美國國家製造創新網絡2016年度報告

　　在2012年12月19日，歐盟執委會宣布一項決議，該決議認可紐西蘭為已提供相當於歐盟保護層級之個人資料保護的國家；根據1995年歐盟個人資料保護指令（EU Data Protection Directive of 1995），此決議將使位於歐盟會員國（目前為27國）的事業，可以不必採取額外的防護措施，即可將個人資料自歐盟會員國傳輸到紐西蘭。 　　根據歐盟個人資料保護指令，個人資料不許被傳輸至歐盟會員國以外的國家，除非這些國家被歐盟執委會認可為，已提供相當於歐盟保護層級的個人資料保護；或此些國家對上述傳輸已採取額外的防護措施，例如已取得當事人之同意，或已於相關契約內附有經歐盟認可之個人資料保護相關契約條款。歐洲經濟區（EuropeanEconomic Area；簡稱EEA）內的另三個國家，亦即挪威、冰島、列支敦士登，亦因EEA條約（Agreement on the European Economic Area）之約束，而須遵行個人資料保護指令。 　　由於上述認可的過程相當嚴格而繁複，目前已取得歐盟執委會上述認可的非歐洲國家，除了紐西蘭之外，僅有例如，加拿大、阿根廷、以色列、澳洲等少數國家；至於歐洲國家亦僅有例如瑞士、安道爾等數國。

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 　　隨著網路科技的進步，伴隨著資安風險的提升，世界各國對於資安防護的意識逐漸升高，紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量，我國於107年5月經立法院三讀通過「資通安全管理法」（以下簡稱資安法），並於同年6月6日經總統公布，期望藉由資通安全管理法制化，有效管理資通安全風險，以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外，另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法，建置了我國資通安全管理之法制框架。然而，資安法及相關子法於108年1月1日實施後，各機關於適用上不免產生諸多疑義，故本文擬就我國資通安全管理法之規範重點為扼要說明，作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 　　資安法所規範之對象，主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義，指依法行使公權力之中央、地方機關（構）或公法人，但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣（市）政府機關、依公法設立之法人（如農田水利會[1]、行政法人[2]）、公立學校、公立醫院等，均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊，故資安法排除軍事及情報機關之適用[3]。 　　特定非公務機關依資安法第3條第6款之規定，指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定，須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定，報請行政院核定，並以書面通知受核定者。須注意者為該指定行為具行政處分之性質，如受指定之特定非公務機關對此不服，則可循行政救濟程序救濟之。目前各關鍵基礎設施領域，預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 　　此外，政府捐助之財團法人，依該法第3條第9項之規定，指其營運及資金運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人，則非屬資安法所稱特定非公務機關之範圍。公營事業之認定，則可參考公營事業移轉民營條例第3條之規定，指（一）各級政府獨資或合營者；（二）政府與人民合資經營，且政府資本超過百分之五十者；（三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 　　資安法之責任架構，可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段，分述如下： （一）事前規劃 　　就事前規劃部分，資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」，使各機關得據此落實相關之資安防護措施，各機關並應依據資通安全責任等級分級辦法之規定，依其重要性進行責任等級之分級，辦理分級辦法中所要求之應辦事項[5]，並將應辦事項納入安全維護計畫中。 　　此外，在機關所擁有之資通系統[6]部分，各機關如有自行或委外開發資通系統，尚應依據分級辦法就資通系統進行分級（分為高、中、普三級），並就系統之等級採取相應之防護基準措施，以高級為例，從7大構面中，共須採取75項控制措施。 （二）事中維運 　　事中維運部分，資安法要求各機關應定期提出資通安全維護計畫之實施情形，上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件，應於機關知悉資通安全事件發生時，於規定時間內[7]，依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施，以避免資通安全事件之擴大。 （三）事後改善 　　在事後改善部分，如各機關發生資通安全事件或於稽核時發現缺失，則均應進行相關缺失之改善，提出改善報告，並應針對缺失進行追蹤評估，以確認缺失改善之情形。 三、情資分享 　　為使資通安全情資流通，並考量網路威脅可能來自於全球各地，資安法第8條規定主管機關應建立情資分享機制，進行情資之國際合作。情資分享義務原則於公務機關間，就特定非公務機關部分，為鼓勵公私間之協力合作，故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 　　我國已於107年1月將政府資安資訊分享與分析中心（G-ISAC）調整提升至國家層級並更名為「國家資安資訊分享與分析中心」（National Information Sharing and Analysis Center, N-ISAC）。透過情資格式標準化與系統自動化之分享機制，提升情資分享之即時性、正確性及完整性，建立縱向與橫向跨領域之資安威脅與訊息交流，以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 　　為使資安法之相關規範得以落實，資安法就公務機關部分，訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容，配合機關內部之人事考評規定訂定獎懲基準，而獎懲辦法適用之人員，除公務人員外，尚包含機關內部之約聘僱人員。就特定非公務機關部分，資安法則另訂有相關之罰則，針對未依資安法及相關規定辦理應辦事項之特定非公務機關，中央目的事業主管機關得令限期改正，並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分，因考量其影響範圍層面較廣，故規定特定非公務機關如未依規定進行通報，則可處以30萬元至500萬元之罰鍰。 參、事件評析 　　公務機關及特定非公務機關為落實資安法之相關規範，勢必投入相關之資源及人力，以符合資安法之要求。考量公務機關或特定非公務機關之資源有限，故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌，以避免資源或相關措施重複建置，以下則列舉幾點建議： 一、風險評估與安全措施 　　資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制，與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似，故各機關於適用上可協調內部之資安與隱私保護機制，共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 　　資安法第18條要求機關應訂定資通安全事件通報應變機制，而個人資料保護法第12條亦規定有向當事人通知之義務，兩者規定雖不盡相同，惟各機關於訂定通報應變機制上，可將兩者通報應變程序進行整合，以簡化通報流程。 三、委外管理監督 　　資安法第9條要求機關負有對於委外廠商之監管義務，個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同，惟均著重對於資料安全及隱私之保護，故各機關可從資料保護層面著手，訂定資安與個人資料保護共同之檢核項目，來進行委外廠商資格之檢視，並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 　　資安法施行細則第6條要求於建置安全維護計畫時，須先進行內部之資產盤點及分級，而個人資料保護法施行細則第12條中，則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時，可建立內部共同之資料盤點清單及資料管理措施，並增加資料使用軌跡紀錄，建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定，軍事機關指國防部及其所屬機關（構）、部隊、學校；情報機關指國家情報工作法第3條第1項第1款（包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊）及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定，行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關（構），於其主管之有關國家情報事項範圍內，視同情報機關。 [4] 羅正漢，〈臺灣資通安全管理法上路一個月，行政院資安處公布實施現況〉，iThome, 2019/02/15，https://www.ithome.com.tw/news/128789 （最後瀏覽日：2019/5/13）。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級，各機關應依據其責任等級應從管理面、技術面及認知與訓練面向，辦理相應之事項。 [6] 資通系統之定義，依資通安全管理法第3條第1款之規定，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後，應於1小時內依規定進行資通安全事件之通報；如為第一、二級資通安全事件，並應於知悉事件後72小時內完成損害控制或復原作業，第三、四級資通安全事件，則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉，行政院國家資通安全會報技術服務中心，https://www.nccst.nat.gov.tw/NISAC（最後瀏覽日：2019/5/14）。

