美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢

　　隨著現代德國城市興起騎乘小型電動車（例如：電動滑板車和電動踏板車）風潮，德國聯邦交通及數位基礎設施部(Bundesministerium für Verkehr und digitale Infrastruktur, BMVi)制定小型電動車條例（Elektrokleinstfahrzeuge-Verordnung），以實現清潔現代化運輸並確保道路安全，該條例於2019年6月15日正式生效，並取代原有的行動輔助工具條例（Mobilitätshilfenverordnung），此外，德國聯邦車輛運輸管理局（Kraftfahrt-Bundesamt, KBA）並陸續公布經審驗合格之小型電動車清單。 　　由於歐洲議會及理事會通過的二輪或三輪和四輪車核可及市場監督規則（EU Nr. 168/2013）將自動平衡車輛和無座椅車輛特別排除，因此BMVi制定行動輔助工具條例，以規範例如Segways的新型運輸工，然而隨著市場推出更多新型小型電動車，原行動輔助工具條例已無法有效規範，因此制定小型電動車條例，除將原本核可小型電動車納入適用外，而本條例所稱小型電動車定義為第一，具備轉向或支撐桿；第二，最高時速設計6～20公里/小時；第三，功率限制為500瓦（自動平衡運輸工具為1400瓦）；第四，最低安全要求（例如制動裝置和照明系統，駕駛動態和電動安全設備）。另條例規範重點如下：（1）小型電動車須年滿14歲方能使用，但無須考取任何駕駛執照;（2）小型電動車應行駛於自行車道上，如該段道路無設計自行車道可行駛於側車道，並禁止行駛於人行道或步行區，且不得於踏板上另搭載他人或物品及攀附於其他車輛;（3）須遵守其他一般道路交通法規，特別是保持謹慎駕駛以及酒駕規定須遵守相關規範;（4）保險部分，因小型電動車輛屬於機械動力車輛，故必須投保，並將投保證明貼紙黏貼於車輛上。 　　另外，BMVi主張並支持小型電動車可攜帶上公共交通工具，然原則上，攜帶小型電動車搭乘公共交通工具，受貨物運輸規範約束，應視電車及無軌電車等固定路線動力車輛之一般條件及服務條例（BefBedV）第11條，或有關運輸公司之特殊運輸條件規範個案判斷。

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日 　　資訊科技的發展，從早期「超級電腦/大型電腦」、近期「個人電腦」，到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用，未來電腦運算設施就像是水、電；資料儲存與應用就像是銀行，只要連上網路就可以使用，不必各自投資發展。因此，「雲端運算」未來將成為每個國家的重要基礎建設。 　　將雲端運算列為重要的產業發展重心，已是各國的趨勢，而運用雲端運算所帶來的效益，如節省經費、提升效率等，亦為普遍地承認，再加上公部門相較於民間，其擁有較多的經費及資源來進行雲端運算的導入，而藉由公部門導入雲端運算，可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此，各國均皆致力於促進公部門導入雲端運算。 　　然而，在雲端運算帶來龐大經濟效益的同時，伴隨而來的，是新的資訊管理議題，雲端安全防護聯盟（Cloud Security Alliance, CSA）提出了雲端運算可能遭遇的九大安全威脅 ： 一、資料外洩（Data Breaches） 二、資料遺失（Data Loss） 三、帳號被駭（Account Hijacking） 四、不安全的APIs程式（Insecure APIs） 五、拒絕服務（Denial of Service） 六、惡意的內部人員（Malicious Insiders） 七、濫用雲端服務（Abuse of Cloud Services） 八、審慎評鑑不足（Insufficient Due Diligence） 九、共享環境議題（Shared Technology Issues） 　　面對前述的安全威脅，政府部門在考量導入雲端服務時，首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度，以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要 　　美國政府在2010年12月發表了25項聯邦IT轉型重點政策，其中一項核心的政策便是「雲優先政策」（cloud first policy）。根據「雲優先政策」，聯邦機構必須在三個月內找出三項轉移到雲端的政府服務，並且要在一年內導入其中一項。 　　然而，此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰，傳統由各機關分頭洽談所導入資訊系統與應用規格之方法，並實施個別的資訊安全需求與政策的作法，對服務商而言，其所提供的相同服務，在各機關導入時，卻必須將受各個機關的審查，造成各機關投入過多的資源在審查程序上，導致政府資源的浪費，不但耗費時間、審查重複，且無法達到建構妥善操作程序的效果。 　　