政府採購雲端服務新興模式暨資安一體考量之研析

　　日本於2022年5月18日公布「經濟安全保障推進法」，為了確保、防止經濟相關活動危害國家安全，該法將自公布後2年內（至2024年5月17日）分階段施行。日本已於8月1日設立「經濟安全保障推進室」承擔與相關省廳調整作業、制定基本方針及公共評論等，將與日本國家安全保障局（NSS）共同完成經濟安全保障政策。 　　經濟安全保障推進法主要有四個面向： 　　一、確保重要物資安定供給（該法第2章）。 　　二、提供安全基礎設備的審查（該法第3章）。 　　三、重要技術的開發支援（該法第4章）。 　　四、專利申請的非公開制度（該法第5章）。 　　首先就重要物資部分，明定須符合國民生存不可或缺、過分依賴海外支援、若停止出口等原因將導致中斷供給、或實際有中斷供給情事發生等要件，即為重要物資。國家會提供資金等資源援助重要物資的企業經營者，但對其有調查權，若企業不接受調查則受有罰則。 　　而針對電信、石油等領域之基礎設備，為穩定提供勞務及避免該基礎設備有損害國家安全、社會經濟秩序之虞，於基礎設備引進或維護管理時，企業須事前申報相關計畫書（記載重要設備供給者、設備零組件等），倘認為有妨害國家安全之虞，則可採取禁止設備導入、終止管理等必要措施。 　　關於重要技術開發支援，列舉了20個領域包括AI、生物技術等，將由經濟安全保障基金撥款，選定各領域之研究人員組成產官協議會委託研究業務等，但應對研究內容為保密，否則設有徒刑等罰則。 　　另對於科技技術之發明專利，若公開將損及國家安全時，專利廳會將專利申請送交內閣府，採取保全指定措施，於指定期間內，禁止其向外國申請IP、禁止公開發明內容、暫時保留專利核定，防止科技的公開和資訊洩露，但國家應補償不予專利許可所遭受之損失。 　　針對上開政策已有業者反映國家管理措施太强，將可能成為企業絆腳石，特別是進行審查時有可能導致企業活動速度放慢，應掌握實際情況。

　　英國為了 減少受到恐怖威脅和犯罪攻擊，於去年底在一讀通過 英國身分證法，預計2008年實施。該法案最具爭議之處是記載資料，包含一些生物辨識 (biometrics) 資料，如指紋、容貌辨識和虹膜掃描等，這些資料將會儲存在國家身分辨識註冊資料庫中。反對身分證法案者認為，儲存這些資料已侵犯個人隱私權。保守黨議員表示，除非內閣能「確實證明」有其必要性，否則將反對身分證法案到底。 　　現行持有英國護照並不需要更新，但在2008年後想要申請更新或換發護照時，就必須遵守新的規定，也引發另一爭議問題～費用過高。倫敦政經學院的報告認為，每個人的新版身分證所需的技術成本，實際需要約 300英鎊；而登錄生物辨識資訊所需要的掃描器，就需要花4000英鎊；另外，所登錄的資訊判讀性會隨著時間而降低，至少得每五年重新掃描換發。

　　加拿大總理賈斯汀．杜魯道（Justin Trudeau）於2016年10月提出一項改革方案，要求全國各省份或地區於2018年開始，須擇一實施碳稅（Carbon tax）制度或碳交易系統（Cap-and-Trade System）：前者，聯邦政府將制定徵收下限，從2018年每噸10元，逐年提高10元，直至2022年每噸50元為止；至於碳交易系統，則須設立嚴格管控規範，以達聯邦政府實施碳稅制度所得減少碳排放量之預期值。同時，杜魯道更進一步表示，費用將交由各省區自行向排放者進行徵收，並可就其所得作自由運用，反之，倘若未確實執行該項政策者，聯邦政府則將強制介入實施。 　　事實上，綜觀國際間徵收碳稅制度，主要有兩種類型：一類為全國落實碳稅徵收，例如：荷蘭、丹麥、德國或南韓等，其中尚可再細分是否作為一獨立稅目進行徵收，前述荷蘭及丹麥二國，即直接設立碳稅進行徵收，至於德國與南韓，則是將碳排放作為能源稅之計算因子之一作收取；另一類為國內部分地區自行決定收取，如：美國加州地區及原先加拿大不列顛哥倫比亞省與魁北克省等。 　　至於未來觀察重點，應在於加拿大實施上述碳排放費用徵收政策後，勢必對於民生消費習慣具相當程度影響，諸如：暖氣、民生用電、交通工具燃料、公共運輸、食品、服裝或其他消費服務，預期均有相應之漲幅，再者，各省區之經濟政策及投資環境，亦可能有不小程度之衝擊，此兩處後續發展，均值得作持續性觀察。

歐洲執委會（European Commission）根據2022年6月23日生效的資料治理法（Data Governance Act, DGA）第11條及第17條，於2023年8月9日公布資料治理法及實施規則（Commission Implementing Regulation (EU) 2023/1622 of 9 August 2023），該規則明定可用於識別「受認證的歐盟資料中介服務提供者（data intermediation services providers）及資料利他主義組織（data altruism organisations）」的通用標章（Common logos）之細節，且該通用標章已申請商標註冊，以保護其免於遭受不當利用。 經歐盟認證的「資料中介服務提供者」向服務利用者提供服務時，應確保服務利用者（個人及公司）可以有效的控制自己的資料，包含共享資料的對象及時間、可在不同裝置間共享資料等。經歐盟認證的「資料利他主義組織」則應以全歐盟通用之統一格式的歐洲利他主義同意書（data altruism consent form）在各成員國之間蒐集資料，並應確保資料主體（data subject）可以隨時撤回其同意。 識別受認證的「資料中介服務提供者」及「資料利他主義組織」是實施資料治理法的一環。受認證的「資料中介服務提供者」及「資料利他主義組織」選擇使用通用標章時，不僅須將通用標章清楚標示在所有線上的出版品上，亦須將通用標章清楚標示在所有線下的出版品。經歐盟認證的「資料利他主義組織」在標示通用標章時須附上可連結到「歐盟認證的『資料利他主義組織』之公開登記資料庫（public register of data-altruism organisations）」的QR code，歐盟將於2023年9月24日開始提供該公開登記資料庫。在歐盟層面，這些通用標章的利用可以易於識別被認證的「資料中介服務提供者」及「資料利他主義組織」與其他未經認證的服務提供者，有助於提高整體資料市場的透明度。 由於數位資料具有易於竄改、複製等特性，因此需要透過「可信任工具」來證明其來源正確、內容真實等，歐盟即以「通用標章」來識別「資料中介服務提供者」及「資料利他主義組織」。我國法務部、司法院、高等檢察署、法務部調查局和內政部警政署等機關共同推動司法聯盟鏈，並於2022年推出「b-JADE證明標章」，透過認證機制確保鏈下之數位資料於上鏈前具有可信任性。通過驗證並取得「b-JADE證明標章」的機關、機構或團體等組織，對外可證明其具備資料治理暨管理能力及保護數位資料之能力，且可取得申請加入「司法聯盟鏈」之機會。 本文同步刊登於TIPS網站（https://www.tips.org.tw）