「促進整合產官學共同研究的大學概況調查書(産学官共同研究におけるマッチング促進のための大学ファクトブック)」為日本經濟產業省與文部科學省所共同設置的「促進創新產官學對話會議」議定後向外提出,期待藉此使企業更容易理解大學的產官學合作現狀,進一步實現正式的產官學連攜活動。
該概況調查書的先行版中收集整理了各大學整合產官學連攜的實績等資訊,2018年發布的正式版則統整日本327所大學的情報,擴充並更新了該概況調查書的內容,包含:1.產學連攜相關的聯絡窗口資訊等;2.產官學連攜活動的配套方針與往後期待重點化的事項;3.產學連攜之本部機能的相關情報;4.面向正式共同研究的配套措施,如平均交涉期間、跨領域型共同研究;5.各大學之專精領域及其實例;6.資金、資產及智慧財產相關連的持有使用狀況;7.大學發起的創投事業數及其支援體制;8.混合僱用制度的狀況。
本文為「經濟部產業技術司科技專案成果」
日本內閣府公開徵集「研究安全和風險管理系統開發支援計畫」,加強研究安全保障 資訊工業策進會科技法律研究所 2025年03月10日 壹、事件摘要 內閣府科學技術創新推進事務局(科学技術・イノベーション推進事務局),於2025年2月19日發布公告,自2025年2月19日至3月24日公開徵集國內負責經濟安全重要技術的補助機關和研究機構加入「研究安全和風險管理系統開發支援計畫」 [1](研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業,下簡稱研究安全計畫),以加強研究安全之保障。 貳、重點說明 日本曾發生研究者在不知情的情形下與北韓研究者共著論文而危害研究安全事件,根據日本經濟新聞2024年11月28日報導,自2016年底北韓受到聯合國加強制裁以來,共有八篇北韓研究機構的國際共著論文發表,包含東京大學、名古屋大學等日本五所大學的研究者皆在共同著作者之列,雖研究者皆表示與北韓無聯繫,但此行為仍可能違反聯合國制裁規定,且一名涉及本事件的研究者在論文發表後,仍被任命為國內主導研究計畫的主持人,負責百億日圓預算及先進技術的管理,顯示日本研究安全管理問題[2]。 為避免類似事件發生及提升日本科技實力,以及配合G7國家關於研究安全與誠信的政策,內閣府公開徵集負責經濟安全重要技術的補助機關和研究機構加入研究安全計畫。該計畫將蒐集與分析國際合作研究所需的公開資訊,並整合後於2025年出版「研究安全與誠信程序手冊」(RS/RI に関する手順書)。 所謂經濟安全重要技術,係指《促進特定重要技術研發及適當運用成果基本指南》(特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針)所列,包含AI、生物技術等先進技術領域[3],內閣府將透過此計畫驗證學研機構所實施之研究安全與誠信措施是否得宜,並與學研機構分享典範實務,參考政府制定的研究安全與誠信規範,提出分析與改善方法。 研究安全計畫將支援日本國內研究機構和其他處理對經濟安全重要技術的機關,在國內外開展聯合研究時採取必要的技術外流防止措施,一方面提供分析資源,如協助分析研究人員及研究機構的公開資訊(職業經歷、其他工作以及研究資金流向等),另一方面支援實施風險管理的相關費用,並針對整體防止技術外流的風險控管體系進行評估後給予建議[4]。 研究安全計畫參與對象為補助研發之機關及領取補助進行研究開發的機構(如公立研究機構、研究開發公司、大學等),且應有足夠能力執行完整風險控管計畫。另計畫評選期間,研究機構不得有內閣府所定停止補助、停止推薦等情形[5]。 內閣府為結合國家政策與國際標準,全面提升日本在經濟安全重要技術領域的研究安全與誠信管理能力,透過分析與資金支援,協助研究機構構建完善的風險控管體系,確保研究中的技術外流防範措施得以落實。此舉不僅為日本科技實力的長期發展奠定基石,亦為維護國家經濟安全及國際信譽提供堅實保障。 參、事件評析 近年研究安全成為國際間之重要議題,為防止技術外流,各國亦有許多政策,如美國國家科學基金會(National Science Foundation, NSF)啟動「保護美國研究生態系統社群 」[6](Safeguarding the Entire Community of the U.S. Research Ecosystem, SECURE)計畫,並成立 SECURE 中心;加拿大政府公告「三機構關於敏感技術研究和關注從屬性政策指南」[7](Tri agency guidance on the Policy on Sensitive Technology Research and Affiliations of Concern, STRAC Policy)等,在如此趨勢下,日本亦開始注重研究安全之保障。 日本內閣府此次推動研究安全計畫,顯示日本政府已深刻意識到研究安全議題的迫切性與重要性。隨著全球科技競爭日益激烈,國際間的技術交流與合作頻繁,但也伴隨著技術外流、竊取敏感研究資訊等風險。尤其是北韓等受國際制裁國家,可能透過隱匿身分或間接合作的方式,取得敏感資訊,對國際社會的安全構成潛在威脅。 日本政府推動研究安全計畫,透過提供分析資源、資金支援及風險控管體系的評估建議,協助研究機構建立完善的防範機制,期望透過以上防範機制,全面提升日本在研究安全管理能力,並確保技術外流防範措施得以落實。 然而,此計畫的推動仍存在一些挑戰與考量。首先,如何在確保研究安全與維護學術自由之間取得平衡,避免過度限制造成研究自主性與創新能力的損害,將是重要課題。此外,背景審查與資訊分析機制的建置,需注意個人隱私保護,避免引發研究人員的反彈與抵制。再者,國際合作研究的審查程序若過於繁瑣,也可能影響日本研究機構與國際間的合作意願,甚至對國際學術地位造成負面影響。 