Uber所使用的移動定位軟體被控侵權

德國大學研發成果商業化模式初探— 以拜揚專利聯盟為例 資訊工業策進會科技法律研究所 法律研究員　余承穎 2018年07月30日 壹、背景 　　「研發成果商業化」向來為我國政府關注議題。自2000年起，我國積極推動技轉中心設立，並在2002年後，宣導技轉業務推動以績效為導向，同時進行相關配套之獎助[1]。科技基本法下放政府資助之研究計畫成果下放予計畫執行單位，並允許執行單位可自行運用其研發成果將技術知識擴散於業界，且也開始有技轉金的收入，只是真正能技轉的技術件數並不多，還需要強化技轉中心的功能，以利未來更能聚焦學校的研發能量並有效的商業化。 　　近年來，德國聯邦政府在高等教育產學合作上，提出《知識創造市場》（Knowledge Creates Markets）[2]之報告，並提出四個行動方案，主要支持知識與技術的移轉在國家政策中給予最高的優先性。也因政府的支持下，德國聯邦政府斥資46.2百萬歐元建立專利利用局 (Patentverwertungsagentur，以下簡稱PVA)，截至2016年止已成立29間PVA[3]，每一間PVA對於區域性大學進行商業化的服務。 　　本篇就以德國各區的PVA中，技轉成績最好的拜揚專利聯盟(BayPat)進行介紹，並了解德國大學在國家政策支持下的專利聯盟運作機制。 貳、德國大學商業化困境及解決方案 　　西元2000年初，德國大學和我國一樣面臨研發成果無法商業化的問題，其主因可分為兩部分來說[4]： 大學教授以學術發表論文為主要目標且大學也擁有很多的研發成果，卻無法轉化成專利或推廣至市場上運用。 德國大學很早就開始推產學合作和技術移轉，由於技轉人員沒經驗，無法強化技轉人員的職能，導致校內研發成果無法集中管理而妥善的運用。 　　基於德國聯邦政府積極想讓高等教育的研發成果能夠商業化，並可以和產業建立溝通橋樑，因此德國聯邦政府推出了《知識創造市場》四個行動方案，其中一個行動方案Exploitation Offensive(市場開發)[5]的目標是希望將科學研發成果快速推至市場，其所採取的策略主要包含：建立專業的專利利用開發之基礎建設和大學教授特權之改革。 　　依據此策略目標，聯邦政府首先於1998年修訂高等學校框架法(Hochschulrahmengesetz，簡稱HRG) [6]，擴大大學 (Hochschule)的任務與增加大學促進技術移轉之規定，但此修法的成效不佳，未見各大學技轉中心的研發成果運用有逐漸轉好；另一方面《知識創造市場》報告也指出因大學教授特權的規定，大學教授研發成果屬於自由發明，不須告知大學，則可自由運用，除大學教授接受大學資助外，原則上大學無法向教授請求研發成果。因此，教授特權使得大學無法從研發成果運用中受到利益，而許多教授發明也都沒有申請專利，這確實影響成果運用之推廣。因此聯邦政府於議會修訂受雇人發明(Arbeitnehmererfindungsgesetz, cf. ArbEG, 2002) [7]第42條規定，其主要能落實前述的策略目標之一，主要廢止「教授特權」的規定，原本屬於教授可自由運用之研發成果歸屬於大學，讓大學教授享有研發成果商業化所得淨利之30%為收益[8]，這樣的改革可讓大學教授願意投入研究和申請專利，進而達到商業化的發展。 　　行動方案Exploitation Offensive(市場開發)的另一個策略目標就是其能建造一個有效的專利利用基本設施。因此聯邦教育與研究部（Bundesministerterium für Bildung und Forschung，簡稱BMBF）挹注大筆的經費以支持改革大學的結構措施。前期依據高等學校框架法(HRG)的改革，而大學紛紛設立技術移轉中心，但專利申請件數和商業化的比率沒有因此提高。 　　因此2002年起，聯邦政府以「商業利用創業保護」(Schutz für Ideen für die gewerbliche Nutzung, 簡稱SIGNO)計畫中以補助對象為大學的分項計畫延伸出「SIGNO高等學校-專利開發資助的計畫」建設專利利用的專業機構。其計畫資助重點在於對高等學校、企業以及發明者的創新發明構想提供智慧財產等法律保障與經濟利用，進而達到技術移轉[9]，也因如此，造成德國各邦設立獨立的PVA[10]，針對區域性大學進行智財服務和商業化規劃。 　　自2008年， BMBF將部分技轉業務交由經濟及科技部(Bundesministerium für Wirtschaft und Energie，簡稱BMWi)負責，原則上還是以「SIGNO高等學校-專利開發資助的計畫」持續補助成立PVA，針對各邦的PVA之補助比率由100%，逐漸降至50%，2011年起更不超過40%，BMWi的補助從全額補助逐年遞減來觀看，可促使各邦的PVA能集中研發成果的能量，強化與產業界的媒合進而達到合作夥伴或新創公司，進而達到自足營運，所得的收益可以自給自足。 　　藉由政府資助成立PVA，截至2016年左右已有29 家PVA成立[11]，而其中拜揚專利聯盟(BayPat)內的三間夥伴大學連續兩年被評鑑(Technical University of Munich, Friedrich-Alexander University of Erlangen-Nuremberg , Ludwig-Maximilians-University of Munich )是全歐洲最具創新性的學校[12]，這也代表拜揚專利聯盟的運作機制是有目共睹的，本文以下將提供進一步介紹。 