德國針對企業聯網資訊安全及資料保護相關法律提出建議文件

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　德國政府於2018年8月1日通過「2018年稅法」(Jahressteuergesetzes 2018)，新規範將於2019年生效。「2018年稅法」修正內容包括所得稅、公司稅、貿易稅及增值稅等多項稅收法規。其中增值稅（Umsatzsteuer）之修正主要目的係為了避免德國境外之電子商務業者在與德國民眾進行電子商務交易時，未繳增值稅(Umsatzsteuerausfällen)之情況發生，為了確保相關之稅收繳納，透過本次修法加強了電子商務平台營運商之管理義務，平台營運商將有義務提供德國政府在其平台交易之賣家(包括企業與個人)相關資訊並確保其支付相關稅負。 　　德國增值稅(英文為：Value Added Tax)適用對象為德國境內所發生的進口、商業及服務交易行為，從歐盟以外地區進口到德國的貨物或向德國消費者提供跨境銷售皆需要繳納19%的增值稅。但據德國稅務局的資料顯示，德國的跨境電子商務交易每年約有5億歐元的增值稅未能被徵收。因此，德國政府修正的稅法中，大幅增加了平台營運商之義務（第22f款UStG）及實際責任（第25e款UStG）。修正之稅法要求平台營運商必須記錄下列事項，且若利用該平台之賣家未繳稅款，其平台營運商則須為該賣家繳交必要的增值稅： 賣家的全名和地址； 企業賣家之德國稅號及增值稅識別號碼；(個人賣家則為含有生日的身分證件) 上述稅務證明之有效日期； 每筆交易的發貨地址及收貨地址； 銷售時間及銷售額。 　　新修正稅法可大幅避免跨境電商逃漏稅收，同時也保護了德國境內的零售商。因為過去若國外電子商務賣家逃漏增值稅，則會與德國境內零售商所賣之貨物產生約兩成價差(稅率為19%)，進而形成不公平競爭，而新法旨在消弭這樣不公平的情況。但這樣的方式對於平台營運商之責任及營運成本皆加重，故新法對於電子商務平台方的影響，有待未來進一步觀察。

　　英國運輸部（Department for Transport）於2021年12月15日宣布更新對零碳排放車輛購車補助計畫，未來將擴大對平價零碳排放車輛（affordable zero-emission vehicles）的購車補助，以創造更多購買電動車之誘因。充電式車輛購車補助計畫（plug-in grant scheme）在過去十年間已經補助超過50萬輛，並在2021年達成超過15萬輛，約每10台新車就有1台受該計畫補助，顯示電動車輛市場的持續擴大與需求的增加。 　　本次更新將著眼於針對售價低於32,000英鎊的電動車輛（目前英國市場中約有20款車型符合條件），提供最高1,500英鎊的購車補助，並且針對無障礙車輛售價與購車補助金額上限提高至35,000英鎊與2,500英鎊。在貨車購車補助方面，每年將提供1,000位消費者購買大型貨車5,000英鎊或小型貨車2,500英鎊的購車補助，2021年充電貨車計畫的購車補助規模較2020年已成長超過250%。而在電動機車與電動自行車方面，英國政府將對於售價低於10,000英鎊的電動機車與電動自行車分別提供500英鎊及150英鎊的購車補助。 　　英國政府指出，針對電動車輛的購車補助政策已經逐漸顯現效果，2021年電動汽車的銷售量已經超越2019年與2020年的加總數量，未來政府也將加強對充電基礎設施的建設，針對7.1千瓦以上的充電（包含快速充電）站訂定支付方式基本要求（例如必須具備無接觸支付方式）。英國政府承諾將提供35億英鎊用於支持英國汽車與供應鏈的電動化、電動汽車購車補助與興建基礎設施。

