歐盟網路和資訊系統安全局（ENISA）

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

德國大學研發成果商業化模式初探— 以拜揚專利聯盟為例 資訊工業策進會科技法律研究所 法律研究員　余承穎 2018年07月30日 壹、背景 　　「研發成果商業化」向來為我國政府關注議題。自2000年起，我國積極推動技轉中心設立，並在2002年後，宣導技轉業務推動以績效為導向，同時進行相關配套之獎助[1]。科技基本法下放政府資助之研究計畫成果下放予計畫執行單位，並允許執行單位可自行運用其研發成果將技術知識擴散於業界，且也開始有技轉金的收入，只是真正能技轉的技術件數並不多，還需要強化技轉中心的功能，以利未來更能聚焦學校的研發能量並有效的商業化。 　　近年來，德國聯邦政府在高等教育產學合作上，提出《知識創造市場》（Knowledge Creates Markets）[2]之報告，並提出四個行動方案，主要支持知識與技術的移轉在國家政策中給予最高的優先性。也因政府的支持下，德國聯邦政府斥資46.2百萬歐元建立專利利用局 (Patentverwertungsagentur，以下簡稱PVA)，截至2016年止已成立29間PVA[3]，每一間PVA對於區域性大學進行商業化的服務。 　　本篇就以德國各區的PVA中，技轉成績最好的拜揚專利聯盟(BayPat)進行介紹，並了解德國大學在國家政策支持下的專利聯盟運作機制。 貳、德國大學商業化困境及解決方案 　　西元2000年初，德國大學和我國一樣面臨研發成果無法商業化的問題，其主因可分為兩部分來說[4]： 大學教授以學術發表論文為主要目標且大學也擁有很多的研發成果，卻無法轉化成專利或推廣至市場上運用。 德國大學很早就開始推產學合作和技術移轉，由於技轉人員沒經驗，無法強化技轉人員的職能，導致校內研發成果無法集中管理而妥善的運用。 　　基於德國聯邦政府積極想讓高等教育的研發成果能夠商業化，並可以和產業建立溝通橋樑，因此德國聯邦政府推出了《知識創造市場》四個行動方案，其中一個行動方案Exploitation Offensive(市場開發)[5]的目標是希望將科學研發成果快速推至市場，其所採取的策略主要包含：建立專業的專利利用開發之基礎建設和大學教授特權之改革。 　　依據此策略目標，聯邦政府首先於1998年修訂高等學校框架法(Hochschulrahmengesetz，簡稱HRG) [6]，擴大大學 (Hochschule)的任務與增加大學促進技術移轉之規定，但此修法的成效不佳，未見各大學技轉中心的研發成果運用有逐漸轉好；另一方面《知識創造市場》報告也指出因大學教授特權的規定，大學教授研發成果屬於自由發明，不須告知大學，則可自由運用，除大學教授接受大學資助外，原則上大學無法向教授請求研發成果。因此，教授特權使得大學無法從研發成果運用中受到利益，而許多教授發明也都沒有申請專利，這確實影響成果運用之推廣。因此聯邦政府於議會修訂受雇人發明(Arbeitnehmererfindungsgesetz, cf. ArbEG, 2002) [7]第42條規定，其主要能落實前述的策略目標之一，主要廢止「教授特權」的規定，原本屬於教授可自由運用之研發成果歸屬於大學，讓大學教授享有研發成果商業化所得淨利之30%為收益[8]，這樣的改革可讓大學教授願意投入研究和申請專利，進而達到商業化的發展。 　　行動方案Exploitation Offensive(市場開發)的另一個策略目標就是其能建造一個有效的專利利用基本設施。因此聯邦教育與研究部（Bundesministerterium für Bildung und Forschung，簡稱BMBF）挹注大筆的經費以支持改革大學的結構措施。前期依據高等學校框架法(HRG)的改革，而大學紛紛設立技術移轉中心，但專利申請件數和商業化的比率沒有因此提高。 　　因此2002年起，聯邦政府以「商業利用創業保護」(Schutz für Ideen für die gewerbliche Nutzung, 簡稱SIGNO)計畫中以補助對象為大學的分項計畫延伸出「SIGNO高等學校-專利開發資助的計畫」建設專利利用的專業機構。其計畫資助重點在於對高等學校、企業以及發明者的創新發明構想提供智慧財產等法律保障與經濟利用，進而達到技術移轉[9]，也因如此，造成德國各邦設立獨立的PVA[10]，針對區域性大學進行智財服務和商業化規劃。 　　