從103年度民專上更(一)字第7號淺析智慧財產管理對認定職務發明的重要性
從103年度民專上更(一)字第7號淺析智慧財產管理對認定職務發明的重要性
資策會科技法律研究所
法律研究員 林明賢
105年01月30日
壹、事件摘要
馬克旦(台灣綠牆開發股份有限公司員工,原審被告,以下稱被上訴人)以其所有之新型專利第M367678號與方智股份有限公司簽訂合作開發案,方智股份有限公司之股東與被上訴人共同成立台灣綠牆開發股份有限公司(原審原告,以下稱上訴人)。被上訴人將新型專利第M367678號授權予上訴人使用,並簽立專利授權書,約定被上訴人如使用上訴人資源進行研發,研發成果由雙方共享。被上訴人於就職期間逕行在台灣申請並取得新型專利第M417768號,並依此專利向中國大陸申請相同內容之中國大陸實用新型專利CN202026637U號。上訴人請求法院確認台灣新型專利第M417768號及中國大陸實用新型專利CN202026637U號(以下簡稱系爭專利)為上訴人與被上訴人共有。
貳、本案重點說明[1]
一、上訴人可循民事訴訟程序請求認定專利申請權及專利權歸屬
有關專利申請人的變更,專利申請人能否提起確認之訴?主要考量論點有二說:(一)行政法構造論;(二)利益考量論[2]。行政法構造論認為行政處分若有違法應以行政訴訟的程序予以撤銷,或尋舉發之程序予以撤銷專利權。真正專利權人不能用確認訴訟的方式變更專利權人。而利益考量論認為真正專利權人能用確認訴訟的方式變更專利權人。
本案法院認為因僱傭關係而生專利申請權及專利權歸屬之爭執,可先向民事法院提起確認專利申請權及專利權歸屬之訴訟,於獲勝訴判決確定後,即可附具該確定判決,向專利專責機關申請變更權利人名義[3]。
二、系爭專利為兩造所共有
本案系爭專利授權書第4條記載:「甲方(按:即馬○旦)如使用乙方(按:即綠○公司)資源進行研發,研發成果由雙方共享之」。雙方的締約真意在於若被上訴人研發之專利有使用上訴人資源,則該專利須登記為雙方共有。法院認定系爭專利係利用上訴人資源所研發,依前開系爭專利授權書第4條及兩造訂約真意,系爭專利應登記為兩造所共有。
參、事件評析
一、職務發明或非職務發明的界定
我國關於職務發明的定義主要規定在專利法第7條第2項[4],職務發明係指受雇人於僱傭關係中之工作所完成之發明、新型或設計。我國智慧財產局公布之專利逐條釋義進一步提到「職務上發明」係指受雇人於僱傭關係存續中,基於本身派受工作之範圍內,所完成之發明,發明為其工作內容之一,也是執行職務之結果。如於僱傭關係存續中,完成與職務無關之發明,則非屬職務上發明,故並非所有僱傭關係存續中之發明,均屬職務發明。亦即與受雇人本身執行職務所負擔之工作內容有直接或間接關係之發明,方屬之。因此,是否為職務發明,取決於職務工作內容與發明、新型或設計之內容,而不在於是否於上班時間內完成。申言之,所謂職務上所完成之發明,必與其受雇之工作有關連,即依受雇人與雇用人間契約之約定,從事參與或執行與雇用人之產品開發、生產研發等有關之工作,受雇人使用雇用人之設備、費用、資源環境等,因而完成之發明、新型或設計專利,其與雇用人付出之薪資及其設施之利用,或團聚之協力,有對價之關係。
我國對於職務發明的權利歸屬規定在專利法第7條第1項[5],原則上職務發明的專利申請權及專利權歸屬於雇用人,但可以契約另行約定。我國對於非職務發明的權利歸屬規定在專利法第8條第1項[6],非職務發明的專利申請權及專利權歸屬於受雇人,但若非職務發明係利用雇用人資源或經驗者,雇用人得於支付合理報酬後,於該事業實施其發明、新型或設計。
由於職務發明或非職務發明的認定將影響專利申請權及專利權歸的歸屬,因此法院如何解釋專利法第7條第2項則亦顯重要。智慧財產法院100民專上51號判決曾提及我國專利法第7條第2項的立法意旨在於平衡雇用人與受雇人間之權利義務關係,其重點在於受雇人所研發之專利,是否使用雇用人所提供之資源環境,與其實際之職稱無關,甚至與其於契約上所約定之工作內容無關,而應以其實際於公司所參與之工作,及其所研發之專利是否係使用雇用人所提供之資源環境為判斷依據。
中國大陸關於職務發明的定義主要規定在中國大陸專利法第6條第1項[7],職務發明係指執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造。中國大陸專利實施細則第12條[8]則進一步敘明職務發明創造係指:(一)在本職工作中作出的發明創造;(二)履行本單位交付的本職工作之外的任務所做出的發明創造;(三)退休、調離原單位後或者勞動、人事關係中止後1年內作出的,與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。
