歐盟執委會公布「數位金融包裹」法案
為鼓勵金融產業之創新,同時使其遵循應有之責任,並讓歐盟金融消費者與商業機構享有更多之利益,歐盟執委會於2020年10月24日提出數位金融包裹法案(Digital Finance Package),並提出以下2項數位金融立法提案:
一、加密資產立法提案(Proposal for Markets in Crypto-assets)
為促進金融創新並同時保有金融穩定性與保護投資人,歐盟執委會提出加密資產管制框架立法提案,並將加密資產分為已受監管與未受監管兩類,前者將持續依據既有規範進行管理。而針對尚未管制之加密資產,該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制,要求取得核准後始可提供服務。具體而言之,立法提案包含以下項目:
(一)針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。
(二)針對向公開市場提供加密資產進行管制,例如,依據提案第4條,供應商應為法人,第5條則要求供應商應製作加密資產白皮書,並將其提供給主管機關後始可於公開市場提供相關服務。
(三)針對代幣資產發行人以及其加密資產之審核程序,依據提案第15條,代幣發行者必須為歐盟境內之法律實體。另外,該法要求加密資產發行人應誠實、公平且專業,並完成加密資產白皮書之出版與制定市場溝通規則。
(四)針對加密資產之收購,該法第4章亦設有相關規範,於第37條及38條規定收購之評估機制。
(五)針對加密資產服務供應商之授權與營運條件,該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。
(六)針對市場秩序維護之部分,該法於第6章規範相關預防市場濫用之禁止事項與要求,並於第7章賦予歐盟成員國各主管機關相關權力,例如第94條之監督與懲處權限。
二、歐盟數位營運韌性管制框架立法提案(Proposal for Digital Operational Resilience)
數位化總伴隨資安風險,歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案,以確保相關企業可應對所有與通訊技術有關之干擾與威脅,另外,銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊,另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含:
(一)ICT風險管理要求:該立法提案參照相關國際標準,於第5至第14條制訂相關ICT風險管理要求,惟未要求應遵循具體國際標準。
(二)ICT相關事件報告:該提案於第15至20條規範相關報告義務,將整合歐盟金融機構之ICT相關事件報告與監測程序。
(三)數位運作韌性測試:該提案於第21至第24條要求ICT風險管理框架應定期進行測試,惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。
(四)第三方單位風險:該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測,例如,第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範,另外,ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。
本文為「經濟部產業技術司科技專案成果」
- Digital finance package
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014(2020)
- Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937(2020)
- 英國金融行為監督總署公布《加密資產指引》諮詢文件
- 法國通過新的加密貨幣監管法律
余和謙
法律研究員 編譯整理
Digital finance package, European Commission, https://ec.europa.eu/info/publications/200924-digital-finance-proposals_en (last visited: Dec: 10, 2020).
European Commission, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on digital operational resilience for the financial sector and amending Regulations (EC) No 1060/2009, (EU) No 648/2012, (EU) No 600/2014 and (EU) No 909/2014(2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0595 (last visited: Dec 10, 2020).
European Commission, Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on Markets in Crypto-assets, and amending Directive (EU) 2019/1937(2020), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52020PC0595 (last visited: Dec 10, 2020).
杜冠穎,〈英國金融行為監督總署公布《加密資產指引》諮詢文件〉,法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=0&d=8217&no=64(最後瀏覽日:2020/12/10)。
蔣瑜玲,〈法國通過新的加密貨幣監管法律〉,法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=82&d=8292&no=64(最後瀏覽日:2020/08/10)。
