荷蘭科學研究組織(Netherlands Organisation for Scientific Research, NWO)與公私夥伴關係

　　美國之政府管考辦公室（ Government Accountability Office ）針對聯邦政府推動醫療產業導入資訊應用之相關措施及作為，九月初向參議院政府再造委員會（ Committee on Government Reform, House of Representatives ）下轄之聯邦人事暨組織次委員會（ the Subcommittee on Federal Workforce and Agency Organization ）提出報告，綜合回顧 2004 以來之各項政策宣示及執行規劃，指出目前猶有未足之處以及今後適宜更加留意之方向。 　　簡言之，醫療產業導入資訊應用，可望帶來降低營運成本，提升經營效率，防免發生過誤，維護病患安全等諸多實益，已為各界所共認。另由於聯邦政府介入醫療產業之程度與影響層面既深且廣，不僅本諸規制角度主管產業，更推動諸多施政，投入大量資金，提供老人、傷殘、兒童、低收入戶、原住民、退伍軍人、退休公職人員等不同社會族群各式相關服務，從而責成聯邦政府領銜推動醫療產業導入資訊應用，藉此提升醫療之品質及效率，應屬妥適。 　　自 2004 年提出行動綱領以降，聯邦政府即已陸續接櫫各項目標及其實施策略，並區分病歷資料格式、傳輸互通標準、網路基礎架構、隱私安全議題、公衛服務整合等面向分別開展，獲致相當成效。惟據管考辦公室之分析，既有之政策措施及各項作為，似乏詳盡之細部規劃及具體之實踐要項可資遵循，亦無妥善之績效評比指標以利參考。由是觀之，迄今之努力及其成果固值稱許，然就 2014 年普遍採用電子病歷並且得以交流互通之願景而言，還有很多需要努力的地方。

機關實體安全維護現行法制與實務運作之研析（下） 科技法律研究所 2013年08月25日 貳、澳洲防護性安全政策架構：機關實體安全維護政策暨相關規範 一、「防護性安全政策架構」概說 　　防護性安全政策架構（Protective Security Policy Framework）[1]由澳洲司法部（Attorney-General’s Department）發布，最新版本修訂於101年12月，其宗旨在協助機關有效鑑別安全風險容忍度的等級、達成安全維護之要求並因應各機關業務目標發展適合的安全文化，同時也能達到預期的行政效能、獲得人民及國際間的信任。其架構設計成四個層次。 　　最上層為「政府業務安全性指令（Directive on the security of government business）」，屬於防護性安全政策架構的基石，訂明機關及委外廠商的安全性要求。第二層進一步訂定「核心政策/法定強制要求（Core Policies/Mandatory Requirements）」，核心政策從三大面向出發：人員安全、資訊安全及實體安全。第三層則分別就三大核心政策制訂細節性的實施指引、安全保護措施和風險管理文件的範本，包含應用標準，使所有機關作法具一致性，使跨部門的業務執行更加順暢。最末層則為「機關特定防護安全政策與程序（Agency-Specific Protective Security Policies& Procedures）」，協助機關發展出合乎自身特性和業務需求的專屬政策和程序，同時補充和支援其他機關的的營運程序。 二、機關實體安全管理指引：管制區及風險減輕控制[2] 　　本指引的規範客體為政府機關內所有人員及接受政府機關委外安全維護服務的承包商（contractor）及個人。保護範圍涵蓋所有政府設備設施、實體資產及機關人員駐點場所，但若澳洲法律有比本指引更嚴格的要求，應優先遵守。規範內容可分成四大項：降低風險與確保措施（risk mitigation and assurance measure）、管制區方法論及要求（the security zones methodology and requirements）、個別控制要素（detail of individual control measures）、行政管理上的實體安全要素（Physical security elements in administrative security）。 （一） 降低風險與確保措施 　　機關應依指定之標準和要求進行風險評估[3]及風險管理[4]。風險評估是設計安全維護措施的基礎，且至少每兩年便應重新評估。又機關可能因為某些特別的原因易生潛在的特定威脅，需要額外的加強實體安全性，機關可以透過檢視自己業務是否具爭議性、辦公場所地區犯罪發生率、出入訪客數量及以往發生衝突的機率、是否因持有特定資訊或資產而易於成為攻擊目標、設施是否與民間企業共構及其他誘因等進行風險評估。 　　