参、拜揚專利聯盟的發展 　　德國高等教育框架法修正後，德國聯邦政府亦交由各邦制定高等教育法規。拜揚邦政府於2007年修正高等教育法(Bayerisches Hochschulgesetz, BayHSchG)，增加學校運作的自由[13]。拜揚邦於2000年制定創新及知識經濟政策，並策劃新創資助、協助技術移轉、及創業孵化器空間等技轉系列政策；其中即包含拜揚專利聯盟(BayPat)。 　　拜揚專利聯盟(BayPat)源自拜揚邦政府技轉計畫中的拜揚大專院校專利計畫(Die Bayerische HochschulPatentinitiative)[14]，也是由拜揚邦政府主導拜揚邦內大學進行技術移轉服務的完整機構，即專利利用局(PVA)。整體計畫是由拜揚邦政府與當時德國三大科研機構之一的弗勞恩霍夫爾協會(Fraunhofer-Gesellschaft zur Forderung der angewandten Forschung e.V.)[15]協助邦內大學進行技術移轉，一開始參加學校有8所，之後陸續累積至33所大學及科技大學[16]。 　　(一)弗勞恩霍夫爾協會輔導時期 　　拜揚專利聯盟一開始是由弗勞恩霍夫爾協會的慕尼黑技術移轉中心(Die Fraunhofer-Patentstellefür die DeutscheForschung，PST)[17]撥出10名人員擔任拜揚大專院校專利計畫的技術經理，各校內建1~2名校內技轉人員窗口，PST處理弗勞恩霍夫爾協會的技轉案件，累積相當的經驗，所以他們培育拜揚專利聯盟的技轉人員，以強化大學技術移轉人才的職能。以下分別說明聯盟在專利申請以及專利技術商業化流程的運轉機制： (1)專利申請：發明人提出技術揭露，校內技轉人員初步判斷可專利性。隨後校內技轉人員將技術揭露文件提供給拜揚聯盟，經聯盟評估後給予專利佈局策略建議。後續專利申請流程(包含答辯、費用)都是由專利聯盟主導。 (2)專利技術商業化的流程：提出專利申請之後，聯盟開始進行技術行銷推廣以及後續授權合約草擬、談判和最後的收益分潤等事務。 　　值得一提的是，德國修訂受雇人發明法第42條後，專利所有權歸屬於大學，雖然大學專利申請的所有費用都是由拜揚專利聯盟所負擔，但專利的所有權人還是隸屬於大學。 　　至於專利商業化所得的收益分配比率，拜揚專利聯盟分得25%，大學分得52.5%，大學教授分得22.5%。拜揚專利聯盟執行長佛茲堡大學校長Axel Haase曾表示，雖然2002年修法後教授僅能保障收益分配，但透過集中資源讓教授最終獲得的利潤比當初教授完全擁有成果時更多[18]。 　　(二)拜揚專利聯盟公司之成立 　　因為拜揚專利聯盟內部逐漸累積技術移轉經驗，2007年弗勞恩霍夫爾協會退出營運，由拜揚邦內所有33所大專院校(拜揚大學及應用科技大學)共同創立拜揚專利聯盟公司[19]，而拜揚專利聯盟公司仍沿襲當初弗勞恩霍夫爾協會所建立的專利聯盟制度[20]，仍以技術移轉及商業化為主要任務。 　　自拜揚專利聯盟在大學成立公司之後，截至2015年，聯盟公司累積2263件技術揭露評估，559件專利申請，連結1800位潛在的被授權人，締結共223份合約，並累積收益達6.7億歐元（約240億台幣）[21]。 肆、結論 　　綜上所述，德國聯邦政府為強化大學產學合作及技術移轉能商業化，促使產業推動，政府將此議題列入國家重要政策並積極推動，從高等教育框架法鬆綁，受雇人發明法修正以及德國各邦建立PVA等，將原來大學技轉中心的職能藉由PVA而強化，協助邦內大學專利申請、佈局、尋找技轉對象或是以新創公司進行研發成果商業化，這樣一站式的服務，將周邊大學的技術集中整合，提供產業更多方面的技術資訊[22]。 　　我國目前各大學技轉中心皆獨立處理各大學研發成果商業化作業，可學習德國模式進行區域型技轉聯盟，以聯盟的方式來進行專利佈局以及商業化推廣，以達到規模經濟，並建立明確的商業化推廣模式，確定每項研發成果商業化皆能得到有效率的行銷推廣。 [1] 余曉雯、鍾宜興，＜德國聯邦政府高等教育產學合作政策之探究＞，《教育研究及刊》，第61輯第3期，頁47-79（2015）。 [2] BMBF/BMWi, Knowledge Creates Markets Action Scheme of the German Government (2001) [3] Czarnitzki, Dirk and Doherr, Thorsten and Schliessler, Paula and Toole, Andrew A., Knowledge Creates Markets: The Influence of Entrepreneurial Support and Patent Rights on Academic Entrepreneurship, European Economic Review, 86, 131–146 (2016) [4] 同前註2 [5] 同前註2。 [6] 1999年德國修正《高等學校框架法》(Hochschulrahmengesetz)第58條第1項：「高等學校是公法社團法人，同時也是國家設施，或以其他法律形式設立……」，在修正文中增加了「或以其他法律形式設立」之規定，賦予各邦具有較大的組織法形成自由，得以其他法律形式設置大學，以此開始鬆動了大學之法律地位，且國家開始從大學的具體管制中抽離出來。 [7] ArbEG (Employee Invention Act) 2002, Gesetz zur Änderung des Arbeitnehmererfindungsgesetzes. Berlin: Bundesgesetzblatt - Bundesministerium der Justiz, January 24th 2002. [8] 陳麗娟，＜從德國受雇人發明法第42條論國立大學研究人員研發成果歸屬＞，《科技法律透析》，第20卷第1期，頁48-61（2008） [9] 同前註1。 [10] Weyand, Haase, Der Innovationstransfer an Hochschulen nach Novellierung des Hochschulerfindungsrechts – eine Zwischenbilanz in rechtspolitischer Absicht, GRUR, S.28, 2007 [11] Czarnitzki, Dirk and Doherr, Thorsten and Schliessler, Paula and Toole, Andrew A., Knowledge Creates Markets: The Influence of Entrepreneurial Support and Patent Rights on Academic Entrepreneurship, European Economic Review, 86, 131–146 (2016) [12] 〈THREE BAYPAT PARTNER UNIVERSITIES AMONG THE TOP 12 MOST INNOVATIVEUNIVERSITIES IN EUROPE〉, Bayerische Patentallianz GmbH https://www.baypat.de/newsroom-de/three-baypat-partner-universities-among-the-top-12-most-innovative-universities-in-europe (最後瀏覽日：2018/07/04). [13] 由於德國大學具有公法上的人格權，學校可以在其權利範圍內創設公司，另一方面，拜揚邦政府引入基金董會制度，讓大學在此制度之下，可以增加學校的決策效率。 [14] 〈Presentation of the Bayern Patent Initiative - Promotion of Patenting and Exploitation of Inventionsby Bavarian Universities 〉, World Intellectual Property Organization，http://www.wipo.int/edocs/mdocs/innovation/en/wipo_inv_mty_02/wipo_inv_mty_02_10.pdf（最後瀏覽日：2018/06/11） [15] 〈60 years of fraunhofer-Gesellschaft〉, FRAUNHOFER GESELLSCHAFThttps://www.germaninnovation.org/shared/content/documents/60YearsofFraunhoferGesellschaft.pdf (最後瀏覽日：2018/06/10). [16] 〈Volljurist (m/w) Vertragsrecht / gewerblicher Rechtsschutz〉, Bayerische Patentallianz GmbHhttps://www.baypat.de/newsroom-de/volljurist-m-w-vertragsrecht-gewerblicher-rechtsschutz-in-teilzeit-bis-20-stunden-woche (最後瀏覽日：2018/07/04). [17] 佛勞恩霍夫研究院技轉中心(Fraunhofer-Patentstelle)，資訊工業策進會科技法律研究所，https://stli.iii.org.tw/article-detail.aspx?no=67&tp=4&i=65&d=194 (最後瀏覽日：2018/06/10). [18] Axel Haase, 30 Prozent besser als 100, ERFINDUNGEN AN HOCHSCHULEN, 7(8), 461 (2008). [19] 同前註16 [20] 值得注意的是，雖然統稱為拜揚專利聯盟(BayPat)，拜揚專利聯盟在此階段時仍就以政府計畫的形式存在，由各校技轉人員分別與德國發明專利辦公室內歸屬該計畫的人員合作，未有正式的法人格基礎 [21] 同前註14 [22] 跨領域科技管理研習班(MMOT)，＜大學研發成果歸屬對產學合作之影響-以德國制度為觀察對象＞，跨領域科技管理與智財運用國際人才培訓計畫-103年海外培訓成果發表會，頁 1-63( 103 )

