何謂「監理沙盒」？

數位創新實驗法規沙盒制度研析 資訊工業策進會科技法律研究所 2023年01月17日 近年全球產業發展趨勢，數位創新技術往往是企業取得競爭優勢之關鍵，亦改變人們消費習慣與商業模式，同時促進社會數位轉型。但在新興技術發展過程中，部分既有法規可能成為發展限制，因此國際間積極運用沙盒機制（Sandbox）由主管機關提供業者一個法規上之安全空間（Safe Space），使其得以在現實環境中測試其新創商品、服務、商業模式，甚至是較新之法規範、多樣化新技術、商業模式的驗證性測試場域等，透過法規沙盒制度進行開展。 從而，法規沙盒制度在全球各國之運用不斷增加，考量許多萌芽中技術在研發階段因面臨高投資門檻、伴隨法規相關風險及不確定市場等因素影響，恐阻滯相關創新計劃之投資、執行，本文將著重探討可否針對數位創新商品或服務建置「泛用型法規沙盒」，以協助業者降低法規風險，並促使其後續順利商業化。 壹、事件摘要 我國目前法規沙盒制度有《金融科技發展與創新實驗條例》、《無人載具科技創新實驗條例》及《國家重點領域產學合作及人才培育創新條例》，限於「金融科技」、「無人載具」及「產學合作」三類相關技術開放申請創新實驗，係以特定個別領域區分之法規沙盒制度，其共通點為國家高度監理特許事業、受法令嚴格限制領域，相關具體法規範相對較可被事先盤點進而列入正面排除之法律中。由於當前仍有許多他領域之創新應用無法適用沙盒制度，而可能限縮、影響產品和服務的未來發展。 故，本文以「數位創新技術」之法規沙盒作為研析重點，透過探討建置泛用型沙盒制度，其適用標的擬含括多樣化面向之創新應用及服務，以擴大法規沙盒之適用、推動多元創新發展，將與現行個別領域之法規沙盒有所互補。 而「數位創新技術」之法規沙盒，屬以「創新技術或產品為主」之法規沙盒類別，因其涉及各面向、範圍廣泛，首先須面對問題為「數位創新技術」之範圍、定義與沙盒監管模式等，更進一步則是考量其法規排除或豁免方式，若仍欲參照《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之正面表列的法規排除方式，除事先限縮法規沙盒之適用標的進而列出正面表列之排除具體法規範外，事先盤點並列出具體相關可被排除之法規範在立法技術上具有其困難度，有掛一漏萬問題，且可能失去適用彈性而與沙盒目的相悖。 故，如何在開放大範圍之技術創新下，並遵守法律位階理論及法律明確性等立法原則，以法律訂立明確可預見之排除條款或運作機制，作為法規沙盒之法律或豁免依據也成為本文主要討論重點之一。 文中將先說明法規沙盒建置所需留意重點、再透過比較法學方法簡要觀察日本、韓國「以創新技術或產品為主」之法規沙盒制度，了解其制度運作、法制模式及法規排除方式等，作為我國建置泛用型沙盒之參考。 一、國際法規沙盒制度發展與比較 日本、韓國皆有針對創新技術或產品為主之（近）泛用型法規沙盒制度，且日、韓皆為成文法系，我國多數規範受日影響頗深，而韓國產業結構與我國相似，其規範模式或可作為我國立法之參照。 故本文選擇上述國家與泛用型沙盒概念較為相近之立法例及法規沙盒政策模式進行研析，包含立法模式（政策依據）、範圍擇定、法規排除模式及監管方式等內容，作為我國研訂數位創新實驗政策及立法之參考與分析基礎。 （一）日本專案型沙盒（規制のサンドボックス制度）簡介 本文主要針對日本以「新興技術[1]」相關應用測試的沙盒制度，可泛用於各類產業應用領域—新技術實證制度[2] （專案型沙盒）進行介紹、研析。主要法源原先為2018年6月6日施行之《生產力向上特別措施法》，其中第二章「促進創新事業活動」（革新的事業活動の促進）即為「專案型沙盒」之依據[3] 。惟《生產力向上特別措施法》已於2021年6月廢止，而相關重要政策若有延續則分別移置其他法規，其中專案型沙盒相關制度已常設化，而其法源則移至《產業競爭力強化法》[4] 。 欲申請專案型沙盒之業者，須與內閣官房下成立的申請實證實驗之單一窗口「新興技術社會實施推動團隊」（新技術等社会実装推進チーム）[5] ，進行「事前面談」，並由該單一窗口於計畫申請前與事業主管機關進行意見交換。接著，遞交申請「新興技術實證計畫」（新技術等実証）時，由企業經營者擔任提案主體透過身為單一窗口的內閣官房向主管機關提出申請書，主要在於加速行政機關間的協調，協助業者與政府之間的溝通[6] ，以利集中計畫。 除此之外，若需要「法規特例措施」（規制の特例措置），應於計畫申請前向主管機關申請（與計畫認定相同程序）[7] 。《產業競爭力強化法》所稱的「法規特例措施」，係指針對法律所規定之規範，分別創造以法律規定特例措施，以及針對政令或主務省令所規定之規範，有另以政令等規定之特例措施[8] ，類似於我國的法規排除適用， 此沙盒機制透過限制參與業者的數量和一定實證期間，在暫時不受既有法規約束情境下，於創新事業活動中使用具有顯著新穎性[9] 之技術或方法，且該技術或手法可創造出高附加價值者，創建一個實驗環境，供業者進行新興科技技術實證[10] 。藉此加快技術發展、蒐集法規改革所需之數據資料，透過與市場的對話和實證過程，引導後續監管政策[11] 。 （二）韓國ICT法規沙盒（ICT규제 샌드박스）簡介 在韓國監理沙盒五法當中[12] ，與新興技術和創新服務領域最為相關的《資通訊融合法[13] 》（정보통신 진흥 및 융합 활성화 등에 관한 특별법），於2019年1月17日修訂施行，特針對資通訊領域之創新應用而設計的監管改革體系[14] ，本法設計了「ICT之法規沙盒」制度，以下將進一步整理、簡介其內涵。 該實驗機制於2019年1月開始受理申請，其主管機關為科學技術資訊通訊部（과학기술정보통신부，Ministry of Science and ICT，MSIT[15] ）。 韓國ICT法規沙盒限定與「資訊通訊融合」新興科技領域有關之創新產品和服務為主，適用申請對象為運用、研發資通訊融合等新興技術、服務者皆可申請[16] 。 韓國ICT法規沙盒，主要再區分為以下三種態樣： 1.「迅速處理制度」（신속처리）：當管制模糊時，依《資通訊融合法》第36條，企業可洽詢新技術、新服務是否受管制及相關內容，且在30天內得到科學技術資訊通訊部回覆[17] ，採「迅速處理制度」[18] 。 2.「實證管制特例」（실증특례）：按《資通訊融合法》第38-2條規定，可採取「實證管制特例」[19] 。擬利用新資訊通訊融合技術、服務開展業務者，若符合法律所規定之特定事由時（例如：依據其他法令規定，無法申請新資訊通訊融合等技術、服務相關許可等的情況；依據許可等之根據法令，適用基準、規格、必要條件時，不明確或不合理的情況），可於一定條件下進行安全性試驗及驗證，向科學技術資訊通訊部申請「實證管制特例」措施，排除適用管制[20] 。 