歐盟通過網路與資訊系統安全指令
歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。
故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。
此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。
該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
施弘文
專案經理 編譯整理
DIRECTIVE (EU) 2016/1148 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union, http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.194.01.0001.01.ENG&toc=OJ:L:2016:194:TOC (last visited Aug. 30, 2016).
EU Network and Information Security Directive finalized, http://www.out-law.com/en/articles/2016/july/eu-network-and-information-security-directive-finalised/ (last visited Sep. 1, 2016).
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。 依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。 專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
何謂日本「大學共同利用機關法人」所謂「大學共同利用機關法人」,係指日本於《國立大學法人法》(国立大学法人法)中,以設置大學共同利用機關為目的,依該法之規定設置之法人。而所謂「大學共同利用機關」,依該法之規定,則係指有關在該法所列舉之研究領域內,為促進大學學術研究之發展而設置,供大學院校所共同利用之實驗室。日本利用大學共同利用機關法人之設置,將大型研發設施設備,以及貴重文獻資料之收集及保存等功能賦予大學共同利用機關,並將其設施及設備,提供予與該大學共同利用機關進行相同研究之大學教職員等利用。 目前登錄於日本文部科學省之大學共同利用機關法人包括了「大學共同利用機關人類文化研究機構」(大学共同利用機関法人人間文化研究機構)、「大學共同利用機關自然科學研究機構」(大学共同利用機関法人自然科学研究機構)、「大學共同利用機關高能量加速器研究機構」(大学共同利用機関法人高エネルギー加速器研究機構),以及「大學共同利用機關資訊與系統研究機構」(大学共同利用機関法人情報・システム研究機構)等四者。
日特許廳開始提供WIPO資料庫商標公報資訊日本特許廳公開表示,從本年度11月27日起,將開始提供日本商標公報訊給世界智慧財產權機構(WIPO)所建置的世界最大規模之商標資料庫「Global Brand Database」,今後民眾將可以在前述資料庫中搜尋到登載有日本商標註冊資訊的商標公報。如此一來,日本廠商將可以在一個資料庫中完整搜尋到包含日本商標在內的商標資訊,對於日本廠商擬定全球品牌策略將可以提供許多便利。 「Global Brand Database」是WIPO所免費提供的資訊供應服務,在這個資料庫上,一般民眾可以公開使用,進行商標申請案或已註冊商標的檢索,及查照詳細資訊。在2011年3月WIPO啟動這項服務時,當時還只有累積國際註冊商標、依里斯本條約登記的原產地名稱及依巴黎公約登記的國家徽章等,從2013年2月開始,也陸續放入世界各國商標申請案或已註冊商標的資訊。如今,在「Global Brand Database」上已經可以查到16個國家商標主管單位的商標資訊。在2014年11月20日的時間點上,該資料庫約存放有1400萬筆的資訊,而從2014年5月起也開提供了上傳圖片檔案檢索類似圖形商標的圖像檢索功能。 目前參加「Global Brand Database」資料庫資訊提供服務的國家包括美國、澳州、加拿大、新加坡、紐西蘭、瑞士、菲律賓、丹麥、以色列、蒙古、埃及、柬埔寨、愛沙尼亞、阿聯酋、阿曼、阿爾及利亞等16個國家,中國、韓國並未參加。
戰略產業與關鍵技術保護法規修正趨勢分析戰略產業與關鍵技術保護法規修正趨勢分析 資訊工業策進會科技法律研究所 2022年2月14日 戰略性高科技產業是我國重要的經濟發展基礎,在全球半導體產業鏈中,臺灣更是位居關鍵領先地位。半導體產業作為未來新興科技領域發展根基,內含許多國家核心關鍵技術,若此類技術洩漏至境外,將損及國家安全與整體經濟競爭優勢。 壹、國際產業經濟安全保障法案推動趨勢 參考國際上以產業經濟安全角度出發,且與我國同具技術保護需求之國家,以亞洲的日本及韓國為代表,正在密集推動產業競爭與供應鏈安全及技術保護相關法案。 一、日本《經濟安全保障法》 日本首相官邸於2021年11月19日召開第一次「經濟安全保障推進會議」,強調國家安全概念已迅速擴展到經濟和技術領域,在各國推進和加強支持工業基礎設施、防止敏感技術外流、提升出口管制等經濟安全相關措施下,日本內閣府應加強《經濟安全保障法》草案推動,確保戰略物資與維護重要關鍵技術[1]。 其中《經濟安全保障法》草案著重在四大工作面向:1.供應鏈:透過公私技術合作加強重要材料和原材料的供應,避免對人民生活和工業產生重大影響。2.公私技術合作:透過公共和私營部門合作共享並利用技術資訊,培育和支持尖端重要技術框架。3.核心基礎設施:確保與維護核心基礎設施功能安全性和可靠性。4.私人專利:採取補償措施以要求特定專利私有化,防止敏感發明公開外流,同時促進創新[2]。 