歐盟將推出「數位綠色證書」，促進疫情期間成員國內人員之安全入出境

從新加坡IPCF計畫看智財產業人才培育 科技法律研究所 2014年08月29日 壹、前言 　　在全球化競爭的趨勢下，各國若僅憑國家資本與生產力作為基礎，已難在國際上殺出重圍、嶄露頭角。由此可知，「創意」與「創新」是激化國家競爭力之泉源，而「智慧財產權」則是此泉源之力量匯集，更是提升國家競爭力之強效手段 。 　　新加坡政府於2013年3月份提出IP (Intellectual Property) Hub Master Plan 10年期計畫[1]，目標是成為亞洲智慧產權中心。計畫設有六大策略，本文以下針對【策略五：培育具全球競爭力的IP人力資源，培養其具備IP專業及跨市場的能力，並支援IP專業人員持續增進專業技能】進行觀察。目的在於了解新加坡如何透過IP Competence Framework(以下簡稱IPCF計畫)[2]描述IP產業生態及價值鍊、IP產業的從業角色以及所需能力、最後如何透過訓練增加專業人才數量以及能力，以因應逐漸擴大的IP產業之需求。 貳、重點說明 　　IPCF計畫內容涵蓋智慧財產領域各個層面，透過IP保護、IP開發、IP實現等規劃，勾勒出IP產業輪廓，使「IP產業」躍身成為獨立產業，突顯其無形資產價值，其工作目標包括[3]： 1. 定義智慧財產權專業人員所需具備之能力，有效發揮其專業能力。 2. 提升智慧財產權訓練課程和認證程序品質。 3. 提供企業規劃員工智慧財產權教育訓練參考依據。 4. 提供智慧財產權人員職業發展和進修準則。 　　目前，IPCF計畫已完成「IP產業整體輪廓」以及「IP能力標準」建構，並積極將這些工具與概念推廣至產業界，以下詳細說明。 一、IP產業整體輪廓 (IP Industry Map)[4] 　　IPCF定義IP產業包含五個業務領域，分別為智財法律諮詢領域(IP Legal Advisory Pathway)、智財擬定與申請領域(IP Drafting & Prosecution Pathway)、智財技術諮詢領域(IP Technology Advisory Pathway)、IP智能與策略領域(IP Intelligence & Strategies Pathway)、以及IP鑑價和財務規劃領域(IP Valuation & Financial Advisory Pathway)。 　　每個領域皆涵蓋數個職業角色，並針對每個角色詳細說明其工作定義以及工作內容。例如：智財法律諮詢領域則涵蓋資深智財顧問(Senior IP Counsel) 、首席法務官(Chief Legal Officer)、智財訴訟律師(IP Litigator)、智財調解員(IP Mediator) 等11個工作角色。 　　相較過去缺乏明確「IP產業定義與範圍」，IPCF以國家角度出發，明確定義IP產業，賦予產業前景構想，再輔以IPWSQ專業證照制度，讓智財專業人力擁有執業正當性，這對於形塑新興產業是重要的政策工具。 二、IP能力標準(Standards) 　　IPCF建構IP產業需要的智權能力標準，分為六大類，分別為IP研究、IP保護、IP財務、技術育成、IP利用以及IP執法。在大類之下，再細分能力標準，目前共列出78項智權能力鑑定項目(會隨著IP產業進步與成熟，繼續增加新項目)。 　　以上能力標準除了提供智財從業者以及產業界使用之外，並與新加坡勞動發展局合作，使其成為IP職能認證項目（IP Workforce Skills Qualifications，以下簡稱IP─WSQ)[5]。再透過IP Academy這個已取得認證的輔導單位開授相關課程，完成授課並通過測試，可取得IP─WSQ的職能認證證書。 　　承上，新加坡政府希望透過IPCF計畫達成智財產業人才培育，正向影響智財產業，因此，新加坡智財局亦與律師、專利代理人、專業管理師、以及工程師相關協會簽屬合作聲明書[6]，這些產業協會承諾將IP產業輪廓以及IP－WSQ置入協會規範中，成為這些專業人士將來領證、換證、教育訓練、能力鑑定的參考依據。 參、事件評析 　　總結而言，IPCF透過IP─WSQ方式，提高IP人員對於專業知識的認知，使其有明確學習目標，更可提供IP人員專業認證證明，提升其專業形象與競爭力。而對於企業而言，企業亦可透過智權能力標準檢視內部智財能力以及缺口，也可善用IPCF認證單位的培訓課程，彌補員工的能力缺口。 　　在作法上，IPCF透過與新加坡勞動局合作，善用WSQ原有的職能開發流程[7]，建構IPWSQ，首先界定IP產業，然後再界定IP能力標準項目，然後組合不同能力標準，制定課程，通過課程以及審查的學員，最後獲頒職能認證。由此可知，新加坡政府跨部門合作開發新制度，可以運用過去原有的標準工作模式，以服務新政策或新產業需求，這是值得借鏡之處。 　　