3.「臨時許可」（임시허가）：按《資通訊融合法》第37條，擬利用新資訊通訊融合技術、服務開展業務者，若符合法律所規定之特定事由時（例如：依據其他法令規定，無法申請新資訊通訊融合等技術、服務相關許可等的情況；依據許可等之根據法令，適用基準、規格、必要條件時，不明確或不合理的情況），而難以使新產品和服務商業化時，可向科學技術資訊通訊部申請「臨時許可」，排除適用管制，並將相關產品或服務在一定條件下投放於市場[21] ，故「臨時許可」與「實證管制特例」主要差異在於是否進入市場。 針對法規排除方式，「實證管制特例」及「臨時許可」之法規排除條件相同，主要差別則是「臨時許可」以市場推出為目的，後續也有規定應對相關法令進行調整和因應。關於「臨時許可」之法規排除部份，可參見《資訊通訊融合法》第37條第1項規定，擬利用新資訊通訊融合技術、服務開展業務之人，若符合法律所規定之特定事由時，包括：1.許可等之根據法令內容中，無適合該新資訊通訊融合等技術及服務的標準、規格、條件等之情況；2.許可等之根據法令內容中規定之標準、規格、條件等不明確或不合理之情況。符合上述情況時，為了將該技術或服務率先投入、推出市場，可向科學技術資訊通訊部申請臨時許可。為使臨時許可之效力有效延續，並發揮其法規調適之功能，韓國政府於2021年6月通過《資訊通訊融合法》第37條第6項之修正，主要規範主管機關應於臨時許可有效期間內完成相關法令之修訂；若相關法令未及時完備，臨時許可之有效期限則延長至法令修正並完備為止[22] 。而法令一經修正完成，申請人則須依據同條第7項之申請正式許可。綜合上述，法規排除的部分，特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等，或不清楚是否需要許可等而模糊不明」之情況。 （三）綜整說明日本、韓國法規沙盒制度 本文綜整、介紹上述二國之沙盒制度，其主要內涵可參照下表，包括「制度簡介」、「運作方式」、「法規排除方式」、「實驗管理與後續作法」以及「案例分析」等面向。 表1：主要國家法規沙盒立法例比較 日本 韓國 制度名稱 專案型沙盒 ICT法規沙盒 法源依據 原為《生產力向上特別措施法》，2021年6月後移至《產業競爭力強化法》 《資通訊融合法》 制度特色/法規排除方式 需透過法律具體排除特定條文之適用：創造「法規特例措施」以排除特定法令之適用。 透過法律排除特定情況下之法規限制：特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等或不清楚是否需要許可等而模糊不明」之情況可申請「臨時許可」。 主管機關 經濟產業省 科學技術資訊通訊部 適用範圍 以「新興技術」應用為主：創新事業活動中使用具有顯著新穎性之技術或方法，且該技術或手法可創造出高附加價值者。 限定與「資訊通訊融合」新興科技領域有關之創新產品和服務為主。 實驗管理重點 負責管轄新興技術相關規定的主管機關，針對新興技術等應有之相關規範進行檢討，並根據檢討結果，廢除或鬆綁法規或採取其他必要措施。 ●申請人對該技術、服務導致使用者受到人力、物力的損失時，應負賠償責任。 ●應加入責任保險。 案例 （截至2022/12） 共計29件實證案例，其中有1件制定法規特例措施[23] 。 臨時許可48件；實證管制特例77件[24] 。 資料來源：本文整理 二、我國建置數位創新實驗法規沙盒制度之分析 （一）我國規範現況與待改善之處 從立法架構觀察，除《國家重點領域產學合作及人才培育創新條例》立法架構較為特殊外，《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之架構及規範較為相似，未來若發展其他類型之法規沙盒，或可循類似立法模式，因而，先將我國既有法規沙盒制度主要規範重點整理如下表，而後討論目前實際運行所遇之問題，作為建置泛用型沙盒之基礎參考。 表1：我國法規沙盒規範重點 金融科技 無人載具 產學合作 法源 《金融科技創新與發展實驗條例》 《無人載具科技創新實驗條例》 《國家重點領域產學合作及人才培育創新條例》 目的 提供金融科技研發試作之安全環境，讓業者可以在低度監理空間，測試其創新商品、服務或商業模式，不會立即受到現行法規的制約，並能在風險可控情形下，驗證該科技在金融服務上的可行性及成效。 藉由推動實驗條例，暫時排除相關法規的適用，運用地方政府場域，提供業者發展無人載具創新科技之實驗環境。 促進國家重點領域產學合作及人才培育之創新，提升國立大學研究發展成果效益，培育高階科學技術人才，強化產業競爭力。 主責機關 金管會 經濟部 教育部 適用對象 自然人、獨資或合夥事業、法人得申請主管機關核准辦理創新實驗。（第4條第1項） *解釋上以本國人為主，文件要求中華民國住居所或辦理登記 經濟部 教育部 進行測試之資格與標的 一、屬於需主管機關許可、核准或特許之金融業務範疇。 二、具有創新性。 三、可有效提升金融服務之效率、降低經營及使用成本或提升金融消費者及企業之權益。四、已評估可能風險，並訂有相關因應措施。 五、建置參與者之保護措施，並預為準備適當補償。 六、其他需評估事項。（第7條） 一、具有創新性。 二、確認屬於依現行法規無法取得目的事業主管機關許可或核准之範疇，及為進行創新實驗而應排除適用之法律、法規命令或行政規則。 三、具有於開放性場域實驗之可行性，並已提出曾於模擬或封閉性場域測試之相關經驗及數據分析資料。 四、可有效提升交通運輸服務或系統之效率、提升安全或降低經營及使用成本。 五、已提出維持交通順暢及確保交通安全之因應措施。 六、已評估潛在風險並定有相關因應措施，及其他與創新實驗計畫相關之安全或風險控管措施。 七、建置參與實驗者及實驗利害關係人之保護措施，並預為準備適當補償。 八、其他經審查會議決議應由申請人提出說明之事項。(第7條) 國立大學設立國家重點領域研究學院進行產學合作及人才培育經營模式之創新。（第3條） 實驗期間 消費者保護與風險管理機制 最長3年 1.資料保護：申請人於創新實驗期間應配合創新實驗業務性質，採行適當及充足之資訊安全措施，確保資訊蒐集、處理、利用及傳輸之安全。（第13條） 2.主管機關實地訪查權。（第14條） 3.主管機關廢止權。（第15條） 4.消費者保護機制。（第20條~第24條） 最長4年 1.電信管制射頻器材輸入管理、通訊干擾處理及其他相關電信監理。（第13條） 2.主管機關實地訪查權。