　　近來國際間許多國家投入智慧商業及智慧消費之發展，為兼顧保障個人資料權利前提下，鼓勵產業界從事商業創新，英國商務創新技術部（Department for Business, Innovation & Skills）於2013年7月宣布促成「Midata創新實驗計畫平台」（midata innovation lab），由英國政府、企業界、消費者團體、監管機構和貿易機構共同組成，此為示範性自律性組織，參與之業者/機構於應消費者要求（consumer’s request）情形下，將所擁有消費者資料，特別是交易資料（transaction data），以電子形式及機器易讀取形式（electronic, machine readable format）對「我的資料」（Midata）體系公開（release）；並且，將可更便利消費者利用這些資料瞭解自己的消費行為，在購買產品和服務時可以做出更為明智的選擇。 　　英國商務創新技術部係於2011年4月，開始提出所謂「Midata計畫」：於「更好選擇；更好交易環境；提昇消費者權力」政策（Providing better information and protection for consumers），宣示推動「Midata計畫」，作為提昇資訊力量（power of information）重要策略。為積極推動，「Midata計畫」，並協助產業界能有更詳細遵循指引，於2012年7月公告「Midata政府產業諮詢報告」（midata: government response to the 2012 consultation），同年12月出版「Midata隱私影響評估報告」 （midata: privacy impact assessment report）。 　　為配合上述政策施行，由產業界、組織、政府機構所共同組成的「Midata創新實驗計畫平台」（midata innovation lab），已開始展開運作。此平台認為，近來越來越多實務情形證明，個人資料對於企業而言已被視為日漸重要的資產，並且未來將成為提供更個人化、多元化之產品服務之重要基礎。倘若能在確保消費者個人資料相關權利之前提下，促成產業界積極投入發展，以「我的資料（Midata）創新實驗計畫」為運作平台，對於企業所持有個人資料，兼顧企業與消費者原則共同獲益，將可因應趨勢取得商業先機。 　　以英國商務創新技術部規劃政策，前期試行推動先以「核心產業」（core sectors）（金融產業、電信產業、能源產業）為導入適用，待實施具一定成效後，將延伸推廣至其他產業領域（non-core sectors），而後也將由現行初期以產業自律性參與計畫模式，進展至以法令規範強制實施的階段。

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 　　根據一項網路入侵案件的統計分析，約有80%的案件事來自於機關或企業內部人員，或是至少與內部人員有關。[1]然而，對於資通訊安全與機密資訊的維護，機關單位與人員把大部分的重心放在防範外來的入侵者，也就是外部威脅，反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限，也就是因為這樣，內部威脅不易被發現。這就好比擁有大門鑰匙一般，正當合法從大門出入，以及從事本來就可以做的事，而不易被發覺。美國由於維基解密（WikiLeaks）事件的爆發，使政府對於機密維護的焦點，從外在攻擊的防止，轉聚焦於內部威脅的防範。 　　在美國，內部威脅並不是一個新的概念，公務機關本具備一定的管理措施；惟在維基解密案爆發後，帶給美國政府極大的衝擊，美國也全面檢討與創制新的因應作法，並於政策面、制度面與技術面等不同面向，進行積極的研究與合作。以下將引介美國之制度設計，藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 　　有關資訊的價值，近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例，智慧財產權與企業機密，儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩，導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關，「機密」對內部人員即成為最有價值的財產與籌碼，而公務機關可能因為內部威脅將機密外洩，造成對於國家、機關或人民產生公共安全，甚至是國家安全的危機。 （一）內部威脅的定義 　　外部威脅（External threat）」[3]係與內部威脅相對應之概念；外部威脅係指該威脅非由組織內部發生，而是由組織外部之人員或其他組織，透過一般的網際網路、互聯網系統，以未經授權之方式，對該組織之資訊設備，以植入惡意程式、或以駭客入侵等方式，進行侵入式的資訊系統攻擊，其目的係在於由外部取得該組織「有價值」的資訊。 　　