自2008年， BMBF將部分技轉業務交由經濟及科技部(Bundesministerium für Wirtschaft und Energie，簡稱BMWi)負責，原則上還是以「SIGNO高等學校-專利開發資助的計畫」持續補助成立PVA，針對各邦的PVA之補助比率由100%，逐漸降至50%，2011年起更不超過40%，BMWi的補助從全額補助逐年遞減來觀看，可促使各邦的PVA能集中研發成果的能量，強化與產業界的媒合進而達到合作夥伴或新創公司，進而達到自足營運，所得的收益可以自給自足。 　　藉由政府資助成立PVA，截至2016年左右已有29 家PVA成立[11]，而其中拜揚專利聯盟(BayPat)內的三間夥伴大學連續兩年被評鑑(Technical University of Munich, Friedrich-Alexander University of Erlangen-Nuremberg , Ludwig-Maximilians-University of Munich )是全歐洲最具創新性的學校[12]，這也代表拜揚專利聯盟的運作機制是有目共睹的，本文以下將提供進一步介紹。 参、拜揚專利聯盟的發展 　　德國高等教育框架法修正後，德國聯邦政府亦交由各邦制定高等教育法規。拜揚邦政府於2007年修正高等教育法(Bayerisches Hochschulgesetz, BayHSchG)，增加學校運作的自由[13]。拜揚邦於2000年制定創新及知識經濟政策，並策劃新創資助、協助技術移轉、及創業孵化器空間等技轉系列政策；其中即包含拜揚專利聯盟(BayPat)。 　　拜揚專利聯盟(BayPat)源自拜揚邦政府技轉計畫中的拜揚大專院校專利計畫(Die Bayerische HochschulPatentinitiative)[14]，也是由拜揚邦政府主導拜揚邦內大學進行技術移轉服務的完整機構，即專利利用局(PVA)。整體計畫是由拜揚邦政府與當時德國三大科研機構之一的弗勞恩霍夫爾協會(Fraunhofer-Gesellschaft zur Forderung der angewandten Forschung e.V.)[15]協助邦內大學進行技術移轉，一開始參加學校有8所，之後陸續累積至33所大學及科技大學[16]。 　　(一)弗勞恩霍夫爾協會輔導時期 　　拜揚專利聯盟一開始是由弗勞恩霍夫爾協會的慕尼黑技術移轉中心(Die Fraunhofer-Patentstellefür die DeutscheForschung，PST)[17]撥出10名人員擔任拜揚大專院校專利計畫的技術經理，各校內建1~2名校內技轉人員窗口，PST處理弗勞恩霍夫爾協會的技轉案件，累積相當的經驗，所以他們培育拜揚專利聯盟的技轉人員，以強化大學技術移轉人才的職能。以下分別說明聯盟在專利申請以及專利技術商業化流程的運轉機制： (1)專利申請：發明人提出技術揭露，校內技轉人員初步判斷可專利性。隨後校內技轉人員將技術揭露文件提供給拜揚聯盟，經聯盟評估後給予專利佈局策略建議。後續專利申請流程(包含答辯、費用)都是由專利聯盟主導。 (2)專利技術商業化的流程：提出專利申請之後，聯盟開始進行技術行銷推廣以及後續授權合約草擬、談判和最後的收益分潤等事務。 　　值得一提的是，德國修訂受雇人發明法第42條後，專利所有權歸屬於大學，雖然大學專利申請的所有費用都是由拜揚專利聯盟所負擔，但專利的所有權人還是隸屬於大學。 　　至於專利商業化所得的收益分配比率，拜揚專利聯盟分得25%，大學分得52.5%，大學教授分得22.5%。拜揚專利聯盟執行長佛茲堡大學校長Axel Haase曾表示，雖然2002年修法後教授僅能保障收益分配，但透過集中資源讓教授最終獲得的利潤比當初教授完全擁有成果時更多[18]。 　　(二)拜揚專利聯盟公司之成立 　　因為拜揚專利聯盟內部逐漸累積技術移轉經驗，2007年弗勞恩霍夫爾協會退出營運，由拜揚邦內所有33所大專院校(拜揚大學及應用科技大學)共同創立拜揚專利聯盟公司[19]，而拜揚專利聯盟公司仍沿襲當初弗勞恩霍夫爾協會所建立的專利聯盟制度[20]，仍以技術移轉及商業化為主要任務。 　　自拜揚專利聯盟在大學成立公司之後，截至2015年，聯盟公司累積2263件技術揭露評估，559件專利申請，連結1800位潛在的被授權人，締結共223份合約，並累積收益達6.7億歐元（約240億台幣）[21]。 肆、結論 　　綜上所述，德國聯邦政府為強化大學產學合作及技術移轉能商業化，促使產業推動，政府將此議題列入國家重要政策並積極推動，從高等教育框架法鬆綁，受雇人發明法修正以及德國各邦建立PVA等，將原來大學技轉中心的職能藉由PVA而強化，協助邦內大學專利申請、佈局、尋找技轉對象或是以新創公司進行研發成果商業化，這樣一站式的服務，將周邊大學的技術集中整合，提供產業更多方面的技術資訊[22]。 　　我國目前各大學技轉中心皆獨立處理各大學研發成果商業化作業，可學習德國模式進行區域型技轉聯盟，以聯盟的方式來進行專利佈局以及商業化推廣，以達到規模經濟，並建立明確的商業化推廣模式，確定每項研發成果商業化皆能得到有效率的行銷推廣。 [1] 余曉雯、鍾宜興，＜德國聯邦政府高等教育產學合作政策之探究＞，《教育研究及刊》，第61輯第3期，頁47-79（2015）。 [2] BMBF/BMWi, Knowledge Creates Markets Action Scheme of the German Government (2001) [3] Czarnitzki, Dirk and Doherr, Thorsten and Schliessler, Paula and Toole, Andrew A., Knowledge Creates Markets: The Influence of Entrepreneurial Support and Patent Rights on Academic Entrepreneurship, European Economic Review, 86, 131–146 (2016) [4] 同前註2 [5] 同前註2。 [6] 1999年德國修正《高等學校框架法》(Hochschulrahmengesetz)第58條第1項：「高等學校是公法社團法人，同時也是國家設施，或以其他法律形式設立……」，在修正文中增加了「或以其他法律形式設立」之規定，賦予各邦具有較大的組織法形成自由，得以其他法律形式設置大學，以此開始鬆動了大學之法律地位，且國家開始從大學的具體管制中抽離出來。 [7] ArbEG (Employee Invention Act) 2002, Gesetz zur Änderung des Arbeitnehmererfindungsgesetzes. Berlin: Bundesgesetzblatt - Bundesministerium der Justiz, January 24th 2002. [8] 陳麗娟，＜從德國受雇人發明法第42條論國立大學研究人員研發成果歸屬＞，《科技法律透析》，第20卷第1期，頁48-61（2008） [9] 同前註1。 [10] Weyand, Haase, Der Innovationstransfer an Hochschulen nach Novellierung des Hochschulerfindungsrechts – eine Zwischenbilanz in rechtspolitischer Absicht, GRUR, S.28, 2007 [11] Czarnitzki, Dirk and Doherr, Thorsten and Schliessler, Paula and Toole, Andrew A., Knowledge Creates Markets: The Influence of Entrepreneurial Support and Patent Rights on Academic Entrepreneurship, European Economic Review, 86, 131–146 (2016) [12] 〈THREE BAYPAT PARTNER UNIVERSITIES AMONG THE TOP 12 MOST INNOVATIVEUNIVERSITIES IN EUROPE〉, Bayerische Patentallianz GmbH https://www.baypat.de/newsroom-de/three-baypat-partner-universities-among-the-top-12-most-innovative-universities-in-europe (最後瀏覽日：2018/07/04). [13] 由於德國大學具有公法上的人格權，學校可以在其權利範圍內創設公司，另一方面，拜揚邦政府引入基金董會制度，讓大學在此制度之下，可以增加學校的決策效率。 [14] 〈Presentation of the Bayern Patent Initiative - Promotion of Patenting and Exploitation of Inventionsby Bavarian Universities 〉, World Intellectual Property Organization，http://www.wipo.int/edocs/mdocs/innovation/en/wipo_inv_mty_02/wipo_inv_mty_02_10.pdf（最後瀏覽日：2018/06/11） [15] 〈60 years of fraunhofer-Gesellschaft〉, FRAUNHOFER