接著，機關應依風險程度差異區分不同安全等級的工作區，或區分上下班時間，評估可能遇到不同的風險。例如，上班時間會有洽公民眾或訪客，需特別注意內部威脅；下班後則要特別注意外部入侵問題。又辦公室動線的設計與有效的安全控制攸關，故可以考慮進行「關鍵路徑規劃（Critical path）」，亦即在動線設計上，讓可能的外來危險入侵到辦公場所核心領域的成功時間盡可能延長，使應變小組有時間偵測、延遲並能及時回應跟阻止入侵。最後，機關若能擁有獨立建物時，於設計時需考量「透過環境設計預防犯罪（Crime prevention through environmental design/CPTED ）」，避免建物有太多死角而易於進行不法或犯罪行為[5]。 （二）管制區方法論及要求 　　管制區（Security Zone）共分為五個安全等級，也就是依風險評估劃分工作區，並賦予相應的控管措施[6]。機關得按自身需求決定要設置幾個等級的管制區。例如，一級管制區指公眾可出入的場所、車輛會不斷進出的作業區，故得使用、儲存的資訊及資產敏感性不得超過一定等級；二級管制區是所有員工及委外廠商的自由出入的區域，公眾在一定條件下得出入，通常是指標準辦公場所、機場工作區或具一定隔離、出入管制措施的訪客區或展示區；三級以上管制區則對於能進出的內部人員的資格益加限縮，且外部人士或委外廠商可能需由專人全程護送，同時也能使用或儲存高重要性的資產和資訊，如情報機構本身即屬五級管制區。 （三）個別控制要素 　　此部分在提供機關判斷、選擇控制措施的準則，機關可以根據風險評估的結果選擇相應的安全控制措施，共分為15項，主要包括了澳洲安全建設及設備委員會（The Security Construction Equipment Committee/SCEC）認可的產品目錄清單及產品選擇標準的指導手冊、建築物安全配備的標準、警報系統與相關設備、門禁管制、訪客管控、警衛與保全人員的聘用、安全置物箱或保險庫及周遭環境的安全管制（Perimeter access control）等。 　　又警衛與保全人員之聘用，必須擇用有證照者。澳洲依行政區有不同的保全證照制度與規定[7]，以澳洲首都區（ACT）為例，主要係依2003年保全業法（Security Industry Act 2003）[8]、2011年保全業修正法（Security Industry Amendment Act 2011）[9]及2003保全業規則（Security Industry Regulation 2003）[10]，證照共分五種：保全公司證照、保全人員證照、保全教官證照、見習保全證照及臨時保全證照。保全證照每三年需換發一次。另外，若在販賣酒精的場所工作或需使用槍枝，則需另外取得許可。 　　澳洲保全業的主管機關為法制服務辦公室（Office of Regulatory Service），職掌教育訓練、監督與查核、自我規範、資訊分享及強制執行。主要查核項目為定期檢查及工時外的抽查（afterhours inspection），前者著重於申訴案，證照的暫時中止或撤銷懲處；後者著重於高風險事件，例如非法經營的保全公司、不適當行為及保全業非法雇用未成年人員等[11]。 （四）行政管理上的實體安全要素 　　在行政作業程序上，機關得運用一些實體設備設施達成安全管理的需求，例如在傳遞小量的實體資產或資訊（如公文紙本）至其他機關，應使用保險箱、集裝箱；又銷毀機密紙本時使用碎紙機或水銷方式等。 三、防護性安全管理指引：委外服務與職能安全性 [12] 　　本指引在協助機關將業務委外時，如何建立完善的委外政策和擬定契約，詳述防護性安全政策架構4.12節以及機關要如何遵守政策架構下第12條規定：「機關必須確定委外服務廠商遵守本政策架構及所有的防護性安全規則書（protective security protocols）的要求」。由於委外服務的執行人員能夠進入機關內部辦公場所、接近機關資訊資產，故機關有責任建立人員安全控管程序（necessary personnel security procedures），管理委外服務的安全性風險。本指引提供一個持續性、結構性的方法幫助機關決定：委外廠商經營場所應有的安全維護措施、委外廠商使用人員的安全調查程序（security clearance requirements）及契約中安全管理措施的約定（protective security management arrangements）[13]。 　　契約中必須明訂委外廠商應遵守的相關法律規定、機關所需的必要安全維護要求與遵守期間、規律和持續性的監督辦法（例如機關代表可進入委外廠商的經營場所進行查核，檢視各項紀錄或設備設施）及危安事件發生時廠商的通報義務。機關依防護性安全政策架構所擬訂獨有的政策與程序，其內容必須於契約中明確的約定，不允許概括約定委外廠商必須遵守防護性安全政策架構。