解析雲端運算有關認驗證機制與資安標準發展
解析雲端運算有關認驗證機制與資安標準發展
科技法律研究所
2013年12月04日
壹、前言
2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。
資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。
貳、雲端運算資訊安全之控制依循
雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。
在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。
一、ENISA「資訊安全確保架構」[3]
歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。
值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。
雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。
在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。
在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。
在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。
二、CSA「雲端資訊安全控制架構」[6]
CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。
舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。
三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]
日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。
舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。
参、針對雲端運算之認證與登錄機制
一、CSA雲端安全知識認證
CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。
二、CSA雲端安全登錄機制
由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。
(一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。
(二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。
資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。
另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。
三、日本-安全・信頼性資訊開示認定制度
由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。
此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。
肆、雲端運算資訊安全國際標準之形成
現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。
[1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20)
[2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009).
[3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework .
[4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009).
[5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009).
[6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013).
[8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。
[11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。
[12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。
[13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。
[14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013).
[15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).
本文為「經濟部產業技術司科技專案成果」
用ChatGPT找法院判決?從Roberto Mata v. Avianca, Inc.案淺析生成式AI之侷限 資訊工業策進會科技法律研究所 2023年09月08日 生成式AI是透過研究過去資料,以創造新內容和想法的AI技術,其應用領域包括文字、圖像及影音。以ChatGPT為例,OpenAI自2022年11月30日發布ChatGPT後,短短二個月內,全球月均用戶數即達到1億人,無疑成為民眾日常生活中最容易近用的AI科技。 惟,生成式AI大量使用後,其中的問題也逐漸浮現。例如,ChatGPT提供的回答僅是從所學習的資料中統整歸納,無法保證資料的正確性。Roberto Mata v. Avianca, Inc.案即是因律師利用ChatGPT撰寫訴狀,卻未重新審視其所提供判決之正確性,以致後續引發訴狀中所描述的判決不存在爭議。 壹、事件摘要 Roberto Mata v. Avianca, Inc.案[1]中,原告Roberto Mata於2019年8月搭乘哥倫比亞航空從薩爾瓦多飛往紐約,飛行過程中膝蓋遭空服員的推車撞傷,並於2022年2月向法院提起訴訟,要求哥倫比亞航空為空服員的疏失作出賠償;哥倫比亞航空則主張已超過《蒙特婁公約》(Montreal Convention)第35條所訂之航空器抵達日起兩年內向法院提出損害賠償之請求時效。 R然而,法院審理過程中發現原告訴狀內引用之六個判決無法從判決系統中查詢,進而質疑判決之真實性。原告律師Steven A. Schwartz因而坦承訴狀中引用的六個判決是ChatGPT所提供,並宣稱針對ChatGPT所提供的判決,曾多次向ChatGPT確認該判決之正確性[2]。 貳、生成式AI應用之潛在風險 雖然運用生成式AI技術並結合自身專業知識執行特定任務,可能有助於提升效率,惟,從前述Roberto Mata v. Avianca, Inc.案亦可看出,依目前生成式AI技術之發展,仍可能產生資訊正確性疑慮。