為因應威脅，「威脅識別（Threat Identification）」成為威脅防禦之首要任務，按形成威脅的原因加以區分，大抵可分為「外部威脅（External Threat）」與「內部威脅（Insider Threat 或Internal Threat）」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等；相對外部威脅，係指自然災害，例如火災與地震，以及來自外部的惡意攻擊，例如盜賊、駭客、惡意程式，以及網路病毒等。[4] 　　「內部威脅」雖然被認知為威脅的一個種類，但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義，通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖（「惡意（Malicious）」），對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊（Computer Emergency Readiness Team, CERT）」認為內部威脅係指一位或多位具備存取控制（Access）的個人，意圖利用弱點侵入公司、組織，或企業的系統、服務、產品或設施，對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告（Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation）」，內部威脅係指未經授權存取控制國防部資訊系統的人員，可能為軍事人員員工（Military Member）、國防部一般僱員（Civilian Employee ）、其他聯邦機構員工，以及私部門等。[6] 　　由上述定義可得知，內部威脅係來自於組織單位的「內部」，如以行為人之意圖區分，又可細分為「惡意（Malicious）」與「過失」。因人員之過失所造成之內部威脅，大部分原因為人員對於資訊系統與之使用與管理不當所造成，例如，人員使用Email或即時通訊軟體，受到社交工程之攻擊，導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅（Malicious Insider）」，係指內部人員利用合法存取權限，為超出於其授權使用之對象、時間、範圍、目的，與用途等之行為，並意圖對於單位組織或是特定人、事、物等造成傷害，或是謀取不當利益。 　　依據惡意內部威脅事件，大約可分為以下各類型：[7] 1.IT破壞（IT Sabotage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，意圖損害一個具體的個人或組織，或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改（Theft or Modification for Financial Gain） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改（Theft or Modification for Business Advantage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他（Miscellaneous） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為非基於經濟利益或業務優勢，而進行竊盜或修改機密或專有資訊。 　　或通常會涵蓋二種以上的類型，例如：員工先行對於IT系統進行破壞，然後再試圖敲詐僱主，以協助他們恢復系統為條件換取金錢。另曾有案例為，一名前副總裁於結束工作前，複製客戶數據庫與銷售手冊，再向其他外單位組織兜售。[8] （二）內部威脅事件的發生與所造成的損失 　　依據CERT於2011年4月對於內部威脅控制的報告指出，以報告中123件資訊科技破壞（IT Sabotage）事件進行統計，內部威脅發生的時間為26%件事件發生於上班時間，35%發生於下班時間，另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看，54%事件發生於進行遠端連線時，27%發生於公司所在地，另外19%發生於不特定之地點或場所。[9] 　　有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計，可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡，或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響，所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 　　美國傳統對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。第8381號行政令，授權政府官員保護軍事與海軍基地。