美國網路安全相關法規與立法政策走向之概覽
科技法律研究所
法律研究員 沈怡伶
104年08月11日
網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。
壹、美國聯邦政府相關網路安全規範、標準及措施
一、金融業相關管制規範
對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。
另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]。
二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)
該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]。
三、醫療健康資訊相關管制規範
「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]。
貳、立法焦點新況:網路安全及網路威脅資訊共享
美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]。
針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。
現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之:
一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。
二、能破解安全控制或利用安全漏洞的方法。
三、安全漏洞。包括能指出安全漏洞存在的異常活動。
四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。
五、惡意網路命令和控制。
六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。
七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。
八、任何結合上開措施之行動。
防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。
就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。
美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。
參、小結
網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]。
就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。
[1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015).
[2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015).
[3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015).
[4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015).
[5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015).
[6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015).
[8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015).
[9] Sec.2(15).
[10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015).
[11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015).
[12] Sec.2(6).
[13] Sec.2(7).
[14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。
[15]Paul et al., supra note 2, at 2.
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。 因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有: 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。 行動設備威脅:行動設備遭竊或遺失與不當近用。 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。 消費者威脅:POS惡意軟體、MiTM、重放攻擊。 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。 支付網路提供者威脅:代碼服務崩潰、拒絕服務。 發行商威脅:付款授權流程崩潰與代碼資料崩潰。 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。 因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準: 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。 行動支付業者應當建立詐騙監控機制。 網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
產學合作的推動-以株式會社東京大學TLO為例-產學合作的推動 -以株式會社東京大學TLO為例- 資策會科技法律研究所 法律研究員 林思妤 105年07月12日 壹、前言 我國政府日漸重視產學合作,各部會也相繼推出各項產學合作研究計畫及提供各式獎補助金方案,供學研單位及產業界申請,期能使學界的研發成果符合產業界的需求,產業界再將該研發成果的運用發揮至最大效益,成為國家經濟發展的潛能[1]。當中,大學的育成、技轉中心扮演著重要角色,其業務包含協助新創事業的成立以及管理研發成果的授權與移轉。而鄰近於我國的日本,以東京大學為例,其不僅有校內的產學協創推進本部(The Division of University Corporate Relations,DUCR)(以下簡稱DUCR)[2],支持著東京大學與企業之間的共同研究,也有因應文部科學省(相當於我國教育部)推動國立大學法人化相關政策[3]而設立的株式會社東京大學TLO(Technology Licensing Organization)(以下簡稱東大TLO),促進東京大學研發成果的商品化[4],在這樣校內、外組織長期合作下,東大TLO及DUCR皆對大學的研發成果有著深入的認識,針對每種研發成果安排合適的運用方式,使東京大學在研發成果商業化上有著亮眼的成績。本文將介紹東大TLO的組織及業務範圍,以供我國相關單位參考。 貳、株式會社東京大學 TLO的發展與運作 日本大學所設立的技術移轉中心TLO是根據1998年10月所制定的「大學技術移轉促進法」(「大学等における技術に関する研究成果の民間事業者への移転の促進に関する法律」)所設立的[5]。該法明定TLO為法人組織[6],可為股份有限公司型態,對外公開發行股票,TLO主要工作為:研發成果之技術評鑑、接受國有研發成果之專屬授權、向經濟產業省的特許廳(相當於我國智慧財產局)提出專利等智慧財產權申請、提供技術資訊予私人企業、回饋一定比例之技術移轉效益予原研發單位。此外,推動大學、研究單位之創新公司(Start-up Company)或衍生公司(Spin-off Company),促使大學、研究機構設立創業育成中心(Incubator),提供新設公司必要資金,擴展研究機構與私人企業間之合作計畫等,皆屬TLO的重要任務[7]。 一、東京大學百分之百持股的技術控股股份有限公司 1998年8月3日,東京大學根據「大學技術移轉促進法」的宗旨自發性合資,以2000萬日圓的資本額成立「先端科学技術インキュベーションセンター」(Center for Advanced Science and Technology Incubation,CASTI)[8],而CASTI就是東京大學的TLO,係屬法人組織,負責東京大學技術授權的對外窗口。2004年以前,因為日本國立大學不具法人身份,故校內研發人員的研發成果,歸私人而非校方所有,如何運用該研發成果校方難以干涉。2004年4月,因應「國立大學法人法」[9]的制定,CASTI保留股份有限公司的身份,正式編納入東京大學組織中,更名為株式會社東京大學TLO(TODAI TLO. Ltd.)[10],是東京大學唯一百分之百持股的技術控股股份有限公司[11]。東大TLO藉由技術移轉扮演著學術界以及產業界間仲介橋樑任務,將大學及研究人員之研發成果進行智慧財產權信託[12]與專利申請等事務,將東大本身擁有的技術移轉至民間企業。透過技術移轉開創新產業目標,並將所得之收入再投入研發資金並回饋予大學,使大學之研發成果成為知識循環以及創新原動力[13]。 二、東大TLO的業務範圍 國立大學法人化後,教授的研發專利權歸屬校方而非教授本人,東大TLO會先與校方簽約,再代表東京大學與產業界洽談專利授權事宜。東大TLO一方面協助東大申請校內研發成果的專利權,依校方立場,判斷其是否具申請價值,並引導研發人員修整其專利申請方向,另一方面主動向企業界推銷校方公佈的專利,並將企業提出的需求意見整理供校內人員參考。 詳言之,東京大學研發產出之專利申請、取得及授權係由校外組織的東大TLO與校內組織DUCR協同運作完成,其處理流程為:(一)東京大學研究人員提出發明揭露給DUCR 作初步審查;(二)初步審查通過後發明揭露由DUCR轉給東大TLO;(三)東大TLO 與研究人員面談研議發明內容之專利性(Patentability)與市場性(Marketability);(四)與研究人員面談後,東大TLO針對發明內容之專利性與市場性自為調查;(五)東大TLO 根據面談與調查結果提出專利申請建議給DUCR;(六)DUCR 決定是否續行專利申請;(七)東大TLO再聘請外部專利事務所進行專利申請;(八)專利申請提出後,東大TLO 即可著手進行授權作業[14]。