因此,日本政府在推動此項政策時,應積極參考美國、加拿大等國的經驗,建立透明且具彈性的管理制度,並與國際夥伴保持密切溝通,協調一致的研究安全標準,避免孤立於國際科研社群之外。綜上所述,日本此次行動對於提升國內研究安全與誠信管理能力,並維護國家經濟安全,具有正面且積極的意義,未來仍需持續關注政策推行的成效與後續調整方向,以達成長期穩健的發展目標。 [1]〈研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業の公募について〉,內閣府,https://www8.cao.go.jp/cstp/kokusaiteki/integrity/kobo_r7.html (最後瀏覽日:2025/3/10)。 [2]日本経済新聞,〈東大など5大学、知らずに北朝鮮と共同研究 「寝耳に水」〉, 20254/11/28,https://www.nikkei.com/article/DGXZQOUE293WI0Z20C24A1000000/ (最後瀏覽日:2025/3/10)。 [3]〈特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針〉,內閣府,https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/doc/kihonshishin3.pdf (最後瀏覽日:2025/3/10)。 [4]〈研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業公募要領〉,內閣府,頁3,https://www8.cao.go.jp/cstp/kokusaiteki/integrity/kobo_r7/kobo_r7.pdf (最後瀏覽日:2025/3/10)。 [5]同前註,頁4。 [6]NSF-backed SECURE Center will support research security, international collaboration, US National Science Foundation, https://www.nsf.gov/news/nsf-backed-secure-center-will-support-research (last visited Mar. 10, 2025). [7]Tri-agency guidance on the Policy on Sensitive Technology Research and Affiliations of Concern (STRAC Policy), Natural Sciences and Engineering Research Council of Canada, https://www.nserc-crsng.gc.ca/InterAgency-Interorganismes/RS-SR/strac-rtsap_eng.asp (last visited Mar. 10, 2025).
英國發布人工智慧網路資安實務守則英國政府於2025年1月31日發布「人工智慧網路資安實務守則」(Code of Practice for the Cyber Security of AI,以下簡稱「實務守則」),目的是提供人工智慧(AI)系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引,以期降低人工智慧所面臨的網路資安風險,並促使人工智慧系統開發者與供應商落實基本的資安措施,以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同,因此產生新的資安風險,主要包含以下: 1. 資料投毒(Data Poisoning):在AI系統的訓練資料中蓄意加入有害或錯誤的資料,影響模型訓練結果,導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆(Model Obfuscation):攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為,以增加系統漏洞、引發混亂或防礙資安管理,可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令(Indirect Prompt Injection):藉由輸入經精心設計的指令,使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性,實務守則涵蓋了人工智慧生命週期的各階段,並針對相關角色提出指導。角色界定如下: 1. 人工智慧系統開發者(Developers):負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈(Supply chain):涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則,以確保人工智慧系統的安全性與可靠性: 1. 風險評估(Risk Assessment):識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理(Data management):確保AI系統整個資料生命週期中的資料安全及有效利用,並採取完善管理措施。 3. 模型安全(Model Security):在模型訓練、部署和使用階段,均應符合當時的技術安全標準。 4. 供應鏈安全(Supply chain security):確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針,期望各角色能有效落實AI系統安全管控,促進人工智慧技術在網路環境中的安全性與穩健發展。