（第14條） 3.資訊公開。（第15條第1項） 4.事故通報。（第15條第2項） 5.資料保護。（第16條、第17條） 6.公平原則。（第18條） 7.主管機關要求改善。（第20條） 8年以上12年以下 1.校務會議監督機制。（第14條） 2.監督會機制。（第15、16、17條） 3.研究學院應建立風險管理制度（第39條） 法規排除 實驗後作為 正面表列(第25、26條) 1.申請人實驗結束報告義務（第16條） 2.主管機關義務：一、檢討研修相關金融法規。二、提供創業或策略合作之協助。三、轉介予相關機關（構）、團體或輔導創業服務之基金。（第17條） 正面表列(第22、23條) 1.申請人實驗結束報告義務（第21條第1項） 2.主管機關就創新實驗之結果，得召開評估會議。（第21條第2項） 正面表列（第23條） 1.國立大學應輔導學生，協助其轉入至其他學院，並就原修習學分，依相關規定從寬予以採認抵免。 2.研究學院編制內人員，由國立大學接續聘任或任用。但經其同意辦理資遣或退休者，不在此限。 3.研究學院編制外人員，應辦理契約終止。（第49條） 資料來源：本文整理 （二）應優先處理和重視之關鍵議題 本文歸納各實驗階段常見之主要問題：1.申請前：常見的是缺乏單一窗口，使業者尋找對應窗口時遇到困難，以及程序繁瑣、耗時長，將影響申請意願，也造成實際案件少而失去該沙盒制度建置實益的窘境。同時，對於資源較少的新創業者更為不利，例如：金融沙盒的審查，對於計畫前期準備要求較多，新創業者投入的時間和成本壓力也相對較高。2.實驗執行期間：在計畫審查部分，例如：審查專家是否能完全了解創新內容、審查時間、流程與效率、是否影響申請者商業機密或專利等因素，皆可能產生不利後果。而實驗期投入的時間、成本與收益（可能無收益），有可能具有一定程度的風險。3.實驗後：該階段主要面臨相關創新產品或服務是否能順利上市，因其可能受修法時程影響導致上市時間延宕，甚至後續不一定能成功進入市場之缺點；但由於實驗後修法時程非法規主管機關所能掌握（仍需視立法機關之立/修法程序），以至於修法速度可能不及創新速度，若法規障礙持續存在，即便實驗後仍難以真正進入市場。詳整理如下表。 表2：我國執行創新實驗常見問題 申請前 執行中 實驗後 ➤缺乏單一窗口處理法規釋疑或進行跨部會協調難度較高。 ➤評估之行政程序繁瑣、費時較長，使申請意願低、案件少。 ➤對於資源較少之新創業者較為不利：例如金融沙盒的審查，須對計畫之準備要求較多。 ➤計畫審查之妥適性：例如審查專家是否真能完全了解創新內容、審查時間、流程與效率、是否影響申請者之商業機密或專利等。 ➤實驗期投入之時間、成本與收益（可能無收益）難成正比。 ➤實驗後之修法時程並非法規主管機關所能掌握，修法速度遠不及創新速度。 ➤對於創新先行者並無給與誘因，只要法規障礙仍存在，不一定能夠真正進入市場。 ➤需要其他支援。 資料來源：本文整理 回顧我國創新實驗推行至今，外界較常質疑申請案件數較國外沙盒制度緩慢，除主管機關積極透過監理門診或試辦計畫等相關配套解決業者問題外，前揭我國執行創新實驗之常見問題可能也是造成我國法規沙盒執行成效未彰之主因，除相關規範應進一步釐清及調整外，相關問題也是未來在設計數位創新實驗法規沙盒制度時，需要被優先處理和重視的部分。 貳、重點說明 關於如何設計、操作法規沙盒相對重要，部分規範也成為政策成敗關鍵。就前述所提及我國金融科技與無人載具法規沙盒之實際運行成果觀之，本文觀察到該二制度執行上浮現些許問題待解，相關問題可能導致制度未能發揮最大效益。 若要解決上述提及的先決問題、建構更為完整和妥適的法規沙盒制度，以下歸納出可在專法內明定的主要重點： 1.以具有「跨部會協調」功能之行政機關主導為宜：由於泛用型沙盒所涉範圍較廣，且在數位時代中「產業」之概念趨於模糊，甚至可能會出現既有部會皆無法進行監管之狀態，故需有跨部會任務之機關進行橫向協調，而跨部會溝通協調也可能是未來泛用型沙盒之關鍵執行步驟。 2.簡化行政程序：由於創新技術或服務多講求市場時效與效率，過於冗長或繁雜之行政程序可能使有意申請人望之卻步，因此行政程序應該盡量簡化，並配置足夠人員提升審查速率。 3.專業審查機制：由於泛用型沙盒涉及面向較廣，預期申請者所關注之技術面向有所不同，但或可參考韓國作法，針對關鍵技術可事先分組，並由機關事先快速分組審查進而交由專家審議，就各領域建立對應之專家小組審查名單。 4.縮短實驗期間：有些創新技術上並沒有太大問題也無過大風險，可能僅是法規阻礙致使上市困難，而針對此種具前景性、可行性之創新，應有可縮短實驗期間之機制並積極協助其商業化。 5.明定主管機關之修法義務：為使法規沙盒政策發揮最大效益，應明文規定主管機關之法規調適的義務，以使業者在實驗後能合法接軌上市。 6.延長許可時間：如認有修法之必要者，可參考韓國作法，於法規明定於相關修法完成前可延長其許可時間，以緩解業者上市空白期。 7.法規明定可提供其他協助或與他政府資源介接。 從而，本文嘗試進一步盤點目前法規沙盒制度執行時面臨的問題作為建置泛用型沙盒之基礎。包括申請前、執行中及實驗後各面臨不同重要的問題，並提出在建置泛用型沙盒時最優先要討論之五項關鍵問題，透過整理前述日、韓立法例相關規範後，建議對應作法如下表所示。 表 1：立法論上應優先處理之議題、建議參採國家與作法 關鍵議題 主要面臨問題 立法建議作法 參考國家與理由 確立、擇定主管機關 ●泛用型沙盒之適用範圍廣，須有一主管機關具有跨部會協商功能。 ●主管機關對創新技術/服務進行評估、判斷能力。 ●以具有「跨部會協調」功能之行政機關主導為宜。 ●建置跨機關溝通協調管道並有效處理涉及跨部會之議題。 ●日本。 ●跨部會疑義通常非法規主管機關可解決。 ●統一機關受理業者之法規疑義、跨部會協調需求，免去業者尋找窗口之困擾[25] 。 「數位創新技術」之定義、範圍待研議 ●釐清需要法規沙盒之目的、欲解決之問題及政府資源，以確立適用範圍，建構有效率之法規沙盒。 ●不分領域之數位創新技術之產品或應用皆可申請，惟須考量優先順序與定義。 ●可先聚焦於中央主管機關指定之數位技術，以辦法方式優先開放申請。 ●參考標準以「創新性」「市場價值」、「因法規限制而遇阻」作為申請條件。 ●日本[26] 、韓國[27] 。 ●適用範圍較寬泛、彈性。 ●有助促進創新應用、加速監管革新。 法規豁免/排除方式 ●遵守法律明確性及法律位階間之排除關係。 ●目前使用之正面表列方式，對於大規模之泛用型沙盒所需排除之規範可能掛一漏萬，如何透過負面表列或概括規範之方式完善法規豁免之需求。 ●除以正面表列方式排除既有法規外，可參考加入韓國之概括規定、負面表列的設計，並兼顧法律明確性原則，擴大豁免範圍。 ●日本[28] 、韓國[29] 。 ●因產品或服務多元、立法時空，倘若僅以正面表列之方式排除，恐會掛一漏萬。 ●日、韓之立法方式亦以法律位階進行規範。 實驗流程、風險控管 ●申請資格和實驗流程應如何設計，使其具足夠誘因（如：申請、實驗、退出、測試時間）。 ●如何控管、降低實驗風險。 ●行政成本、資源分配公平性問題。 ●【實驗流程】機關可事先快速分組審查，並建立對應之專家小組審查名單。 ●【風險控管】參考韓國作法，透過保險機制衡平風險於實驗者保護，同時也可簡化作業流程。 ●【實驗流程】日本專家審議機制，有助主管機關判斷「創新性與附加價值」。 ●【風險控管】韓國透過保險機制進行風險管理措施，確保安全性[30] 。 實驗後之調適作為 ●實驗後如何有效率進行相關法規調適或法令修正。 ●欠缺對應之落地機制、個案成效追蹤，影響商轉可能性。 ●業者因無法確定實驗後是否能合法上市而卻步。 ●設計實驗後暫時上市許可機制，截至修法完成，避免業者之上市空白期。 ●中央主管機關應參酌創新實驗辦理情形、了解業者需求，如認該產品或服務具可行性且有法律增修之必要性，得將法規調適需求函送法規主管機關，並以法規明定機關之修法義務。 ●法規明定可提供其他協助或與他政府資源介接。 ●參考韓國維持其上市許可，若期限屆至前法律仍未修定，可延長許可期限[31] 。 ●可避免業者無法確定實驗後是否合法上市而卻步。 資料來源：本文整理 參、事件評析 近年來，許多國家透過法規沙盒制度調合創新技術與既有法規間之限制，透過該等實驗方式創造小規模且限定期間之法規安全空間，並藉此觀察創新技術可能帶來之風險並作為監管革新之主要機制。我國在制定《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》後，主管機關或業者同樣倡議在其他創新領域也朝向制定實驗條例或法規沙盒制度來進行法規鬆綁[32] 。而從國外相關立法例觀之，法規沙盒之目的可能並非單純之法規鬆綁，而可能更積極地涉及新規範之建立或舊規範之革新。 於此前提下，本文認為除可先就「法規沙盒」本身之定義、影響評估要項與制度設計要素進行設定，作為數位創新實驗制度之基礎外，前階段亦需釐清我國設置法規沙盒目的、欲解決之問題及可變動之法令規範，方能確立方向並建構有效率之法規沙盒。 確立方向後，在制度面上，細部之制度設計要素則可再進一步參考外國立法例之作法，參考立法例分別為日本專案型沙盒、韓國ICT沙盒。但因為各國不同政體、立法模式及行政背景各有不同運作方式，並達成不同成效。 值得我國參採之最大差異在於法規排除模式各有不同，日本透過「法規特例措施」進行法令之豁免適用，同樣也是透過該機制具體以法律排除特定條文，需豁免之特定法律仍應具體明確修訂於法規沙盒之法源依據中，惟日本之修法制度相較我國快速且有效率，況目前日本也盡量避免制定法規特例措施而改以大量個案行政解釋取代，若該制度引進我國，可預見未來在實際執行上行政機關可能相對難以掌握制定特例措施之進度。韓國則透過法律概括規定，允許於符合法定特定情況下可申請豁免法規限制，該法定要件特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等或不清楚是否需要許可等而模糊不明」之情況，此等概括規定之作法較能符合泛用型沙盒擴大創新應用之需求，惟如何妥適設計規範以符合明確性原則，並突破既有金融科技及無人載具創新實驗條例之正面表列之立法模式，可能需要後續強化與立法者溝通。 綜上，我國可考量建置關於數位創新之泛用型法規沙盒，不以領域區分，擴大創新實驗範圍將更有利於市場跨域創新、競爭。 基此，本文歸納法律層面主要面臨五大關鍵問題並提出具體建議，分別為：確立主管機關、「數位創新技術」之定義、範圍待研議、法規豁免/排除方式、實驗流程、風險控管及實驗後之調適作為等，同時參考前開相關國家之作法，以及考量目前既有創新實驗所面臨之問題，提出以下建議方向。 首先，須面臨主管機關之擇定問題，由於泛用型沙盒涉及之範圍較廣泛，且加上在數位時代中「產業」之概念趨於模糊，甚至可能會出現既有部會皆無法進行監管之狀態，故需要有跨部會任務之機關進行橫向協調，而跨部會溝通協調也可能是未來泛用型沙盒之關鍵執行步驟。 另，需對「數位創新技術」進行界定，該定義牽涉到確立法規沙盒之範圍與沙盒監管模式等；更進一步則與法規排除或豁免方式連動。在「數位創新技術」之定義方面，日本與韓國皆有針對適用標的再進一步限縮，日本雖以「新興技術」為標的，但仍進一步以「創新性」及「附加價值」再判斷是否可以進法規沙盒；而韓國則以「資通訊融合」之創新技術為主，同樣以「具市場價值」或「具創意」作為判斷標準。而我國若要定義「數位創新技術」由於其範圍較廣，除以「創新」作為判斷基準外，建議可以透過授權方式，由中央主管機關進一步擇定欲發展之創新領域（例如：人工智慧、物聯網等），以限縮適用標的之範圍，讓範圍可以更明確，後續法規盤點也能夠更符合法規明確性原則。 另一需考量之問題，則是法規排除之方式，依據目前《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之法規排除方式，主要係以正面表列方式排除特定條文為主，而在我國立法上通常也較偏向如此模式。惟，如前所述，由於「數位創新技術」之範圍較廣，恐難以透過事先盤點或預想需求之方式進行具體條文之排除。而我國修法程序又未如日本般快速，且有較不可控制之影響因素存在。因此，除了可部份透過事先盤點正面表列得排除的規範外，或可參考韓國之概括立法模式，將較偏向行政上需要取得許可、核准、認證後才可為之或單純係行政流程之規範，似可設計在滿足某種特定條件下透過法律的概括規範予以排除，以增加法規沙盒之彈性應用，並滿足泛用型法規沙盒之創新效益。故，未來制度設計上或可透過法規範之進一步分類，調整可排除法規設計上之明確性強度。 關於法規沙盒之實驗流程及風險控管如何進行，由於法規沙盒應屬於低度監理空間，如何保障創新實驗安全性將成重點，同時，也須避免申請實驗和相關流程冗長、成效不彰之疑慮。又，泛用型沙盒涉及範圍較廣，建議除要求申請人事先風險評估外，可針對原則性、共通性事項進行規範，例如：隱私保護、實驗者保護、資訊揭露等。 最後，在實驗後作為方面，若認為實驗有進一步商業化之可能，可能需進一步透過法規調適進行障礙之排除。