東大TLO目前共有25位成員負責其業務。 另外,校內發明人創立新事業的過程中,資金的來源、人員的組成或創立的地點,東大TLO不會介入。但是涉及使用校內研發技術的部分,就必須透過東大TLO協助申請專利之後,再授權給發明人所開創的新事業[15]。 三、東大TLO享有的特別措施 日本的技術移轉中心TLO,因TLO本身「是否歸屬大學」分為承認型TLO以及認定型TLO。承認型TLO為大學所創設的技術移轉中心,係由大學同時向文部科學省及經濟產業省提出申請[16]。承認型TLO具申請獎補助金之資格,得接受政府各類獎助措施,且研發成果所有權移轉至TLO。認定型TLO則不屬大學機構所有,無法提出部分獎補助金之申請,但協助技術移轉之角色不變。再者,承認型TLO又根據其「存在方式」分為校內及校外TLO[17];東大TLO即是承認、校外型的TLO。 而承認型TLO在「大學技術移轉促進法」、「產業技術力強化法」[18]以及「國立大學法人法」的規定下,有多項特別措施[19],亦即東大TLO享有的特別措施。例:專利費用的減免[20]、專利處分的自主[21]、可獲國立大學法人出資[22]、信託業務的實施[23]及資金借款債務保證[24],相信這樣的特別措施是有助於東大TLO將研發成果商業化的。 東大TLO自1998年運作至今,已完成了3,549件的技術移轉契約,達到約61億日圓的收入[25],特別是2013年時,因為PeptiDream Inc.上市(藥物研發公司),使得該年度授權金收入達到將近7億日圓[26]。 參、評析 由東大TLO的運作發展觀之,可了解到產學合作的推廣,要注重學研單位及產業界之間的訊息流通,研發成果才有商品化的潛力。執行上,東京大學藉由校內DUCR對研發成果做出初步審查,佐以校外東大TLO對於技術移轉市場的專業判斷力,扮演著媒合的角色,使授權案件數量持續增長。更重要的是,政府對於設置TLO的支持與鼓勵,不僅放寬了限制,還給予多項特別措施,讓日本TLO有著穩定的發展,目前日本共有37個享有特別措施的承認型TLO[27]。 反觀我國,縱使根據經濟部於今年4月發佈的函釋[28],國立大學可以擔任公司發起人,可以設置像東大TLO這樣的智慧財產研發成果管理公司,但卻受「國立大學校務基金設置條例」的規定,校方必須以自籌收入作為設立的資金來源[29],無法將其從政府獲得的補助用於成立該類型公司。再者,若一國立大學將其因政府補助而取得的技術,固定交由其自身設立的TLO,是否仍適用現行的政府採購法等。總而言之,我國國立大學已有資格設立像東大TLO這樣的技術控股公司,但是相關的配套措施、因應機制及相關規範的調適仍待政府引領規劃。 [1] 經濟部中小企業處在各大專院校以及研究機構成立中小企業創新育成中心;科技部在各校成立技術移轉中心;教育部推出產學合作中心,為的都是促進產學合作。 [2] 日本東京大學産学協創推進本部DUCR,http://www.ducr.u-tokyo.ac.jp/(最後瀏覽日:2016/05/05)。 [3] 日本文部科學省國立大學法人化相關政策簡介,http://www.mext.go.jp/a_menu/koutou/houjin/03052704.htm,(最後瀏覽日:2016/06/27)。 [4] 株式會社東京大學TLO(TODAI TLO Ltd.),http://www.casti.co.jp/en/#sect01 (最後瀏覽日:2016/05/04)。 [5] 「大學技術移轉促進法」(Act to Facilitate Technology Transfer from Universities to the Private Sector ),1998年,http://www.japaneselawtranslation.go.jp/law/detail/?ft=2&re=02&dn=1&yo=universities&x=0&y=0&ia=03&ky=&page=2 (最後瀏覽日:2016/5/4)。 [6] 日本「大學技術移轉促進法」第二條明定多項技術意轉組織成立方式,包含資金規模與公司人數(條文全文請參考前註連結)。 [7] 李素華,「日本施行大學及研究機構技術移轉促進法」,科技法律透析,1999年5月15日。 [8] Taking new challenges-RCAST historical Facts,http://www.rcast.u-tokyo.ac.jp/about/history/index_en.html(最後瀏覽日:2016/5/4) [9]国立大学法人法,2003年7月16日, http://law.e-gov.go.jp/htmldata/H15/H15HO112.html (最後瀏覽日:2016/06/29)。 [10] 林秉毅,論文「日本大學與研發機構之技術移轉辦公室促進研發成果商品化研究」,2003年,頁3(肆、案例分析)。 [11]株式會社東京大學TLO(TODAI TLO Ltd.),“TLO stands for Technology Licensing Organization, and TODAI TLO, the only wholly-owned subsidiary of the University of Tokyo, acts as a contact point for industry to access technologies developed at the University of Tokyo.” http://www.casti.co.jp/en/,(最後瀏覽日:2016/06/28)。 [12] 根據日本信託業法第52條,承認型TLO(東大TLO)得為信託業者。 [13]有鑒於TLO之特殊性,其不僅在組織型態上不限於股份有限公司,也不要求其必須使用商號,同時對於董事之兼職或主要股東之限制等規定亦均無適用餘地。(李智仁,「從日本經驗談智慧財產權信託與技術移轉問題」,銘傳大學法學論叢,7期,2007年6月,頁98。) [14] 經濟部中小企業處,「行政院所屬機關科長級以上跨領域科技管理研習國外專題報告」,日本東京大學智財管理、技轉與產學合作模式,2013年11月,頁27-28,http://goo.gl/jzEviM(最後瀏覽日:2016/5/5)。 [15] 林秉毅,論文「日本大學與研發機構之技術移轉辦公室促進研發成果商品化研究」,2003年,頁10(肆、案例分析)。 [16]「特定大学技術移転事業の実施に関する計画承認実施要綱」(2008年最後修訂)第2條第1項:「法第四条第一項の規定に基づき実施計画の承認を受けようとする事業者は、様式第一による申請書を文部科学大臣及び経済産業大臣に提出するものとする」。 [17] 林秉毅,論文「日本大學與研發機構之技術移轉辦公室促進研發成果商品化研究」,2003年,頁35~37。 [18]「産業技術力強化法」Industrial Technology Enhancement Act(Tentative translation),2000年4月發佈,http://www.japaneselawtranslation.go.jp/law/detail/?ft=2&re=02&dn=1&yo=%E5%BC%B7%E5%8C%96&x=0&y=0&ia=03&ky=&page=3 (最後瀏覽日:2016/06/29)。 [19] 日本特許廳,特許料等の減免制度,http://www.jpo.go.jp/tetuzuki/ryoukin/genmensochi.htm (最後瀏覽日:2016/5/4)。 [20] 大學等技術移轉促進法第8條,承認TLO第1年到第10年的專利費得減免二分之一。 [21] 產業技術力強化法第19條,政府委託研究成果由大學取得之專利權,讓售(讓與)或授權他人實施時,不必經過國家認可。 [22] 國立大學法人法蒂22條,承認TLO可從國立大學法人獲得出資。 [23] 信託業法蒂52條,承認TLO實施信託業務時,不需要取得內閣總理大臣之執照。 [24] 大學技術移轉促進法蒂6條,承認TLO所需要的資金借款,可受到獨立行政法人中小企業基礎整備機構的債務保證。 [25] 株式會社東京大學TLO(TODAI TLO Ltd.),Licensing Track Record,http://www.casti.co.jp/en/about/results.html (最後瀏覽日:2016/06/29)。 [26] 科技部中部科學園區管理局盧科員素璧日本考察報告,日本筑波科學城、相模原育成中心招商及產學合作研討會,2015年4月7日。 [27] 日本特許廳,承認、認定TLO(技術移轉機關)一覽,https://www.jpo.go.jp/kanren/tlo.htm(最後瀏覽日:2016/06/29)。 [28]經濟部函釋,國立大學可以擔任公司發起人,2016年4月19日,https://gcis.nat.gov.tw/elaw/query/ConSearchRLT.jsp?CONS_CD=8793 (最後瀏覽日:2016/06/29)。 [29]國立大學院校校務基金設置條例第10條第1項:「為確保校務基金永續經營,並提升其對校務發展之效益,國立大學校院於提出年度投資規劃並經管理委員會審議通過後,得投資下列項目:一、存放公民營金融機構。二、購買公債、國庫券或其他短期票券。三、投資於與校務發展或研究相關之公司及企業,除以研究成果或技術作價無償取得股權者外,得以自籌收入作為投資資金來源。四、其他具有收益性及安全性,並有助於增進效益之投資。」