中國大陸專利法對於職務發明的權利歸屬規定在專利法第6條第1及3項[9],原則上職務發明的專利申請權及專利權歸屬於雇用人,但若是利用本單位的物質條件所完成的發明創造,則可以契約另行約定。中國大陸對於非職務發明的權利歸屬規定在專利法第6條第2項[10],非職務發明的專利申請權及專利權歸屬於受雇人。值得注意的是,中國大陸專利法修正草案第6條第1項已將「利用本單位物質技術條件所完成的發明創造」從職務發明創造之範疇排除[11],所以未來企業在中國大陸有相關商業活動者,應特別留意該修正草案後續發展。未來因應做法可考量先行將「利用本單位物質技術條件所完成的發明創造」以契約約定專利申請權及專利權的歸屬,避免後續不必要的爭議發生。
在中國大陸設廠的我國企業後續也應持續關注中國大陸職務發明條例草案。中國大陸職務發明條例草案第20條[12]有規定對獲得發明專利權或者職務新品種權的職務發明,給予全體發明人的獎金總額不得低於該單位在崗職工月平均工資的兩倍;對於其他智慧財產權的職務發明,給予全體發明人的獎金總額不得低於該單位在崗職工的月平均工資。此外,中國大陸職務發明條例草案第21條[13]更詳細地載明企業每年實施職務發明應給付發明人的最低合理報酬。
無論是我國或中國大陸,一旦受雇人之創作被認定為非職務發明時,則專利申請權及專利權將歸屬於受雇人而非雇用人。所以,如何證明受雇人創作係屬職務發明而不是非職務發明則對企業來說更顯重要。由於法院判斷受雇人的創作屬於職務發明或非職務發明需要透過實際上的客觀證據來認定,因此受雇人在企業任職期間的研發記錄、測試記錄、開模記錄、溝通記錄、會議記錄、費用單據等與職務發明相關的重要資料,企業應妥善地保管留存。後續企業方能據以主張專利申請權及專利權的權利歸屬。
二、台灣專利申請人變更
企業在發生專利申請權及專利權爭議時,可先透過民事訴訟程序請求確認專利申請權人及專利權人,待取得勝訴判決後再據以向智慧財產局申請變更專利權人名義。需提醒的是,雖然雇用人亦可透過我國專利法第71條第1項第3款[14]向智慧財產局提起舉發。在舉發撤銷確定後,再依專利法第35條[15]向智慧財產局重新申請。但需注意的是,真正專利權人必須在專利公告後兩年內提起舉發。若舉發撤銷確定,則真正專利權人必須要在兩個月內提出重新申請。企業若欲透過舉發的方式修改專利權人名義,則需要特別注意時效上的限制。
三、我國企業可依據我國勝訴判決更正中國大陸專利權人
現今台海兩地商業活動頻繁,許多專利申請人都會同時在台灣及中國大陸申請專利。關於台灣專利的部分,企業可根據法院的勝訴判決向智慧財產局申請變更權利人名義。但關於中國大陸專利的部分,企業是否需到中國大陸另行起訴呢?根據中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』的有關規定[16],企業於中國大陸能以台灣法院的勝訴判決先向中國大陸人民法院申請認可和執行後,再向國務院專利行政部門辦理專利權移轉手續。
需要提醒的是,中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』第9條[17]列舉6項不予認可的事由:(一)申請認可的民事判決的效力未確定的;(二)申請認可的民事判決,是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的;(三)案件係人民法院專屬管轄的;(四)案件的雙方當事人訂有仲裁協議的;(五)案件係人民法院已作出判決,或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的;(六)申請認可的民事判決具有違反國家法律的基本原則,或者損害社會公共利益情形的。雖然透過這個機制我國企業能較快速地依據我國勝訴判決來修改中國大陸專利的專利權人名義,但不可輕忽的是,我國企業若於中國大陸當地設廠要更加注意當地職務發明相關資料的證據留存。
肆、結論:智慧財產管理協助企業保護智財權利並降低歸屬爭議
隨著智慧財產爭議的不斷浮現,智慧財產管理對企業更益顯重要。若企業內部缺乏完善的智慧財產管理制度,將導致智財風險相對地提高。在實務上職務發明真正專利權人救濟成功的案例失敗者遠高於成功者。因此種爭議首先需探究何時完成該發明,發明人在該時點於哪一公司任職。但發明是人類心智活動的產出,一件發明是由誰所產出,甚難直接且清楚舉證證明。兼以在專利先申請原則之下,此種爭議之訴訟實務,多以該申請專利之發明的申請日而不以發明完成日為準,亦即申請時發明人係在哪一家公司任職。因此,離職後再申請專利者,前一家公司欲主張之前任職之職務發明,即處在不利之地位[18]。