以下彙整生成式AI應用之8大潛在風險[3]: 一、能源使用及對環境危害 相較於傳統機器學習,生成式AI模型訓練將耗費更多運算資源與能源。根據波士頓大學電腦科學系Kate Saenko副教授表示,OpenAI的GPT-3模型擁有1,750億個參數,約會消耗1,287兆瓦/時的電力,並排放552噸二氧化碳。亦即,每當向生成式AI下一個指令,其所消耗的能源量相較於一般搜尋引擎將可能高出4至5倍[4]。 二、能力超出預期(Capability Overhang) 運算系統的黑盒子可能發展出超乎開發人員或使用者想像的隱藏功能,此發展將會對人類帶來新的助力還是成為危險的阻力,則會隨著使用者之間的相互作用而定。 三、輸出結果有偏見 生成式AI通常是利用公開資料進行訓練,若輸入資料在訓練時未受監督,而帶有真實世界既存的刻板印象(如語言、種族、性別、性取向、能力、文化等),據此建立之AI模型輸出結果可能帶有偏見。 四、智慧財產權疑慮 生成式AI進行模型訓練時,需仰賴大量網路資料或從其他大型資料庫蒐集訓練資料。然而,若原始資料來源不明確,可能引發取得資料未經同意或違反授權條款之疑慮,導致生成的內容存在侵權風險。 五、缺乏驗證事實功能 生成式AI時常提供看似正確卻與實際情形不符的回覆,若使用者誤信該答案即可能帶來風險。另外,生成式AI屬於持續動態發展的資訊生態系統,當產出結果有偏誤時,若沒有大規模的人為干預恐難以有效解決此問題。 六、數位犯罪增加與資安攻擊 過去由人工產製的釣魚郵件或網站可能受限於技術限制而容易被識破,然而,生成式AI能夠快速建立具高度說服力的各種擬真資料,降低詐騙的進入門檻。又,駭客亦有可能在不熟悉技術的情況下,利用AI進一步找出資安弱點或攻擊方法,增加防禦難度。 七、敏感資料外洩 使用雲端服務提供商所建立的生成式AI時,由於輸入的資料存儲於外部伺服器,若要追蹤或刪除有一定難度,若遭有心人士利用而導致濫用、攻擊或竄改,將可能產生資料外洩的風險。 八、影子AI(Shadow AI) 影子AI係指開發者未知或無法控制之AI使用情境。隨著AI模型複雜性增加,若開發人員與使用者未進行充分溝通,或使用者在未經充分指導下使用 AI 工具,將可能產生無法預期之風險。 參、事件評析 在Roberto Mata v. Avianca, Inc.案中,法院關注的焦點在於律師的行為,而非對AI技術使用的批判。法院認為,隨著技術的進步,利用可信賴的AI工具作為協助用途並無不當,惟,律師應踐行其專業素養,確保所提交文件之正確性[5]。 當AI科技發展逐漸朝向自主與獨立的方向前進,仍需注意生成式AI使用上之侷限。當個人在使用生成式AI時,需具備獨立思考判斷的能力,並驗證產出結果之正確性,不宜全盤接受生成式AI提供之回答。針對企業或具高度專業領域人士使用生成式AI時,除確認結果正確性外,更需注意資料保護及治理議題,例如建立AI工具合理使用情境及加強員工使用相關工具之教育訓練。在成本能負擔的情況下,可選擇透過企業內部的基礎設施訓練AI模型,或是在訓練模型前確保敏感資料已經加密或匿名。並應注意自身行業領域相關法規之更新或頒布,以適時調整資料使用之方式。 雖目前生成式AI仍有其使用之侷限,仍應抱持開放的態度,在技術使用與風險預防之間取得平衡,以能夠在技術發展的同時,更好地學習新興科技工具之使用。 [1]Mata v. Avianca, Inc., 1:22-cv-01461, (S.D.N.Y.). [2]Benjamin Weiser, Here’s What Happens When Your Lawyer Uses ChatGPT, The New York Times, May 27, 2023, https://www.nytimes.com/2023/05/27/nyregion/avianca-airline-lawsuit-chatgpt.html (last visited Aug. 4, 2023). [3]Boston Consulting Group [BCG], The CEO’s Roadmap on Generative AI (Mar. 2023), https://media-publications.bcg.com/BCG-Executive-Perspectives-CEOs-Roadmap-on-Generative-AI.pdf (last visited Aug. 29, 2023). [4]Kate Saenko, Is generative AI bad for the environment? A computer scientist explains the carbon footprint of ChatGPT and its cousins, The Conversation (May 23, 2023.), https://theconversation.com/is-generative-ai-bad-for-the-environment-a-computer-scientist-explains-the-carbon-footprint-of-chatgpt-and-its-cousins-204096 (last visited Sep. 7, 2023). [5]Robert Lufrano, ChatGPT and the Limits of AI in Legal Research, National Law Review, Volume XIII, Number 195 (Mar. 2023), https://www.natlawreview.com/article/chatgpt-and-limits-ai-legal-research (last visited Aug. 29, 2023).
美國音樂授權制度邁向新里程碑:集體授權組織MLC將於後年正式運行!美國「音樂現代化法案」(Music Modernization Act,簡稱 MMA) 於2018年10月由總統川普簽署成為有效法律之後,於今年(2019)9月17日正式對外發布消息,其依照MMA之規定,美國著作權局已於今年7月8日指定由「美國音樂發行協會」(National Music Publishers Association,簡稱NMPA)成立「機械式集體授權組織」(The Mechanical Licensing Collective,簡稱MLC)。NMPA係全美音樂發行商之貿易協會,早於1917年運行至今,現被指定成立MLC,擬於2021年1月正式開始進行全美音樂之「概括授權」(blanket license),並維運前所未有的「透明化資料庫」,期能對接音樂串流平台,促使音樂作品比對相關著作權之權利人,藉以有效率且準確地支付相關授權金給詞曲創作人和發行人,且串流平台業者只要確實遵守MMA之概括授權與MLC之運作方式,即免於侵權責任MLC之組織體編制與人員名單資訊,亦透明地揭示於官網,其設有MLC董事會(由BMG、SONY、華納音樂等背景之人員擔任),以及「無人認領授權金監督委員會」、「爭端解決委員會」、「營運顧問委員會」等三個委員會,各委員均由音樂著作權人或詞曲創作等人擔任。 MMA立法之初,試圖創設一全新、單一窗口非營利組織,並建置符合現代科技的數位資料庫,來解決音樂授權的痛點。而今MLC即將於後年1月正式運行,在數位時代借力科技,帶領音樂授權邁向新里程碑!