　　UCLA醫學中心以開放原始碼軟體Zope建置資訊系統，展開一項稱為「治療成效開放式架構」(OIO, Open Infrastructure for Outcomes) 的計畫，構築起未來醫療資訊系統的新基石。讓治療成效的資訊，能在一個共通的平台架構上進行資源分享。 　　長期以來，醫療資訊系統面臨的挑戰主要來自於下列三個面向：一、如何讓資訊系統提供令人滿意的服務功能，以取代將醫療記錄登載在紙張上的傳統方式。二、資訊系統的需求經常會改變，如何快速因應系統的改變需求。三、如何與其他醫療團隊夥伴，共同分享資料與工具。 　　OIO計劃透過資訊共享可加速醫療研究。開放式架構計畫的主要目的，並不是用來要求臨床工作者與醫療研究中心分享病歷資料，而是提供一個分享管理工具的機制，讓使用者能夠利用這些管理工具，進行資料的收集與分析，並和特定的診療研究人員進行溝通，而透過系統安全的機制，在過程當中並不會讓其他人得知資料內容。不過，如果有人想要進行管理工具或資料的進一步加值利用，僅需額外投入相當小的成本。 　　另外， 開放式架構計畫的設計極具彈性，除了目前所專注的治療成效資訊統計之外，其系統概念也可以用來管理客戶資訊、進銷存資訊、會計資訊等。整個系統開發環境是針對使用者而設計，而非程式人員，並且以網頁應用程式來實作，力求操作的便利性，目的之一是讓使用者能夠動手創造出自己所需的表格資料。另一方面，設計上也面對來自於法律與技術層面的挑戰，例如取得病患的同意及對系統的信任感，促使這套系統在實作時，必須能夠提供高度的修改彈性與安全性。 　　由於 OIO 在設計上，包含低成本、高效益、使用者導向、架構具有彈性等特色，並以開放源碼開發模式來鼓勵使用者測試及提供回饋意見，目前的應用效果持續擴大中。

韓國產學合作技術控股公司制度說明 科技法律研究所 法律研究員　曾文怡 101年7月24日 壹、事件摘要 　　韓國於於2012年5月14日修正其「技術控股公司成立申請程序規定」最新修正係，將共同成立技術控股公司之主體擴大到「研究機構」。韓國技術控股公司 (technology holding company) 制度係於2007年8月3日「產業教育振興及產學研合作促進法（以下簡稱產學研合作促進法）」修法所新增之制度。為落實產學研合作促進法，韓國教育科學技術部於2008年6月組成「產學研合作技術控股公司成立許可諮詢委員會」，同年8月，並依據「產業教育振興及產學研合作促進法施行規則」第3條第5項，制訂公告「技術控股公司成立申請程序規定」。截至2012年5月止，韓國已成立技術控股公司之大學共有17間，其所成立之子公司計有58間。 貳、重點說明 一、韓國技術控股公司成立條件及流程 (一)技術控股公司成立主體及條件 　　依韓國產學研合作促進法第2條第8款規定，所謂「技術控股公司」，係指大學之產學合作團 ( 類似我國大學技術移轉中心 ) 或研究機構，擁有總統令所規定之技術[1]，並以技術事業化為目的而成立公司，並持有其它公司之股份，以支配該公司。依韓國產學研合作促進法第36條之2，成立技術控股公司之主體得為大學之產學合作團本身，或由各大學之產學合作團、學校法人[2]、研究機構共同成立。且技術控股公司應符合下列4項要件： 1.股份公司 2.公司幹部須未符合「國家公務員法」第33條第1項各款[3]規定之喪失資格事由 3.產學合作團 ( 包含共同成立技術控股公司之其它機關 ( 構 )) 以技術出資須超過資本額之30%，且擁有超過發行股份總數之50% 4.其它由總統令規定須具備之標準 ( 即全職專業人力1名以上及擁有專用空間 ) 具備上述條件後，應取得韓國教育科學技術部長之許可，始得成立。 (二)技術控股公司成立流程 　　欲成立技術控股公司之產學合作團，應向教育科學技術部提出「技術控股公司設立許可申請書」，若是兩個以上機關 ( 構 ) 共同成立技術控股公司之情形，則應選定一個代表機關 ( 構 ) 提出申請。除了提出申請書外，亦須提出「技術控股公司成立計畫書」以及「公司幹部之履歷」各1份，其中技術控股公司成立計畫書內應包含成立目的、出資內容及比例、事業計畫書 ( 包含技術控股公司擁有之人力及設施等相關事項 ) 。 　　教育科學技術部受理許可申請書後，須在30日內處理，並將結果通知申請人。若許可該技術控股公司之成立，則應發予申請人1份「技術控股公司成立許可書」；反之，則應告知申請人不予許可之事由。而 技術控股公司成立後，仍可另外成立子公司，但必須持有該子公司之20%以上股份；子公司得為「股份公司」或「有限公司」。 (三)技術控股公司業務範圍 　　技術控股公司除了負責公司營運業務外，亦包括其子公司之經營管理及其相關業務，此外亦可從事「產業教育振興及產學研合作促進法施行令」第43條規定之下列業務： 1.對子公司之技術及經營諮詢 2.支援子公司之企業公開 3.