美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制
美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。
被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可:
- 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。
- 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。
- 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。
- 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities, U.S. DEPARTMENT OF COMMERCE, Oct. 20, 2021, https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private (last visited Dec. 5, 2021).
Information Security Controls: Cybersecurity Items, 86 Fed. Reg. 58,205,58,216 (Oct. 21, 2021) (to be codified at 15 CFR Parts 740, 772 and 774).
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8495&no=64(最後瀏覽日:2021/12/05)。
許祐寧,〈美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8502&no=64(最後瀏覽日:2021/12/05)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8548&no=64(最後瀏覽日:2021/12/05)。
經濟暨合作發展組織(Organization for Economic Cooperation and Development,下稱OECD)為因應數位化時代下,跨國企業集團透過數位科技所帶來有別於傳統交易的新交易模式等避稅安排使其獲益與稅負顯不相當,亦即稅基侵蝕問題,於2019年提出兩大支柱:支柱一為連結關係與利潤分配;而支柱二為全球反稅基侵蝕規定(Global Anti-Base Erosion rules,下稱GloBE),即本文討論之全球企業最低稅負制。然而全球企業最低稅負制提出之初,因歐盟各國意見不同無法形成共識,直至今(2021)年4月5日因美國財政部長葉倫(Janet Louise Yellen)公開表示正與G20成員國研議推動全球企業最低稅負制,加上近期歐盟各國態度已轉趨支持並附和,此議題終於再度引發國際與我國關注。 事實上,最低稅負制在我國並非新議題,我國早已制定「所得基本稅額條例」並施行多年,其中包括個人與營利事業基本稅額,然而GloBE所規範之全球企業最低稅負制將無可避免地於一定程度上影響我國營利事業所得稅及基本稅額的稅(法)制的調整與變動。加上我國自2019年3月脫離歐盟避稅觀察名單(俗稱灰名單)後,為避免再次被認列避稅天堂,稅制持續與國際接軌,故由OECD提出且美國贊同之全球企業最低稅負制,如各國拍板,我國將勢在必行。
澳洲數位轉型局12月發布《政府負責任使用人工智慧政策2.0》,以強化公部門之AI風險管理2025年12月初,澳洲數位轉型局(Digital Transformation Agency,下稱DTA)發布《政府負責任使用AI政策2.0》(Policy for the responsible use of AI in Government 2.0),旨在進一步強化公部門在AI的透明度、問責性與風險管理能力,於2025年12月15日生效,取代 2024年9月實施的過渡版本。 一、適用範圍 政策適用於所有非企業型聯邦實體(Non-corporate Commonwealth entities),即不具獨立法人地位、直接隸屬於政府的機關或單位。企業型聯邦實體則被鼓勵自願遵循。政策定位為「補充與強化既有法制」,非另訂獨立規範,因此在實務中須與公務員行為準則、資安規範及資料治理制度併行適用。 二、政策重點 在政策施行的12個月內,適用機關須完成以下要求,以確保落實AI治理架構: (一)制度建置 1. AI 透明度聲明:機關須在政策生效後 6 個月內發布「AI 透明度聲明」,公開 AI 使用方法與現況。