爾後，歷任總統以發布行政命令的方式，建置聯邦政府的機密分級標準。不過，羅斯福總統以經特定法規授權為由，後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法，[12]設法平衡總統權利。 　　歐巴馬總統上任前歷經2001年911事件的壓力，[13]以及2010年維基解密等機密外洩事件，致使歐巴馬團隊對於資訊安全以及機密維護非常重視，除了推動開放政府（Open Government），促進政府政策更公開透明的民主治理外，對於資通訊安全（Cyber Security）、機密資訊外洩的通報機制，以及內部人員（Insider）所帶來的威脅，更是採取積極的作法。[14] 　　針對內部人員對於國家安全與機密外洩的問題，歐巴馬政權立即採取相對應的措施，於2011年發布第13587號行政命令：「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革（Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information）」，與因應第13587號行政命令所規範之「內部威脅」議題，於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」的總統備忘錄。 　　部會或機關紛紛對於內部威脅採取相關防範措施，例如國務院（Department of State）對於涉及機密的網路，採用新的審查與監控的工具，而在國防部（Department of Defense）也開始開發自動偵測內部威脅的辨識系統。在情報系統方面，商務部（Department of Commerce）國家標準與技術中心（National Institute of Standards and Technology, NIST）與司法部（Department of Justice）聯邦調查局（Federal Bureau of Investigation, FBI）也訂立內部威脅指引，提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊（Computer Emergency Readiness Team，以下簡稱CERT）內部威脅中心（CERT Insider Threat Center）進行多項內部威脅的研究。 　　至今為止，歐巴馬政權對於內部威脅的防範，於法制政策提出下列各項規範： （一）總統第13587號行政命令：「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 　　由於維基解密事件的爆發，使美國將機密的維護，從對於防止外在的攻擊，轉聚焦於機密資訊的內部威脅。事件發生後，國家安全人員馬上成立跨機關小組，檢視處理機密資訊的政策與實務作法，希望可以提出解決行政部門可共用的機制，以減少類似的事件再度發生。 　　跨機關小組歷時七個多月的檢討後，對於機密資訊的保護，與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則：加強跨機關資訊有責共享的重要性；確保政策、流程與技術的安全解決方案，與監督和組織文化的發展；強調聯邦政府對於資訊必須實施一致的作法；與確保隱私、公民權和自由的保護。[15] 　　歐巴馬團隊將上述原則落實至第13587行政命令，[16]成立監督的架構，發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任，並加強跨機關資訊的流通與保護，包括電腦網路的安全，與內部威脅的機制，以減低未來國家安全機密外洩的風險。 　　第13587號行政命令大抵分為下列各大項，除此之外，聯邦政府同時已經採行增進機密資訊網路與人員的控管，例如拆卸式媒體、網路身分管理、內部威脅方案（Insider Threat Program）、存取控制的管控（Access Control）、機密網路的審核，[17]項目分為： 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任； 2.設置「資深資訊分享與安全維護推動小組（Senior Information Sharing and Safeguarding Steering Office）」； 3.成立「機密資訊流通與保護局（Classified Information Sharing and Safeguarding Office, CISSO）」； 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks)；與 5.設置「內部威脅專責小組（Insider Threat Task Force）」。 　　其中有關「內部威脅專責小組」的部分，跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕，包括利用、損害，或其他未經授權揭露機密資訊的內部威脅，並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標，建立和整合機關內部的安全與反間諜，用戶審查和監控等優先事項，以及其它機關的實作發展和保護能力。