，保險決策將如何被影響。 承諾六：若要保人基於意外或自願向保險業者提供預測性基因檢測結果，保險業者可考量要保人之利益調整保單內容；若檢測結果對要保人不利，除非符合承諾二之情形，否則保險業者將忽略該檢測結果。 承諾七：販售人壽保險、重大疾病或收入保障保險之保險業者將：　　　　　 每年向ABI報告其遵守本準則之情況。 根據本準則問答部分之詳細資訊，建立投訴程序（complaints procedure）。 每年向ABI報告與本準則運作上相關之投訴情形。 承諾八：販售人壽保險、重大疾病或收入保障保險之保險業者將指定至少一名經培訓之基因核保人（Nominate Genetics Underwriter, NGU），負責與遺傳資訊（genetic information）及遵守本準則相關之事項，且NGU之人數應與業務規模成比例。