美韓兩國反托拉斯法主管機關共同簽署反托拉斯備忘錄

中國大陸商務部擬整併外資三法重新建構外資企業管理規範 資策會科技法律研究所 法律研究員　丘瀚文 104年12月 壹、前言 　　中國大陸自1979年開始為引進並規範外國投資，陸續頒布《中外合資經營企業法》、《中外合作經營企業法》《外資企業法》(下稱外資三法)，雖外資三法奠定了中國大陸開放外資的基礎，惟頒布日期年代久遠，最近一次的修訂是在2000年和2001年，已難以跟上世界潮流。包括外資三法之逐案審批制以及對外國投資者企業組織型態之規定等，皆不利於外資進入中國大陸。因此中國大陸在第十八屆三中全會提出「構建開放型經濟新體制」、「統一內外資法律法規」與「改革涉外投資審批體制」等方針。 　　有鑑於此，中國大陸商務部隨後於2015年1月提出《外國投資法》草案，並廣徵外界意見。依據商務部草案徵求意見稿說明，《外國投資法》立法目的有三；一為外資三法確立的逐案審批制管理模式已不能適應構建開放型經濟新體制的需要，應建立新管理模式。二為外資三法中關於企業組織形式、經營活動等規定和《公司法》等相關法律重複且適用衝突；三是外資併購、國家安全審查等重要制度需要納入外國投資的基礎性法律建構。草案內容對我方業者影響甚钜，本文將說明《外國投資法》草案重點，供各界瞭解並預為因應[1]。 貳、《外國投資法》草案主要內容 一、外資投資項目：負面表單模式 　　現行外資三法對於外商投資項目規範方式係採逐案審批制，舉凡一切外國投資事項，例如合資企業與合作企業之契約、章程內容與修正等，皆須經由各主管機關審批方得執行。而由於各地政府於審批時所使用標準不同，容易造成外資審批程序不透明、審查時間長短不同等困擾。國務院為解決此一問題，於2015年頒布〈國務院辦公廳關於印發自由貿易試驗區外商投資准入特別管理措施的通知〉，針對自由貿易試驗區之外商投資案件改採負面表列方式管理，非負面表列之行業均按照內外資一致原則實施管理。 　　商務部於2015年1月所提出之《外國投資法》草案中，亦承繼此宗旨採取相同管理方式。依《外國投資法》草案第25條與26條之規定，中國大陸官方應設置「禁止實施目錄」與「限制實施目錄」，其中禁止實施目錄指外國投資者不得投資之項目，限制實施目錄則係指外國投資者經須由主管部門許可方得投資之項目，主管部門並得限制如持股比例、投資區域等條件。簡言之，於《外國投資法》草案中，取消了審批制度，除了「禁止實施目錄」與「限制實施目錄」所負面表列之項目外，原則上外資毋庸經主管機關許可即可投資。 二、外商投資組織變更 　　關於中國大陸外商投資組織，由於外資三法以及各種實施細則對外資企業設有特殊組織機構規範，造成《公司法》頒佈後同時有兩種外資投資組織體系併存，在法制運作實務上迭生困擾。例如關於董事會之職權，依《中外合資經營企業法》董事會為合營企業最高權利機關[2]，且合營企業性質為有限責任公司[3]；惟依《公司法》規範體系觀之，有限責任公司最高權利機關卻為股東會，兩者規範顯有衝突。 　　本次草案中雖廢除了外資三法適用，惟並未對外資企業形式做出具體規範，僅提及應按《公司法》、《合夥企業法》、《個人獨資企業法》等法律法規變更企業組織形式和組織機構，因此現有外商投資企業若組織形式與《公司法》、《合夥企業法》、《個人獨資企業法》法律規定不一致，則須依該等規範進行調整。 三、外國投資安全審查 　　為避免外國投資者進入，影響國家安全或造成中國大陸產業打壓可危，國務院已於2011年2月發佈了〈國務院辦公廳關於建立外國投資者並購境內企業安全審查制度的通知〉，並建立了一套國家安全審查體系。而為了鞏固國家經濟體質，本次草案中仍承繼原有的國家安全審查體系，內容包含國外投資者在投資特定項目時，應經由國家審查通過後方得進行，包含外國投資者應透露投資金額、出資比例、經營計畫並與主管機關進行預約商談等程序。而所謂影響國家安全或造成中國大陸產業打壓，則需考量外國投資者投資對國家關鍵研發能力、技術領先地位、國家經濟運行影響等要件。審查結果則分為三類：1.外國投資無危害國家安全疑慮者可通過審查；2.外國投資可能危害國家安全但可藉由限制性條件消除者，可附條件通過審查；3.外國投資危害國家安全重大者不予通過。 四、外國投資企業事前報告與事後監督制度 　　為顧及國內產業推動，本次草案中並新增訊息報告制度，要求外國投資者在投資實施前或投資實施日起30日內，須向主管機關提交訊息報告，報告內容包含外國投資金額、領域、方式、出資比例等；且外國投資者亦須於每年4月30日前，提交上一年度資訊報告予主管機關。