太空經濟浪潮下的太空製造零組件出口策略太空經濟浪潮下的太空製造零組件出口策略 資訊工業策進會科技法律研究所 2025年05月06日 2025年上半,隨太空研發實戰活動開跑,新年度的太空供應鏈整備工作及人培活動承接過往成果,開始積極推動[1]。隨近年各國搶進太空經濟領域,我國政府亦善用台灣現有晶片元件技術優勢及民間製造業能量,協助我國太空製造業及衛星射頻零組件製造廠商參進國際太空產業供應鏈,期許創造出口順差並提升台灣的國際經濟地位。惟與其他傳統產業相較,太空產業高速發展之時間尚短,尚未形成完善的國際貿易網絡及相關協定,且所屬市場受各國技術及進出口法制整備情況所限,推動相關產品進出口時,仍有眾多議題待處理和釐清。 壹、推動太空射頻零組件出口策略 我國太空製造業者、衛星射頻零組件製造廠商於晶片元件領域具有明顯技術優勢。近年來,我國業者為搶占國際市場,積極發展與重要衛星營運商、各國業者間之貿易關係。然目前各國對於射頻器材進口,多設有審驗管控及品項限制規定,使我國衛星射頻零組件製造廠商於出口、貿易過程中,負擔繁重程序成本。 前揭情況下,政府若期許協助我國廠商將產品輸出他國,或協助我國廠商切入各大衛星營運商供應鏈,透過國際協定、約定及類似貿易機制,降低我國廠商將產品輸出他國之驗測、程序成本,應為第一要務。而電信設備互認協議(Mutual Recognition Agreement)即為目前國際間,降低射頻器材進出口驗測、程序成本之重要協議之一。 一、一般射頻器材進口及審驗機制 我國電信管制射頻器材依據對電波秩序之影響程度,區分為第一級、第二級。第一級包含公眾電信網路設置使用之無線發射或收發設備、供專用電信網路設置使用之無線發射或收發設備等四項,第二級則包含無線電信終端設備、有線電話無線主副機、天線直徑三公尺以下之固定衛星地球電臺、行動衛星地球電臺等八項。依據不同層級,進行進口核准證申請時,應備妥不同文件。惟無論為第一級、第二級電信管制射頻器材,進口我國後皆須進行測試、審驗(認證)。具體流程如圖一。[2] 圖一 電信管制射頻器材測試審驗流程 資料來源:詹中耀,〈淺談電信管制射頻器材審驗及後市場管理〉,《NCC NEWS》,第19卷第1期,頁2-3(2025)。 通常情況下,預估於我國銷售之電信射頻設備,測試、審驗(認證)程序多於我國進行。此慣例亦常見於各國廠商進出口業務,以確保設備符合進口國或銷售國法規要求。惟於廠商而言,於他國推進繁複測試、審驗(認證)程序,所需耗費之倉儲、物流、人力、行政成本高昂。此情況雖有助於電信射頻設備安全與市場管理,惟不利於貿易效率。為調適前揭有礙貿易之困境,眾多國家開始積極促進電信設備互認協議(Mutual Recognition Agreement)關係之建構。 二、電信設備互認協議(Mutual Recognition Agreement)運作機制 1998年亞太經濟合作會議(Asia-Pacific Economic Cooperation, APEC)旗下電信及資訊工作小組通過電信設備合格互認協議(The APEC-TEL Mutual Recognition Arrangement, APEC TEL MRA),並於1999年正式實施。該協議主要目標在於簡化APEC成員國進行電信設備貿易時的測試和核准流程,降低貿易壁壘及市場進入障礙,範圍囊括所有受電信法規規範的設備,包含應用於電信功能的有線與無線設備、地面與衛星設備等。[3] 電信設備互認協議的實施方式,是由各協議簽署國自願約定。由約定國業務主管機關,提出電信設備合格測試實驗室或認證機構名單,並經他方約定國認可。經認可後,若電信設備出口至他方約定國前,已在本國受認可實驗室測試或認證機構認證,出口時,即無需在他方約定國複行測試或認證程序。[4] 考量各國測試、認證機構技術與標準之差異,並因應各國貿易政策限制,目前電信設備互認協議下之相互承認模式區分為二類型。其一是測試結果之相互承認,意即二國有互相認可之測試實驗室,約定互相承認測試報告。電信設備自一國出口至另一國時,若已在出口國受認可實驗室進行測試,設備輸入時,即可直接進行認證程序,不必再行測試。[5] 圖二 Phase I of the MRA 資料來源:Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], A Guide for Industry to the APEC TEL Mutual Recognition Arrangement (3rd Edition), 1, 6, APEC#201-TC-01 (2015). 其二為認證結果之相互承認,意即二國不僅有互相認可之測試實驗室,更有互相認可之認證機構。