OECD:汙染性能源稅收過低無法激勵低碳轉型經濟合作與發展組織(OECD)2019年9月20日根據《2019年能源使用稅(Taxing Energy Use 2019)》報告指出,汙染性能源會造成地球與人類健康的危害,而課徵「汙染性能源稅」是降低其排放的有效方法,且稅收尚可用於協助低碳轉型,但在報告所研究的44個國家能源排放量佔全球80%以上,與能源有關的二氧化碳排放中卻有70%未徵稅,課徵的汙染燃料稅過低,無法促使其改用較為清潔的能源(cleaner energy),而無法鼓勵低碳能源轉型。 能源稅中,道路燃料稅相對較高,但無法反映其造成環境損害的成本;煤炭稅在多數國家中幾乎為零,但煤炭的碳排放幾乎佔了能源碳排放的一半;天然氣是較為潔淨的能源,其稅收通常較高。在非道路的能源碳排放中,有97%被徵稅,但44個國家中只有4個國家(丹麥、荷蘭、挪威、瑞士)的徵稅在每噸30歐元以上,遠低於環境損害的程度,近年來甚至有國家降低能源稅。 該報告表示,改善稅收政策、為低碳技術提供公平的機會,將有助於將投資轉向更環保的選擇,且額外的稅收可用於社會目的,例如降低所得稅、增加基礎設施或醫療健保支出,OECD未來將衡量減排與其他社會目標(如健康與工作),採取有效的激勵措施減少碳排放,並呼籲各國政府應正視此一問題。
歐盟GDPR保護適足性審核與因應作為歐盟GDPR保護適足性審核與因應作為 資訊工業策進會科技法律研究所 法律研究員 吳柏凭 2018年04月10日 壹、事件摘要 歐盟於 1995 年頒布個人資料保護指令(95/46/EC)[1],對歐洲各國甚至全世界個人資料保護法制發展有極大影響力。然隨著資通訊技術發展變化迅速,網際網路與各項應用興起,既有歐盟個人資料保護指令面對這些變化已經難以為繼,歐盟執委會(European Commission) 出新的資料保護規則(General Data Protection Regulation, GDPR),於2016年4月27日通過,5月4日公布,正式成為歐盟第2016/679號規則(Regulation (EU) 2016/679)[2]。由於歐盟原則上禁止個人資料跨境傳輸,只有在被認可具有保護適足性(Adequate level of protection)的國家或地區才能例外許可傳輸,因此如何獲得歐盟保護適足性認可,就成為能否跨境傳輸歐盟個資的關鍵。 貳、重點說明 一、個人資料保護指令保護適足性審查規定 1995年的個人資料保護指令,就有禁止會員國將個人資料跨境傳輸至對資料保護不具有保護適足性之國家[3]。在第25條第2項中,對於保護適足性的審查,包括資料的性質、處理目的和期間、資料的發生地及最終目的地、該國家施行的普通法及特別法規範、以及安全措施等,透過個案綜合判斷是否具有保護適足性[4]。而關於具體的判斷標準,則依照第29條規定資料保護工作小組(Article 29 Data Protection Working Party)的指導文件[5],其中對於法律規範審查,除了內容外,更重視個資保護的執行面。 二、GDPR保護適足性審查規定 GDPR延續了個人資料保護指令的規定,原則上禁止資料跨境傳輸至對資料保護不具有適足性之國家[6]。根據第45條第2項規定,適足性的評估包括以下要素: 法治、對人權與基本自由之尊重、一般與部門之相關立法,包括有關公共安全、防衛、國家安全及刑法、公務機關對個人資料之接近使用權、及該等立法、資料保護規則、專業規則及安全措施之執行。 有一個或以上獨立監管機關之存在及有效運作,或對象為國際組織時,確保及執行資料保護規則之遵守,包括充足之執行權,以協助及建議資料主體行使其權利,並與會員國之監管機關合作; 個人資料向其他第三國或國際組織進一步移轉,該其他第三國或國際組織之規則、判例法、及有效且可執行之資料主體權利及個人資料受移轉之資料主體有效之行政與司法救濟;第三國或國際組織所加入之國際協定,或其他因具法律拘束力之合約或辦法、及從其參與多邊或區域體系而生之義務,尤其關於個人資料保護者。 以上規定與個人資料保護指令最大不同在於將保護適足性的判斷標準明文化,同時補充個人資料向第三地再傳輸應注意的規範、具有獨立性監管機關等規定,填補原本個人資料保護指令的漏洞。 三、保護適足性認可程序與現況 保護適足性認可的程序[7]為: 來自歐盟執委會的提案。 得到由歐盟各國資料保護機關組成之作業會議(European Data Protection Board)的意見。 得到歐盟各國代表的承認。 歐盟執委會合意認可。 縱然取得認可,之後也會每四年檢驗一次[8],如果被判定不具保護適足性,則仍會取消原本的認可[9]。 現階段已通過保護適足性審核的國家地區包括:安道爾、阿根廷、加拿大(民間機構)、法羅群島、根西島、以色列、馬恩島、澤西島、紐西蘭、瑞士及烏拉圭,另有美國限於「隱私盾」框架(Privacy Shield framework)方可傳輸。 參、事件評析 (一)保護適足性認可的效益 除了取得適足性認可外,個別企業可以透過1.標準契約條款(Standard Contractual Clauses, SCC);2.拘束企業準則(Binding Corporate Rules, BCR);或3.取得同意方式進行跨境傳輸[10]。但是取得適足性認可不但可以節省企業在個資跨境傳輸的成本,減輕企業負擔,同時也有助於整體產業突破歐盟貿易壁壘。 (二)通過保護適足性審核的困難 雖然現行通過適足性審核的國家地區有11個,惟需注意的是,根西島、馬恩島、以及澤西島都是英國屬地,法羅群島是丹麥屬地,而安道爾和瑞士都是在歐洲境內,這些國家地區的法規範本來就與歐盟差距不大,加上美國及加拿大國家本身不被認可具適足性,實際上不屬於歐盟法體系而通過適足性審核的國家地區非常有限。