醫療科技公司轉型提供資料類型產品解決方案於美國之智財權布局建議 資訊工業策進會科技法律研究所 2023年05月31日 過去，醫療科技公司僅專注於開發針對醫療問題的硬體解決方案，近年這些企業則致力於轉型開發收集及利用大量病人、資料提供者資料之產品，而轉變成資料平台公司，而更可以全面了解病人及客戶生活習慣及健康狀況。 其中許多解決方案均利用人工智慧(Artificial Intelligence, AI)及機器學習(Machine Learning, ML)，相較傳統上研發成果多為硬體設備，現今則轉變成出現大量軟體解決方案，保護研發成果之方式將發生改變，如何選擇合適的智慧財產權保護研發成果成為企業重要課題，此亦影響企業如何做智慧財產布局及擬定公司相關經營策略，因此建議企業——尤其是開發醫療資訊平台之醫療科技公司，特別是致力於開發醫療器材軟體(Software as a Medical Device, SaMD)、醫療設備嵌入式軟體(Software In a Medical Device, SiMD)及應用於醫療技術中的人工智慧等新興領域時可以參考以下提供之思考方向選擇對於企業發展最適切之智慧財產權保護態樣。[1] 研發成果如欲獲得專利保護，該發明必須係獨一無二且可以傳授的——即人們不能將自然發生或不可再現的事物申請專利，因為發明需透過專利以清楚的方式概述，並明確定義專利內容，並向公眾揭露，以便於申請人取得專利、並於專利期限屆滿後(專利保護期限因各國法規、專利類型而將有所不同，建議企業應了解欲布局之國家相關法規規定，如台灣之發明專利[20年]、新型專利[10年]、設計專利[15年])，使大眾得藉以實施該技術內容。[2] 在美國，專利係由美國專利商標局賦予所有權人於一定期間內壟斷其發明之權利，即美國聯邦法律更使專利所有權人在專利權效期內得以禁止他人於該期間內於美國製造、使用、銷售或進口至美國這項已獲得專利保護之發明，此給予專利權人一個得以建立一個阻止他人進入市場的巨大障礙，可防止競爭及保護專利權人可以自由實施該權利。[3] 因專利有上述特性，文章作者建議，如裝置(device)、該裝置使用之軟體，對於從事新藥開發之藥廠，於保護新穎成分(New Chemical Entities)、相關之治療方法及人工智慧相關發明較適合以專利保護。[4] 營業秘密係指資訊擁有者已盡合理努力保密，且不為公眾所周知或非可被公眾輕易探知而具有獨立經濟價值的，任何形式及類型之資訊。合理努力可能包括(但不限於)，要求員工簽署保密協議、定期提醒員工其負有保密義務(如：針對職務不同/所從事不同工作之員工，保密義務內容、程度、時間是否有所不同?)、踐行必要而知悉(need to know) 原則(如：執行不同工作之人員是否可互相存取各自的資料? 抑或僅能存取自己工作所需之資料?)、佈署IT安全措施或辦公室安全措施之狀況(如：是否有門禁?資料如有異常存取狀況時是否有示警機制?)並須即時調查及採取行動打擊涉及盜用營業秘密之行為(如：是否有相關通報不當使用營業秘密之管道及監控機制?)[5] 在美國，傳統上營業秘密之保護是結合各州法律而成，除了紐約州及北卡羅萊納州以外，所有州都頒布了其特有版本的《統一營業秘密法》(Uniform Trade Secrets Act, UTSA)——係一項1979年頒布的統一法案。於2016年，國會又頒布了《保護營業秘密法Defend Trade Secrets Act, DTSA》，該法案保障當事人於聯邦法院提起營業秘密訴訟之權利，且只要促進犯罪行為之行為發生於美國，當事人即可於國外進行訴訟，此外，《統一營業秘密法》中規定營業秘密包含公式、模式、彙編、程式、設備、方法、技術或過程。而依《保護營業秘密法》（Defend Trade Secrets Act, DTSA），營業秘密可為任何形式，無論係以物理、電子、圖形、攝影或書面形式儲存、編輯或紀錄之財務、商業、科學、科技、經濟或工程資訊均為營業秘密之範疇，因此，營業秘密之適用範圍較廣，於美國甚至抽象之想法均可受營業秘密保護。[6] 與僅提供有限保護期限之專利有別，如欲獲得營業秘密之保護，僅需資訊持續保密並存在並持續存有價值，該資訊即會持續受到營業秘密保護並擁有無限的有效期限，亦即，只要該資訊仍為秘密，即受到營業秘密之保護。如：可口可樂已將其配方作為營業秘密保護了130多年之久。惟與專利不同的是營業秘密一但被公眾周知或得以透過適當方式獨立開發(如競爭對手自己獨立開發而產出之資訊)，就將失去營業秘密之保護。[7] 因為營業秘密之特性，諸如蛋白質結構、客戶清單、機器學習演算法、原始碼、化學製程參數(如：會產生化學反應之溫度或壓力)、甚至是醫療科技公司近年致力經營的人工智慧領域所產出的人工智慧、新的模型訓練方法、優化模型參數、消極專有技術(如：不該做什麼)。