藥品監管機構負責人組織與歐洲藥品管理局聯合巨量資料指導小組發布2021-2023年工作計畫，提高巨量資料於監管中之效用

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。

　　2015年6月美國聯邦最高法院大法官以6比3的同意比例判決維持該法院於1964年所確立之Brulotte原則，即專利失效後禁止要求償付授權金之原則。聯邦最高法院重新檢討Brulotte原則之爭議係起源於Kimble et al. v. Marvel Enterprises Inc.（case num. 13-720）一案。該案中涉及到現實下專利權利人於面對財團時，是否能於專利權有效期間採取手段充分保護專利權之問題，故是否有必要放寬專利權於失效後，專利權人仍得以專利授權契約要求專利被授權人償付授權金。又本案原告知專利發明人Kimble主張放寬Brulotte原則亦有亦於刺激競爭，促進研發創新。 　　然而，主撰判決本文之美國卡根大法官（Justice Kagan）及贊同維持Brulotte原則之大法官認為，Brulotte原則屬於聯邦最高法院遵照執行之決議事項（stare decisis），必須具有超級特別的理由（superspecial justification）才足以立論推翻該原則。但大法官認為並無有該類理由，並且強調縱然放寬Brulotte原則在學理上證實有助於市場競爭，但這也並非聯邦最高法院在司法權限所應審查或判斷之事項，而應是美國國會於智財政策之取捨。 　　反對維持Brulotte原則之阿利托大法官（Justice Alito）、羅伯特首席大法官（Chief Justice Roberts）及湯瑪斯大法官（Justice Thomas）提出不同意見書。反對意見認為專利失效及失去任何專有權利，所以涉及授權金之唯一問題即在於最佳契約設計（optimal contract design）。Brulotte原則干預了各方協議授權內容時，可以反映專利真實價值的方式，破壞契約期望（contractual expectation）。 　　本案作成判決後，各專利事務所及專利律師普遍贊同聯邦法院維持Brulotte原則，主要係基於該原則可以使用來償付授權金之資金轉為用於他處，有助於資金流通，而非用於已失效之專利。

英國Patent Box租稅優惠政策 科技法律研究所 2014年03月25日 壹、政策背景 　　歐盟在2000年規劃的里斯本策略[1]，就創造工作機會與保障勞工權益方面積極作為，驅使歐盟各國稅法改革，成功使歐盟在國際上擁有強大稅制上競爭力。而後法國、匈牙利、盧森堡、比利時、荷蘭、西班牙等國家，先後就研發活動施行優惠稅制，更強化其研發活動創造、發展的誘因。 　　2011年英國政府成長計畫[2]檢討近10年來，各國降低稅率、打破貿易壁壘、培育專家人才，同時英國經濟疲弱，負債且競爭力下降。因此英國政府在計畫中提出要建立G20[3]中最具競爭力之稅制。在不願與其他國家進行稅金削價競爭下，英國政府決定自專利著手，認為專利與高科技研究發展最具關連性，且專利本身已具完備審查機制，於是以專利獲利為主的優惠稅制逐步成形，稱為Patent Box，2011年6月英國財政局HMRC廣納各界意見，並在2012年Finance Act修法草案第8A章節提出。 　　對於Patent Box的設計，英國政府提出幾個原則：首先為不造成企業困擾，Patent Box必須為自願性參加；並且2013年4月起，為來自專利的獲利提供10%的優惠稅率；專利獲利之計算應避免為企業製造不必要的行政成本；不以總收入計算而以淨獲利計算；鼓勵持續研發等。 貳、政策方針 一、政策目的 　　英國政府早期對法人的租稅獎勵，係針對中小法人購置網際網路軟硬體設備、研發相關費用等，提供100%當年度投資抵免的獎勵；而為促進法人進行科學技術研究，2000年開始提供中小法人投入研發投資抵減獎勵，2002年擴及於大法人亦得適用，但抵減率降為25%。 　　英國政府為了鼓勵法人將高值專利與其運用發展紮根國內，以法人稅（Corporation Tax）角度出發，提議租稅優惠方案「Patent Box」。政府認為此方案能夠提供國內法人額外動機，將高價值工作與專利相關生產活動留在國內，並強化英國法人目前在全球的高值研發能量。 　　此方案由工黨政府提出，但直到2010年11月保守黨政府執政時，才將之納入執政提議政策，隔年6月與幕僚單位諮詢相關立法細節與範圍後，迅速於同年12月擬出草案。2012年7月，Patent Box方案經皇家同意被納入「法人稅法（the 2010 Corporation Taxes Act）」之修法法案「財政法（the 2012 Finance Act）」之中。2013年4月起，英國法人若透過自主研發或委託研發所產生之專利而賺取之收入，法人稅可由原本的20~24%（2013年4月法人稅為23％），調降適用10%的優惠稅率。 　　此方案的推出，一部份原因為產業界輿論稱英國原租稅制度使法人逐漸喪失競爭力；而之所以將租稅優惠鎖定為專利權（與特定植物品種權），係因為專利權與高科技研發生產具有很強的鍊結，並且專利權本身的審核制度更已為Patent Box方案挑選出真正的創新科技發明。 二、Patent Box 優惠稅制影響評估 （一）英國國庫 　　英國Patent Box採逐步調降稅率之實施方式，以減輕對國庫的負擔，2013年以獲利的60%適用Patent Box 10%的優惠法人稅稅率，之後隔年增加10%，直至2017年4月1日，100%獲利適用10%之優惠法人稅稅率。而HMRC預算預估之英國專利獲利金額，係以其資料庫為基礎推算之。 （二）英國法人 　　調降法人稅對英國法人而言，也降低了將相關專利獲利移出境外之動機；此外，對於未申請專利者，Patent Box更增加其申請的動機，繼而提高發明之價值。 　　對於中小型法人而言，此方案可使其檢視自身專利布局，但對於未接觸過專利想加入此方案者，會增加該些中小型法人之相關行政成本，但Patent Box一產品僅須具一專利之設計，可減輕對此類法人之負擔調降法人稅對英國法人而言，也降低了將相關專利獲利移出境外之動機；此外，對於未申請專利者，Patent Box更增加其申請的動機，繼而提高發明之價值。 　　對於中小型法人而言，此方案可使其檢視自身專利布局，但對於未接觸過專利想加入此方案者，會增加該些中小型法人之相關行政成本，但Patent Box一產品僅須具一專利之設計，可減輕對此類法人之負擔。 （三）英國經濟 　　由專利獲利的法人可受惠於此方案，尤其是醫藥、生技、電子、國防等產業。Patent Box方案更可吸引國外創投資金，增進國內經濟並增加高值工作機會。 [1]Directorate-General for International Policies - Policy Department, The Lisbon Strategy 2000-2010, European Parliament (2011), http://www.europarl.europa.eu/document/activities/cont/201107/20110718ATT24270/20110718ATT24270EN.pdf (last visited, Feb 19, 2014) [2]HM Treasury, The Plan for Growth, March 2011, https://www.gov.uk/government/uploads/system/uploads/attachment_data/file/31584/2011budget_growth.pdf (last visited, Feb 11, 2014) [3]G20，一個國際經濟合作論壇，由八國集團（美國、日本、德國、法國、英國、義大利、加拿大和俄羅斯）以及其餘十二個重要經濟體（歐盟、中華人民共和國、巴西、印度、澳大利亞、墨西哥、韓國、土耳其、印尼、沙烏地阿拉伯、阿根廷和南非）組成。