又機關的安全性要求可能會隨時間而變化，所以該部分的約定宜與本約分開，以利日後修正與變更。 　　若委外廠商的執行人員因業務得接近機密或敏感性資訊資產，必須通過安全查核程序（Security Clearance）[14]；若不需接受安全查核，則需簽署保密條款（Non-Disclosure Agreement），機關應諮詢法律專業意見制訂屬於機關本身特定的保密條款[15]，有複委外情形時亦同。機關可以從澳洲政府安全調查局（Australian Government Security Vetting Agency /AGSVA）調出相關人員的安全調查資料，如果該人員擁有尚未逾期且屬機關需求等級的安全資格，機關就不需要再做一次調查。 參、建議與結語 　　藉由對澳洲立法例之研析，可發現澳洲對於機關的辦公場所、設備設施及出入之內外部人員的控管，有嚴謹縝密的管理機制與具體標準供機關依循。相較於此，我國相關法制框架尚有強化空間，建置更明確性、細節性之規範及標準作業流程。例如我國法制上僅有「責任區」的概念，可考慮引進「管制區」及「關鍵路徑規劃」等項目。其次，機關宜將自訂的安全維護機制確實內化至與委外保全業者的契約內，訂明權利義務關係、落實監督管理辦法、監控畫面資料儲存、備份和刪除方式及保密義務範圍（如機關監視系統配置、巡邏時間）等，另考量當機關日後對於安全性要求之修正與變更可能，委外契約與安全性要求的細部文件宜分開訂立。至人員管控部分，應重視預防勝於治療之概念，於適當時（例如對負責監控機關內部監視系統或夜間巡邏等對機關生態、人員活動及弱點相當清楚者）採取如澳洲的安全查核程序，對人員擔任保全工作的適性程度進行評價，而不僅以保全業法所訂之資格條件作為唯一判準。 　　末者，機關之實體安全維護，是否適合全權委外保全業者，尤以本身屬高重要性的機敏機關而言，值得再斟酌，在保全人員素質頗受爭議與警政機關因業務繁重而無法有效輔導管理保全業的困境下，或可考慮是否有必要在組織內編列專職維安人員。 [1]Australian Government: Attorney-General’s Department （2012, December）. Protective Security Policy Framework-securing Government business. Version1.5. Retrieved from http://www.protectivesecurity.gov.au/pspf/Documents/Protective%20Security%20Policy%20Framework%20amended%20December%202012.pdf （last accessed May.29,2013） [2]Australian Government: Attorney-General’s Department （2011, June）, Physical security management guidelines: Security zones and risk mitigation control measures, Retrieved from http://www.protectivesecurity.gov.au/physicalsecurity/Documents/Security-zones-and-risk-mitigation-control-measures.pdf ,下稱「本指引」. [3]Australian Standard AS/NZS ISO 31000:2009 Risk Management–Principles and guidelines, Australian Standards HB 167:2006 Security risk management. [4]Australian Standards HB 167:2006 Security risk management . [5]相關建議可參考以下連結：Designing Out Crime: crime prevention through environmental design,Crime Prevention through Environmental Design Guidelines for Queensland. [6]詳細規定由機關安全顧問（Agency security advisers /ASAs）發布，請參本指引第15至20頁 [7]Australian Security Industry Association Limited （n.d.）