為有效降低如同本案受雇人或離職員工擅自將職務發明申請專利的風險,企業可透過建置智慧財產管理系統於受雇人進入企業的前、中及後期分別檢視,以保護企業的智慧財產。舉例來說,在受雇人進入企業的前期,應與員工簽訂工作契約或聘雇契約,並於契約明定智慧財產歸屬、保密要求;必要時,可包括競業禁止要求。透過多面向的保護,受雇人一旦擅自將職務發明申請專利,則企業不僅可透過契約證明自己是真正專利權人,受雇人更可能因擅自揭露企業營業秘密而有洩密的刑責和需向企業支付損害賠償。
在受雇人進入企業的中期,企業應該要求受雇人詳實記錄研發過程,以確保企業可證明該成果係自行研發。相關記錄應包括可識別研發之人、時間、地點與內容等資訊。如此一來,一旦雙方後續發生爭執,企業也能透過研發紀錄佐證受雇人的申請專利確實屬於職務發明且為企業內部的研發成果。
受雇人進入企業的後期,企業應對離職員工提醒相關智慧財產規定。對於涉及企業重要智慧財產之員工離職時,應進行面談。必要時,得簽定離職契約,約定特定智慧財產之權利歸屬。如此一來,企業能再次透過契約約定特定智慧財產之權利歸屬,以避免受雇人將職務上發明逕行申請專利且占為己有。此外,企業還應定期追蹤與公司研發成果相關的專利申請動向。一旦受雇人離職後發生如同本案的爭議,雇用人還可趕緊提起確認之訴或舉發等程序救濟,以保護企業內部的智慧財產。
[1] 本文主要聚焦於專利申請權及專利權歸屬之判決討論。本案判決尚涉及協議書及授權書效力之爭執,本文不另行贅述。
[2] 劉國讚,《專利法之理論與實用》,元照出版,初版,頁186(2012)。
[3] <司法院101年度「智慧財產法律座談會」「民事訴訟類相關議題」提案及研討結果第5號>,司法院法學資料檢索系統,http://jirs.judicial.gov.tw/FJUD/index_1.htm (最後瀏覽日:2016/1/21)。
[4] 我國專利法第7條第2項:「前項所稱職務上之發明、新型或設計,指受雇人於僱傭關係中之工作所完成之發明、新型或設計」。
[5] 我國專利法第7條第1項:「受雇人於職務上所完成之發明、新型或設計,其專利申請權及專利權屬於雇用人,雇用人應支付受雇人適當之報酬。但契約另有規定者,從其約定」。
[6] 我國專利法第8條第1項:「受雇人於非職務上所完成之發明、新型或設計,其專利申請權及專利權屬於受雇人。但其發明、新型或設計係利用雇用人資源或經驗者,雇用人得於支付合理報酬後,於該事業實施其發明、新型或設計」。
[7] 中國大陸專利法第6條第1項:「執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造為職務發明創造。職務發明創造申請專利的權利屬於該單位;申請被批准後,該單位為專利權人」。
[8] 中國大陸專利實施細則第12條:「專利法第六條所稱執行本單位的任務所完成的職務發明創造,是指:
(一)在本職工作中作出的發明創造;
(二)履行本單位交付的本職工作之外的任務所作出的發明創造;
(三)退休、調離原單位後或者勞動、人事關係終止後1年內作出的,與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。
專利法第六條所稱本單位,包括臨時工作單位;專利法第六條所稱本單位的物質技術條件,是指本單位的資金、設備、零部件、原材料或者不對外公開的技術資料等」。
[9] 中國大陸專利法第6條第3項:「利用本單位的物質技術條件所完成的發明創造,單位與發明人或者設計人訂有合同,對申請專利的權利和專利權的歸屬作出約定的,從其約定」。
[10] 中國大陸專利法第6條第2項:「非職務發明創造,申請專利的權利屬於發明人或者設計人;申請被批准後,該發明人或者設計人為專利權人」。
[11] 中國大陸專利法修改草案第6條第1項:「執行本單位任務所完成的發明創造為職務發明創造」。
[12] 中國大陸職務發明條例草案第20條:「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的獎勵的,對獲得發明專利權或者植物新品種權的職務發明,給予全體發明人的獎金總額最低不少於該單位在崗職工月平均工資的兩倍;對獲得其他智慧財產權的職務發明,給予全體發明人的獎金總額最低不少於該單位在崗職工的月平均工資」。
[13] 中國大陸職務發明條例草案第21條:「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的,單位實施獲得智慧財產權的職務發明後,應當向涉及的所有智慧財產權的全體發明人以下列方式之一支付報酬:
(一)在智慧財產權有效期限內,每年從實施發明專利或者植物新品種的營業利潤中提取不低於5%;實施其他智慧財產權的,從其營業利潤中提取不低於3%;