2012年6月6日，聯邦政府總務管理局（General Service Administration, GSA）宣布「聯邦風險與授權管理計畫」（Federal Risk and Authorization Management Program,以下稱FedRAMP）開始正式運作，GSA並表示，「FedRAMP」的正式運作，將解決美國政府在雲端產品及服務需求上，因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費，並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用，預期效益相當可觀。 　　「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範，建立一套可遵循之依據。未來所有雲端產品的服務提供者，都必須遵守及達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 貳、重點說明 　　「聯邦風險與授權管理計畫」主要由預算與管理辦公室（Office of Management and Budget, OMB）負責組織預算與管理；聯邦資訊長（the Federal Chief Information Officer，CIO）負責跨部門的整合；國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析；總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序，並成立計畫管理辦公室（ Program Management Office， PMO）負責FedRAMP之操作與管理；以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準；最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局，組成共同授權委員會（Joint Authorization Board, JAB），負責對服務提供者的授權與定期檢視。 　　FedRAMP制度的精神在於「作一次並重複使用」（Do once ,Use Many Times），同一內容的雲端服務，透過FedRAMP，僅須經過一次的評估與授權，即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性，造成資源浪費的問題，將可獲得解決。當其他機關欲採用雲端服務時，可透過FedRAMP，免去再一次的評估與驗證。 　　FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成，簡單介紹如下： 一、第三方評估機構的認證 　　FedRAMP的特殊之處，在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構（3PAO）來進行審查，而第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下： （一）申請檢視 　　機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力，並且自行檢視FedRAMP網站上的申請表，自行檢視是否合乎要求，然後決定是否提出申請。 （二）完成要求 　　機構須分別完成申請表所要求的系統安全計畫（system security plan, SSP）、系統評估計畫（system assessment plan, SAP）、安全評估報告（security assessment report, SAR）。於完成後向計畫管理辦公室提出申請。 （三）審查 　　在接受申請後，總務管理局會與ISO網路安全專家共同組成「專家審查委員會」（Expert Review Board , ERB），審查該申請。 （四）決議 　　審查完畢後，FedRAMP計畫管理辦公室（PMO）會檢視ERB的意見，決議是否通過該申請。 　　於通過申請後，該機構將會被列入FedRAMP官方網站（www.FedRAMP.gov）的第三方評估機構名單，目前為止，陸續已有十五個機構通過共同授權委員會的授權，日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估 　　在「聯邦風險與授權管理計畫」的機制設計中，政府機關或雲端服務提供者任一方，皆可提出申請（Request）啟動雲端服務的安全性評估（Security Assessment）程序，此程序中共有四個主要階段： （一）提出申請 　　在申請人將所須文件初步填寫完畢之後，計畫管理辦公室（PMO）即會指派資訊系統安全官（Information Systems Security Officer, ISSO）進行指導，使之得進行安全控制、出具必要文件、並實施安全測試。