. Information about security licensing requirements and regulators in each state or territory. Retrieved from http://www.asial.com.au/Whoshouldholdasecuritylicence.（last accessed June.4,2013）. [8]ACT Government（n.d.）. Security Industry Act 2003..Retrieved from http://www.legislation.act.gov.au/a/2003-4/default.asp（last accessed June.4,2013） . [9]ACT Government（n.d.）. Security Industry Amendment Act 2011. Retrieved from http://www.legislation.act.gov.au/a/2011-37/ （last accessed June.4,2013）.其他相關規範請參http://www.ors.act.gov.au/industry/security_industry/legislation （last accessed June.4,2013）. [10]ACT Government（n.d.）. Security Industry Regulation 2003. Retrieved from http://www.legislation.act.gov.au/sl/2003-30/default.asp （last accessed June.4,2013）. [11]ACT Government（n.d.）.Security Industry Licensing Practice Manual. Retrieved from http://www.ors.act.gov.au/publication/view/1689/title/security-industry-licensing-practice-manual （last accessed June.4,2013）. [12]Australian Government: Attorney-General’s Department （2011, September）. Protective security governance guidelines-security of outsources services and functions. Version1.0. Retrieved from http://www.protectivesecurity.gov.au/governance/contracting/Pages/Supporting-guidelines-for-contracting.aspx （last accessed June.7, 2013）. [13]「防護性安全措施」Protective security依澳洲政府所發佈的「專門術語詞彙表」（glossary of security terms）的定義，指一套包括程序、實體、人員及資訊四大方向的安全維護措施，保護資訊、機關機能運作、內部人員和外部訪客。請參http://www.protectivesecurity.gov.au/pspf/Pages/PSPF-Glossary-of-terms.aspx [14]請參PSPF Australian Government personnel security core policy – PERSEC 1.。 [15]請參本指引第11頁的附件A：NDA範本。

　　美國第四大無線通訊業者T-Mobile於1月24日依據華盛頓州暴利罪法（criminal profiteering laws）向該州高等法院提出申請，要求法院對Data Find Solutions公司、1st Source Information Specialists公司及其他有關的公司與個人發出禁制令（injunction），以防止上述公司透過詐欺手段獲取及販售T-Mobile客戶的通聯紀錄（call records）。 　　目前包括了州議員、州檢察總長及聯邦通訊傳播委員會（Federal Communications Commission），均積極探求相關的法律規定，如果Data Find Solutions等公司非法獲取及販售通聯紀錄的情況屬實，將依法予以定罪。 　　無獨有偶，在一週之前伊利諾州檢察總長也對1st Source Information Specialists公司提出了訴訟，控告該公司非法取得及販售通聯紀錄。數位眾議員及參議員，已經公布了相關立法計畫，未來凡以欺詐的手段獲取及出售通聯紀錄都將被視為違法行為。參議院多數黨領袖Bill Frist議員即表示，「詐取客戶通聯紀錄並透過網路出售是一錯誤的行為，必須加以制止。」