但又由於成文法系國家進行法規調適之權限仍主要掌握於立法權上，行政權較不易掌握立／修法之進度，如同我國行政機關通過草案後，向立法院提請審議之過程與時序通常不易掌握，而可能產生實驗通過且具商業化之創新模式，可能會因修法時程延宕仍存有障礙，而出現上市空窗期，造成創新之時效性不易被展現進而使業者對於法規沙盒之效益產生疑慮，而對進入法規沙盒並無強烈誘因，造成法規沙盒申請案例較少之問題。為此，考量整體制度之效益，或可參考韓國做法，在未修法完成前可延長臨時許可之時效規定，避免業者因出現上市空窗期而對法規沙盒望之卻步。又，由於我國已有《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之制度先例，或可參考相關制度運行後對於申請個案之效益、業者之反饋，再運用相關經驗對欲建置之法規沙盒規範進行調整。 是以，因法規沙盒從目的、適用範圍、法規排除、實驗設計及實驗後機制為一連串連動之規範，需要精密之事前評估方能提出最有效率、精緻且適切之創新實驗規範制度。 [1]所謂「新興技術」（新技術等実証），係指在創新事業活動中所使用具有顯著新穎性之技術或方法，且該技術或手法可創造出高附加價值者。關於新技術之相關定義，可參見《產業競爭力強化法》第2條第3項。 [2]原文：「規制のサンドボックス制度」、「新技術等実証制度」。 [3]〈生産性向上特別措置法〉，経済産業省，https://elaws.e-gov.go.jp/document?lawid=430AC0000000025（最後瀏覽日：2022/12/15）。 [4]《產業競爭力強化法》已於2021年6月16日公布並施行，詳參：https://www.meti.go.jp/press/2021/06/20210616004/20210616004.html。 [5]附帶一提，內閣官房底下設立的「新興技術社會實施推動團隊」（新技術等社会実装推進チーム）為單一窗口，高於各部會的內閣官房與內閣府成員作為日本推動監理沙盒實證實驗的單位。 [6]陳譽文，〈日本推動專案型監理沙盒制度協助新興科技發展〉，關鍵評論網，2019/10/09，https://www.thenewslens.com/article/125820（最後瀏覽日：2022/12/21）。 [7]内閣官房 新しい資本主義実現本部事務局，〈規制のサンドボックス制度（新技術等実証制度）について〉，內閣官房，https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf（最後瀏覽日：2022/12/30）。 [8]《產業競爭力強化法》第7條。 [9]「具顯著新穎性」者，則指相較於該領域的常用技術和方法，更有新穎性且得以衍生實用化和事業化討論的技術與方法，例如AI（人工智慧）、IoT（物聯網）、巨量資料、區塊鏈等等。參見新技術等実証の総合的かつ効果的な推進を図るための基本的な方針，頁1（2018），https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/underlyinglaw/basicpolicy.pdf（最後瀏覽日：2022/12/16）。 [10]其中，「創新性」與「附 加價值」之判斷，則是參考「評價委員會」的協助與提供意見。 [11]〈「生産性向上特別措置法」が施行されました〉，経済産業省，https://www.meti.go.jp/press/2018/06/20180606001/20180606001.html（最後瀏覽日：2022/12/10）；内閣官房 新しい資本主義実現本部事務局，〈規制のサンドボックス制度（新技術等実証制度）について〉，內閣官房，https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf（最後瀏覽日：2022/12/30）。 [12]包含資通訊融合法、產業融合促進法（산업융합 촉진법）、金融創新支援法（금융혁신지원 특별법）、地區專業化發展特區法（지역특구법）、行政管制基本法（행정규제기본법은）。머니투데이，〈이낙연 총리 "규제 샌드박스, 현장이 최대한 알기쉽게 설명해야"〉，머니투데이，2019/01/10，https://v.daum.net/v/20190110100115334(last visited Dec. 07, 2022). [13]全名為《促進資訊通訊及融合發展等相關特別法》（정보통신 진흥 및 융합 활성화 등에 관한 특별법）。 [14]〈ICT 규제 샌드박스 사례집〉，혁신의 실험장，https://www.sandbox.or.kr/board/data_roomDetail.do（最後瀏覽日：2022/12/09）。 [15]과학기술정보통신부，https://www.msit.go.kr/index.do（最後瀏覽日：2022/12/10）。 [16]資通訊融合法第36條。 [17]倘相關機關首長於30天內沒有回覆，則視同不屬於其管轄業務或不需要相關機關首長之許可。 [18]資通訊融合法第36條。 [19]資通訊融合法第38-2條。 [20]〈정보통신 진흥 및 융합 활성화 등에 관한 특별법 ( 약칭: 정보통신융합법 ）〉，법제처 국가법령정보센터，https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EC%A7%84%ED%9D%A5%EB%B0%8F%EC%9C%B5%ED%95%A9%ED%99%9C%EC%84%B1%ED%99%94%EB%93%B1%EC%97%90%EA%B4%80%ED%95%9C%ED%8A%B9%EB%B3%84%EB%B2%95（最後瀏覽日：2022/12/02）。 [21]資通訊融合法第37條。〈ICT 규제 샌드박스 3종 제도〉，정보통신산업진흥원，https://www.sandbox.or.kr/main.do（最後瀏覽日：2022/12/18）。 [22]과학기술정보통신부 정보통신정책실 정보통신정책관 디지털신산업제도과，〈정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안 국무회의 의결〉，KDI경제정보센터，2021/06/01，https://eiec.kdi.re.kr/policy/materialView.do?num=214468&topic=L&pp=20&datecount=&recommend=&pg=（最後瀏覽日：2022/12/30）。 [23]内閣官房 新しい資本主義実現本部事務局，〈規制のサンドボックス制度（新技術等実証制度）について〉，內閣官房，https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf （最後瀏覽日：2022/12/20）。 [24]〈ICT 규제 샌드박스 정보마당〉，정보통신산업진흥원，https://www.sandbox.or.kr/board/designated_case.do （最後瀏覽日：2022/12/20）。 [25]内閣官房日本経済再生総合事務局新技術等社会実装推進チーム，〈規制のサンドボックス制度について〉，令和元年6月，https://www8.cao.go.jp/space/policy/suborbi/dai1/siryou3-5.pdf 。 [26]日本限定以「新興技術」應用為主進行實證，而針對新興技術之定義為在創新事業活動中所使用具有顯著新穎性之技術或方法，且該技術或手法可創造出高附加價值者。據此，可以收斂出日本針對新興技術之判定標準以「新穎性」與「高附加價值」兩者為主。 [27]韓國以「資訊通訊融合」新興科技領域有關之創新產品和服務為主，限定於資訊通訊產業之間或與資訊通訊不同的產業間，藉由技術或服務的結合及複合，而創造新的社會性市場價值或具創意的創新性活動，而韓國可進入ICT沙盒之實驗則主要是以「資通訊技術」、「具市場價值」或「具創意」作為判斷標準。依據韓國科學技術資訊通訊部與資通訊產業振興院所公布之「ICT監理沙盒運作指南」提及關於實證管制特例之審查基準，包括：該技術、服務之創新性、對於相關市場及使用者便利所波及的影響及效果、對於國民之生命、安全是否有危害以及對於個人資料是否有安全保護處理實證用管制特例之適當性及其它在指定實證用管制特例上所需要的事項，相關基準則可為我國進一步參考。 [28]日本透過個別制定「法規特例措施」排除相關法規，惟法規特例措施同樣需經過修法程序，程序較為複雜，因此在實際運作上日本主要透過主管機關針對個案系爭之相關法規進行合規之解釋，或是調整計畫之操作方式使之合於法律規範。 [29]韓國是以概括方式規範法規可被排除之條件，按《資通訊融合法》第37條，擬利用新資訊通訊融合技術、服務開展業務者，若符合法律所規定之特定事由時，而難以使新產品和服務商業化時，可向科學技術資訊通訊部申請「臨時許可」，排除適用管制，並將相關產品或服務在一定條件下投放於市場，其條文規範之情況如下：1.需要許可之法令依據內容中，無適合該新資訊通訊融合等技術及服務的標準、規格、條件等情況；2.需要許可之法令依據內容中，規定之標準、規格、條件等不明確或不合理之情況。法規排除的部分，特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等，或不清楚是否需要許可等而模糊不明或不合理」之情況，如此規定並未明確列出可排除之法規，而是明確敘述法規可被排除之情狀，同時也避免逐一列出可被排除之法律而有所遺漏之狀況。而類此規定正也是法規沙盒政策之主要目的之一，當法規有所不合理或未規範時提供彈性空間。 [30]日本主要以事前風險評估、充分資訊揭露及參與者同意作為風險管控之主要手段；而韓國則是除資訊揭露之規範外，明定實驗風險發生時之責任歸屬及申請人之保險義務等。 [31]韓國ICT沙盒，其「臨時許可」制度係以市場推出為目的，故為避免申請人實驗後之上市空白期，2021年6月8日公布修正《資訊通訊融合法》第37條第6條明定直至法規完備為止可透過法規強制延長臨時許可，以緩解創新實驗之上市空白期，並作為銜接取得正式許可之配套。 [32]經濟部中小企業處，〈國際法規鬆綁經驗對我國實證場域未來規劃之啟示〉，關鍵評論網，2020/12/10，https://www.thenewslens.com/article/144483（最後瀏覽日：2022/12/10）。

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 　　資訊時代，資訊應用所帶來的風險幾乎無可迴避，且往往帶來莫大衝擊；尤其在網路應用普及之後，大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中，縱有再有高層級的防護，也無法使資料受損或漏失的風險機率降至零，因此有論者以為，對於無法藉由資訊安全措施加以避免的「殘餘風險」（Residual Risk），應由「保險機制」予以移轉。本研究特探討本議題，以呼應目前日益進展的保險產品發展趨勢。 　　此類的保險機制，一般稱為資料保險，專門填補網路應用所造成的風險，諸如網路安全（Network security）之欠缺所造成的損失，或者隱私（Privacy）被害所造成的損失。依據產業觀察者意見，此類保險產品的市場正有逐漸擴張的趨勢，尤其是對於健康照護服務（Health care）以及中小型的業者而言，此類保險對於風險管理服務可以發揮長足的作用，其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 　　本文以雲端運算應用的興起為背景，觀察相應保險機制的演進及發展；以及其對於產業發展而言，為何被視為不可或缺的配套機制，進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 　　用來填補資料受害之損害的保險，一般被稱為「資料保險」，尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」，不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現，當時其保險範圍，是填補資料被害所引發的損害賠償責任[2]。 　　財產保險可分成兩大類型，一類是一般的財產損害，即保險事故發生導致被保險人的財產減損或喪失，承保此類財產損失之保險，即英美法系所稱之「第一方保險」（First-party coverage）。另一類則是責任保險，即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任，承保因被保險人應負擔責任之財產損失，即所稱之「第三方保險」（Third-party coverage）。 　　在資料應用環境中，因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞（Destroys）或是剝奪被保險人對於資料的使用權限，則屬於第一方財產損失。