電信設備自一國出口至另一國時,若已在出口國通過受認可認證機構之認證,設備輸入時,即可逕為銷售。[6] 圖三 Phase II of the MRA 資料來源:Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], A Guide for Industry to the APEC TEL Mutual Recognition Arrangement (3rd Edition), 1, 6, APEC#201-TC-01 (2015). 貳、協議關係建構流程 通常情況下,與一國約定實施電信設備互認協議之程序分為三大階段。其一,是確認雙方皆為APEC會員國,並曾簽署電信設備互認協議。該協議為多邊協議,非與特定國簽署,而是多國共同承諾參與。於此階段,該協議僅為形式承諾,對各簽署國並無實際執行效力。而待確認兩國同為簽署國後,即可進一步商討雙方是否有意願在電信設備互認協議框架下,約定實施實質上的測試報告、認證結果互認約定。 其二,兩國先依一般國際協議簽訂程序與雙方外交主管機關接觸,確定雙方合作意向。確定意向後,接洽兩國電信設備產業主管機關接觸,進入具體之約定流程。如兩國需協商、起草具體之約定內容,包含互相承認測試報告之細節、兩國實驗室申請認可標準等。 於此階段,兩國電信設備產業主管機關不僅需彼此協商,更需彙整本國利害關係人意見,如相關政府部門、業者與產業公會、消保團體、測試或認證機構、專家之建議,以確保在起草具體之約定內容時,為本國爭取最大利益[7]。同時,兩國主管機關亦將開放各方單位申請為受認可實驗室或認證機構,並將申請通過之名單,提請對方國家之主管機關認可。一旦對方國家認可,未來該實驗室或認證機構出具之結果,將受對方國家承認。 申請為受認可實驗室或認證機構之時點,不必然限於電信設備互認協議關係協商建構期間。依我國目前申請機制,但凡有意願成為受認可實驗室之單位,可隨時函請NCC協助辦理,以成為任一我國電信設備互認協議約定國認可之實驗室[8]。依目前辦理流程,應備文件包含APEC TEL MRA符合性評鑑機構(測試實驗室)指派聲明書、認證證書測試範圍異動前後對照表、財團法人全國認證基金會中英文認證證書等。而若欲申請美國、加拿大認可,則另須提供經全國認證基金會案件承辦人簽註之技術查檢表。[9] 其三,為最終之外交談判與約定,意即與對方國家談判,確定是否認可彼此提出之實驗室、認證機構名單,並確定所有互認協議約定細節,包含約定囊括之設備種類、約定生效時間等。待雙方皆無疑義,達成約定並通過各國國內立法程序,整體約定程序即完備。未來兩國設備出口對方國家前,已於本國通過受認可實驗室測試、認證機構認證者,即不需於對方國家再行測試或認證,可直接銷售。 參、協議排除情境 若欲免除約定電信設備互認協議之繁雜程序,並期許設備出口他國時免除測試、認證等流程,以降低成本,應可考察設備輸入國是否有豁免特定設備測試、認證之規範或政策。各國之規範、政策各有其差異。如加拿大對於供研發測試、組裝後專供輸出之電信設備、低功率射頻設備、無線電話家庭系統設備有豁免之規定。韓國對於供研發測試、組裝後專供輸出之電信設備亦有豁免規定。日本則規定除了非商用設備外,電信設備進口一律需經認證。[10] 肆、政策建議 近年衛星通訊成為電信產業發展之新興趨勢之一,衛星通訊領域電信設備之進出口,亦成為各國約定實施電信設備互認協議時關注的重點。我國作為科技製造產品之重要出口國,近年積極促進衛星通訊設備輸出,並同時已與部分國家為電信設備互認協議之約定[11]。惟目前互為約定之國別尚少,為趕上衛星通訊網路帶來的新一波經濟浪潮。我國應可在徵集各方利害關係人意見後,持續建構我國與其他友好國家之電信設備互認協議約定。 而為進一步強化電信設備互認協議之效益,我國應可進一步積極鼓勵有能力進行衛星電信射頻設備測試之實驗室,申請成為電信設備互認協議關係下之受認可實驗室,或鼓勵業界廠商持續發展衛星電信射頻設備領域之驗測能力。期許透過前揭建議,得以降低我國衛星電信射頻設備製造商出口產品前之驗測成本和驗測排程壓力,為我國廠商創造更多參進他國市場、切入國際供應鏈的可能性。 [1]訊息公告,太空產業供應鏈暨網通產業新星飛揚計畫,https://www.satcom.org.tw/zh-tw/bulletin (最後瀏覽日: 2025/04/21)。 [2]詹中耀,〈淺談電信管制射頻器材審驗及後市場管理〉,《NCC NEWS》,第19卷第1期,頁2-3(2025)。 [3]APEC-TEL MRA, Asia-Pacific Economic Cooperation, https://www.apec.org/groups/som-steering-committee-on-economic-and-technical-cooperation/working-groups/telecommunications-and-information/apec_tel-mra (last visited Apr. 21, 2025);Asia-Pacific Economic Cooperation [APEC], A Guide for Conformity Assessment Bodies to the APEC TEL Mutual Recognition Arrangement (3rd Edition), at 1, 3, APEC#201-TC-03(2015). [4]Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], Mutual Recognition Arrangement for Conformity Assessment of Telecommunications Equipment (1st Edition), 1, 7-15, 22-31, APEC#202-TC-01 (2002). [5]Asia-Pacific Economic Cooperation Telecommunications & Information Working Group [APEC TELWG], A Guide for Industry to the APEC TEL Mutual Recognition Arrangement (3rd Edition), 1, 6, APEC#201-TC-01 (2015). [6]id. [7]APEC-TEL MRA, Asia-Pacific Economic Cooperation, https://www.apec.org/groups/som-steering-committee-on-economic-and-technical-cooperation/working-groups/telecommunications-and-information/apec_tel-mra (last visited Apr. 21, 2025). [8]我國目前已與五國(或地區)為約定,分別為美國、加拿大、澳洲、新加坡、香港。 [9]林怡萱,〈我國參與亞太經濟合作電信設備符合性評鑑相互承認協定(APEC TEL MRA)之緣起與發展〉,《NCC NEWS》,第19卷第1期,頁15(2025)。 [10]財團法人台灣經濟研究院,〈國際上對非成品射頻器材管理規定及國內廠商對進口研發測試或組裝後輸出器材類別意見委託研究採購案-期末報告〉,國家通訊傳播委員會委託研究,頁312-365(2019)。 [11]Asia-Pacific Economic Cooperation ICT Conformity Assessment and Interoperability Steering Group Meeting, Mutual Recognition Arrangement for Conformity Assessment of Telecommunications Equipment Participation and Implementation Chart, 1, 2023/SOM2/TEL68/CISG/003 Agenda Item: 2 (2024).
日美歐中韓五大專利局首次討論專利調和,並合意加速整備共通專利分類由日美歐中韓五大專利局於6月23日、24日於東京召開了第四次五大專利局的首長會議,日本特許廳表示此次會議針對專利制度的調和化展開了正式的討論。 在日本的引導下,五大專利局首次就專利制度的調和展開討論,並就今後的進行方式進行了積極的意見交換。五局在共同認識到國際調和的重要性,與尊重各國主權的前提下,達成今後積極參與促成國際討論的共識。此外,彼此亦達成共識將在五局架構下儘早實施各國專利制度與審查實務之比較研究。 此外,五大專利局亦形成共識,將以日本特許廳與歐洲專利局的專利分類為基礎,加速完備在五局彼此間的共通專利分類。對於日本企業來說,此舉將使全球的專利文獻檢索將變得更為迅速、更加全面,同時專利權的安定性與可靠性也將獲得進一步的確保,同時日本企業也將能更迅速因應來自中韓的專利訴訟風險。 最後,美國6月23日亦於下議院通過了專利改革法案,就專利取得要件從原來的先發明主義改採為與國際趨勢一致的先申請主義,亦屬於這一波國際專利制度的調和趨勢,我國實有及時因應、適時參與的必要。