[8] 惟選擇專利抑或營業秘密之方式保護其研發成果將視企業的業務為何決定，如缺乏透明度之產業可能較適合以營業秘密方式保護，而非專利。例如：網路安全公司可能傾向於營業秘密保護，因為申請專利揭露其機密安全演算法可使競爭對手開發競爭產品或使駭客進行量身訂製之攻擊。相較之下，製造容易檢測、針對消費者之電子產品之企業更依賴專利保護，製造具有行業標準化品質之產品之企業亦是如此。[9] 總體而言，是否容易被逆向工程將會是決定以專利或營業秘密保護之關鍵性調查方式。因申請專利必須揭露細節事項，將對廣泛保護資料為基礎之軟體(且有使用人工智慧或機器學習)較具挑戰性，故專利較適合保護裝置(device)及會相互作用之實體產品和軟體。而營業秘密則要求資料所有人無限期地維持秘密性，亦須注意自己的想法獲得他人關注時遭仿效之風險，故較適合造價高或難以仿效的軟體、製造方法或產品。[10] 而對於生技醫療公司而言，其應考量使用混和策略以保護人工智慧相關之創新，如：專有之原始和訓練資料、模型之優化參數、將專有技術用於訓練模型及其他難以進行逆向工程之人工智慧相關的此類機密資訊，可能較適合用營業秘密保護，同時該技術的其他方面，如人工智慧系統或使用其開發之藥物則可透過專利保護。[11]惟不論企業決定要將該資訊做為營業秘密保護或申請專利保護，企業對於研究人員發表相關資訊的行為均應審慎評估，避免因揭露而喪失專利之新穎性或營業秘密之秘密性的情形。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Kristin Havaranek, Martin Gomez, Matt Wetzel, Steven TJoe & Stephanie Philbin, Top 5 IP Considerations for Medtech Companies Transitioning To Data-enabled Product Solutions (2023), https://medcitynews.com/2023/01/top-5-ip-considerations-for-medtech-companies-transitioning-to-data-enabled-product-solutions/ (last visited June 1,2023). [2]John Quinn, Protecting Inventions Through Patents and Trade Secret (2023), https://www.newsweek.com/protecting-inventions-through-patents-trade-secrets-1788352 (last visited May 30, 2023). [3]Id. [4]Charles Collins-Chase, Kassanbra M. Officer & Xinrui Zhang, United States: Strategic Intellectual Property Considerations For Protecting AI Innovations In Life Sciences (2023), https://www.mondaq.com/unitedstates/trade-secrets/1276042/strategic-intellectual-property-considerations-for-protecting-ai-innovations-in-life-sciences (last visited May 30, 2023) [5]Id. [6]John Quinn, supra note 2. [7]Id. [8]Collins-Chase et al., supra note 4. [9]John Quinn, supra note 2. [10]Havranek et al., supra note 1. [11]Collins-Chase et al., supra note 4.