中國大陸政府補助科技計畫之智慧財產權相關規範

　　歐洲數據保護監督組織(European Data Protection Supervipsor,EDPS)發表「關於在歐盟監督金融業之數據保護準則」(Guidelines on Data Protection for Financial Services Regulation)，以作為確保歐盟的數據保護規範，將被整合進正在發展中的金融政策與相關規定之實用工具。該準則為金融市場監督機制的一部分，在金融業對個人資料的處理上，特別是透過監控、記錄保留、回報、以及資訊交換這些存有侵犯個人資料和隱私權風險的措施予以規範。 　　該準則包含10項步驟與建議，旨在協助歐盟後續金融監督政策的制定，其中一些重要的建議如下： (1)應評估資訊之處理是否可能妨礙隱私權。 (2)應為數據的處理建立法律基礎。 (3)評估適當的資訊保留期限並給予正當化依據。 (4)建立個人資料傳輸至歐盟外的正當法律依據。 (5)提供個人資料保護權利的適當保障。 (6)衡量適當的數據安全保護措施。 (7)應為數據處理的監督提供特定之程序。 　　有鑒於2008年金融危機的影響，該準則透過提供一個能確保個人資料被妥善保護的有效方法，期以重建金融市場的信心。Giovani Buttarelli，作為新任歐洲數據保護監督委員，在一份伴隨準則釋出的聲明稿當中表示：「個人資料的價值已經隨著數位經濟的成長不斷增加，確保各行業的個人資料得以受到保護也益顯重要。歐洲數據保護監督組織(EDPS)計畫對不同行業制定相關保護規範，此準則是第一個發佈的。」

美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告 資訊工業策進會科技法律研究所 2024年09月16日 隨著地緣政治局勢升溫，國際主要國家為強化技術保護，並防止資源持續流入國族國家敵對勢力（Nation-state adversaries），有研議新增「對外投資審查」為監管工具的趨勢，例如歐盟執委會（European Commission）於2024年1月發布「對外投資白皮書」（White Paper on Outbound Investments），以及美國總統拜登於2023年8月9日發布《第14105號行政命令》（Executive Order 14105，以下簡稱《對外投資命令》），確立美國應增設對外投資審查制度之目標。 壹、事件摘要 為了落實《對外投資命令》，美國財政部（Department of the Treasury）投資安全辦公室（Office of Investment Security）於2024年7月5日發布「有關美國於關切國家投資特定國家安全技術與產品」的法規預告（Notice of Proposed Rulemaking：Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern，以下簡稱法規預告），將半導體與微電子、量子資訊技術以及人工智慧列為三大目標監控領域。 依據法規預告，未來「美國人」（U.S. Person）若從事涉及「特定外國人」（Covered Foreign Person）的三大「特定領域活動」（Covered Activity）投資交易，除合乎例外交易（Excepted Transactions）情形外，皆屬未來對外投資審查法規的管轄範圍。 貳、重點說明 以下簡介法規預告的重點規範內容： 一、三大特定領域活動：包含半導體與微電子、量子資訊技術以及人工智慧三個領域。 二、美國人：指美國公民、美國法定永久居留權人、任何依照美國法律設立或受美國管轄的法人實體（Entity），及任何在美國境內的自然人。 三、關切國家：指中國大陸，並包含香港及澳門地區。 四、特定外國人：指「屬於關切國家的個人或法人實體，並從事三大特定領域活動者」，具體而言包含關切國家公民或法定永久居留權人、政府單位或人員、依關切國家法律設立的法人實體、總部位於關切國家的法人實體等。 五、雙軌制：法規預告將對外投資分為兩大交易類別，即「禁止交易」（Prohibited Transactions）及「通報交易」（Notifiable Transactions）。原則上投資若涉及三大特定領域活動且屬於法規預告指定之「先進技術項目」者，為禁止交易；未涉及先進技術項目，則屬通報交易。 六、半導體領域之禁止交易： 鑒於半導體產業對於我國影響重大，且亦為我國管制重點項目，以下簡要說明半導體領域之禁止交易： （一）先進設計：禁止任何涉及超出美國《出口管制規則》（Export Administration Regulation, EAR）的「出口管制分類代碼」（Export Control Classification Number, ECCN）3A090.a技術參數，或可於4.5克耳文（Kelvin）以下溫度運作的半導體先進設計相關投資。ECCN 3A090.a技術參數係指半導體「總處理效能」（Total Processing Performance, TPP）為4800以上；或TPP為1600以上且「性能密度」（Performance Density, PD）為5.92以上者。 （二）先進製造： 禁止涉及以下項目的先進半導體製造相關投資： 1.使用非平面晶體管架構（non-planar transistor architecture）或16奈米、14奈米或以下製程技術的邏輯晶片。 2.具有128層以上的快閃（NOT-AND）記憶半導體。 3.使用18奈米以下半週距製程技術的動態隨機存取記憶體（dynamic random-access memory）晶片。 4.使用鎵化合物（gallium-based compound）的化合物半導體。 5.使用石墨稀電晶體（graphene transistors）或奈米碳管（carbon nanotubes）的半導體。 6.能於4.5克耳文以下溫度運行的半導體。 （三） 先進封裝：法規預告禁止任何使用先進封裝技術的半導體封裝相關投資。先進封裝係指「以2.5D及3D進行半導體封裝」，例如透過矽穿孔（through-silicon vias）、黏晶或鍵合技術（die or wafer bonding）、異質整合等先進技術進行半導體封裝。 （四） 電子設計自動化軟體（electronic design automation software，以下簡稱EDA軟體）：禁止開發、生產用於先進半導體設計或先進封裝的任何EDA軟體。 七、不採取逐案審查模式：法規預告不採取逐案審查模式，而係由美國人自行判斷投資類型為禁止或通報交易。 八、通報程序：原則採取「事後通報」模式，美國人應於通報交易完成日（completion date）後的30個日曆天（calendars day）內，透過財政部對外投資安全計畫（Department of the Treasury’s Outbound Investment Security Program）網站進行通報，並應將相關需求文件提供予財政部，如投資交易雙方的交易後組織結構圖（post-transaction organizational chart）、交易總價值及其計算方式、交易對價描述、交易後對特定外國人的控制狀況等。 九、例外交易： 法規預告的例外交易主要包含兩大類別，分述如下： （一） 技術不當外流風險較低的例外交易：某些交易類型的技術不當移轉風險較低，若實質上亦未賦予美國人超出「標準少數股東保護範圍之權限」（rights beyond standard minority shareholder protections），則此種投資即可排除於法規預告外，例如於公開交易市場的證券買賣、買斷關切國家法人實體的所有權，以及不取得管理決策權或出資金額低於100萬美元的有限合夥投資等。 （二） 基於其他外交、政治因素的例外交易：若交易發生於美國境外，且經財政部部長認為該國或地區已具備足以應對國安威脅的措施，或經財政部認定為對國家安全有利的交易，皆可排除於法規預告的管轄之外。 參、事件評析 美國財政部發布對外投資的法規預告，顯示出美國政府認為既有技術管制措施，如出口管制、營業秘密及對內投資審查等，已不足以涵蓋對外投資所生之技術外流風險，且對外投資若涉及關鍵領域的先進技術，所帶來的無形技術移轉利益，可能遠大於投資資金本身。 我國基於兩岸情勢及國安考量，自1992年以來即透過《臺灣地區與大陸地區人民關係條例》第35條，就赴中國大陸之投資進行審查。隨著地緣政治複雜化，加諸我國處於半導體等關鍵產業供應鏈的重要地位，我國應持續關注及研析美國等國家之對外投資審查制度發展，以利定期檢視相關機制的妥適性，並達到維護產業競爭力及防範先進技術遭到不當外流之目標。