2013年6月13日美國最高法院(the Supreme Court of the United States)就備受矚目之Association for Molecular Pathology v. Myriad Genetics, Inc.一案做出判決,認定如乳癌易感基因BRCA1、BRCA2等經單離(isolated)的人類DNA片段不具美國專利法第101條(35 U.S.C. §101)所規定之專利標的適格性。 美國最高法院指出,雖然專利權人發現了BRCA1與BRCA2基因的位置與序列,但是其並未創造或改變BRCA1與BRCA2基因上的任何遺傳資訊,亦並未創造或改變該DNA片段的基因結構,所以即使其是發現了一個重要而有用的基因,但僅是將其從周遭其他基因材料中分離出來,並非為一項發明行為。亦即是說,突破性、創新或卓越的發現並不必然符合美國專利法第101條之要件要求。 不過,美國最高法院認為,cDNA片段可以具備專利標的適格性,因為其為從mRNA所創造出來、僅具備外顯子(exons-only)的分子,而非自然發生之自然產物。然而美國最高法院對於cDNA是否符合其他可專利要件之要求並不表示意見。 美國最高法院亦強調,本案判決並未涉及任何方法發明,亦未就將有關BRCA1與BRCA2基因之知識予以應用的發明做出判斷,且未判斷自然發生之核苷酸順序經改變的DNA片段是否具備專利標的適格性的問題。
網路服務提供者於2016中國大陸反恐法下之通報義務中華人民共和國第12屆全國人民代表大會常務委員會第18次會議於2015年12月27日通過並公布《中華人民共和國反恐怖主義法》(以下簡稱反恐法),並自2016年1月1日開始施行。反恐法第18條與第19條要求電信業務經營者與互聯網服務提供者,應當為公安機關、國家安全機關依法進行防範、調查恐怖活動「提供技術接口和解密等技術支持和協助」,並應當依照法律與行政法規規定,「落實網絡安全、信息內容監督制度和安全技術防範措施,防止含有恐怖主義、極端主義內容的信息傳播;發現含有恐怖主義、極端主義內容的信息的,應當立即停止傳輸,保存相關記錄,刪除相關信息,並向公安機關或者有關部門報告。」倘有違反以上規定且情節嚴重者,反恐法第84條授權由主管部門對該公私處50萬人民幣以上罰款,並對該公司直接負責之主管人員與其他直接責任人員處10萬元人民幣以上50萬人民幣以下罰款,並可由公安機關對該等人員處5日以上15日以下之拘留。 我國刻正進行資通安全管理法之制定,以為範圍更廣之資訊基本法的作用法。資通安全管理法當中考量納入與關鍵基礎建設相關之民間產業,使之成為資安通報之一環,政府需要民間企業配合時也將於法有據。於恐怖攻擊事件頻傳之今日,倘我國需要就此等事件要求電信業者或服務提供者進行通報時,相關國際立法例及其實踐,即值參酌。
日本內閣府公開徵集「研究安全和風險管理系統開發支援計畫」,加強研究安全保障日本內閣府公開徵集「研究安全和風險管理系統開發支援計畫」,加強研究安全保障 資訊工業策進會科技法律研究所 2025年03月10日 壹、事件摘要 內閣府科學技術創新推進事務局(科学技術・イノベーション推進事務局),於2025年2月19日發布公告,自2025年2月19日至3月24日公開徵集國內負責經濟安全重要技術的補助機關和研究機構加入「研究安全和風險管理系統開發支援計畫」 [1](研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業,下簡稱研究安全計畫),以加強研究安全之保障。 貳、重點說明 日本曾發生研究者在不知情的情形下與北韓研究者共著論文而危害研究安全事件,根據日本經濟新聞2024年11月28日報導,自2016年底北韓受到聯合國加強制裁以來,共有八篇北韓研究機構的國際共著論文發表,包含東京大學、名古屋大學等日本五所大學的研究者皆在共同著作者之列,雖研究者皆表示與北韓無聯繫,但此行為仍可能違反聯合國制裁規定,且一名涉及本事件的研究者在論文發表後,仍被任命為國內主導研究計畫的主持人,負責百億日圓預算及先進技術的管理,顯示日本研究安全管理問題[2]。 為避免類似事件發生及提升日本科技實力,以及配合G7國家關於研究安全與誠信的政策,內閣府公開徵集負責經濟安全重要技術的補助機關和研究機構加入研究安全計畫。該計畫將蒐集與分析國際合作研究所需的公開資訊,並整合後於2025年出版「研究安全與誠信程序手冊」(RS/RI に関する手順書)。 所謂經濟安全重要技術,係指《促進特定重要技術研發及適當運用成果基本指南》(特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針)所列,包含AI、生物技術等先進技術領域[3],內閣府將透過此計畫驗證學研機構所實施之研究安全與誠信措施是否得宜,並與學研機構分享典範實務,參考政府制定的研究安全與誠信規範,提出分析與改善方法。 研究安全計畫將支援日本國內研究機構和其他處理對經濟安全重要技術的機關,在國內外開展聯合研究時採取必要的技術外流防止措施,一方面提供分析資源,如協助分析研究人員及研究機構的公開資訊(職業經歷、其他工作以及研究資金流向等),另一方面支援實施風險管理的相關費用,並針對整體防止技術外流的風險控管體系進行評估後給予建議[4]。 研究安全計畫參與對象為補助研發之機關及領取補助進行研究開發的機構(如公立研究機構、研究開發公司、大學等),且應有足夠能力執行完整風險控管計畫。另計畫評選期間,研究機構不得有內閣府所定停止補助、停止推薦等情形[5]。 內閣府為結合國家政策與國際標準,全面提升日本在經濟安全重要技術領域的研究安全與誠信管理能力,透過分析與資金支援,協助研究機構構建完善的風險控管體系,確保研究中的技術外流防範措施得以落實。此舉不僅為日本科技實力的長期發展奠定基石,亦為維護國家經濟安全及國際信譽提供堅實保障。 