二、韓國《國家高科技戰略產業特別法》 韓國產業通商資源部方面,於2022年1月25日舉行的第5次內閣會議上宣布,通過《國家高科技戰略產業特別法》立法議案。該特別法案旨在培育和保護韓國的高科技戰略產業,以維護國家和經濟安全,並取得高科技競爭力,其具體內容包含:1.成立由南韓總理主導的國家高科技戰略產業委員會,制定5年戰略產業培育和保護的基本計畫。2.指定國家關鍵技術,以發展戰略產業和保護國家經濟安全。3.全面支持戰略產業,包括投資、研發、人力資源等方案。4.為振興戰略產業生態系統,提供監管法規修訂和企業合作方向支援。5.對戰略技術的出口和併購採取部分緊縮的保護措施。 韓國產業通商資源部強調,全球各主要國家皆體認到,必須在高科技產業競爭環境中培育知識人才,以及保護國家戰略產業發展的重要性。《國家高科技戰略產業特別法》的制定,將由產業通商資源部採取「無縫接軌的推進措施」,並與相關產業積極溝通,以便及時協助基礎設施能力建構,並在本法案立法程序完成後落實執法[3]。 貳、我國國家核心科技修法走向 我國法務部與陸委會於110年7月公告《國家安全法》與《臺灣地區與大陸地區人民關係條例》部分條文修正草案,二者皆是以經濟安全角度出發,針對「國家核心關鍵技術」保護作法規調整,期能建構跨部會產業技術防堵外洩策略。 一、兩岸條例修正:管制受政府委託補助關鍵技術及人員赴陸 依據陸委會第27次委員會議討論通過「兩岸條例第9條、第91條修正草案」,針對「受政府機關(構)委託或補助達一定標準」,並從事涉及國家核心關鍵技術業務之個人或民間團體、法人、機構成員,進行赴陸管制。其中,因國家核心關鍵技術及一定標準的具體內容,涉及高度專業性,故兩岸條例第9條修正草案授權科技部會商有關機關訂定並進行妥適規範。另外,對於違反赴陸應經許可的特定人員,依據兩岸條例第91條,可處新台幣200萬元以上1,000萬元以下罰鍰。如係違反返台通報義務者,(原)服務機關、委託機關或補助機關得處新台幣2萬元以上10萬元以下罰鍰[4]。 二、國家安全法修正:保護半導體、農業、國防關鍵技術 法務部國安法修正草案第2之2條,明定任何人不得替外國、中港澳、境外敵對勢力或其所實質控制的各類組織,為侵害國家核心關鍵技術的營業秘密行為;且刑度較營業秘密法提高,違者可處3年以上、12年以下徒刑,併科5百萬元以上、1億元以下罰金。至於何項技術列入關鍵技術,則交由科技部檢討,並將攸關台灣經濟、國防優勢的產業列入,包括半導體先進製程、涉及國防技術、台灣關鍵品種農業科技、關鍵生技技術等[5]。 參、法規評析 台灣是全球高科技代工產業的重鎮,半導體技術尤其發達且人才集中。全球晶片短缺之際,台灣也面臨人才帶槍投靠、與關鍵技術外流,危害戰略產業發展危機。未來針對我國國家核心科技認定與管制,可以由以下幾個方向作思考: 一、參考科技部政府資助國家核心科技手冊之作法 為避免我國有太多個不同的核心科技清單,導致法規適用的複雜,未來可能參考現有科技部政府資助國家核心科技手冊之作法,由科技部邀集相關部會自行就主責類別科技項目進行認定。篩選之科技項目(包含企業關鍵技術),經主管機關核定後,提報科技小組,科技小組成立專責審議小組審議是否列入國家核心科技項目。 二、重新建立國家核心科技篩選標準 雖然產業技術保護法規強化是全球趨勢,但若是修正力度過猛或審查過嚴,也同樣可能影響產業投資、干預研發合作,甚至促使台灣關鍵產業出走,連帶失去半導體等關鍵技術研發創新動能,因此重新建立篩選管制標準是我國法規的重要課題。 首先,就製造業關鍵技術,應思考台灣在該產業技術上是否具國際領先地位作為優先考量。其次,就所篩選之產業,評估其對台灣經濟發展是否具核心關鍵性(例如產值高低,或者在全球供應鏈具關鍵地位)。最後,對於國家安全有重要影響之相關產業,應納入作為我國核心關鍵科技。 總歸而言,各國對於戰略產業與國家核心科技認定標準與方式不一,就算技術被歐美及日韓認列為新興科技管制類別,我國是否要列入國家核心科技,仍然必須綜合考量該產業技術在我國產業競爭力與國際領先定位而定。未來,可參採日韓模式,盡速建立國家層級高度的戰略產業與技術保護法規,並且制定明確清單與審查機制流程,使企業能有所預見,事先安排以降低對高科技產業的經濟發展衝擊。 [1] 経済安全保障推進会議,首相官邸,令和3年11月19日,https://www.kantei.go.jp/jp/101_kishida/actions/202111/19keizaianpo.html (最後瀏覽日:2022/1/25)。 [2] 経済安全保障法制に関する有識者会議 提言骨子,内閣官房,令和3年11月26日,https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/index.html (最後瀏覽日:2022/1/25)。 [3] Cabinet passes National High-Tech Strategic Industries Special Act, Ministry of Trade, Industry and Energy, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911(last visited 2022/02/14). [4] 為保護國家核心關鍵技術,本會第27次委員會議通過「兩岸條例第9條及第91條修正草案」,中華民國大陸委員會,110年9月29日,https://www.mac.gov.tw/News_Content.aspx?n=A0A73CF7630B1B26&sms=B69F3267D6C0F22D&s=4C0B2E06FFF6B248 (最後瀏覽日;2022/02/14)。 [5] 法務部公告「國家安全法」部分條文修正草案,法務部法檢字第11004519510號,110年7月21日,https://www.lawbank.com.tw/news/NewsContent.aspx?nid=179044.00 (最後瀏覽日;2022/02/14)。