推動創新採購彈性機制－產業創新條例第27條之增修

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

　　創意產業之發展在中國，具有相當之重要性。在出版物、音樂、電影、電視和遊戲軟件開發等創意相關產業，已占中國GDP 5%以上。2016年4月中國最大的搜尋引擎公司「百度」與國際出版商版權保護聯盟(IPCC)簽署版權保護合作備忘錄。IPCC為多間國際出版公司參與的非營利性組織，由於侵權盜版行為再中國日益嚴重，IPCC積極的向中國國內的網路平台公司洽談合作意願。 　　中國百度為了減少網路侵權作品的擴散，透過技術在作品原創性、正版與維權上，開發防盜版系統及線上投訴管道。百度公司與IPCC透過定期的資訊交流，除了在版權保護上合作，雙方也將繼續針對搜尋內容之正版化合作，此舉提升百度搜尋引擎在內容上的豐富性，同時也意味著中國在知識產權上更向前了一步。 　　IPCC除了與百度簽署版權保護協議外，也針對網路上具有侵權之網站應列表與仿冒品之跨境執法問題上提出意見交流。另外在政策面上，針對涉及中國正在進行的著作權修法議題，包括著作權集中授權、藝術家之轉售權、著作權的例外與限制及音樂視聽著作權進行討論。 「本文同步刊登於TIPS網站（https://www.tips.org.tw)」

　　菲律賓於今（2015）年05月13日發布共乘服務（如：Uber）新法令，成為全球第一個針對以APP招車及相關營運進行明確具體規範的國家。在該法令規範之下，車齡在七年以下之私人轎車、休旅車及小貨車得經如「優步」（Uber）或GrabCar等共乘服務公司之認證合格後參與營運。 　　菲律賓交通部長阿巴亞（Joseph Emilio Abaya）說明，根據全球資料庫 “Numbeo”公司之調查研究，由於首都馬尼拉（東南亞第二壅塞，僅次於印尼首都雅加達的城市）缺乏足夠的大眾運輸工具，故共乘服務有其需求及必要性。 　　「我們不應將共乘服務視為傳統計程車產業的損害者，而應該認為它可以提供更優質的服務、同時迫使傳統業者現代化及革新。」阿巴亞在本週就該規範即將施行的簡報中如此闡述。 　　總部設立於美國的「優步」（Uber），係全球最具價值之風險投資新創公司，估計市值400億美元。關於優步如何支付駕駛報酬、向乘客收取車資費用並確保其安全、以及違反交通法令規範等層面，業已在全球面臨諸多法律挑戰。共乘服務運用科技來連結市民利用其自有私家車與欲搭乘車輛之消費者，而傳統計程車經營者之忿怒則在於其毋須支付許可（執照）費、也毋須遵守當地相關規範。 　　優步考量到馬尼拉人口達1,500萬之眾，因此預期菲律賓將會是有利可圖的市場。優步菲律賓總經理Laurence Cua於接受路透社（Reuters）訪問時表示：「此次修法，係將消費者的安全置於優先考量，亦認同如優步這類型公司之價值，以及其運用科技改善城市運輸品質之能力。」 　　然而優步及其他同類公司發現：要在經濟快速成長的東南亞經營，未必是一件輕而易舉的事情。傳統計程車業者揚言要控告政府，以促其保護在馬尼拉攬客維生的27,000部計程車。 　　「世界各地政府均瞭解計程車業者投資多少於經營，卻僅有菲律賓的業者未受保護。」菲律賓全國計程車駕駛協會主席Jesus Manuel Suntay對路透社如是說。 　　根據日本獨立行政法人國際協力機構估計，馬尼拉因交通阻塞，每日生產力損失的價值高達5,700萬美元之譜。

　　美國加州北區聯邦地方法院，於去年（2017年）12月5日做出關於雇員刪除其由公司提供電腦中與公務無關資料是否屬電腦犯罪之判決（United States v. Zeng, 4:16-cr-00172（District Court, N.D. California. 2017）.）。 　　該案情為曾（Zeng）氏為避免其竊取自家公司商業機密行為被揭發，而逕自刪除其在公司提供筆記型電腦內之相關資料。而嗣後仍然被公司發現並報案，於此偵查單位FBI則以曾氏違反電腦詐欺及濫用法案（Computer Fraud and Abuse Act，下稱CFAA）中「未經授權而毀損他人電腦（18 U.S.C. § 1030（1984）.）.」以美國政府名義（下稱控方）起訴曾氏刪除其犯罪證據之行為。 　　對於該控訴，被告曾氏以被刪除之電子紀錄與其業務無關，非為公司所有財產為由作為抗辯。此外曾氏同時以其他判決主張毀損電腦之定義應係指由外部傳輸行為所致（如駭客行為），電腦使用者自己刪除行為應不包含之，以及控方未舉證其刪除行為將導致公司有不可回復或無法替代之損害作為抗辯。於此，控方則以刪除行為不應以內容而有所區分作為回應。 　　在審理期間，承審法官多納托（Donato）氏除參酌控辯雙方證詞外，並特別詢問控方律師指控內容是否會對一般大眾造成其在公用電腦中刪除同類資訊上之顧慮。而控方則以曾氏行為屬特殊情況作為答辯。最後，多納托氏則以控方主張將造成社會恐慌以及控方未提出被告刪除資料行為究竟對公司有何實際損害，判決被告無罪。