子公司和其它公司間之合併、子公司股份之全部或一部之賣出、子公司營業之全部或一部讓與、子公司之分割等相關業務 4.支援子公司之資金籌措 5.將技術控股公司本身擁有之技術移轉或事業化後給子公司，及協助子公司將其技術移轉、事業化 6.子公司之宣傳、教育訓練、行銷 7.與創業育成中心、實驗室、產學研合作促進法第37條第1項之合作研究所、產業技術園區或校區內設置營運之企業及研究所之相互合作 8.技術控股公司將其擁有之技術移轉予企業 9.為將技術控股公司擁有之技術或出資予子公司之技術事業化，組成投資基金 10.中介該產業教育機構或研究機構擁有之技術移轉至企業並事業化 11.對該產業教育機構和子公司以外之其它產業教育機構及其它公司之技術經營及教育訓練之支援 (四)利潤分配之使用限制 　　大學之產學合作團應將從技術控股公司接受之利潤或其他收入，使用在其固有業務以及大學研究活動上；又，若技術控股公司係大學之產學合作團與研究機構共同成立的話，研究機構自技術控股公司接受之利潤或其他收入，應再投資於其研究開發活動或技術控股公司等與研究開發相關用途上。 二、韓國技術控股公司成立現況 　　截至2012年5月止，韓國已成立技術控股公司之大學共有17間[4]，其所成立之子公司計有58間。據了解，目前尚有成均館大學、韓國科學技術院 (Korea Advanced Institute of Science & Technology, KAIST) 、加圖立大學、首爾市立大學等大學正著手進行設立技術控股公司的申請準備。 參、事件評析 一、技術控股公司制度目的在於促進技術移轉及商品化，以控股收益再投資大學研發活動 　　韓國於2007年修訂產學研合作促進法，新增「技術控股公司」制度，賦予大學直接成立技術控股公司的法律依據。相較於大學之產學合作團，主要係將其研發之技術移轉至企業，從企業獲得單純之收益 ( 技轉費用及權利金 ) ，有所差別。因為技術控股公司設立目的在於促使其積極利用所有之技術，不僅從事技術移轉業務，更得將技術予以商品化，以創造控股收益並再投資於研發活動，使既有技術得予以追加開發。如此一來，技術控股公司不僅提高大學的研發能力，亦增加大學資金來源，藉以促進創新技術之研發，提升研究人員之創新意願。 二、韓國大學之產學合作團具有獨立法人格，得成立技術控股公司 　　依韓國產學研合作促進法規定，得設立技術控股公司之主體為大學之「產學合作團」，且被賦予法人資格。所稱產學合作團，依韓國產學研合作促進法規定，主要負責促進技術移轉及商品化、智慧財產權取得與管理、與企業簽訂授權契約等業務，業務範圍與我國大學之技術移轉中心相當。 　　依我國公司法第128條第3項第2款規定，法人以其自行研發之專門技術或智慧財產權作價投資時，得為發起人。但我國國立大學目前法律定位仍屬三級行政機關，且性質上屬於公營造物，未若私立大學屬於財團法人，並無獨立法人人格，遑論大學所設之技術移轉中心，僅為學校內部專責單位，因此國立大學不符合公司法第128條第3項規定之以其自行研發之專門技術或智慧財產權作價投資之法人之條件，國立大學無法透過公司法第128條第3項規定為發起人，設立技術控股公司。故若未協助其突破法令限制，仍無法仿效韓國大學具備法人格之產學合作團，依法得成立技術控股公司。 資料來源： 1.韓國教育科學技術部，http://www.mest.go.kr/，最後瀏覽日：2012年5月25日 2.〈2010大學產學合作白皮書 (2011年版本) 〉，韓國教育科學技術部，2012年4月4日，http://www.mest.go.kr/web/1011/ko/board/view.do?bbsId=87&boardSeq=28984，最後瀏覽日：2012年6月13日 3.iusm每日新聞，2012年5月24日，http://www.iusm.co.kr/news/articleView.html?idxno=248734，最後瀏覽日：2012年6月13日 [1]依產業教育振興及產學研合作促進法施行令第3條規定，作為事業化對象的技術範圍，係指符合下列其中一款者。 1.依「專利法」、「新型專利法」、「設計保護法」登記或申請中之發明專利、新型專利、設計專利及其它智慧財產 2.第1款技術累積之資本財 3.第1款或第2款之技術資訊 4.具移轉、商品化可能性之技術性、科學性或產業性Know how [2]此處限於該學校無產學合作團之情形。 [3]韓國國家公務員法第33條：「符合下列其中一款者，不得任用為公務員。 1.禁治產者或限制治產者 2.受破產宣告且未恢復權利者 3.接受拘役以上徒刑之宣告且執行完畢，或確定後尚未執行，不超過5年者 4.接受拘役以上徒刑之宣告，刑之執行猶豫期間結束之日起，不超過2年者 5.接受拘役以上徒刑之宣告猶豫，尚在宣告猶豫期間者 6.依法院判決或其它法律規定喪失或中止權利者 6之2公務員在職期間，與其職務相關，犯『刑法』第355條及第356條之罪，受300萬元以上之罰金刑，且其刑確定不超過2年者 7.因懲戒受到罷免處分時起，不超過5年者 8.因懲戒受到解職處分時起，不超過3年者」。 [4]依技術控股公司成立時間順序分別為：漢陽大學、首爾大學、三育大學、西江大學、江原地區大學聯合、慶熙大學、高麗大學、仁川大學、釜山大學、東國大學、檀國大學、東新大學、朝鮮大學、全南大學、延世大學、全北地區大學聯合、東亞大學。