預付型商品之規範－以日本法為借鏡

　　美國行政管理預算局（United States Office of Management and Budget, OMB）於2020年1月發布「人工智慧應用監管指南（Guidance for Regulation of Artificial Intelligence Applications）」備忘錄草案。該備忘錄草案係基於維護美國人工智慧（AI）領導地位之目的，而依據美國總統川普（Donald John Trump）於2019年2月簽署之「維持美國人工智慧領導地位（Maintaining American Leadership in Artificial Intelligence）─行政命令13859號」，並在啟動美國人工智慧計畫後180天內，經OMB偕同科技政策辦公室（Office of Science and Technology Policy, OSTP）、美國國內政策委員會（United States Domestic Policy Council）與美國國家經濟委員會（National Economic Council）與其他相關機構進行協商，最後再由OMB發布人工智慧應用監管指南備忘錄草案，以徵詢公眾意見。 　　該備忘錄草案不僅是為了規範新型態AI應用技術，更希望相關的聯邦機構，在制定AI應用產業授權技術、監管與非監管方法上，能採取彈性的制定方向，以避免過度嚴苛的規定，反而阻礙AI應用的創新與科技發展，繼而保護公民自由、隱私權、基本權與自治權等價值。同時，為兼顧AI創新與政策之平衡，應以十大管理原則為規範制定之依據，十大管理原則分別為： 培養AI公眾信任（Public Trust in AI）； 公眾參與（Public Participation）； 科學研究倫理與資訊品質（Scientific Integrity and Information Quality）； AI風險評估與管理（Risk Assessment and Management）； 獲益與成本原則（Benefits and Costs）； 彈性原則（Flexibility）； 公平與反歧視（Fairness and Non-Discrimination）； AI應用之揭露與透明化（Disclosure and Transparency）； AI系統防護與措施安全性（Safety and Security）； 機構間之相互協調（Interagency Coordination）。 　　此外，為減少AI應用之阻礙，機構制定AI規則時，應採取降低AI技術障礙的方法，例如透過聯邦資料與模型方法來發展AI研發（Federal Data and Models for AI R&D）、公眾溝通（Communication to the Public）、自發性共識標準（Voluntary Consensus Standards）之制定及符合性評鑑（Conformity Assessment）活動，或國際監管合作（International Regulatory Cooperation）等，以創造一個接納並利於AI運作的環境。

日本經濟產業省下之貿易經濟安全保障局，於2024年9月公布「建立強化技術管理之新官民對話框架」文件（技術管理強化のための新たな官民対話スキームの構築について），指出在目前複雜的地緣政治情勢下，企業難以獨自進行技術管理，故須透過強化官民對話，讓雙方可共享現況及問題，俾利政府檢討管理措施。 經產省為強化技術管理，擬修正依《外匯與外國貿易法》（外国為替及び外国貿易法，以下簡稱外為法）授權制定之省令及告示，要求業者於技轉「重要技術」時，須依外為法第55條第8項進行事前報告，以利後續透過官民對話達成共識。經產省強調，上述規定目的不是禁止技術移轉，而是進行適當之技術管理，故原則希望能透過官民對話來解決問題。惟若在雙方對話後，經產省認為有技術外流之虞時，仍會要求業者申請許可。 根據經產省於2024年9月6日公布之省令及告示修正案，以下4大領域10項技術被列為「重要技術」： 1.電子元件：積層陶瓷電容（積層セラミックコンデンサ（MLCC））、SAW和BAW濾波器（SAW及びBAWフィルタ）、電解銅箔、介電質薄膜（誘電体フィルム）、鈦酸鋇粉末（チタン酸バリウム粉体）。 2.纖維：碳纖維（炭素繊維）、碳化矽纖維（炭化ケイ素繊維）。 3.半導體：光阻劑（フォトレジスト）、非鐵金屬材料（非鉄金属ターゲット材）。 4.電子顯微鏡：掃描式電子顯微鏡（走査型電子顕微鏡（SEM））、穿透式電子顯微鏡（透過型電子顕微鏡（TEM））。