　　在2013年的國際資訊安全會議（RSA Conference）上，資安專家紛紛表示，將Big Data技術應用於資訊安全分析的項目上，確實可以幫助企業建立更佳的情勢判斷能力，但在實際執行過程中是一大挑戰。 　　資安廠商如RSA和賽門鐵克公司，在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標，這是傳統的特徵偵測（signature-based）安全工具無法做到的。 　　不像傳統的安全手段著重於阻斷攻擊，新的技術強調偵測並立即回應違犯行為，也就是提前遏止任何違犯行為，協助企業作全面性的偵測而不擔心有所遺漏。 　　由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊，巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類，而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型，取代部署特定產品和外圍系統的防禦。 　　美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 　　「駭客只需要攻擊成功一次，但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅，更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說，以巨量資料技術強化資訊安全是很好的想法。 　　不過另有其他的說法，金融服務企業LSQ的首席安全及法務主管皮爾遜認為，許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了，這才是問題所在。他表示，目前現存的SIEM（安全性資訊及事件管理）工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內，但真正的問題是，SIEM工具必須要有能力分析數據並找出關聯性，如此才能偵測到駭客入侵的前兆證據和真實的入侵行為，這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料，而是要如何為資訊安全的目的建立關聯規則和應用方式，以有效率的方式找出有用的巨量數據並進行分析，和留下可供進行訴訟使用的證據。

　　法國國民議會（National Assembly）於2019年7月9日通過反仇恨言論立法提案，希望效仿德國社群媒體管理法（NetzDG），課予網路平台業者積極管理平台上仇恨言論（hate speech online）之責任。該提案希望透過立法要求大型網路平台及搜尋引擎，如Facebook及YouTube等，必須設置用戶檢舉管道，並於24小時內刪除以種族、宗教、性別、性取向或身心障礙為由之煽動仇恨或歧視性侮辱言論，否則將面臨高達全球營業額4%之罰款。 　　在主管機關方面，規劃由法國廣電主管機關「最高視聽委員會」（High Audiovisual Council, CSA）進行監管，網路平台業者必須向其提交仇恨言論之處理報告與相關數據。同時，平台業者應加強與法國司法系統的合作，取消違法用戶的匿名權利並提供相關證據資料，以利司法追訴。 　　2019年3月15日紐西蘭清真寺槍擊案之網路直播事件，讓各國警惕勿讓網路平台成為傳遞仇恨言論的工具。發起立法的法國議員Laetitia Avia表示，對抗網絡仇恨言論是場艱巨且長期的戰鬥，希望透過立法讓各方負起應有的責任，讓仇恨言論無所遁形，但反對者認為平台業者為了避免裁罰的風險，可能會對內容進行過度審查，相關自動化過濾技術也可能對言論自由產生不利影響。本立法提案仍待法國參議院完成審議。