新加坡個人資料保護委員會2017年7月發布資料共享指引

　　因應加密貨幣投資交易盛行，美國貨幣監理局（Office of the Comptroller of the Currency, OCC）於2020年7月22日發布一封解釋函，授權聯邦註冊銀行和聯邦儲蓄協會（federal savings associations）可為客戶的加密貨幣或數位資產提供保管服務，促使銀行持續發揮金融中介功能。此舉將有助於加密貨幣推動發展。 　　依據解釋函內容，聯邦註冊銀行和聯邦儲蓄協會若從事加密貨幣保管業務，主要注意要點包含必須制定健全的風險管理規範；所提供之服務須與銀行的整體業務計劃和策略一致；須以安全可靠之方式進行，包含建立適當系統以識別、衡量、監控和控制其保管服務的風險；審核帳戶是否符合洗錢防制法令；維持適當有效之內部控制制度；確保銀行所保管之資產與自有資產分開存放，並在共同控制的情況進行維護，以確保資產不會被內部或外部人員損失、毀損或挪用；維護有效之資訊安全基礎架構與控制措施，以減少駭客入侵、竊盜和詐騙；判斷是否需要專門的查核程序；提供可靠的財務報告，以及遵守相關法律規範。 　　貨幣監理局表示，加密貨幣保管服務，包含持有與加密貨幣相關連的密鑰，屬傳統銀行保管業務的延伸，為銀行業推動現代化營運的表現。隨著金融市場數位化，銀行與其他服務提供商將需要利用新技術和創新方式，以滿足客戶的金融服務需求。

日本內閣府公開徵集「研究安全和風險管理系統開發支援計畫」，加強研究安全保障 資訊工業策進會科技法律研究所 2025年3月10日 壹、事件摘要 內閣府科學技術創新推進事務局（科学技術・イノベーション推進事務局），於2025年2月19日發布公告，自2025年2月19日至3月24日公開徵集國內負責經濟安全重要技術的補助機關和研究機構加入「研究安全和風險管理系統開發支援計畫」 [1]（研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業，下簡稱研究安全計畫），以加強研究安全之保障。 貳、重點說明 日本曾發生研究者在不知情的情形下與北韓研究者共著論文而危害研究安全事件，根據日本經濟新聞2024年11月28日報導，自2016年底北韓受到聯合國加強制裁以來，共有八篇北韓研究機構的國際共著論文發表，包含東京大學、名古屋大學等日本五所大學的研究者皆在共同著作者之列，雖研究者皆表示與北韓無聯繫，但此行為仍可能違反聯合國制裁規定，且一名涉及本事件的研究者在論文發表後，仍被任命為國內主導研究計畫的主持人，負責百億日圓預算及先進技術的管理，顯示日本研究安全管理問題[2]。 為避免類似事件發生及提升日本科技實力，以及配合G7國家關於研究安全與誠信的政策，內閣府公開徵集負責經濟安全重要技術的補助機關和研究機構加入研究安全計畫。該計畫將蒐集與分析國際合作研究所需的公開資訊，並整合後於2025年出版「研究安全與誠信程序手冊」（RS/RI に関する手順書）。 所謂經濟安全重要技術，係指《促進特定重要技術研發及適當運用成果基本指南》（特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針）所列，包含AI、生物技術等先進技術領域[3]，內閣府將透過此計畫驗證學研機構所實施之研究安全與誠信措施是否得宜，並與學研機構分享典範實務，參考政府制定的研究安全與誠信規範，提出分析與改善方法。 研究安全計畫將支援日本國內研究機構和其他處理對經濟安全重要技術的機關，在國內外開展聯合研究時採取必要的技術外流防止措施，一方面提供分析資源，如協助分析研究人員及研究機構的公開資訊（職業經歷、其他工作以及研究資金流向等），另一方面支援實施風險管理的相關費用，並針對整體防止技術外流的風險控管體系進行評估後給予建議[4]。 研究安全計畫參與對象為補助研發之機關及領取補助進行研究開發的機構（如公立研究機構、研究開發公司、大學等），且應有足夠能力執行完整風險控管計畫。另計畫評選期間，研究機構不得有內閣府所定停止補助、停止推薦等情形[5]。 內閣府為結合國家政策與國際標準，全面提升日本在經濟安全重要技術領域的研究安全與誠信管理能力，透過分析與資金支援，協助研究機構構建完善的風險控管體系，確保研究中的技術外流防範措施得以落實。此舉不僅為日本科技實力的長期發展奠定基石，亦為維護國家經濟安全及國際信譽提供堅實保障。 參、事件評析 近年研究安全成為國際間之重要議題，為防止技術外流，各國亦有許多政策，如美國國家科學基金會（National Science Foundation, NSF）啟動「保護美國研究生態系統社群 」[6]（Safeguarding the Entire Community of the U.S. Research Ecosystem, SECURE）計畫，並成立 SECURE 中心；加拿大政府公告「三機構關於敏感技術研究和關注從屬性政策指南」[7]（Tri agency guidance on the Policy on Sensitive Technology Research and Affiliations of Concern, STRAC Policy）等，在如此趨勢下，日本亦開始注重研究安全之保障。 日本內閣府此次推動研究安全計畫，顯示日本政府已深刻意識到研究安全議題的迫切性與重要性。隨著全球科技競爭日益激烈，國際間的技術交流與合作頻繁，但也伴隨著技術外流、竊取敏感研究資訊等風險。尤其是北韓等受國際制裁國家，可能透過隱匿身分或間接合作的方式，取得敏感資訊，對國際社會的安全構成潛在威脅。 日本政府推動研究安全計畫，透過提供分析資源、資金支援及風險控管體系的評估建議，協助研究機構建立完善的防範機制，期望透過以上防範機制，全面提升日本在研究安全管理能力，並確保技術外流防範措施得以落實。 然而，此計畫的推動仍存在一些挑戰與考量。首先，如何在確保研究安全與維護學術自由之間取得平衡，避免過度限制造成研究自主性與創新能力的損害，將是重要課題。此外，背景審查與資訊分析機制的建置，需注意個人隱私保護，避免引發研究人員的反彈與抵制。再者，國際合作研究的審查程序若過於繁瑣，也可能影響日本研究機構與國際間的合作意願，甚至對國際學術地位造成負面影響。 因此，日本政府在推動此項政策時，應積極參考美國、加拿大等國的經驗，建立透明且具彈性的管理制度，並與國際夥伴保持密切溝通，協調一致的研究安全標準，避免孤立於國際科研社群之外。綜上所述，日本此次行動對於提升國內研究安全與誠信管理能力，並維護國家經濟安全，具有正面且積極的意義，未來仍需持續關注政策推行的成效與後續調整方向，以達成長期穩健的發展目標。 [1]〈研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業の公募について〉，內閣府，https://www8.cao.go.jp/cstp/kokusaiteki/integrity/kobo_r7.html （最後瀏覽日：2025/3/10）。 [2]日本経済新聞，〈東大など5大学、知らずに北朝鮮と共同研究　｢寝耳に水｣〉， 20254/11/28，https://www.nikkei.com/article/DGXZQOUE293WI0Z20C24A1000000/ （最後瀏覽日：2025/3/10）。 [3]〈特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針〉，內閣府，https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/doc/kihonshishin3.pdf （最後瀏覽日：2025/3/10）。 [4]〈研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業公募要領〉，內閣府，頁3，https://www8.cao.go.jp/cstp/kokusaiteki/integrity/kobo_r7/kobo_r7.pdf （最後瀏覽日：2025/3/10）。 [5]同前註，頁4。 [6]NSF-backed SECURE Center will support research security, international collaboration, US National Science Foundation, https://www.nsf.gov/news/nsf-backed-secure-center-will-support-research (last visited Mar. 10, 2025). [7]Tri-agency guidance on the Policy on Sensitive Technology Research and Affiliations of Concern (STRAC Policy), Natural Sciences and Engineering Research Council of Canada, https://www.nserc-crsng.gc.ca/InterAgency-Interorganismes/RS-SR/strac-rtsap_eng.asp (last visited Mar. 10, 2025).