歐洲創新委員會發布2022年影響力報告，總結近年投資創新領域取得之成效 資訊工業策進會科技法律研究所 2023年03月13日 歐洲創新委員會（European Innovation Council, EIC）於2022年12月7日發布「2022年歐洲創新委員會影響力報告」（European Innovation Council Impact report 22）[1]，展示歐盟執委會近年投資百億歐元預算於創新領域之成效。 壹、事件摘要 歐洲創新委員會為基於EU「展望歐洲」（Horizon Europe）計畫所成立之機構，而「展望歐洲」計畫則為資助歐盟研究創新之主要計畫，其預算高達955億歐元，而歐洲創新委員會亦擁有101億歐元之預算，其主要任務在於從整個生命週期支持突破性創新技術之商業化，包括早期研發、概念驗證、技術移轉、新創與小型企業之融資與規模化[2]，其所發布之「2022年歐洲創新委員會影響力報告」即為總結近年協助創新領域之成效。 一、歐洲創新委員會之資助項目 歐洲創新委員會秉持創新、卓越與發揮影響力之原則，藉由支援創新鏈上之每個階段，支援歐洲研究團隊與新創公司之創造性想法，其主要任務為確認、發展與擴大突破性創新。歐洲創新委員會所提供之資金與協助機會包括下列項目[3]： 1.EIC探路者（EIC Pathfinder）：支持深度技術研發，支持研究團隊研究、或開發新興突破性技術，其提供超過15億歐元之資金，其主要關注跨學科及前瞻性技術，其同時開放所有領域亦針對特定挑戰提供資助。 2.EIC轉型者（EIC Transition）：以有前景之研究成果為基礎，展示技術以及促進新興技術之成熟，並為特定應用制定商業計畫，將想法從實驗室帶到產業界。 3.EIC加速器（EIC Accelerator）：於EIC加速器中設有EIC基金（EIC Fund），其有義務投資透過EIC加速器評估程序（EIC Accelerator evaluation process）所選出之新創企業與小公司，可以純粹股權（equity-only）之方式或贈款與股權（grant and equity）混和之方式提供財務資助，並將重組為另類投資基金（Alternative Investment Fund, AIF），期將成為歐洲最大規模之早期深度科技投資者，並期利用100億歐元之資金吸引私人投資者而創造出300至500億歐元之槓桿效應，投資決策將由外部另類投資基金經理人來進行與管理。 4.業務加速服務（Business Acceleration Services）：所有EIC支持之項目與公司皆可獲得指導、合作與其他客製化業務加速服務；其藉由四項主要計畫使公司與研究人員得以與企業、投資者、買家、加速器、創意工作室（venture builders）進行連結，包括：企業夥伴計畫、創新採購夥伴計畫、投資者夥伴計畫、學界與業界之連結。 5.歐洲創新生態系統（European Innovation Ecosystems）：支持使生態系統參與者能於整個歐洲開展合作。 6.EIC獎勵（EIC Prizes）：鼓勵歐洲領先之創新者接受挑戰相互競爭獎項。 二、歐洲創新委員會之資助成效[4] 於2022年歐洲創新委員會影響力報告中指出，於2014至2021年已資助503個EIC探路者項目，而從2019至2020年已有55個EIC移轉者項目將研究成果成立衍生公司（spinout）與帶來商業化機會。於歐洲創新委員會支持下之公司就業成長達44%，於無形資產投資（包括研發投資、智財權、商譽）成長109%，有形資產投資成長67%，資金流動性提高140%，孕育出12家獨角獸公司（Unicorn）與112家半人馬公司（Centau），受支持之公司估值超過400億美元。通過EIC基金為個別新創企業與小公司提供資金投資支持且發展其規模之結果，於2014至2021年已支持超過1600家新創企業與小公司，其所支持之公司超過4成之成立期間介於6-10年間。 此外，EIC提供多項措施促進與支持女性企業家與研究員，例如提出EU科技女性計畫（Women TechEU）、女性領導者計畫（Women Leadership Programme）、提供女性創新者EU獎項（EU Prize for Women Innovators）等，這些措施施行之結果，於2020與2021年期間，於EIC加速器所資助之公司有20%為女性所領導，EIC探路者中由女性所領導之項目也達到24%，且三分之一的研究人員為女性。 貳、重點說明 由2022年歐洲創新委員會影響力報告中可發現，擁有百億歐元預算之歐洲創新委員會就各項目資助之成效斐然，非但順利推動實驗室之突破性技術商業化，帶動新創公司林立、孕育多家獨角獸與半人馬公司，促進就業成長、有形與無形資產投資踴躍投入、公司估值提升，同時亦兼顧性別平等，促進女性研究人員進入新創事業並成為領導者。 