聲明中須說明機關風險管理流程、AI 事件通報機制及內外部申訴管道,確保使用過程透明、可追蹤。 2. 人員指定與培訓: 機關須指定制度問責人員(Accountable officials)以及AI使用案例承辦人(Accountable use case owners)。 所有員工皆須進行關於負責任使用AI的培訓,機關並依員工職務權責提供個別員工進階訓練。 3. 建立內部AI使用案例註冊清單(Internal AI use case register),以供後續追蹤 該清單至少包含: (1)使用案例負責人(Accountable use case owners):記錄並持續更新範疇內 AI 使用案例的指定負責人。 (2)風險等級(Risk rating):AI使用案例的風險等級資訊。 (3)異動紀錄:當使用案例的風險評級或負責人變更時,須即時更新清單。 (4)自定義欄位:各機關可根據其需求,自行增加欄位。 (二)AI 使用案例範疇判斷 機關須在評估所有新案例,依以下特徵判斷AI應用是否屬於「範疇內(In-scope)」的應用: 1.對個人、社群、組織或環境造成重大損害。 2.實質影響行政處分或行政決策。 3.在無人工審查的情況下,大眾將直接與AI互動或受其影響。 4.涉及個人、敏感資料等資訊。 (三)進階風險評估 依AI影響評估工具(Impact Assessment Tool)針對公眾近用權;不公平歧視;加重刻板印象;損害人、組織或環境;隱私顧慮;資料敏感之安全顧慮;系統建置之安全顧慮;公眾信任等8類別,加以判斷範疇內AI應用,若有任一類別被評為「高風險」,即判定為「高風險」;若所有類別中最高的分數為「中風險」,則整體判定為中風險。 判定為中、高風險之AI應用,均需進行全面審核。中風險須列出所有中風險項目及其控管措施,主要為內部控管;而高風險則要求向DTA報告,且每年至少進行一次全面審核與風險再評估。 澳洲欲透過發布AI透明度聲明、更新AI使用案例註冊清單、強制執行AI應用之風險評估及人員培訓,確保公部門對AI的負責任使用與問責。而我國企業可參考資策會科法所創意智財中心發布之《重要數位資料治理暨管理制度規範(EDGS)》,落實AI資料管理與追蹤。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國新能源法案預定於2010年前興建新核電廠美國總統布希於本( 8 )月 8 日簽署能源法案,法案目的除減少對國外能源依賴外,另亦授權興建一座新核能發電廠。布希政府希望於 2010 年前開始建造核能廠。 儘管核能爭議大,但現今國際油價已飆高達每桶 63 美元,在美國參眾兩院日前通過、布希總統今簽署的能源法案中,同意興建的新核電廠,是美國自 1979 年三哩島事件以來,第 1 座預定興建的核能廠。 能源法案的通過,被視為是布希政府一大勝利,也是相關利益團體石油公司的勝利。布希自 2001 年上台即大力鼓吹此法案,經 4 年多爭議,眾參院才分別在 7 月 28 、 30 日通過。 除新建核電廠外,能源法案內容還包括:准許在海岸探勘石油與天然氣,這項鬆綁引起環保人士質疑;提供美國能源公司超 10 年 145 億美元的減稅優惠,這項優惠讓華府輿論質疑,減稅是「肥了石油公司,苦了消費者與納稅人」;另外,鼓勵開發新的潔淨能源、再生能源,提供 18 億美元的獎助,這項具有環保意義、找尋替代能源的條文,也被質疑資助少得可憐。
日本公布「資料與競爭政策檢討會報告書」並探討資料收集利用違反《獨占禁止法》行為近年來,受到物聯網和人工智慧技術高度發展影響,大數據的重要性逐漸提昇。為避免資料不當收集和資料被不當佔據等可能妨礙競爭之行為,以利業者透過資料收集、累積和分析等方式,創造出新的產業價值,日本公平交易委員會於競爭政策研究中心設置「資料與競爭政策檢討會」,自2017年1月至6月間舉辦數次檢討會,並於2017年6月6日公布《資料與競爭政策檢討會報告書》。該書一共5章,內容為第1章檢討背景,第2章回顧資料環境變化與利用現狀,第3章檢討現今競爭政策及《獨占禁止法》,第4章資料收集、利用相關行為,以及第5章企業結合審查等與資料利用相關之事項。 報告書指出,業者不當收集資料和不當佔據資料等行為,均有適用《獨占禁止法》之可能。前者係指具有優勢地位的業者,利用關係要求有業務往來的企業提供資料等行為,如原本只需要性別和年齡資訊,卻額外要求對方提供住所、電話等訊息;後者則係指業者利用不正當方法與顧客聯繫,排除其他競爭者等行為,如排他性交易、拒絕交易、差別待遇等。