　　歐洲委員會委託荷蘭「阿姆斯特丹大學資訊法律學院」及倫敦「皇后瑪莉智慧財產中心」，就歐盟2001年通過之著作權指令於各會員國實行之情況與對市場之影響進行評估，並於2007年2月完成評估報告。該份報告指出，歐盟著作權指令就推動線上內容服務成長之目的僅達成少部分目標，若歐盟未來可能成為網路服務之單一市場，則本指令必須加以修改。 　　報告指出，部分指令內容的欠缺明確，留給各會員國極大的裁量空間於內國法排除規範之訂定與限制規範之研擬，此一情況實為該指令功能未能彰顯之重要因素。且因各會員國幾乎可完全自由決定欲採用之制度，將嚴重影響跨疆界網路內容服務的建構，尤其調和規範之欠缺，直接影響關於市場玩家提供跨疆界網路服務相關法律的明確性。而由於規範的不確定性，則迫使使用者於面臨跨疆界著作之使用時，需與每位權利人就使用受保障著作的範圍進行協商，導致交易成本之增加。另外，該指令之規範亦轉變了科技法律之態樣，推翻舊有權利平衡，而創造出偏向權利人、遠離著作使用者的規範模式，擴張的重製權賦予權利人幾乎完全的控制權力，而此一權利實非於實體世界權利人所能專享。 　　此份報告建議，為達成會員國規範具某程度的一致性，未來宜就該指令可附加之限制，明列簡短的必要禁止規範，各國亦可依據自身需求附加進一步的排除條款。同時建議歐洲各國可參考德國強制將數位權力管理資訊、著作使用範圍與特性於產品上附加說明之模式，作為未來規範訂定之參考。

　　美國醫療產業使用境內或境外雲端服務（Cloud Services）急速成長，導致「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act，以下簡稱HIPAA）規範下之「適用機構」（Covered Entities）與其「商業夥伴」（Business Associate），對於雲端服務業者如何適用HIPAA感到疑惑。因此，衛生及公共服務部民權辦公室（Department of Health and Human Services, Office for Civil Rights）於10月7日公布相關業者如何適用HIPAA之指引，以釐清爭議。 　　於該指引中，該部指出，雲端服務業者若替適用機構或是商業夥伴創造、接收、維護、傳送被HIPAA所保護之「資療資訊」（Protected Health Information），則該雲端業者就被視為HIPAA下規範之商業夥伴，原因在於該服務具有儲存與維護醫療資訊功能，非屬該法排除適用之「網路服務業者」（Internet Service Providers）資料傳輸服務類型。 　　該指引有幾大重點：首先，雲端服務業者如將該醫療資訊提供加密儲存服務，仍應盡到HIPAA中規範商業夥伴之責任。原因在於加密資料不足以保護HIPAA有關資訊安全章節所要求醫療資訊之「機密性、完整性和可用性」之相關規範。再者，雲端業者皆須與委託方簽署商業夥伴協議（Business Associate Agreements）。此外，使用雲端服務儲存資療資訊時，委託方皆能使用行動設備進入雲端儲存之醫療資料，但應建立合乎HIPPA所要求相關之安全措施。最後，HIPAA並未禁止將醫療資訊儲存至伺服器為於美國境外之雲端業者，但使用前應自行評估該資訊遭駭客攻擊之可能性。