另一方面，當被保險人所保護、監管（Custody）或控制的第三人資料或資訊，遭遇網路犯罪損害、毀壞或竊取時，將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用，此屬於第三方財產損失，例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼，又如妨礙有合法權限的第三人近用系統，以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 　　傳統的財產保險，由於未指明承保因資料被害所致損失，往往會在被保險人因資料被害導致財產損失而請求保險賠償時，發生很大的爭議。主要的原因是，傳統的財產保險其設計原則，是以被保險人對於有形財產的「保險利益」作為「保險標的」，並以有形財產受損來估算保險損害，並未考量到資料等無形財產。因此，起因於資料或類似形態的程式、軟體之缺損所致的損害，是否可能在傳統財產的保險範圍內，頗有疑義，且司法實務上的意見相當分歧，茲整理如下。 （一）有利於被保險人的實務見解 　　在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中，Ingram-Micro因幾分鐘的電力中斷，導致電腦資產與資料的喪失而嚴重影響正常的業務運作，遂依業務中斷保險(Business-interruption insurance）請求保險賠償，但遭受保險公司拒絕，保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為，被保險人客製軟體程式的喪失，構成「具體損害」，具體損害不限於電腦迴路的被有形損毀或傷害，也會包含無法近用（Loss of access）、無法使用（Loss of use）以及功能喪失。 　　另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5]，保險公司認為電腦病毒感染所造成的損失，非有形損失，因而拒絕保險給付。法院認為，本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換（Replaced），此種結果，等於電腦系統完全無法接收、發送或回復任何形態的資訊，而完全失去作為電腦系統的效用；因此未接受保險公司的主張。 　　近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中，Retail Venture是DSW鞋子盤商，2005年時它的電腦系統遭駭客入侵，共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險，在其承保項目中包括電腦與資金移轉詐欺（Computer & Fund transfer fraud coverage），DSW遂向保險公司請求保險賠償，主張此次駭客入侵所造成的損失有530萬元之多，但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟，地方法院認定保險公司應支付保險賠償，保險公司不服，提起上訴至巡迴法院，巡迴法院認為，條款規定雖是限於該損失是由保險事故「直接造成」（Resulting directly from），但這不代表該保險事故必須是造成損失的「唯一」（Solely）與「立即」（Immediately）的原因[7]，因此維持地方法院的判決。 （二）有利於保險人的實務見解 　　在America Online, Inc. v. St. Paul Mercury Insurance Co.中，由於America Online（AOL）所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統，因而被客戶訴訟求償，AOL依責任保險內容，轉而請求保險公司應替其進行訴訟防禦，遭保險公司拒絕。為此，AOL對保險公司提起訴訟，法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失，法院解釋，從字義上一般不會認為電腦資料、軟體及系統是「有形」財產，因為有形財產應是指可以觸摸（Be touched），但電腦資料、軟體及系統無法被感官感知，因此是無形財產。此外契約中亦有「功能降低除外條款」，意即，不良品或者危險產品所造成的損害非有形，故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 　　從上述實務案例的觀察，作成不利於被保險人判決結果的法院，是直接認定電腦資料、軟體與系統為無形財產。反之，作成有利於被保險人判決結果的法院，是將「資料」（程式或軟體）與「電腦系統」合為觀之，而認定電腦系統為有形財產，把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人，但是解釋方式卻較為迂迴，也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 　　雲端運算發展日益普遍日後，可以透過網際網路提供資訊服務（例如儲存空間、應用程式等），「資料」已然不附載在特定或固定的載體（電腦系統）上。因應整體資訊應用形態的轉變，國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 　　第一個例子，MSPAlliance是一個資源管理服務業者暨認證聯盟，於2013年4月與保險經紀公司Lockton 合作，設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance)，讓其聯盟會員提供資訊服務時得以購買此保險；承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任，以及因技術錯誤或無法作用（Tech Errors & Omissions）所導致的損害賠償責任，亦包含在內。至於被保險人的資格要求，則限定是聯盟會員，且必須通過Unified Certification Standard (UCS)驗證。事實上，要求被保險人取得一定的驗證，是保險風險管理很重要的ㄧ環。 　　第二個例子，雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作，擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議（Service Level Agreements）中的承諾，再者也能依據其客戶存放於雲端環境之資料的風險層級，給予金錢防護。 