歐盟創新採購機制觀測

歐盟執委會提出資料治理與資料政策 資訊工業策進會科技法律研究所 2020年10月12日 　　歐盟執委會(European Commission，以下簡稱執委會)於2020年7月提出「資料治理與資料政策」(Data Governance and Data Policies at the European Commission)[1]，旨在說明歐盟執委會將如何透過資料治理及相關政策，轉型為資料驅動型組織(data-driven organization)，並提供一致的方向或原則，促進執委會下各政務總署(Directorate-General)及事務部門(Service Department)(以下簡稱相關部門機構)之資料共享。 壹、背景目的 　　「促成歐洲適應數位時代，並使執委會成為完全數位化、具敏捷性、靈活性與透明性的歐盟組織」是執委會現任主席Ursula von der Leyen所提出的2019年至2024年政策願景之一[2]。隨著數位化發展，透明(transparent)、循證式(evidence-based)的決策需運用人工智慧資料分析技術，「資料」是直接影響人工智慧運用於政策決定的關鍵要素。欲提升人工智慧運用結果被信賴的程度，首先必須有可查找(findable)、可近用(accessible)、可互通(interoperable)、安全(secure)且高品質(high-quality)的資料。歐盟機構內部資料、資訊與知識的共享與治理，有助於此願景之達成。 　　因此，執委會提出「資料治理與資料政策」，建立執委會統一的資料治理架構與政策原則，幫助執委會轄下相關部門機構共同遵循資料管理(data management)、資料近用、資料保護、智慧財產權、資訊安全等相關法律與監理要求。同時，執委會亦期能藉此優化資料建立(creation)、蒐集(collection)、取得(acquisition)、存取(access)、利用(use)、處理(processing)、共享(sharing)、保存(preservation)與刪除(deletion)等資料生命週期必經流程，改善資料品質，提升資料管理及共享之效率。 貳、內容摘要 　　「資料治理與資料政策」的適用範圍為執委會及其相關部門機構所擁有、利用或再利用的資料集，包括政策決定所使用的資料、行政資料與個人資料。在「資料治理與資料政策」的執行上，則導入「遵守或解釋」(comply-or-explain)原則，除非法律明示規定為選擇性適用，否則執委會轄下相關部門機構皆需遵守；倘未遵守，則需就無法遵守的原因提出解釋。以下分別就「資料治理」與「資料政策」兩大部分重點說明。 一、資料治理 　　主要目的在建構執委會統一的資料治理架構，釐清相關角色的責任與相互依賴關係。依角色與任務的不同，執委會將資料治理分為三層級，並由秘書總署集體治理團隊(Secretariat-General corporate governance team)支援三層級的執行工作。 （一）策略層級(strategic level) 　　由資訊管理指導委員會(Information Management Steering Board, IMSB)，處理資料治理與資料政策相關議題，界定長期推動願景、提供政策方向、監督推動與執行之進程，並作出策略決定。 （二）管理階層(managerial level) 　　由資料議題相關的組織、委員會、團體所組成之資料協調小組(data coordination groups)、各地區資料聯絡窗口(local data correspondent)、執委會各相關部門機構下的資料治理委員會(data governance board)，以及策略層級就各資料集所指定之資料擁有者(data owner)，依策略層級所提出之願景與政策方向，在各處建立並執行資料政策、監督執行進度，並向策略層級報告執行進度及任何超出其決策權限之問題。 （三）運作階層(operational level) 　　由資料擁有者選出或指派資料管理員(data steward)，並與資料利用者(data user)實際執行資料政策，必要時將相關議題提到管理層級解決。 二、資料政策 　　就資料管理(data management)、資料互通性與標準(data interoperability and standards)、資料品質(data quality)、資料保護與資訊安全(data protection and information security)等核心面向，建立上位原則。 　　其中關於「資料管理」部分，又依資料生命週期細分。例如在「資料集建立、蒐集或取得」方面採取一次性原則，故執委會轄下相關部門機構在建立、蒐集或取得資料之前，需探詢必要資料或資訊是否已存在，避免重複取得。主要需求資料集的部門機構，應協助讓其他執委會相關部門機構或歐盟機構也獲得使用該資料集之權利。