[18]除此之外，內部威脅專責小組還必須與相關單位合作，以促成政策的草擬與可行。[19] 　　專責小組的職責應包括下列： 1.制定並與行政機關協調，阻止、檢測和減輕內部威脅的政策，並提交至督導委員會檢閱； 2.與適當的機關合作，制定行政機關內部威脅方案的政策指引和最低標準，並於一年內發布，該相關指引和最低標準對於行政部門具拘束力； 3.如果有足夠的經費或經授權，繼續與適當單位合作，於一年之後，增修相關指引與最低標準； 4.如果沒有獲得足夠的經費或授權，建議由預算辦公室（Office of Management and Budget）或國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISSO）於一年之後頒布相關指引與最低標準的增修版本； 5.如仍有任何未解決的問題，以致於延宕最低標準的公布，應將問題提交給督導委員會（Steering Committee）； 6.按照專責小組所制定之方案，獨立評估相關機關單位是否適當的落實既定的政策和最低標準，並將評估結果向督導委員會提報； 7.提供機關單位援助，包括提供最佳實作案例以供參考；與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 　　由上可見，第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策，機關亦必須依照指示時程，落實內部威脅政策的偵測方案，以及監控其運作是否符合政策的目標。 （二）「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 　　雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組，負責偵測與避免內部威脅，以增進對於機密資訊的保護，以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而，機關應該如何施行的細項尚未有細緻規範，仍需等待歐巴馬團隊進一步制定，以落實於聯邦政府所屬的公務機關。 　　緣此，美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」，主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護，並加強危及國家安全的敵對勢力或內部威脅的防禦。 　　這些威脅包括潛在的間諜活動，對國家或機關單位的暴力行為，以及未經授權揭露機密資訊，包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 　　目前標準的詳細內容尚未發布，不過，依據備忘錄大約可分為下列各項： 1.蒐集、整合、集中分析和應變主要威脅相關的資訊； 2.監控人員對於機密網路的使用； 3.提供人員對於內部威脅意識的培訓； 4.保護人員的公民、自由和隱私權。 參、事件評析 　　觀察美國一連串的改革，顯見維基解密事件對於美國政府產生非常大的衝擊，更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制，對機密資訊的管理與「內部威脅」的防範進行全面檢討，並對於配套標準及措施進行增修。 　　除對於傳統以人員監督威脅的存在外，應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據，再進一步因應與確認內部威脅的存在。 　　最重要的是，該制度與措施要求全國公務機關一起合作落實，以及分享潛在內部威脅的異常警訊，才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會，張維平，日晷第4期認識公務機關資訊安全問題，取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf（最後瀏覽日：2012年11月30日）。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來，隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗，世界各地傳出多起嚴重的資料外洩事件，當然台灣也不能倖免。外洩的資料包羅萬象，而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊，另外還有最令機關防不勝防的內賊。只要有心，要在機關內部竊取資料很容易，從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟，都可當作工具，如果機關（各單位）沒有危機意識，採取防範措施，資料外洩在所難免。鑑此，籲請各單位安全連絡員，加強單位自主管理，協助單位主管加強責任區安全檢查，共同維護機關公務機密與安全。 [2]中廣新聞網．海軍共諜案，國防部：才在發展階段，影響有限，（2012年10月29日），取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html（最後瀏覽日：2012年11月30日）。 