以『江蘇科技改革30條』解析中國大陸科研經費改革制度
中國大陸近年致力發展其國內技術研究產業,但在基礎研究經費申請制度上,長期存在一些結構問題,如在科研資助、實施和成果傳播三個階段。故自2017年起,中國大陸陸續修正關於科研經費制度,以使科技研究人員得以順利進行科研項目。截至目前,依中國大陸國發〔2018〕25號文為基準,江蘇省推出《關於深化科技體制機制改革推動高品質發展若干政策》(下簡稱『江蘇科技改革30條』),並出台完整的實用手冊 。
此次江蘇科技改革30條,明確落實中央對科研經費鬆綁及對科研結果獎勵與容錯的改革措施。在科研經費可直接列支項目的直接預算,如設備費、材料費等,從原本九個項目改合併為五個項目,科目經費支出將不再受比例限制;另在無法直接羅列預算項目的間接預算上,如績效支出等費用則精簡列支項目,提高間接費用核定比例。在科研結果獎勵與容錯改革上,建立原創成果獎勵機制、創新補償機制、援助機制及免責機制。
中國大陸科研經費長期採用嚴格預算制,直接預算需按照法律規範羅列,然間接預算部分常使研究人員因不知如何羅列,而導致研究經費中斷或減少。對於較易失敗的基礎研究上,研究人員則擔心在階段性考核中因錯誤致使研發經費無法取得,進而將錯就錯,謊報研究成果。此次江蘇科技改革30條修正,解決了上述科研經費制度的部分問題,並具體規範了實務上的操作。然各部會間如何解決關於監管經費結餘規範之法律衝突,及科研成果容錯機制之評價,仍待後續觀察。
陳姿文
專案經理 編譯整理
國務院關於優化科研管理提升科研績效若干措施的通知(國發[2018]25號) http://www.gov.cn/zhengce/content/2018-07/24/content_5308787.htm
一圖讀懂江蘇科技改革30條 http://kxjst.jiangsu.gov.cn/art/2018/9/13/art_7597_7816084.html
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下: 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。 二、數位產品合規評估程序(conformity assessment procedures) 為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。 四、新增開源軟體管理者(open-source software steward)之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。 因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有: 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。 行動設備威脅:行動設備遭竊或遺失與不當近用。 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。 消費者威脅:POS惡意軟體、MiTM、重放攻擊。 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。 支付網路提供者威脅:代碼服務崩潰、拒絕服務。 發行商威脅:付款授權流程崩潰與代碼資料崩潰。 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。 因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準: 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。 行動支付業者應當建立詐騙監控機制。 網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
反恐任務 愛爾蘭擬成立DNA資料庫自美國911事件後,世界各國無不重新檢視自己國內現行實施的保安制度,愛爾蘭政府最近宣布將建立一個有限的DNA資料庫的計畫,以協助對抗重大犯罪事件。該資料庫的資料儲存範圍,將包括永久保留被判處超過五年徒刑的任何重大犯罪嫌犯的DNA檔案,以及任何疑似觸及重大犯罪的嫌犯檔案,後者的檔案僅暫時保存,一旦當事人沒有遭到起訴或稍後無罪獲釋,檔案即被移除或銷毀。 我國內政部原訂七月一日起換發身分證需強制捺指紋才可領證,其目的之一也是為了要遏止治安不斷惡化的情況,不過遭到人權團體抗議強制捺印指紋為侵犯隱私之行為。大法官會議解釋則認為,內政部以戶籍法第八條規定強制全民捺指紋領身分證,並以此建立指紋資料庫,以及以個人資料保護法作為指紋可用在個案犯罪偵防的根據,兩項做法均不適當,因此以釋字第603號解釋宣告換發身分證需強制捺指紋的作法違憲。 愛爾蘭政府若要建立一有限的DNA資料庫,其立法目的與執行、管理都須有周密設計,並符合保障人權的憲法原則,否則該DNA資料庫也將會存有侵犯人權的潛在風險。