(二)在智慧財產權有效期限內,每年從實施發明專利或者植物新品種的銷售收入中提取不低於0.5%;實施其他智慧財產權的,從其銷售收入中提取不低於0.3%;
(三)在智慧財產權有效期限內,參照前兩項計算的數額,根據發明人個人月平均工資的合理倍數確定每年應提取的報酬數額;
(四)參照第一、二項計算的數額的合理倍數,確定一次性給予發明人報酬的數額。
上述報酬累計不超過實施該智慧財產權的累計營業利潤的50%。
單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的,單位轉讓或者許可他人實施其智慧財產權後,應當從轉讓或者許可所得收入中提取不低於20%,作為報酬給予發明人」。
[14] 我國專利法第71條第1項第3款:「違反第十二條第一項規定或發明專利權人為非發明專利申請權人」。
[15] 我國專利法第35條:「發明專利權經專利申請權人或專利申請權共有人,於該專利案公告後二年內,依第七十一條第一項第三款規定提起舉發,並於舉發撤銷確定後二個月內就相同發明申請專利者,以該經撤銷確定之發明專利權之申請日為其申請日」。
[16] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第2條:「臺灣地區有關法院的民事判決,當事人的住所地、經常居住地或者被執行財產所在地在其他省、自治區、直轄市的,當事人可以根據本規定向人民法院申請認可」。
[17] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第9條:「臺灣地區有關法院的民事判決具有下列情形之一的,裁定不予認可:
(一)申請認可的民事判決的效力未確定的;
(二)申請認可的民事判決,是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的;
(三)案件係人民法院專屬管轄的;
(四)案件的雙方當事人訂有仲裁協議的;
(五)案件係人民法院已作出判決,或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的;
(六)申請認可的民事判決具有違反國家法律的基本原則,或者損害社會公共利益情形的」。
[18] 劉國讚,《專利法之理論與實用》,元照出版,初版,頁187(2012)。
林明賢
法律研究員 編譯整理
德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。 該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。 關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。 關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。 若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。
初探物聯網的資通安全與法制政策趨勢初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 在5G網路技術下,物聯網(Internet of Things, IoT)的智慧應用正逐步滲入各場域,如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展,需要擴大供應鏈安全,以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」(Prague Proposal)提出後,美國、歐盟皆有相關法制政策,試圖建立各類資通訊設備、系統與服務之安全要求,以強化物聯網及相關供應鏈之資安防護。是以,本文觀測近年來美國及歐盟主要的物聯網安全法制政策,以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 (一)核心網路與機敏性設備之高度管制 1.潔淨網路計畫 基於資訊安全及民眾隱私之考量,美國政府於2020年4月提出「5G潔淨路徑倡議[3]」(5G Clean Path initiative),並區分成五大構面,包括:潔淨電信(Clean Carrier)、潔淨商店(Clean Store)、潔淨APPs(Clean Apps)、潔淨雲(Clean Cloud)及潔淨電纜(Clean Cable);上述構面涵蓋之業者只可與受信賴的供應鏈合作,其可信賴的標準包括:設備供應商設籍國的政治與治理、設備供應商之商業行為、(高)風險供應商網路安全風險緩和標準,以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 美國於2020年12月通過《物聯網網路安全法[5]》(IoT Cybersecurity Improvement Act of 2020),旨在提升聯邦政府購買和使用物聯網設備的安全性要求,進而鼓勵供應商從設計上導入安全防範意識。