主管機關則具有監督管理之責，應檢察企業「是否投資禁止實施目錄」、「是否履行訊息報告義務」、「是否違反主管機關設立投資限制目錄許可要件」。若審查結果發現確實違反規定，該外資將面臨罰款、沒收非法投資所得並吊銷許可等行政罰，違反訊息報告義務情節重大者，尚可處以最高1年以下之有期徒刑或拘役。 五、判別外資標準：實質控制 　　本次《外國投資法》草案第15條，重新定義對所謂「外國投資」進行定義，其中最重要是明文限制過去遊走於法律灰色地帶的「協定控管」(Variable Interest Entity)。 　　由於中國大陸對於外資投資領域的限制相當嚴格，尤其是電信業、金融業、媒體業、出版業等，因此實務上外資則常透過「協定控管」之方式規避官方禁止投資項目[4]。所謂「協定控管」係指外國公司為規避投資項目限制，不以直接購買股份的方式投資，而透過合約方式列協議達到實質上控制境內公司，如此外觀上非屬外國投資企業，即可規避外資三法所設立之外商投資項目限制。 　　商務部發現外國投資企業可能利用「協定控管」規避負面表單所表列項目，故於本次草案中明文規定外國投資者定義包含受外資「實質控制」的境內公司，而將「協定控管」的投資納入外國投資定義中[5]。值得一提的是，外國投資者如受中國大陸投資者控制，其在境內之投資可視為中國大陸投資者投資，不適用《外國投資法》。簡言之，《外國投資法》建立雙向判定的實質控制標準，判別方式則視「外國投資者是否實質控制企業」以辨別外國投資者與中國大陸投資者。 參、結論 　　大陸近來對於外資整體管理方向皆為改革開放路線與降低投資標準，本次由商務部所提出之《外國投資法》草案，亦承繼此改革開放精神，進一步擴張了外資投資項目，並加入了事前報告與事後監督制度，一方面放寬外資進入的門檻，同時加強外資進入後的監督。此一作法對於我方業者造成之影響整理如下： 一、契約、章程內容更加靈活 　　依現行投資三法規定，合資企業與合作企業之契約、章程內容與修正均需得主管機關同意。而《外國投資法》草案中，關於投資契約、章程規定並非審查之重點，縱使投資契約變更亦無須主管機關再次審查，此點變更可使我方業者投資時，契約與章程內容設立、變更皆能更因應情勢而有變化，為雙方交易帶來更大的利益。 二、台商組織變更 　　本次草案將外資三法之企業組織體系廢除，我方業者商業組織結構應隨之變更。又考量到此一變更將提升外國企業管理成本，商務部亦於草案中規定三年之緩衝期間，亦即應於草案生效後三年內變更完成之。惟企業若經營期限在該法生效後三年內屆滿且擬延長經營期限的，應在企業既有經營期限內進行變更[6]。若相關企業未在規定期限內完成該等變更，根據《外國投資法》草案第151條之規定，主管部門可吊銷許可證件或營業執照，並依法追究刑事責任。 三、投資項目增多 　　草案將投資項目審閱更改為負面表單方式，即除特定項目外，其他項目均予以開放，並將外國投資項目未在禁止實施目錄與限制實施目錄者，放寬至等同國民待遇，即毋須主管機關核可即可依法辦理工商登記，與舊制之逐案審查制不同。 　　依草案23條規定禁止實施目錄與限制實施目錄均由相關部門提出，並交由國務院審議後公佈[7]。商務部亦於2015年3月公佈「外商投資產業指導目錄」，關於數位內容產業部份，新版內容將「網路出版服務」列入禁止外商投資產業目錄，惟草案所稱之禁止實施目錄是否會等同於外商投資產業指導目錄，仍需追蹤後續發展。整體而言本次管制鬆綁對於外商投資發展具正面意義，業者可預先構思法案施行後，進入未列入負面表單項目之市場時點與相關策略作法；惟草案同時放寬了外資入門門檻與提升主管機關監督義務之規定，是否會影響我方業者於大陸市場之競爭力，則仍有待持續觀察。 [1] 本文下稱法條、機構，均指中國大陸，合先敘明。 [2] 中外合資經營企業法第6條「 合營企業設董事會，其人數組成由合營各方協商，在合同、章程中確定，並由合營各方委派和撤換。董事長和副董事長由合營各方協商確定或由董事會選舉產生。中外合營者的一方擔任董事長的，由他方擔任副董事長。董事會根據平等互利的原則，決定合營企業的重大問題。」 [3] 中外合資經營企業法第4條「合營企業的形式為有限責任公司。在合營企業的註冊資本中，外國合營者的投資比例一般不低於百分之二十五。合營各方按註冊資本比例分享利潤和分擔風險及虧損。合營者的註冊資本如果轉讓必須經合營各方同意。」 [4] 李貴敏，〈貴在立法：大陸投資法變革，台商應及早因應〉，卡優新聞網，2015/07/28，http://www.cardu.com.tw/news/detail.php?nt_pk=22&ns_pk=26931(最後瀏覽日期：2015/10/22) [5] 外國投資法第11條2項「受前款(外國投資者)規定的主體控制的境內企業，視同外國投資者。」與《外國投資法》草案第15條2項「境外交易導致境內企業的實際控制權向外國投資者轉移的，視同外國投資者在中國境內投資。」 [6] 《外國投資法》草案第157條規定：「本法生效前依法存續的外國投資企業，在本法生效後三年內應按照《公司法》、《合夥企業法》、《個人獨資企業法》等法律法規變更企業組織形式和組織機構，但企業既有經營期限在本法生效後三年內屆滿且擬延長經營期限的，應在企業既有經營期限內進行變更。」 [7] 《外國投資法》草案第23條「特別管理措施目錄由國務院統一制定並發佈。國務院外國投資主管部門會同有關部門，根據國家締結的多雙邊、區域投資條約、公約、協定和有關外國投資的法律、行政法規、國務院決定，提出制定或調整特別管理措施目錄的建議，提交國務院審議。」

中國大陸電子遊戲機內銷管制變革 科技法律研究所 法律研究員　蘇彥彰 2014年07月22日 　　自中國大陸國務院2000年發布「國務院辦公廳轉發文化部等部門關於開展電子遊戲經營場所專項治理意見的通知」起，至2013年12月21日國務院發佈「國務院關於在中國(上海)自由貿易試驗區內暫時調整有關行政法規和國務院文件規定的行政審批或者准入特別管理措施的決定」為止，中國大陸長期以來嚴格執行其境內的「遊戲機內銷禁令」，一方面限縮了中國大陸遊戲機市場的發展，另一方面也使手機、網路遊戲得以在中國大陸地區崛起。如今遊戲機禁令逐步鬆動，是否會帶動整體遊戲市場洗牌，值得關注。為此，以下回顧中國大陸近年來就家用、掌上型遊戲機的管制政策沿革，並提示逐步開放過程間可能出現的變化和問題。 壹、中國大陸自2000年起長期禁止電子遊戲主機的國內銷售 　　中國大陸國務院於2000年發布「國務院辦公廳轉發文化部等部門關於開展電子遊戲經營場所專項治理意見的通知」，當中明白表示「任何企業、個人不得再從事面向國內的電子遊戲裝置及其零、附件的生產、銷售活動」，此一決定造成風行於世界其它國家地區的家用、掌上型遊戲主機，在中國大陸遊戲市場喪失其合法性[1]。當時中國大陸官方就管制家用遊戲機政策所提出的理由是其「擾亂了社會治安秩序、對青少年的身心發展帶來潛在傷害」。 　　然事實上中國大陸對於可能同樣對青少年造成影響的網路遊戲，不僅未加以禁止，反而將其列為重點產業大力扶植，此一作為明顯和禁止電子遊戲主機內銷理由相矛盾。因此長期以來各大主力電子遊戲機廠商，如索尼、微軟、任天堂等，仍一直試圖以各種方法打入中國市場，並呼籲中國大陸政府開放對內銷售電子遊戲主機[2]。 貳、2013年宣布於上海自貿區內重新開放電子遊戲機之內銷 　　中國大陸對電子遊戲主機的禁令在持續13年後，在2013年9月18日中國國務院發布的「中國(上海)自由貿易試驗區總體方案」中，終於提出允許外資企業在自貿區從事遊戲設備的生產和銷售。此後，僅隔五天上海文廣新聞傳媒集團旗下的百視通便宣佈將與微軟在自貿區合資組建公司，宣稱主要業務是「設計、開發、製作遊戲、娛樂應用軟件及衍生產品；銷售、許可、市場行銷自產和協力廠商的遊戲、娛樂應用軟體；遊戲機相關技術諮詢和服務」[3]。緊接著在2013年12月21日國務院再發佈「國務院關於在中國(上海)自由貿易試驗區內暫時調整有關行政法規和國務院文件規定的行政審批或者准入特別管理措施的決定」，正式宣佈在自貿區內停止實施「遊戲機禁令」。至此，自貿區的遊戲機銷售大門正式向投資者開放。 參、電子遊戲機於中國大陸市場可能面對的問題 　　在前述微軟案例中，其採取的方式是透過合資模式進入中國大陸市場，有論者指出，之所以如此，主要原因在於上海自貿區仍是「禁止外商投資經營網路資料中心業務」。因此，對於微軟而言，仍需倚重百視通成熟的資料中心業務和機上盒業務牌照，以作為其在中國大陸地區網路服務的內容提供主體。除了前揭百視通宣佈將與微軟在自貿區合資組建公司外，另外兩間在電子遊戲機市場上佔有巨大版圖的索尼（SONY）和任天堂（NINTENDO）目前雖然還無具體動作，但業界人士預計這兩間在遊戲機產業界具有舉足輕重地位的公司，很有可能仿照百視通與微軟合資的模式，尋找具有中國境內相關執照的廠商合作，進入中國大陸市場。 　　