而且包括以色列、烏拉圭或紐西蘭在申請認可都花超過三年的時間,因此也不能作為短期的因應措施。 此外,在要件方面,規範上雖然我國個資保護規範與GDPR未有極大歧異,但只要存有差異,要取得認可就有極高困難度,這些都需要與歐盟執委會溝通。而在監管機關要求方面,雖然沒有要求單一機關,但對於機關的「獨立性」仍有要求。關於機關的獨立性目前歐盟並沒有明確的標準,但在歐盟法院判決中,有因為德國的州對州層級的資料監管機關進行調查的權力,而被認為不具獨立性[11]。 (三)通過適足性審核的具體作為 以日本為例,為了取得歐盟適足性認可,在2015年9月就其個人資料保護法(個人情報保護法)進行修正,其中設立個人資料保護委員會(個人情報保護委員会)即是為了符合適足性要求中「獨立監管機關」規定,而第24條跨境傳輸的規定更是重要。 日本個人資料保護委員會在2016年就與歐盟執委會溝通三次[12],同時在2017年發出共同聲明[13]。在不修正法律的狀況下,日本個人資料保護委員會頒布一指導方針來消除差異,並於於2018年2月9日先揭示調適方向[14],包括: 將歐盟視為敏感性個人資料而日本未明文規定者,解釋上一律視為敏感性個人資料。 歐盟不管個人資料保管期間,一律可以主張權利,而日本則限保管期間6個月以上方可主張權利。指導方針對於歐盟跨境傳輸的個資,不管保管期限一律許其主張權利。 對歐盟跨境傳輸的個資將要求揭露特定利用目的。 對於歐盟跨境傳輸的個資再移轉,必需要透過契約等規制,確保資料受保護水準。 關於歐盟跨境傳輸的個資,在去識別化一定要確認無法再識別,以與歐盟去識別化資料定義相符。 肆、結語 歐盟GDPR已施行在即,如何因應以突破其跨境傳輸的限制將不只是單純避免業者受罰,更是跨越歐盟貿易壁壘的重要關鍵,而在眾多例外許可跨境傳輸的方法中,又以取得保護適足性認可為最根本因應之道。雖然現在取得認可的難度極高,但仍有許多能努力的空間,目前我國也著手申請適足性認可的準備,未來能得到何種程度的回應,值得後續觀察。 [1] Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the Protection of Individuals with regard to the Processing of Personal Data and on the Free Movement of Such Data. [2] Reform of EU data protection rules, European Commission, http://ec.europa.eu/justice/data-protection/reform/index_en.htm (last visited Apr.10, 2018). [3] Data Protection Directive, art. 25(1). [4] Data Protection Directive, art. 25(2). [5] European Commission, Working Party on Protection of Individuals with regard to the Processing of Personal Data, Working Documents Transfers of personal data to third countries: Applying Articles 25 and 26 of EU data protection directive, July 24, 1998. [6] General Data Protection Regulation, art. 45. [7] Adequacy of the protection of personal data in non-EU countries, https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacy-protection-personal-data-non-eu-countries_en (last visited Apr.10, 2018). [8] General Data Protection Regulation, art. 45(3). [9] General Data Protection Regulation, art. 45(5). [10] General Data Protection Regulation, art. 46. [11]European Commission v. Federal Republic of Germany(C-518/07). [12]個人情報保護委員会,個人情報保護委員会の国際的な取組について,https://www.kantei.go.jp/jp/singi/keizaisaisei/miraitoshikaigi/4th_sangyokakumei_dai2/siryou3.pdf (last visited Apr.10, 2018). [13]JETRO,個人データ保護の「十分性認可」取得の好機に-日EU首脳が共同声明-,https://www.jetro.go.jp/biznews/2017/07/845f14ec50674c94.html (last visited Apr.10, 2018). [14]個人情報保護委員会,EU 域内から十分性認可により移転を受けた個人データの取扱いに関するガイドラインの方向性について ,https://www.ppc.go.jp/files/pdf/300209_siryou1.pdf (last visited Apr.10, 2018).