歐盟理事會修正《第428/2009號歐盟理事會規章》,提升歐洲軍民兩用出口管制力度
歐盟理事會與歐洲議會於2020年12月14日,針對歐洲軍民兩用出口管制法規《第428/2009號歐盟理事會規章》(COUNCIL REGULATION (EC) No 428/2009)達成修正協議,並獲得歐盟理事會下設常駐代表委員會(Committee of Permanent Representatives, COREPER)認可後正式通過。《規章428/2009》用以規範歐盟軍民兩用出口管制,監管歐盟涉及「軍民兩用」敏感貨品、服務、軟體和技術的對外出口、內部轉口及過境貿易。因兩用貨品包含軍事用途及商用用途,故此次歐盟調整軍民兩用出口管制的相關規則,主要考量面向包括:英國脫歐對歐洲出口管制的影響;如何確保歐盟出口管制條例與國際反武器擴散制度相一致;以及解決網路監管和新興技術帶來的安全威脅等。本次歐洲軍民兩用出口管制修正重點如下:
- 提升出口管制力度,防止濫用網路監管等新興技術:管制項目具備監視、取得、蒐集或分析資通訊系統資料功能者,因涉及國家內部鎮壓或嚴重違反國際人權和國際人道法(International Humanitarian Law),即使未明列在歐盟軍民兩用法規的附件中,也應加強管制。
- 新增兩項歐盟一般出口許可證(EU General Export Authorisations, EU GEAs):包括集團內部技術轉讓(EU007)及加密(EU008),允許軍民兩用貨品出口至特定目的地。
- 統一歐盟軍民兩用貨品規則:例如技術協助屬於特定軍事用途且與軍民兩用相關者須經授權,歐盟成員國得配合擴張軍民兩用貨品清單。
- 強化企業調查和報告義務,遵守並適用出口管制規則:實施出口及授權作業的出口商,應落實內部合規計劃,確保企業遵守出口管制的政策和程序。
- 歐盟成員國間加強合作機制:促進資訊交流、政策調整和執法行動。
本文為「經濟部產業技術司科技專案成果」
許祐寧
專案經理 編譯整理
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資策會科法所,2020年7月,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8495&no=67(最後瀏覽日:2021/1/6)。
愛爾蘭資料保護委員會(Data Protection Commission,DPC)於今(2021)年9月宣告WhatsApp Ireland Limited(下稱WhatsApp)違反歐盟一般資料保護規則(General Data Protection Regulation,GDPR)並處以高額裁罰。 DPC自2018年12月起主動調查WhatsApp是否違反GDPR下的透明化義務,包括WhatsApp透過其軟體蒐集用戶與非用戶的個人資料時,是否有依GDPR第12條至第14條提供包括個資處理目的、法律依據等相關資訊,以及該資訊有無符合透明化原則等,其中又以WhatsApp是否提供「如何與其他關係企業(如Facebook)分享個資」之相關資訊為調查重點。 歷經長時間的調查,DPC作為本案領導監管機關(lead supervisory authority),於2020年12月依GDPR第60條提交裁決草案予其他相關監管機關(supervisory authorities concerned)審議。惟DPC與其他相關監管機關就該裁決草案無法達成共識,DPC復於今年6月依GDPR第65條啟動爭議解決程序,而歐洲資料委員會(European Data Protection Board)在同年7月對裁決草案中的疑義做出有拘束力之結論,要求DPC提高草案中擬定的罰鍰金額。 DPC最終在今年9月2日公布正式裁決,認定WhatsApp未依第12條至第14條提供資訊予「非軟體用戶」之資料主體,而「軟體用戶」的部分也僅有41%符合規範,嚴重違反GDPR第5(1)(a)條透明化原則。據此,以母公司Facebook全集團營業額作為裁罰基準,DPC對WhatsApp處2.25億歐元之罰鍰,為GDPR生效以來第二高的裁罰,並限期3個月改善。
日本成立供應鏈資通安全聯盟(Supply Chain Cybersecurity Consortium)日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。 只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。
日本電業節能義務之介紹 日本透過「產業財產權人才培養協力事業」支援發展中國家智慧財產人才培養,消除企業於發展中國家進行經濟投資或活動時所面臨的智慧財產權相關妨礙2024年2月,日本專利廳根據公開招募結果,公布將由一般社團法人發明推進協會執行令和6年度的「產業財產權人才培養協力事業」。 日本自2021年起開始推動「產業財產權人才培養協力事業」,至今年已邁入第4年,且自2024年起預計於南非共和國開設新的專利審查實務課程,以提升南非共和國專利審查官的必要能力。 「產業財產權人才培養協力事業」主要針對日本企業進行海外經濟投資及活動熱門的發展中國家(包含新興國家以及最低度開發國家LDC),提供積極性的人才培養支援,並以強化該國家能安定培養智慧財產相關權利取得與執行的實施人才為目的。在法制整備較為落後的最低度開發國家如柬埔寨,人才培養強化支援的範圍亦包含產業財產權制度的整備。人才培養的對象以智慧財產廳的職員、取締機關的職員以及民間的智慧財產關係業者為重點,透過提升其對於智慧財產權的能力,解決日本企業為在外國取得產業財產權的權利保護需要花費大量時間、日本企業的產業財產權在外國受到侵害的案件逐年增加等問題,以消除日本企業在外國進行經濟投資及活動時的巨大妨礙。 日本專利廳亦針對研修方針下列事項提出建議: 1、消除發展中國家審查延遲的對應方針 於研修中透過增加案例閱讀、資料尋找演習等的講義時間,提升尋找能力及判斷能力;並透過學習日本的IT系統、業務處理過程,提升系統面的支援能力。 2、提升發展中國家審查品質的方針 透過學習日本的基準、判斷手法提升審查、審判的品質;並透過學習日本的管理手法,提升審查品質管理能力。 3、仿冒品對策的對應方針 透過介紹以日本及各國事例為基礎的支援,加深對於仿冒品對策的理解;並透過增加與實施健全執法相關聯的講義時間,加深對於仿冒品對策的一般理解。 4、建構更有效果的研修方法的對應方針 透過設置課程全體的導師制度(mentor),提升研修效果的同時,有效活用「線上」及「實體」連續性的混合研修方法,並透過於實體研修中實施團體討論、在職訓練(OJT)、案件閱讀、模擬裁判(Mock Trial)等,提升實踐能力。 本文後續會持續留意日本「產業財產權人才培養協力事業」的發展,以掌握日本對於發展中國家支援的最新資訊。我國企業如未來預計於發展中國家進行經濟投資或活動時,亦應注意該國智慧財產權之程度,以評估相關風險。 本文同步刊登於TIPS網(https://www.tips.org.tw)