之後，PMO會與雲端服務提供者簽署協議，並要求相關機關實施對雲端服務系統的安全性測試。 （二）檔案安全控管 　　雲端服務提供者必須作成系統安全計畫（System Security Plan, SSP），表明安全控制之實施方法，及其相關文件如IT系統永續計畫（IT Contingency Plan）、隱私衝擊調查（Privacy Impact Questionnaire），並送交ISSO進行審查，再由雲端服務提供者就對審查意見予以回覆之後，由ISSO將案件送至共同授權委員會（Joint Authorization Board, JAB）進行審查，以確認所提交的SSP安全措施符合雲端系統所需。 （三）進行安全測試 　　服務提供者與第三方評估機構（Third Party Assessment Organization, 3PAO）簽約，且由PMO約集雲端服務提供者與3PAO，確認雙方對於安全測試實施的期待與時程，再由3PAO獨立進行該雲端系統測試，並完成安全評估報告（Security Assessment Report, SAR），闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果，作成行動與查核點報告（Plan of Action & Milestones (POA&M)），以提出矯正弱點與殘餘風險（residual risks）的措施、資源與時程規劃。 　　雲端服務提供者再將前述SAR與POA&M提交予PMO，由JAB決定是否接受該弱點及其修正計畫，或者提出修正建議。倘若JAB可接受該弱點及其他因應措施，則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 （四）完成安全評估 　　雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案，並提出證明將確實執行其安全控制措施。由JAB檢視此方案，並作出最終決定是否授予「附條件之授權」（Provisional Authorization）。得到此授權的雲端服務提供者名單，將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權，PMO會指導如何進行重新申請。 三、持續的評估與授權 　　持續的評估與授權（ongoing Assessment and Authorization, A&A）通常也被稱為持續監控（Continuous Monitoring），在FedRAMP中第三個也是最後一個流程，透過持續的評估與授權機制，來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面： （一）操作的能見度 　　操作能見度的目標，是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度，而不必政府機構另行要求。 （二）變更控制程序 　　雲端服務提供者更新她們的系統是常有的事，此處的變更控制程序並非針對例行性的維修或變更，而是要求若有發生影響臨時性授權或的顯著變更時，服務提供者必須提供此種具衝擊性變更的有效資訊，使FedRAMP得以評估此變更的影響與衝擊。 （三）事件回應 　　事件回應方面聚焦於新風險和漏洞的因應，服務提供者在發現影響授權的新風險或漏洞時，應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析 　　在各國紛紛投入雲端運算的推動熱潮中，我國也不能在此項產業推動中缺席。2010年4月，行政院科技顧問組（現已改組為行政院科技會報）責成經濟部，研擬「雲端運算產業發展方案」；2011年5月，行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」，在內部運作管理面向，將運用新興雲端運算技術推動以全國性的政府雲端應用服務，減少機關重複開發成本，並達成節能減碳效果。 　　雲端的安全問題，無論在私人企業或政府部門，均為選擇導入雲端服務的第一要務，「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點，運用雲端運算技術，創新資安服務價值，確保政府資通安全防護。 　　然而，在服務提供者的安全性方面，我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此，我國可借鏡各國的作法，適度的以透過公正第三方機構驗證，來消除雲端服務安全性的疑惑，並推動一個公開的平台，將通過驗證的廠商公布出來，提供公部門甚至私人企業作選擇，不僅可免去同一服務廠商不斷重複驗證的麻煩，亦可削減選擇上的難題，並藉此發展雲端資安技術與推動雲端產業，使我國的雲端環境能夠更臻成熟。