第三個例子，與前兩例不同，是針對一般的資訊服務使用者來設計。保險經紀公司達信（Marsh）於2012年6月針對雲端環境的企業使用者，開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業，承保項目包括：因雲端服務中斷所致的營運收入損失（Loss of income）、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 　　美國的國家技術標準局（Institute of Standards and Technology, NIST）在規劃新網路時代藍圖時，把持續促進資料「保險」（Cyber Insurance），列為關鍵的一角。從這個角度而言，保險不僅具有轉移風險與填補損害的功能，更具有正面積極的意義，可作為新興技術發展的後盾。對於NIST這樣的主張，美國保險人協會（American Insurance Association）也予以呼應，認為針對網路應用環境而持續開發各種保險產品，是勢在必行的方向。 (一)政策推導 　　美國證券交易委員會指引（2011年），建議公司若為因應資安風險而購買保險產品，應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 　　美國有以政府機關名義購買資料相關保險之例，蒙大拿（Montana State Government）購買「網路資料安全保險」（Cyber/Data Information Security Insurance），為期一年（2012年7月1日至2013年7月1日），保險項目包括：資訊安全責任（每次事故保險賠償上限200萬美元）、行政罰款（每次事故保險賠償上限200萬美元）、損害通知支出（每次事故保險賠償上限100萬美元）、網站媒體披露支出（每次事故保險賠償上限200萬美元）、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley，保險經紀人為Alliant Insurance Services。值得特別注意的是，保險項目當中包含損害通知支出，此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論－我國推動相關資料保險機制可行性之總合評析 　　現階段我國相關保險市場的現況，為因應我國個人資料保護法的通過與正式實施，也有推出資料相關保險產品，目標客群為企業，以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於，針對業者（被保險人）因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失（營運中斷、負擔契約上損害賠償責任）之損害填補，似尚未有相關保險產品推出。考其原因，是保險業者對於此種因無形財產（資料）所導致損害的保險賠償模式，尚未累積足夠的經驗，也缺乏相關精算數據的掌握，因而不敢貿然承作，另一方面，保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象，我國主責資訊服務產業推動的有關政府部門，也思及政府投入參與資料保險機制，例如推動以機關為被保險人而購買相關的資料保險，藉以活絡資料保險市場；此種構想，在法律層面並無疑義，此乃保險賠償與國家賠償機制雖有各自目的，但未有所衝突[9]。然而，實際操作上，必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 　　事實上，我國相關資料保險市場要邁向成熟發展，尚待多方努力，除保險業者本身規劃並提出合適的保險產品之外，參酌國外經驗，保險經紀公司也能扮演一定角色，可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案，並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色，除直接以政策推導之外，尚能在若干條件齊備之後實際參與保險機制，其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。

　　德國政府於今（2020）年4月提出「網路執行法」(Network Enforcement Act, NetzDG)之修法草案，將要求社群平台業者提供對使用者更為友善的申訴流程，並建立及維護「反通報程序」機制，讓使用者有機會針對其被平台刪除之貼文或評論提出反對意見，並得重新發佈於社群平台上。 　　德國於2018年1月起正式施行「網路執行法」，針對在德國境內擁有200萬以上使用者之社群平台業者，課予其限時處理平台上不實及不當言論之義務，並須提交其處理平台上相關言論之報告，若平台業者未能有效執行相關規定者將處以罰鍰。該法施行兩年後引發諸多批評與爭議，雖然並未如社會大眾所憂慮的對於網路言論自由造成重大侵害，亦無證據顯示社群平台業者比施行前刪除了更多的使用者評論；然該法僅要求平台業者刪除不實或不當言論，對於被誤刪之言論，卻未有相關事前預防或事後救濟之措施。為試圖改善原法規執行上之困境和兩難，德國政府遂於今年4月提出修法草案。 　　此次修法主要重點如下： 強化平台使用者權利 倘使用者於平台發佈之評論遭平台刪除者，使用者未來得要求平台重新檢視此決定，平台須依個案處理並向使用者釋明其決定理由，據此，平台業者須引入反通報程序之機制(counter-notification procedure)。 提升申訴管道之使用者友善性 申訴程序須更為使用者友善，即必須讓平台使用者更容易進入與使用。 簡化法院核發命令程序 未來將同步修訂聯邦電視媒體法案（Telemediengestez），以利法院核發命令，要求平台業者公布數據或揭露犯罪者身分。 加強每半年公布之透明報告資訊 平台業者未來在半年報上須特別提供有關反通報程序之申請與結果，並揭露說明用於查找、刪除平台上不實或不當內容的自動化程序；亦須在報告裡聲明是否授權獨立研究機構以科學目的之匿名訪問權限，了解與研析平台上之不實或不當言論是否有特別針對特定群體。 　　此修正草案係為德國政府打擊網路上右翼極端主義和仇恨犯罪的政策措施一部份，後續除了須修訂NetzDG以外，亦包含刑法、刑事訴訟法、電信法及聯邦刑事警察局法等四部法規之修訂，相關規範修訂是否有助於刑事起訴進而有效打擊平台上的不當言論，尚有待後續觀察。