本法施行後,美國聯邦政府機關僅能採購和使用符合最低安全標準的設備,將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 另外,美國國防部亦推行「網路安全成熟度模型認證[7]」(Cybersecurity Maturity Model Certification, CMMC),用以確保國防工程之承包商具備適當的資訊安全水平,確保政府敏感文件(未達機密性標準)受到妥適保護。透過強制性認證,以查核民間承包商是否擁有適當的網路安全控制措施,消除供應鏈中的網路漏洞,保護承包商所持有的敏感資訊。 (二)物聯網安全標準與驗證 有鑑於產業界亟需物聯網產品之安全標準供參考,美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)提出「物聯網網路安全計畫」,並提出各項標準指南,如IR 8228:管理物聯網資安及隱私風險、IR 8259(草案):確保物聯網裝置之核心資安基準等。 此外,美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8](Cyber Shield Act of 2019),欲建立美國物聯網設備驗證標章(又稱網路盾標章),作為物聯網產品之自願性驗證標章,表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 (一)核心網路安全建議與風險評估 歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」,認為各會員國應評鑑5G網路資通安全之潛在風險,並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及,5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞,並非5G網路所特有,但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深,必須特別關注。同時,對供應商的依賴,可能會擴大攻擊表面,也讓個別供應商風險評估變得特別重要,包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 是故,各會員國應加強對電信營運商及其供應鏈的安全要求,包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性(多元化分散風險)等。其次,機敏性基礎設施禁止高風險供應商的參與。 (二)資通安全驗證制度 歐盟2019年6月27日生效之《網路安全法[11]》(Cybersecurity Act),責成歐盟網路與資訊安全局(European Union Agency for Cybersecurity, ENISA)協助建立資通訊產品、服務或流程之資通安全驗證制度,確保資通訊產品、服務或流程,符合對應的安全要求事項,包含:具備一定的安全功能,且經評估能減少資通安全事件及網路攻擊風險。原則上,取得資安驗證之產品、服務及流程可通用於歐盟各會員國,將有助於供應商跨境營運,同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性,即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 我國在「資安即國安」之大架構下,行政院資通安全處於2020年底提出之國家資通安全發展方案(110年至113年)草案[12],除了持續強化國家資安防禦外,對於物聯網應用安全亦多有關注,其間,策略四針對物聯網應用之安全,將輔導企業強化數位轉型之資安防護能量,並強化供應鏈安全管理,包括委外供應鏈風險管理及資通訊晶片產品安全性。 若進一步參考美國與歐盟的作法,我國後續法制政策,或可區分兩大性質主體,採取不同管制密度,一主體為受資安法規管等高度資安需求對象,包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈,其必須遵守既有資安法課予之高規格的安全標準,未來宜完善資通設備使用規範,包括:明確設備禁用之法規(黑名單)、高風險設備緩解與准用機制(白名單)。 