　　隨著新型態支付服務應用不斷推陳出新，利用數位支付型代幣（digital payment token）進行洗錢與犯罪愈加猖獗，新加坡國會（Parliament of Singapore）於2021年1月4日通過「支付服務法修正案」（Payment Services (Amendment) Bill），擴大監管範圍，以降低與數位支付型代幣有關的洗錢、資助恐怖主義（money laundering and terrorism financing, ML/TF）及隱匿非法資產風險。 　　本次修正重點包含（1）賦予新加坡金融管理局（Monetary Authority of Singapore, MAS）更大權責，可要求支付服務供應商落實相關客戶保護措施，例如要求數位支付型代幣服務供應商所保管之資產與自有資產分開存放，以確保客戶資產不受損失；（2）將虛擬資產服務供應商（virtual assets service providers）納入法規監管，擴大數位支付型代幣服務定義，使其包括代幣轉讓、代幣保管服務與代幣兌換服務；（3）擴大跨境匯兌服務（cross‑border money transfer service）定義，凡是與新加坡支付服務供應商進行資金轉移，不論資金是否流經新加坡，皆受新加坡金融管理局監管；（4）擴大國內匯款服務（domestic money transfer service）範圍，以涵蓋收付雙方均為金融機構之情形。 　　新加坡金融管理局表示，本次修法目的是為了因應支付服務產業的廣泛應用，降低潛在犯罪風險與維護金融安全，有效保護消費者權益，並維持金融穩定性與維護貨幣政策有效性。

文創法第26條第項第4款適用疑義─ 以營利事業對國家電影中心之捐贈列支為例 科技法律研究所 法律研究員　尤騰毅 2015年02月10日 壹、事實說明 　　日前根據報載「…金馬影后、也是湯臣影業負責人徐楓，響應搶救老電影計畫，一舉捐出510萬元修復胡金銓導演、也是她自己的代表作《俠女》，作為國家電影中心的開門之喜。…」（「國家電影中心」成立 徐楓捐款510萬，經濟日報，2014.07.28）。營利事業對於財團法人國家電影中心之捐贈列支，係依所得稅法第36條，或文創法第26條第1項第4款申請？ 貳、法律評析 一、依所得稅法第36條第1款以專案核准方式辦理，得不受列支金額限制 　　營利事業針對政府捐助成立之特定財團法人，目前財政部依所得稅法第36條第1項規定，以專案核准方式作成多號函釋，其捐贈列支，不受金額限制，包括財團法人法律扶助基金會、財團法人中央廣播電台等，參附錄一。以本案例而言，若能依所得稅法第36條第1款向財政部申請以專案核准方式辦理，可享有無認列金額上限之待遇，係優於文創法的處理方式；惟本案捐贈款項有指定用途，捐贈人宜以捐贈契約明文，以確保捐贈目的的達成。 二、本案例事實亦可適用文創法第26條 　　(一)受贈對象 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。希望將企業資金導入民間之文創產業，其受捐贈目的與所得稅法第36條第2款所稱之教育、文化、公益、慈善機關或團體有別。惟其受贈對象未限於營利之民間企業，亦包括從事文創事業之非營利法人，故本案捐助對象雖為財團法人國家電影中心，因其亦為從事文創產業活動之事業，仍屬文創法第26條之適用對象。 　　(二)捐贈事由 　　文創法第26條第1項所列3款法定事由，同項第4款並授權中央主管機關可認定得列為當年度費用或損失之事項（屬概括規定）[1]。關於文創法第26條所列3款法定事由，茲先說明如下： （一）購買由國內文化創意事業原創之產品或服務，並經由學校、機關、團體捐贈學生或弱勢團體。（文創法第26條第1項第1款） 　　所稱國內文化創意事業，係指「在我國依法設立之法人、合夥或獨資事業，或具有中華民國國籍之國民，從事文化創意產業者」（營利事業捐贈文化創意相關支出認列費用或損失實施辦法第2條，下稱認列辦法）。只要是國內文化創意事業所研發創作，提供消費者消費之產品或服務，均適用捐贈認列抵稅。 　　營利事業所捐贈之原創產品或服務，須經由學校、機關或團體，核轉給適格的捐贈對象。所稱「學校」，包括所有各級依法設立、實施正規教育的公、私立學校，故不包含補習學校與社區大學（認列辦法第2條）。另為確保捐贈為弱勢團體所用，針對受贈團體之認定標準，限於依法設立或登記之非營利組織。透過符合上述資格之學校、機關或團體，將購買之原創產品或服務核轉給各級公私立學校之在學學生，以及依法設立或登記專門協助身心障礙者、原住民及其他弱勢族群之團體。 （二）偏遠地區舉辦之文化創意活動。（文創法第26條第1項第2款） 　　所稱偏遠地區係指人口密度較低、或交通較為不便、地理位置偏遠之地區，如離島（認列辦法第2條）。考量我國文化活動在城鄉的相較之下，仍多集中於城市，為兼顧文化創意產業之均衡發展，縮短城鄉差異，故以本款規定鼓勵營利事業捐贈國內文化創意事業於偏遠地區舉辦文化創意活動，以提高民眾參與文化創意活動意願及文化素養，同時達到發展國內文化創意事業之立法目標。