又例如「資料集存取、使用與共享」方面，除非歐盟相關的執委會決定、指令或規則另有規定[3]，否則以「需要共享」(need to share)或「預設共享」(share by default)為原則，並使用一致化的資料管理與視覺化工具或資料平台。 　　針對「資料互通性與標準」與「資料品質」兩部分，著重在執委會內部的共通一致性，包括資料格式、資料相關詞彙、資料品質的定義與量測等。而在「資料保護與資訊安全」方面，則強調「歐盟機關個人資料保護規則」[4]相關義務，以及歐盟資料保護監督機關(European Data Protection Supervisor, EDPS)所提相關指引之遵循。 參、簡析 　　觀察歐盟執委會的「資料治理與資料政策」，可知其資料治理架構與相關政策，是以形成一個資料共享再利用生態系為藍圖。除了強調資料一次性建立及資料預設共享等原則，更從組織管理角度，界定不同單位或角色的任務與責任，並凸顯資料治理管理組織的建構，對資料政策執行之重要性。 　　我國政府長期致力於數位國家之發展，在政府資料開放政策推動上已有不少成果，例如建立政府資料開放平台、訂定各級機關資料開放作業原則、統一資料開放格式等。為持續厚植數位國家的資料應用能量，建議未來可進一步完善政府資料治理構面，兼納「政府對民眾之資料開放」及「公務機關間之資料共享」等面向，借鏡歐盟執委會之作法，確立資料共享再利用之管理架構及原則，提升政府資料應用的效率與效能。 [1] EUROPEAN COMMISSION, Data Governance and Data Policies at the European Commission (2020), https://ec.europa.eu/info/sites/info/files/summary-data-governance-data-policies_en.pdf (last visited Oct. 5, 2020). [2] See Ursula von der Leyen, My Agenda for Europe: Political Guidelines for the Next European Commission 2019-2024 (2019), https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_en.pdf (last visited Oct. 8, 2020). [3] 例如歐盟執委會決定Commission Decision 2011/833/EU、歐盟規則Regulation (EC) No 1049/2001及歐盟指令Directive (EU) 2019/1024等，有關近用歐盟資料之例外規定。 [4] Regulation on the Protection of Natural Persons with regard to the Processing of Personal Data by the Union Institutions, Bodies, Offices and Agencies and On the Free Movement of Such Data, and Repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC, Council Regulation 2018/1725, 2018 O.J. (L295) 39.

戰略產業與關鍵技術保護法規修正趨勢分析 資訊工業策進會科技法律研究所 2022年2月14日 　　戰略性高科技產業是我國重要的經濟發展基礎，在全球半導體產業鏈中，臺灣更是位居關鍵領先地位。半導體產業作為未來新興科技領域發展根基，內含許多國家核心關鍵技術，若此類技術洩漏至境外，將損及國家安全與整體經濟競爭優勢。 壹、國際產業經濟安全保障法案推動趨勢 　　參考國際上以產業經濟安全角度出發，且與我國同具技術保護需求之國家，以亞洲的日本及韓國為代表，正在密集推動產業競爭與供應鏈安全及技術保護相關法案。 一、日本《經濟安全保障法》 　　日本首相官邸於2021年11月19日召開第一次「經濟安全保障推進會議」，強調國家安全概念已迅速擴展到經濟和技術領域，在各國推進和加強支持工業基礎設施、防止敏感技術外流、提升出口管制等經濟安全相關措施下，日本內閣府應加強《經濟安全保障法》草案推動，確保戰略物資與維護重要關鍵技術[1]。 　　其中《經濟安全保障法》草案著重在四大工作面向：1.供應鏈：透過公私技術合作加強重要材料和原材料的供應，避免對人民生活和工業產生重大影響。2.公私技術合作：透過公共和私營部門合作共享並利用技術資訊，培育和支持尖端重要技術框架。3.核心基礎設施：確保與維護核心基礎設施功能安全性和可靠性。4.私人專利：採取補償措施以要求特定專利私有化，防止敏感發明公開外流，同時促進創新[2]。 二、韓國《國家高科技戰略產業特別法》 　　韓國產業通商資源部方面，於2022年1月25日舉行的第5次內閣會議上宣布，通過《國家高科技戰略產業特別法》立法議案。