另一方面，由於2014年6月底最新公布的上海自貿區「負面清單」[4]中，仍然明確規定自貿區內外商「禁止直接或間接從事和參與網絡遊戲運營服務」。由於遊戲機上遊戲目前已朝向具有網路連線功能趨勢發展，此類遊戲若經有關部門歸類為網路遊戲，由於外商不得直接或間接進行遊戲的營運，因此將為中國大陸國產遊戲軟體業者留下相當大的發展空間，可據以抵抗技術實力和知名度兼具的外商國際遊戲軟體大廠；反之若此類具網路連線功能的單機遊戲不在中國大陸網路遊戲營運資格之限制範圍內，外商可直接或間接介入經營，對於目前仍處於「全本土化」的中國大陸網路遊戲產業，勢必會帶來相當的衝擊和競爭。 　　此外，中國大陸雖然放鬆對電子遊戲主機的內銷管制，但對於關鍵的遊戲軟體，由於中國大陸對出版境外著作權人授權的電子出版物（含網路遊戲作品），仍需由新聞出版廣電總局進行內容審查[5]，對於有意進入中國大陸電子遊戲機市場的企業，如何推出能通過內容審查卻又不失遊戲性的遊戲軟體，並讓長期以來已習慣於「低價」甚至「免費」網路遊戲的中國大陸消費者買單，都是相關產業有待克服的問題。 [1]蓝齐，〈国务院禁令解除游戏机成客厅娱乐新力量〉，《IT时代周刊》，2014年3期。 [2]徐涵，〈13年禁令一夕难解 游戏3巨头苦盼中国市场开放〉，《IT时代周刊》，2013年3期。 [3]诸悦，〈游戏机，“行货”来了〉，《小康。財智》，2013年10期。 [4]《中国（上海）自由贸易试验区外商投资准入特别管理措施（负面清单）（2014年修订）》（上海市人民政府公告2014年第1号）。 [5]《国务院对确需保留的行政审批项目设定行政许可的决定》（国务院令第412号2004.06.29）。

　　美國貿易代表署（Office of the United States Trade Representative, USTR）於2020年7月10日針對法國數位服務稅（Digital Services Tax）首度採取「301條款」貿易報復。《1974年貿易法》第301條授權美國政府在對外之國際貿易協定未獲執行，或貿易夥伴採取不公平貿易行為時，進行調查及後續的貿易報復。法國作為全球第一個課徵數位服務稅的國家，法國國民議會於2019年7月11日通過數位服務稅，美國隨即於2019年7月16日開啟「301條款調查」並召開公聽會。美國貿易代表署於2019年12月6日發布調查報告（Report on France’s Digital Services Tax）指出法國數位服務稅是針對美國不合理或歧視性的貿易帳礙。美國總統川普和法國總理馬克宏於2020年1月23日達成暫緩數位服務稅課徵之共識，然而法國在6月再度實施數位服務稅。美國遂對法國啟動「301條款」貿易報復，貿易報復項目係法國進口美國的化妝品、手提包等貨品課徵25%的稅，受波及的貨品粗估高達13億美元。儘管美國企圖透過貿易報復作為警示，許多國家仍持續研擬採取或已經開始課徵數位服務稅。美國貿易代表署指出：「過去兩年，部分國家研擬或已經開始採取數位服務稅，而有相當多的證據可以證明數位服務稅是針對美國大型科技公司。」繼法國之後，美國貿易代表署於2020年6月2日再度開啟「301條款調查」，此次調查對象包括奧地利、巴西、捷克、歐盟、印度、印尼、義大利、西班牙、土耳其和英國等。

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 　　隨著網路科技的進步，伴隨著資安風險的提升，世界各國對於資安防護的意識逐漸升高，紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量，我國於107年5月經立法院三讀通過「資通安全管理法」（以下簡稱資安法），並於同年6月6日經總統公布，期望藉由資通安全管理法制化，有效管理資通安全風險，以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外，另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法，建置了我國資通安全管理之法制框架。