GESELLSCHAFThttps://www.germaninnovation.org/shared/content/documents/60YearsofFraunhoferGesellschaft.pdf (最後瀏覽日：2018/06/10). [16] 〈Volljurist (m/w) Vertragsrecht / gewerblicher Rechtsschutz〉, Bayerische Patentallianz GmbHhttps://www.baypat.de/newsroom-de/volljurist-m-w-vertragsrecht-gewerblicher-rechtsschutz-in-teilzeit-bis-20-stunden-woche (最後瀏覽日：2018/07/04). [17] 佛勞恩霍夫研究院技轉中心(Fraunhofer-Patentstelle)，資訊工業策進會科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=67&tp=4&i=65&d=194 (最後瀏覽日：2018/06/10). [18] Axel Haase, 30 Prozent besser als 100, ERFINDUNGEN AN HOCHSCHULEN, 7(8), 461 (2008). [19] 同前註16 [20] 值得注意的是，雖然統稱為拜揚專利聯盟(BayPat)，拜揚專利聯盟在此階段時仍就以政府計畫的形式存在，由各校技轉人員分別與德國發明專利辦公室內歸屬該計畫的人員合作，未有正式的法人格基礎 [21] 同前註14 [22] 跨領域科技管理研習班(MMOT)，＜大學研發成果歸屬對產學合作之影響-以德國制度為觀察對象＞，跨領域科技管理與智財運用國際人才培訓計畫-103年海外培訓成果發表會，頁 1-63( 103 )

　　德國聯邦經濟與能源部(Bundesministerium für Wirtschaft und Energie，BMWi)在2017年7月提出｢對外貿易條例｣(Außenwirtschaftsverordnung)修正草案，以規定基於德國的公共政策安全或基本安全利益，對於外國人(或企業)收購國內公司，在必要時得予以禁止或增加強制條件。 　　如果交易完成後（一）歐盟之外的收購方將直接或間接持有目標公司25％以上的表決權以及（二）出於公共秩序或安全原因有必要採取上述措施，聯邦經濟與能源部可禁止對德國公司的收購交易。 　　該法修正草案亦進一步規定，聯邦經濟能源部將在本法律框架下對於涉及以下（技術）領域相關企業併購案之合約談判的各方進行審查程序，以確保國家實質安全利益： 部分能源電力領域，例如：電廠控制技術、電網工程技術、電廠系統或系統操作的控制技術(供電、供氣、燃油或集中供熱等)。 部分用水領域，例如：用水控制、調配或自動化技術(飲用水供應或污水處理設施)。 訊息技術和電信軟體領域，例如：語音和數據傳輸、數據儲存系統及處理系統)。 金融和保險部門、其運營的軟體或現金系統。 涉及醫療保健軟體部門或醫院管理訊息系統、處方藥和實驗室訊息系統的運行等領域部分。 涉及運輸和交通領域內的控制系統、工廠或設施的運行、航空運輸、乘客和貨物系統、鐵路運輸、海運和內河運輸、公路運輸、公共交通或後勤物流等領域。

　　英國Ofcom於2011年9月1日公佈了關於閒置頻譜、地理定位（geolocation）資料庫與感知無線電的最新諮詢結論，本次行動使英國成為歐盟中第一個宣佈感知無線電發展計畫的國家。 　　Ofcom自2005年「數位紅利審查報告書」（Digital Dividend Review）以來，藉多次的聲明與諮詢確立數位紅利閒置頻譜使用的三大方向： 其一，將用於enhanced Wi-Fi，相較於當前使用2.4G的Wi-Fi技術，透過原本無線電視所使用的低頻段（介於470至790MHz間）特性，可使新技術的涵蓋範圍更廣、建築穿透力更強。 其二，透過無線傳輸連結大城市與鄉村地區，以建置鄉村地區之寬頻網路。 其三、用以智慧聯網（Machine-to-Machine Communications，或譯為物聯網）。 　　由於相關議題在歐盟仍屬初始階段，Ofcom決定先行發展國內和諧使用設備之標準，待歐盟確立標準後，再調整規管與之一致。 　　有意願經營資料庫之第三方，皆須向Ofcom申請其管理、或交由可信任機構管理之網站的清單，以供感知無線電設備選擇，導入資料庫供應商之競爭。Ofcom將與複數之資料庫供應商簽訂契約或管制協議；至於申請者的最低條件、契約內容與申請費用，仍待定義與諮詢 　　Ofcom預計於2013年正式使用該技術；此外，依據科技進展，亦考慮回收FM廣播頻段發展感知無線電。