國防部軍事發言人羅紹和表示，涉案的海軍大氣海洋局前政戰處長張祉鑫，在退役後透過友人介紹，認識中共官方人員，然後再透過軍中舊識，「謀取不法利益」，保防安全部門在今年三月間接獲檢舉，依法由反情報單位展開調查行動，並移請檢調單位協助調查，順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊，資訊安全概論與實務，取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf（最後瀏覽日：2012年11月30日）。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」，「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」，與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件，以年度區分，截至2012年11月30日止，包括下列：1.2009年：「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」，與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」；2.2010年：「第13549號行政命令-國家、地方、部落，和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」；3.2011年：「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」；4.2012年：「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長（Attorney General）與國家情報局主任（Director of National Intelligence）或指定人共同擔任主席。內部威脅專責小組成員應該由國務院（Department of State）、國防部（Department of Defense）、司法部（Department of Justice）、能源部（Department of Energy）、國土安全部（Department of Homeland Security）部長所指定的人員，以及國家情報局主任（Director of National Intelligence）、中央情報局（Central Intelligence Agency），和國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISOO）等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官（Office of the National Counterintelligence Executive, ONCIX）和其他機構，於法律所允許的範圍內配置。這些人員必須是官員，或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所，以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件（Document），文件的種類根據事務類型之不同分為三大類：Executive orders（有連續編碼的行政命令）、Proclamation（公告）、Administration orders（無編號的行政命令），其下尚有不同的子分類，備忘錄則屬Administration orders下的子分類之一，總統所發布的文件效力相同，並無位階之分，http://www.archives.gov/presidential-libraries/research/guide.html（最後瀏覽日：2013年1月12日）。

　　高科技人才缺口逐年擴大，據經濟部統計，三年總計僅有一九二二位海外人才來台，政府延攬海外人才績效不及新加波、韓國。新加坡為鼓勵企業延攬國際人才，企業招聘的支出可減稅，並提供人才高薪和住房，在新加坡工作的外籍人員還可參加星政府資助的國內外培訓等獎勵措施。韓國在二○○三年更擴大辦理延攬海外科技人才，除延長外籍人士居留時間、優先核准簽證，外籍技術人員薪資所得並可五年免稅，一年延攬之科技人才高達一萬多人。除此，大陸人才濟濟，新加坡與韓國也主動延攬，新加坡對大陸人才更提供「落地永久居民批准信」。 　　相較於星、韓的積極態度，我國政府對延攬海外人才趨向被動，我國高科技人才需求是由產業提出，政府配合提供誘因，我國以補助外籍人員的來回程機票、保險費，及薪給差額等為主。另礙於兩岸關係，國內並不開放引進大陸人士，大陸碩士以上人才來台每年僅兩位數，主要從事研究活動相關，而非長期工作。 　　針對目前國內科技人才需求緊迫，立委質疑國內科技人才缺乏，政府禁止大陸人才來台，卻不限制科技人才前往大陸，形成不平衡。經濟部表示，將彙整各界意見，再思索推動政策協助；陸委會則擬在六月底前提出積極管理科技人才前往大陸的辦法。