然而，資安法及相關子法於108年1月1日實施後，各機關於適用上不免產生諸多疑義，故本文擬就我國資通安全管理法之規範重點為扼要說明，作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 　　資安法所規範之對象，主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義，指依法行使公權力之中央、地方機關（構）或公法人，但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣（市）政府機關、依公法設立之法人（如農田水利會[1]、行政法人[2]）、公立學校、公立醫院等，均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊，故資安法排除軍事及情報機關之適用[3]。 　　特定非公務機關依資安法第3條第6款之規定，指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定，須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定，報請行政院核定，並以書面通知受核定者。須注意者為該指定行為具行政處分之性質，如受指定之特定非公務機關對此不服，則可循行政救濟程序救濟之。目前各關鍵基礎設施領域，預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 　　此外，政府捐助之財團法人，依該法第3條第9項之規定，指其營運及資金運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人，則非屬資安法所稱特定非公務機關之範圍。公營事業之認定，則可參考公營事業移轉民營條例第3條之規定，指（一）各級政府獨資或合營者；（二）政府與人民合資經營，且政府資本超過百分之五十者；（三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 　　資安法之責任架構，可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段，分述如下： （一）事前規劃 　　就事前規劃部分，資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」，使各機關得據此落實相關之資安防護措施，各機關並應依據資通安全責任等級分級辦法之規定，依其重要性進行責任等級之分級，辦理分級辦法中所要求之應辦事項[5]，並將應辦事項納入安全維護計畫中。 　　此外，在機關所擁有之資通系統[6]部分，各機關如有自行或委外開發資通系統，尚應依據分級辦法就資通系統進行分級（分為高、中、普三級），並就系統之等級採取相應之防護基準措施，以高級為例，從7大構面中，共須採取75項控制措施。 （二）事中維運 　　事中維運部分，資安法要求各機關應定期提出資通安全維護計畫之實施情形，上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件，應於機關知悉資通安全事件發生時，於規定時間內[7]，依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施，以避免資通安全事件之擴大。 （三）事後改善 　　在事後改善部分，如各機關發生資通安全事件或於稽核時發現缺失，則均應進行相關缺失之改善，提出改善報告，並應針對缺失進行追蹤評估，以確認缺失改善之情形。 三、情資分享 　　為使資通安全情資流通，並考量網路威脅可能來自於全球各地，資安法第8條規定主管機關應建立情資分享機制，進行情資之國際合作。情資分享義務原則於公務機關間，就特定非公務機關部分，為鼓勵公私間之協力合作，故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 　　我國已於107年1月將政府資安資訊分享與分析中心（G-ISAC）調整提升至國家層級並更名為「國家資安資訊分享與分析中心」（National Information Sharing and Analysis Center, N-ISAC）。透過情資格式標準化與系統自動化之分享機制，提升情資分享之即時性、正確性及完整性，建立縱向與橫向跨領域之資安威脅與訊息交流，以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 　　為使資安法之相關規範得以落實，資安法就公務機關部分，訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容，配合機關內部之人事考評規定訂定獎懲基準，而獎懲辦法適用之人員，除公務人員外，尚包含機關內部之約聘僱人員。