參、事件評析 近年研究安全成為國際間之重要議題,為防止技術外流,各國亦有許多政策,如美國國家科學基金會(National Science Foundation, NSF)啟動「保護美國研究生態系統社群 」[6](Safeguarding the Entire Community of the U.S. Research Ecosystem, SECURE)計畫,並成立 SECURE 中心;加拿大政府公告「三機構關於敏感技術研究和關注從屬性政策指南」[7](Tri agency guidance on the Policy on Sensitive Technology Research and Affiliations of Concern, STRAC Policy)等,在如此趨勢下,日本亦開始注重研究安全之保障。 日本內閣府此次推動研究安全計畫,顯示日本政府已深刻意識到研究安全議題的迫切性與重要性。隨著全球科技競爭日益激烈,國際間的技術交流與合作頻繁,但也伴隨著技術外流、竊取敏感研究資訊等風險。尤其是北韓等受國際制裁國家,可能透過隱匿身分或間接合作的方式,取得敏感資訊,對國際社會的安全構成潛在威脅。 日本政府推動研究安全計畫,透過提供分析資源、資金支援及風險控管體系的評估建議,協助研究機構建立完善的防範機制,期望透過以上防範機制,全面提升日本在研究安全管理能力,並確保技術外流防範措施得以落實。 然而,此計畫的推動仍存在一些挑戰與考量。首先,如何在確保研究安全與維護學術自由之間取得平衡,避免過度限制造成研究自主性與創新能力的損害,將是重要課題。此外,背景審查與資訊分析機制的建置,需注意個人隱私保護,避免引發研究人員的反彈與抵制。再者,國際合作研究的審查程序若過於繁瑣,也可能影響日本研究機構與國際間的合作意願,甚至對國際學術地位造成負面影響。 因此,日本政府在推動此項政策時,應積極參考美國、加拿大等國的經驗,建立透明且具彈性的管理制度,並與國際夥伴保持密切溝通,協調一致的研究安全標準,避免孤立於國際科研社群之外。綜上所述,日本此次行動對於提升國內研究安全與誠信管理能力,並維護國家經濟安全,具有正面且積極的意義,未來仍需持續關注政策推行的成效與後續調整方向,以達成長期穩健的發展目標。 [1]〈研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業の公募について〉,內閣府,https://www8.cao.go.jp/cstp/kokusaiteki/integrity/kobo_r7.html (最後瀏覽日:2025/3/10)。 [2]日本経済新聞,〈東大など5大学、知らずに北朝鮮と共同研究 「寝耳に水」〉, 20254/11/28,https://www.nikkei.com/article/DGXZQOUE293WI0Z20C24A1000000/ (最後瀏覽日:2025/3/10)。 [3]〈特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針〉,內閣府,https://www.cao.go.jp/keizai_anzen_hosho/suishinhou/doc/kihonshishin3.pdf (最後瀏覽日:2025/3/10)。 [4]〈研究セキュリティ・インテグリティに関するリスクマネジメント体制整備支援事業公募要領〉,內閣府,頁3,https://www8.cao.go.jp/cstp/kokusaiteki/integrity/kobo_r7/kobo_r7.pdf (最後瀏覽日:2025/3/10)。 [5]同前註,頁4。 [6]NSF-backed SECURE Center will support research security, international collaboration, US National Science Foundation, https://www.nsf.gov/news/nsf-backed-secure-center-will-support-research (last visited Mar. 10, 2025). [7]Tri-agency guidance on the Policy on Sensitive Technology Research and Affiliations of Concern (STRAC Policy), Natural Sciences and Engineering Research Council of Canada, https://www.nserc-crsng.gc.ca/InterAgency-Interorganismes/RS-SR/strac-rtsap_eng.asp (last visited Mar. 10, 2025).
英國通過《大英能源法》,設立國營大英能源公司推動淨零與能源安全面對能源轉型與全球淨零排放目標挑戰,英國於2025年5月15日通過《大英能源法》(Great British Energy Act 2025),法規授權內閣大臣(Secretary of State)指定一間由王室全資持有且依《2006年公司法》(Companies Act 2006)設立之股份有限公司為「大英能源公司」(Great British Energy, GBE)。 根據法規,GBE核心任務包括:推動潔淨能源發展、改善能源效率、降低碳排放、確保能源供應安全,並促進公平供應鏈(包含防止奴役與人口販運),GBE經營模式強調地方參與,須透過具社會效益之專案推動轉型工作。 為支持其營運,法規授權內閣大臣可對GBE提供各種形式的財務援助,包括補助、貸款、擔保、收購股份或資產等。此外,內閣大臣亦有權對GBE發布具拘束力之政策性指示(Directions),並需針對其營運擬定「策略優先事項」(strategic priorities),以成為GBE業務規劃之依據。惟上述優先事項不得涉蘇格蘭、威爾斯或北愛爾蘭議會專屬權限事項,除非經當地部門同意。 為確保公共資源使用之透明性,GBE必須每年向內閣大臣提交財報,內閣大臣再將財報提交國會。同時GBE須每五年接受一次獨立人士(independent person)的績效審查,獨立人士再將績效報告提交國會。法規亦要求GBE應持續檢討其業務對英國永續發展之影響,以確保符合國家長期發展方向。 本法適用於英格蘭、威爾斯、蘇格蘭及北愛爾蘭,並自2025年5月15日正式生效。