該特別法案旨在培育和保護韓國的高科技戰略產業，以維護國家和經濟安全，並取得高科技競爭力，其具體內容包含：1.成立由南韓總理主導的國家高科技戰略產業委員會，制定5年戰略產業培育和保護的基本計畫。2.指定國家關鍵技術，以發展戰略產業和保護國家經濟安全。3.全面支持戰略產業，包括投資、研發、人力資源等方案。4.為振興戰略產業生態系統，提供監管法規修訂和企業合作方向支援。5.對戰略技術的出口和併購採取部分緊縮的保護措施。 　　韓國產業通商資源部強調，全球各主要國家皆體認到，必須在高科技產業競爭環境中培育知識人才，以及保護國家戰略產業發展的重要性。《國家高科技戰略產業特別法》的制定，將由產業通商資源部採取「無縫接軌的推進措施」，並與相關產業積極溝通，以便及時協助基礎設施能力建構，並在本法案立法程序完成後落實執法[3]。 貳、我國國家核心科技修法走向 　　我國法務部與陸委會於110年7月公告《國家安全法》與《臺灣地區與大陸地區人民關係條例》部分條文修正草案，二者皆是以經濟安全角度出發，針對「國家核心關鍵技術」保護作法規調整，期能建構跨部會產業技術防堵外洩策略。 一、兩岸條例修正：管制受政府委託補助關鍵技術及人員赴陸 　　依據陸委會第27次委員會議討論通過「兩岸條例第9條、第91條修正草案」，針對「受政府機關（構）委託或補助達一定標準」，並從事涉及國家核心關鍵技術業務之個人或民間團體、法人、機構成員，進行赴陸管制。其中，因國家核心關鍵技術及一定標準的具體內容，涉及高度專業性，故兩岸條例第9條修正草案授權科技部會商有關機關訂定並進行妥適規範。另外，對於違反赴陸應經許可的特定人員，依據兩岸條例第91條，可處新台幣200萬元以上1,000萬元以下罰鍰。如係違反返台通報義務者，（原）服務機關、委託機關或補助機關得處新台幣2萬元以上10萬元以下罰鍰[4]。 二、國家安全法修正：保護半導體、農業、國防關鍵技術 　　法務部國安法修正草案第2之2條，明定任何人不得替外國、中港澳、境外敵對勢力或其所實質控制的各類組織，為侵害國家核心關鍵技術的營業秘密行為；且刑度較營業秘密法提高，違者可處3年以上、12年以下徒刑，併科5百萬元以上、1億元以下罰金。至於何項技術列入關鍵技術，則交由科技部檢討，並將攸關台灣經濟、國防優勢的產業列入，包括半導體先進製程、涉及國防技術、台灣關鍵品種農業科技、關鍵生技技術等[5]。 參、法規評析 　　台灣是全球高科技代工產業的重鎮，半導體技術尤其發達且人才集中。全球晶片短缺之際，台灣也面臨人才帶槍投靠、與關鍵技術外流，危害戰略產業發展危機。未來針對我國國家核心科技認定與管制，可以由以下幾個方向作思考： 一、參考科技部政府資助國家核心科技手冊之作法 　　為避免我國有太多個不同的核心科技清單，導致法規適用的複雜，未來可能參考現有科技部政府資助國家核心科技手冊之作法，由科技部邀集相關部會自行就主責類別科技項目進行認定。篩選之科技項目(包含企業關鍵技術)，經主管機關核定後，提報科技小組，科技小組成立專責審議小組審議是否列入國家核心科技項目。 二、重新建立國家核心科技篩選標準 　　雖然產業技術保護法規強化是全球趨勢，但若是修正力度過猛或審查過嚴，也同樣可能影響產業投資、干預研發合作，甚至促使台灣關鍵產業出走，連帶失去半導體等關鍵技術研發創新動能，因此重新建立篩選管制標準是我國法規的重要課題。 　　首先，就製造業關鍵技術，應思考台灣在該產業技術上是否具國際領先地位作為優先考量。其次，就所篩選之產業，評估其對台灣經濟發展是否具核心關鍵性(例如產值高低，或者在全球供應鏈具關鍵地位)。最後，對於國家安全有重要影響之相關產業，應納入作為我國核心關鍵科技。 　　總歸而言，各國對於戰略產業與國家核心科技認定標準與方式不一，就算技術被歐美及日韓認列為新興科技管制類別，我國是否要列入國家核心科技，仍然必須綜合考量該產業技術在我國產業競爭力與國際領先定位而定。未來，可參採日韓模式，盡速建立國家層級高度的戰略產業與技術保護法規，並且制定明確清單與審查機制流程，使企業能有所預見，事先安排以降低對高科技產業的經濟發展衝擊。 [1] 経済安全保障推進会議，首相官邸，令和3年11月19日，https://www.kantei.go.jp/jp/101_kishida/actions/202111/19keizaianpo.html (最後瀏覽日：2022/1/25)。 [2] 経済安全保障法制に関する有識者会議 提言骨子，内閣官房，令和3年11月26日，https://www.cas.go.jp/jp/seisaku/keizai_anzen_hosyohousei/index.html (最後瀏覽日：2022/1/25)。 [3] Cabinet passes National High-Tech Strategic Industries Special Act, Ministry of Trade, Industry and Energy, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911(last visited 2022/02/14). [4] 為保護國家核心關鍵技術，本會第27次委員會議通過「兩岸條例第9條及第91條修正草案」，中華民國大陸委員會，110年9月29日，https://www.mac.gov.tw/News_Content.aspx?n=A0A73CF7630B1B26&sms=B69F3267D6C0F22D&s=4C0B2E06FFF6B248 (最後瀏覽日；2022/02/14)。 [5] 法務部公告「國家安全法」部分條文修正草案，法務部法檢字第11004519510號，110年7月21日，https://www.lawbank.com.tw/news/NewsContent.aspx?nid=179044.00 (最後瀏覽日；2022/02/14)。

　　小客車（passenger car）排放之二氧化碳（CO2）約佔全歐洲排放總量之12%。為落實歐盟第443/2009號規則（Regulation （EC）No 443/2009）關於減少輕型交通工具CO2排放所設定之新小客車排放表現標準，歐盟執委會於今年（2011）7月25日通過執委員會第725/2011號規則（Commission Regulation（EU）No 725/2011，以下簡稱執委會規則），就汽車製造商對CO2減排所為之生態創新（eco-innovation）科技之評鑑、核准及驗證給予更明確之規範，亦提供更多誘因。 　　於執委會規則下所認定之生態創新，係指就車輛本質之運輸功能及整體能源消耗有重大改善，且該創新技術（特別是在動力技術方面）於市場上屬未廣泛應用者。此外之附帶目的或旨在提升駕駛或乘客乘坐舒適度之技術，則不在其認定之範圍內（如胎壓監測系統、輪胎轉動阻力、排檔指示、使用生質燃料等，皆不得認定為生態創新）。 　　汽車製造商及供應商皆得提交申請書，該申請書應有足以證明其符合各項標準之必要證據，包括測定該項創新科技對CO2減排之方法。在證明其CO2減排之成效方面，應就相同車輛使用該技術與否進行比較且其測試方法應屬可供驗證、可得重覆且可資比較者。執委會規則要求CO2減排成效最低應達1gCO2/km。關於驗證，執委會規則要求由獨立驗證機構為之。驗證單位被要求於驗證報告中提供相關證據以證明其與申請者間之獨立關係，以確保其獨立性。歐盟執委會本身亦得於有證據顯示實際驗證之減排量與經認可之生態創新技術之減排量不符之情況下，再次驗證個別車輛之總減排量，但其應提供製造商一定期間以證明認可之價值屬正確者。 　　早在2007年歐盟所提議之立法中，即對於小客車設定了排放效能之標準，該項立法亦於2009被歐洲議會及歐盟理事會所採納，可謂歐盟試圖改善汽車燃料之經濟性及確保歐盟小客車之平均CO2排放不超過130 gCO2/km之基石。實則於今年（2011）初，歐盟執委會亦設下於2050年前，減少導致地球暖化之交通排放氣體達1990年之60%之計畫。至於上述執委會規則中所取得之碳權，皆將納入歐盟碳排放交易計畫中，新綠色科技最高可抵7gCO2/km之排放，預計將就新車平均排放量於2015年前達到130gCO2/km之目標，執委會規則也預計於同年進行檢視，其實際運作情形及後續發展皆值得予以觀察。

美國司法部（Department of Justice, DOJ）於2025年1月8日發布「防止受關注國家或個人近用美國敏感個人資料與政府相關資料」（Preventing Access to U.S. Sensitive Personal Data and Government-Related Data by Countries of Concern or Covered Persons）之最終規則。該規則旨在避免特定國家或個人獲取大量國民敏感個人資料及政府相關資料，以降低國安威脅。 最終規則指出，去識別化敏感個人資料若經大量蒐集，仍可能被重新識別，因此原則上禁止或限制任何美國人在知情的情況下，與受關注的國家或個人進行該等資料的大量交易。其將敏感個人資料定義為社會安全碼、精確地理位置、車輛遙測資訊（vehicle telemetry information）、基因組以及個人健康、財務資料或其他足資識別個人之資料，並定義禁止及限制交易的型態。同時，最終規則除設有若干豁免交易類型外，也定有一般及特別許可交易規定，並授權司法部得核發、修改或撤銷前述許可。一般許可交易的類型將由總檢察長另行公布；特別許可則由總檢察長依個案酌情例外核准。 該規則課予交易方持續報告（reporting）、盡職調查（due diligence）、稽核（audit）、紀錄留存（recordkeeping）等義務，並針對涉及政府相關資訊或美國國民大量敏感個人資訊之商業交易，例如投資、雇傭、資料仲介（data brokerage）及供應商契約，提出資安要求，以降低受關注國家或個人獲取該類特定資訊的風險。最後，該規則定有民事罰款（37萬美金以下）、刑事處罰（100萬美金以下或20年以下徒刑），並設立申訴之救濟措施。