凡屬於對公眾舉辦之展覽、表演、映演、拍賣或其他經各中央目的事業主管機關認定之活動，並應以公開且無償之方式服務偏遠地區之民眾者為限。 （三）捐贈文化創意事業成立育成中心。（文創法第26條第1項第3款） 　　雖然文創法第26條第1項第3款規定捐贈於「成立」的費用或損失才可認列，但避免育成中心設置過於浮濫，「營利事業捐贈文化創意相關支出認列費用或損失實施辦法」第5條規定設計育成中心應以設立後已有營運經營活動為限，且針對經營團隊管理階層人員之專業及其相關工作年資、育成空間之坪數空間，均有所規範，俾利徵納雙方遵循，以免流弊。 　　由於本案捐贈目的在於搶救老電影的修復費用，並不符合上述明列的事由，須由中央主管機關認定系爭事實是否得適用前述第4款規定。本文認為例舉之三款法定認列事由可歸納出以下三個構成要件，本件案例事實是否得適用文創法第26條第1項第4款之規定，中央主管機關得以下述要件檢視之： 　　1.應符合鼓勵民間企業參與文創事業活動，帶動產業發展之立法意旨 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。因此，營利事業之捐贈、購買行為，應透過參與文創事業活動，而達到帶動文創產業發展之效。 　　2.為捐贈、購買或其他可促進文創產品創作、或舉辦文創活動所支出之費用 　　營利事業之捐贈、購買標的，包括文創產品或服務，以及可促進文創產品創作之行為（例如成立育成中心），以及舉辦文創活動（如對公眾公眾舉辦之展覽、表演、映演）等。 　　3.捐贈或購買對象應為文化創意事業 　　營利事業所捐贈或購買的對象應限定為文化創意事業，其範圍依照文化創意產業發展法第4條規定，係指從事文化創意產業之法人、合夥、獨資或個人。 　　因此，本案捐助對象為財團法人國家電影中心，亦為從事文創產業活動之事業，其費用雖非為購買特定產品、服務或捐贈特定活動，惟具備促進文創產品創作之效用，與文創法第26條鼓勵企業資源挹注文創產業之立法意旨相符，應有同條第1項第4款之適用。 參、結語 　　為善用民間企業挹注文化創意產業發展，文化創意產業發展法26條以認列損失或費用之方式，鼓勵民間營利事業購買文化創意事業之原創產品與服務，或贊助偏遠地區舉辦之文化創意活動，以及捐贈文化創意事業成立育成中心。其捐贈總額在新台幣1千萬元或所得額10%之額度內，以額度較高者為準，得列為當年度費用或損失，以租稅優惠作為營利企業團體支持文化創意產業之誘因。本案的捐贈金額並未超出文創法第26條的限額，若經主管機關認定為可認列之費用，其稅賦優惠其實與適用所得稅法第36條第1款以專案核准方式辦理相同，惟捐贈人所需考量者，在於上述二個租稅優惠途徑的申請程序繁簡與獲准機會。 　　台灣正面臨產業轉型階段，文化創意產業若干的活動（如設計、廣告、出版、文化等），可以提供製造業周邊服務並提高其附加價值，將是台灣未來升級轉型的希望所冀。從我國科技產業發展歷程觀之，運用租稅獎勵政策工具以發展特定產業，其成效卓著已獲得印證。為動文創產業發展，文創主管機關勢必會妥善利用租稅獎勵政策工具，因此以簡便且較容易獲租稅優惠角度來看，只要金額未超過限制，對於財團法人的文創活動捐贈，建議優先嘗試適用文創法第26條規定。 附錄一：財政部依所得稅法第36條第1款專案核准之函釋 【財政部 103.2.06. 臺財稅字第10304516880號函】 營利事業對財團法人法律扶助基金會之捐贈，可依所得稅法第36條第1款規定，列為當年度費用或損失，不受金額之限制。 【財政部 92.06.16. 台財稅字第 0920454411 號函】 營利事業對財團法人中央廣播電台之捐贈，准依所得稅法第三十六條第一款規定列為當年度費用或損失，不受金額之限制。 【財政部 92.04.09. 台財稅字第 0920452425 號】 設立財團法人證券人及期貨交易人保護中心之捐助款，准列為當年費用或損失，不受金額限制。 【財政部 90.11.09. 台財稅字第 0900457122 號】 金融機構對財團法人中小企業信用保證基金之捐助准列為當年度費用或損失，不受金額限制。 【財政部 85.12.19. 台財稅字第 851172920 號】 營利事業或個人對財團法人中央通訊社之捐贈，可依所得稅法規定認列費用或列報扣除額。 【財政部 80.10.21. 台稅一發字第 800739322 號】 對海華文教基金會之捐款得限額列為費用。 [1]大法官釋字第508號解釋理由書（節錄）：「…從立法技術而言，立法常有例示規定與概括規定並存，乃因一規範概念所得涵攝之事物類型不夠明確或範圍廣泛，立法者以例示規定表現此類型之典型社會事實，並輔以概括性規定以免繁複或掛一漏萬。對概括性規定之解釋適用，即必須從相關例示規定中探尋事物之共同特徵，以確認所欲規範的事物類型究竟為何？然後，再行判斷系爭事實是否具備這些共同特徵而為所欲規範之事物類型所涵蓋，如此方有引用概括規定之餘地。」