參、事件評析 由2022年歐洲創新委員會影響力報告中可知，過去幾年歐洲創新委員會透過不同項目之資助，已取得相當不錯的成績，而歐洲創新委員會並不以目前取得之成就為限，仍繼續探究以不同方式協助突破性技術商業化之各種可能。例如其於2023年1月25日即與歐洲潔淨科技（Cleantech for Europe）簽署加強合作意向書，其可使雙方更系統化分享潔淨科技交易流（deal flow），且可共同合作於對於歐洲潔淨科技生態系之分析，藉此有助於被投資公司擴大其規模，且更瞭解市場需求所在，同時對於融資優先順序發生影響，並將可使公共與私人投資者增強對於潔淨科技之支持，促進潔淨科技之規模化，而將可使歐盟成為未來數十年氣候與工業之領導者[5]；此外其亦於2023年2月21日宣布啟動EIC技術至市場計畫（EIC Tech to Market Programme, T2M），內涵包括EIC「技術至市場創業家精神計畫」（Tech to Market Entrepreneurship），提供培訓與發展課程，藉以幫助創業之研究者獲取開發深度科技之關鍵知識，且提供建立價值與可行商業模式之支持；以及「技術至市場風險創建模式計畫」（Tech to Market Venture Building）以客製化、靈活方式來支持利用研究成果建立新企業，協助新創產業包括從確認有前景之商業概念至風險投資創建與發展等服務，期能協助EIC探路者（EIC Pathfinder）與EIC轉型者（EIC Transition）度過將技術從實驗室轉化至市場之歷程[6]。我國近年來政府亦積極投入新創產業之推動，歐洲創新委員會各種協助新創產業之作法，如區分項目資助、擴大合作範圍、提供客製化課程等方式，或皆可作為我國未來參考之依據。 [1]EIC Impact report 2022, European Innovation Council, Dec. 7, 2022, https://eic.ec.europa.eu/news/eic-impact-report-2022-2022-12-07_en (last visited Mar. 13, 2023). [2]Who we are, European Innovation Council, https://eic.ec.europa.eu/about-european-innovation-council_en (last visited Mar. 13, 2023). [3]EIC Funding opportunities, https://eic.ec.europa.eu/eic-funding-opportunities_en (last visited Mar. 13, 2023). [4]EIC impact report 2022, European Innovation Council, Dec. 6, 2022, https://eic.ec.europa.eu/system/files/2023-02/2022-EIC-Impact-Report-141222.pdf (last visited Mar. 13, 2023). [5]European Innovation Council and Cleantech for Europe sign partnership to accelerate funding for EU clean technologies, European Innovation Council, Jan. 25, 2023, https://eic.ec.europa.eu/news/european-innovation-council-and-cleantech-europe-sign-partnership-accelerate-funding-eu-clean-2023-01-25_en (last visited Mar. 13, 2023). [6]The European Innovation Council launches Tech to Market Entrepreneurship & Venture Building Programme, European Innovation Council, Feb. 21, 2023, https://eic.ec.europa.eu/news/european-innovation-council-launches-tech-market-entrepreneurship-venture-building-programme-2023-02-21_en (last visited Mar. 13, 2023).