就特定非公務機關部分，資安法則另訂有相關之罰則，針對未依資安法及相關規定辦理應辦事項之特定非公務機關，中央目的事業主管機關得令限期改正，並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分，因考量其影響範圍層面較廣，故規定特定非公務機關如未依規定進行通報，則可處以30萬元至500萬元之罰鍰。 參、事件評析 　　公務機關及特定非公務機關為落實資安法之相關規範，勢必投入相關之資源及人力，以符合資安法之要求。考量公務機關或特定非公務機關之資源有限，故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌，以避免資源或相關措施重複建置，以下則列舉幾點建議： 一、風險評估與安全措施 　　資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制，與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似，故各機關於適用上可協調內部之資安與隱私保護機制，共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 　　資安法第18條要求機關應訂定資通安全事件通報應變機制，而個人資料保護法第12條亦規定有向當事人通知之義務，兩者規定雖不盡相同，惟各機關於訂定通報應變機制上，可將兩者通報應變程序進行整合，以簡化通報流程。 三、委外管理監督 　　資安法第9條要求機關負有對於委外廠商之監管義務，個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同，惟均著重對於資料安全及隱私之保護，故各機關可從資料保護層面著手，訂定資安與個人資料保護共同之檢核項目，來進行委外廠商資格之檢視，並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 　　資安法施行細則第6條要求於建置安全維護計畫時，須先進行內部之資產盤點及分級，而個人資料保護法施行細則第12條中，則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時，可建立內部共同之資料盤點清單及資料管理措施，並增加資料使用軌跡紀錄，建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定，軍事機關指國防部及其所屬機關（構）、部隊、學校；情報機關指國家情報工作法第3條第1項第1款（包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊）及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定，行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關（構），於其主管之有關國家情報事項範圍內，視同情報機關。 [4] 羅正漢，〈臺灣資通安全管理法上路一個月，行政院資安處公布實施現況〉，iThome, 2019/02/15，https://www.ithome.com.tw/news/128789 （最後瀏覽日：2019/5/13）。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級，各機關應依據其責任等級應從管理面、技術面及認知與訓練面向，辦理相應之事項。 [6] 資通系統之定義，依資通安全管理法第3條第1款之規定，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後，應於1小時內依規定進行資通安全事件之通報；如為第一、二級資通安全事件，並應於知悉事件後72小時內完成損害控制或復原作業，第三、四級資通安全事件，則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉，行政院國家資通安全會報技術服務中心，https://www.nccst.nat.gov.tw/NISAC（最後瀏覽日：2019/5/14）。