韓國智慧財產局提出「營業秘密原本證明」可直接申請海牙認證,強化營業秘密跨境保護2025年9月15日,韓國智慧財產局(Korean Intellectual Property Office,下稱KIPO)與韓國外交部轄下之海外僑胞廳 (Overseas Koreans Agency,下稱OKA)共同宣布:即日起,「營業秘密原本證明(Trade Secret Original Certificate)」無須經過公證人的公證程序,即可直接申請海牙認證(Apostille)。此項政策旨在簡化韓國企業在海外保護其營業秘密的程序,減輕企業的時間與金錢成本。 在KIPO與OKA尚未推出該新政策前,依據韓國《不正競爭防止法》第 9-2條第3款規定,推定註冊此營業秘密原本證明者在註冊的時點,已擁有該電子文件所記載的資訊。然而,海牙認證僅頒發給「官方文件」,非官方機構所核發的營業秘密原本證明在國際上不會被視為官方文件,即營業秘密原本證明僅在韓國國內生效。當韓國企業積極擴展海外市場或在海外面臨營業秘密侵權糾紛時,企業如欲將營業秘密原本證明申請海牙認證以作為跨國訴訟之證據,需經過以下3步驟: (1)將其含有營業秘密內容的電子文件,向KIPO指定的原本證明機構申請註冊「營業秘密原本證明」。 目前KIPO指定4家非官方\機構,如韓國智慧財產權保護院(한국지식재산보호원)、LG CNS、RedWitt、Onnuri 國際營業秘密保護中心。以韓國智慧財產權保護院之流程為例,該機構自電子文件生成獨一無二的數位指紋(Hash,或稱雜湊值),與時間戳技術結合,製作營業秘密原本證明,以確保在特定時間點,該文件確實存在,且之後未被變更。即使對文件的微小修改都會影響數位指紋,使營業秘密原本證明失效。 (2)將其營業秘密原本證明交由公證人公證。 (3)取得公證人公證後,方得依據《關於官方文件簽發海牙認證及領事認證規定》(總統令)(공문서에 대한 아포스티유 및 본부영사확인서 발급에 관한 규정」(대통령령))向主管機關(即OKA)申請海牙認證。 9月新政策將「營業秘密原本證明」納入「可直接申請海牙認證的文件範圍」,即企業在取得由 KIPO 指定機構所核發的原本證明後,不須經公證流程,可直接申請海牙認證。此舉簡化行政程序,且經海牙認證為韓國真實文件之營業秘密原本證明,在海外爭議中可作為官方文件,提升公信力。 綜上可得知,韓國營業秘密原本證明的服務僅留存電子文件的最終版本所生成之數位指紋,而非註冊當時的電子文件本身。因此,本文建議企業仍應先打好文件管理機制的地基,簡要說明如下: 1.第一步,選定有價值、有高度洩密風險或即將對外共享的數位資料(如研發紀錄、客戶名單、演算法等),明確該資料相關之權責人員與作業規範。 2.第二步,建立可行之重要數位資料的生命週期(自原始資料之生成、保護到維護,再延伸至存證資訊之取得、維護與驗證)流程化管理機制,確認具備與管理流程相應的資源(如人員面之保密契約、教育訓練以及環境面之系統備份等)。 3.第三步,檢視現行規範與實際執行之情況與分析落差原因。 4.第四步,因應管理機制落實之程度、內外部變動之需求,進而調整合適的管理作法。 前述建議之管理作法已為資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》所涵蓋,企業如欲強化數位資料管理機制,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟對中小型生技公司提供藥政管理之費用優惠及專業協助中小型公司是生技產業發展的主力,然藥物研究發展模式風險及資金需求甚高,對資金不豐沛的中小型公司來說,無疑是一大負擔,因此,各國政府於促進生技醫藥產業發展之同時,相當重視如何減輕這些生技製藥公司的營運壓力,進而協助其順利茁壯。 現今歐盟境內至少有1500家中小型生技公司,為減輕這類研發導向的中小型製藥公司之財務負擔,並提供一些藥政管理上的專門協助,歐盟於去2005年12月15日通過了〝歐盟醫藥品管理局協助中小型公司發展規則(COMMISSION REGULATION (EC) No 2049/2005 laying down, pursuant to Regulation (EC) No 726/2004 of the European Parliament and of the Council, rules regarding the payment of fees to, and the receipt of administrative assistance from, the European Medicines Agency by micro, small and medium-sized enterprises,以下簡稱本規則)〞。 本規則主要是希望EMA(European Medicines Agency, 即歐盟醫藥品管理局)能透過相關規費之減免及提供科學諮詢的方式,降低中小型公司新藥上市申請費用(一般而言,人類用新藥於歐盟上市需支付14 萬歐元的申請費用),進而促進技術創新及新藥研發。另為協助中小型公司能更快速及方便地利用到這些優惠,本規則特要求EMA應於其內部建立〝中小企業辦公室(SME Office)〞,並製作詳細之使用者手冊(User Guide)供中小型公司參考。 台灣大部分的生技製藥公司亦屬中小型,故政府應思考如何幫助這些公司成長茁壯。雖然我國對生技製藥產業相關已提供投資抵減優惠,但卻無特別針對中小型生技製藥公司的藥政管理法規,歐盟前述立法及其精神值得我國借鏡。