另一主體則為非資安法管制對象,亦即一般性產品及服務,目前可採軟性方式督促業者及消費者對於資通設備安全的重視,是以法制政策推行重點包括:發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度,以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局,〈物聯網資安三部曲:資安團隊+設備安全+供應鏈安全〉,2020/08/31,https://www.acw.org.tw/News/Detail.aspx?id=1149 (最後瀏覽日:2020/12/06)。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 (North Atlantic Treaty Organization, NATO)的代表,出席由捷克主辦的布拉格5G 安全會議 (Prague 5G Security Conference),商討對5G通訊供應安全問題。本會議結論,即「布拉格提案」,建構出網路安全框架,強調5G資安並非僅是技術議題,而包含技術性與非技術性之風險,國家應確保整體性資安並落實資安風險評估等,而其中最關鍵者,為確保5G基礎建設的供應鏈安全。是以,具體施行應從政策、技術、經濟、安全性、隱私及韌性(Security, Privacy, and Resilience)之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021);The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超,〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉,2020/12,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 (最後瀏覽日:2021/02/19)。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處,〈國家資通安全發展方案(110年至113年)草案〉,2020/12,https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf (最後瀏覽日:2021/04/09)。
OECD 發布2015年科學、科技與產業計分板,建議各國政府應增加對於創新研發之投資於2015年10月19日,經濟合作與發展組織(OECD)發布最新2015年OECD科學、科技與產業計分板(OECD Science, Technology and Industry Scoreboard 2015),此份報告指出,各國政府應增加對於創新研發的投資,以發展工業、醫療、資通訊產業的新領域科技,也將為氣候變化等全球性挑戰提供急需的解決措施。該報告數據顯示,美國、日本和韓國在新一代突破性科技方面具領先地位,即智慧製造材料、健康、資通訊技術這些有潛力改變現有進程的領域,尤其是韓國,最近在這些領域獲得了重大進展。自2000年以來,韓國的公共研發支出增加二倍之多,2014年GDP佔比達1.2%。反觀,許多發達經濟體的公共研發支出卻停滯不前,2014年OECD經濟體公共研發GDP佔比平均水平低於0.7%。 於2010-12年間,在智慧製造材料、健康和新一代資通訊技術領域,在歐洲和美國申請專利家族(patent families)中,美國、日本和韓國共佔到65%以上,接著是德國、法國與中國。2005-07年,韓國在這三個領域的專利家族申請數表現出最為強勁。在資通訊技術領域,韓國正致力於推動智慧聯網技術,歐盟是量子計算,中國則是巨量資料。於2013年OECD國家總研發支出實際增長了2.7%,達1.1萬億美元,但其GDP佔比與2012年相同,為2.4%。這一增長主要來自企業研發投入,而政府研發投入受到了預算合併等措施的影響。創新不止依靠研發上的投入,也依靠互補性資產,如軟體、設計和人力資本,即知識資本(knowledge-based capital, KBC)。知識資本投入已證實可抵抗經濟危機的衝擊,且2013年的數據表明各個經濟行業都增加了對知識資本的投入。但自2010年以來,許多發達國家政府資助或實施的研發減少或停滯不前。OECD警示,研發支出的減少對許多發達經濟體科技研發系統的穩定產生了威脅。鑑於OECD國家70%的研發來自企業部門,也傾向於關注特定應用程序的開發,從而改進先前的OECD計分版本,此份報告強調政府有必要保持對更具開放性的“基礎研究”的投入,始能激發與一些潛在用戶相關的新發現與新發明。