簡析日本電子帳簿等保存制度與電子資料真實性之確保 資訊工業策進會科技法律研究所 2024年03月29日 日本一般社團法人數位信任協議會於2024年3月15日以數位資料真實性確保的重要性及證明其真實性的時戳技術為題，舉行JDTF電子帳簿保存法解說研討會。研討會中由國稅廳課稅總括課解說電子帳簿保存法上與資料真實性相關的利用者需留意的要點，以及時戳技術的利用意義，並舉出具體的利用者事例作為介紹。 壹、事件摘要 日本電子帳簿等保存制度係指，稅法上等有保存必要的「帳簿」或是「收據、請求書等與國稅相關的文件」，非以紙本方式，而是以電子資料的形式保存的制度，此制度被區分為電子帳簿等保存、掃描保存及電子商業交易資料保存等3種制度[1]。 貳、重點說明 日本電子帳簿保存法於2022年的修法中，廢除電子帳簿等保存制度以及掃描保存制度的承認制度等[2]，其中尤其值得關注的是電子商業交易的電子保存義務化。意即，自2022年起個人事業者或法人需要以符合特定要件的方式保存該電子商業交易資料。惟由於日本過往對於所接收的電子商業交易資料均以書面原本的形式進行保存，因此2022年的電子帳簿保存法修正案，雖將所接收的電子商業交易資料以電子資料的形式進行保存作為原則，但是由於許多公司尚無法應對電子資料的保存要求，故日本將2022年1月1日至2023年12月31日的2年間，作為電子商業交易資料保存的宥恕期間，在宥恕期間內無法滿足電子商業交易資料且有正當理由的公司，仍然可以將電子商業交易資料以書面的形式保存，並在稅務調查時將所保存的資料以書面形式提交給稅務機關[3]。日本電子帳簿保存法中所指之宥恕期間，係指自2022年起至2023年12月31日間，無法將電子商業交易資料以電子資料形式進行保存的企業，在符合特定之條件下，使其得繼續維持書面資料保存的期間。須留意宥恕期間僅有2年，公司或法人須於宥恕期間的2年內建立可以符合電子資料保存要件的環境整備。以下就2024年實施的日本電子帳簿3種制度進行說明。 一、電子帳簿等保存制度 對於自身最初透過電腦等製作的帳簿如會計軟體製作的入出帳等，或是與國稅相關的資料如透過電腦製作的請求書、決算書等，在符合具備系統相關資料如系統概要書或操作說明書、在保存場所具備電腦、程式、螢幕、印表機及其操作指南，並將記錄事項以畫面或書面的形式呈現，使其可以快速輸出，以及可以應對稅務職員基於質問檢查權的電子資料下載要求等的要件下，可以不以書面列印紙本的方式，而係以數位資料的形式保存的制度[4][5]。 二、掃描保存制度 決算相關資料以外的國稅相關資料，在符合輸入期間的限制、時戳的付與、版本管理、具備可讀取的裝置、可以快速輸出、具備系統概要書等，以及確保檢索機能等的要件下，能以手機或掃描機器掃描的電子資料形式取代該資料書面原本進行保存[6][7]。 三、電子商業交易資料保存制度 被課與所得稅申告或法人稅等帳簿、資料保存義務者，在處理訂單、契約書、收據、報價單、請求書等或與其相當的電子資料時，在確保真實性及可視性的要件下，需要保存該電子商業交易資料[8]。 電子商業交易資料保存制度中的確保真實性要件包含接收已付與時戳的資料、對所保存的資料付與時戳、不論是資料的接收還是保存，皆已可留存訂正刪除履歷或無法進行訂正刪除的系統進行，以及制定關於防止不正當訂正刪除的事務處理規則並依循。可視性要件則包含具備監控、操作說明書等資料以及具備充足的資料檢索要件[9]。 日本電子帳簿等保存制度雖區分為3種不同的制度，惟其中對個人事業者及法人具有強制效力的僅有電子商業交易資料保存制度，電子帳簿等保存制度及掃瞄保存制度則係設置誘因機制促使業者遵循，如電子帳簿等保存制度中創設其所保存的帳簿如符合訂正刪除履歷留存等「優良電子帳簿」的要件，則可減輕過少申告加算稅的稅金[10]；掃描保存制度則讓企業可以透過手機或掃描機器將資料原本掃描成電子資料並以之取代書面紙本進行保存，減少企業保存書面資料的空間成本，同時亦可減低資料檢索時所需花費的時間與人力成本。 參、事件評析 日本電子帳簿保存法中對個人事業者與法人在保存電子商業交易資料時，課以確保電子資料真實性以及可視性的義務，並透過時戳技術的利用，確保個人事業者與法人可以達成電子資料真實性以及可視性的要求。 對於電子資料真實性的管理，我國資訊工業策進會科技法律研究所創意智財中心於2021年發布重要數位資料治理暨管理制度規範（下稱EDGS），協助企業管理內部重要數位資料。EDGS中亦肯認應保存電子資料的訂正刪除歷程，並以時戳技術及存證技術確保資料未經變更、刪除及竄改之真實性。我國企業如欲對自身的數位資料進行管理及存證等，可參考資訊工業策進會科技法律研究所創意智財中心所發布之EDGS建立資料管理流程，以降低數位資料管理相關風險。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]国税庁，〈電子帳簿保存法の内容が改正されました〜 令和5年度税制改正による電子帳簿等保存制度の見直しの概要 〜〉，頁1（2023年），https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0023003-082.pdf（最後閱覽日：2024/03/26）。 [2]〈税務手続の電子化に関する資料〉，財務省，https://www.mof.go.jp/tax_policy/summary/tins/i04.htm（最後閱覽日：2024/03/26）。 [3]国税庁，〈電子帳簿保存法一問一答【電子取引関係】〉，頁35（2022），https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/pdf/0021006-031_03.pdf（最後閱覽日：2024/03/26）。 [4]同註1。 [5]国税庁，〈はじめませんか、帳簿･書類のデータ保存（電子帳簿等保存）〉，頁1-2（2023），https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/tokusetsu/pdf/0023006-085_02.pdf（最後閱覽日：2024/03/26）。 [6]同註1。 [7]国税庁，〈はじめませんか、書類のスキャナ保存〉，頁1-2（2023），https://www.nta.go.jp/law/joho-zeikaishaku/sonota/jirei/tokusetsu/pdf/0023006-085_03.pdf（最後閱覽日：2024/03/26）。 [8]同註1。 [9]同註3，頁8。 [10]同註5，頁2。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。