IPCF在短短一年多時間就完成IP產業輪廓以及IP能力指標，並使指標成為IPWSQ的智能認證標準，並與律師、專利代理人、工程師、專案管理師協會合作，共同推展此架構，從中可發現新加坡政府的魄力以及行政效率。 [1] IP HUB MASTER PLAN：Developing Singapore as a Global IP Hub in Asia http://www.ipos.gov.sg/Portals/0/Press%20Release/IP%20HUB%20MASTER%20PLAN%20REPORT%202%20APR%202013.pdf [2] IPCF官方網站http://www.ipos.gov.sg/IPforYou/IPforProfessionals/MatchingyourIPCompetencytoyourIPcareer/IPCompetencyFrameworkIPCF.aspx(最後瀏覽日2014/08/28) [3] IPCF目標http://www.ipos.gov.sg/IPforYou/IPforProfessionals/MatchingyourIPCompetencytoyourIPcareer/IPCompetencyFrameworkIPCF/AboutTheIPCF.aspx (最後瀏覽日：2014/08/28) [4] IP產業整體輪廓 http://www.ipos.gov.sg/ipcf/TheIPCF.aspx (最後瀏覽日：2014/08/28) [5] IPWSQ內容說明 http://www.wda.gov.sg/content/wdawebsite/L207-AboutWSQ/L301-WSQIndustryFramework-BusinessManagement/L401-013BusinessManagement.html?QualName=Modules%20for%20Intellectual%20Properties%20%28IP%29%20Management (最後流覽日2014/08/29) [6] 新加坡智財局目前與四家產業協會簽定合作聲明書(MOU)，包括代表律師的The Law Society of Singapore(Law Soc)、代表專利代理人的Association of Singapore Patent Agents(ASPA)、代表工程師的Institution of Engineering Singapore (IES)、以及代表專案管理師的The Singapore Business Advisors & Consultants Council (SBACC)。http://www.ipos.gov.sg/MediaEvents/Readnews/tabid/873/articleid/271/category/Press%20Releases/parentId/80/year/2014/Default.aspx(最後瀏覽日2014/08/28) [7] WSQ流程需先界定產業，然後再界定能力標準，然後組合不同能力標準，制定課程，通過審查之後，就可以頒授職能認證。WSQ流程圖請參考WSQ官網 http://www.wda.gov.sg/content/wdawebsite/L207-AboutWSQ.html(最後瀏覽日2014/08/28)

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　沙盒（Sandbox）是一個讓小孩可以安全遊玩與發揮創意的場所，在電腦科學領域，沙盒則是用來代稱一個封閉而安全的軟體測試環境。而監理沙盒（Regulatory Sandbox），則是在數位經濟時代，為因應各種新興科技與新商業模式的出現，解決現行法規與新興科技的落差，故透過設計一個風險可控管的實驗場域，提供給各種新興科技的新創業者測試其產品、服務以及商業模式的環境。 　　在監理沙盒當中，業者將暫時享有法規與相關責任的豁免，減低法規遵循風險，以使業者能夠盡可能地測試其技術、服務或商業模式。透過在測試過程中與監管者（通常為政府主管機關）的密切互動合作，針對在測試過程中所發現或產生的技術、監管或法規問題，一同找出可行的解決方案，並作為未來主管機關與立法者，修改或制定新興科技監管法規的方向跟參考。 　　監理沙盒一詞源自英國在2014年因應Fintech浪潮所推動的金融科技創新計畫，而類似的概念也出現在日本2014年修正產業競爭力強化法當中的灰色地帶消除制度與企業實證特例制度。我國則於2017年通過金融科技發展與創新實驗條例，為我國監理沙盒的首例，2018年我國持續推動世界首創的無人載具科技創新實驗條例立法，為我國建構更有利於產業創新的法制環境。