英國政府制定監管計畫以應對科技巨頭帶來的問題

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

韓國中小企業暨新創事業部（Ministry of SMEs and Startups）於2025年12月23日宣布，國務會議已審議通過《有關區域發展之法規鬆綁特區及經濟特區法》（Act on Special Cases Concerning the Regulation of Regulation-free Special Zones and Special Economic Zones for Specialized Regional Development）修正案，修法目標在於降低參與業者的法規遵循負擔，活絡「特區」內之創新活動。 所謂「特區」，係指透過監理沙盒、暫時許可（Temporary Approval）等特別措施，使業者在特定區域內享有部分或全部之法規適用豁免，因而得以進行產品、服務及商業模式測試的「指定區域」。該制度在推動以創新為導向之區域成長方面發揮了重要功能，惟實務運作上，業者有時仍因主管機關基於安全考量所附加之額外條件，而面臨一定程度的法規遵循負擔。 根據修正法案規定，當主管機關擬對監理沙盒或暫時許可案附加額外條件時，必須明確證明該額外條件的必要性及比例原則。此一改變預期將大幅降低參與業者之法規遵循負擔，並提供更可預測的監理實驗環境。 此外，修正法案還包含多項制度性改善措施，以提升「特區」制度的有效性與問責性： 一、即使核准辦理實驗之期間屆滿或被撤銷，中央及地方主管機關仍得要求提供績效評估及後續管理措施報告，以確保政策經驗之延續性及成果導向管理。 二、政府得發布正式指引，說明特區計畫之審查標準，並在申請被駁回時告知申請人原因，以提升程序透明度及程序明確性。 三、為保障實驗期間因事故受影響人員之人身安全，新增人身傷害損害賠償條款。明定該項請求權禁止讓與或扣押，以落實保護受害者之基本經濟生活權益。 本次修正法案預計自公布後六個月施行。中小企業暨新創事業部表示，將配合修法，儘速修訂相關附屬法規，以確保制度順利落實發揮最大效益。 在加速創新應用落實之時，如何同時兼顧安全並促進創新，已成為各國重要政策課題。韓國此次修正《有關區域發展之法規鬆綁特區及經濟特區法》之實務作法，非常值得我國持續觀察與參考。

　　今年1月底日本Coincheck虛擬貨幣交易所爆出最大規模的駭客攻擊事件後，日本金融廳開始擴大調查國內虛擬貨幣交易平台營運狀況；3月8日首次對2家虛擬貨幣交易平台業者Bit Station及FSHO祭出為期一個月「勒令停業」之行政處分，前者主因係公司內部高階主管擅自挪用客戶資金，違反資金結算法中用戶財產管理與用戶保護措施規範；後者則係發現多筆高額交易時，網路系統並未進行用戶認證，公司亦未對員工進行內部培訓課程，違反資金結算法中關於用戶保護措施之規範。 　　同時，日本金融廳亦對Coincheck、Bicrements、GMO Coin、Tech Bureau，及Mr.Exchange等5家虛擬交易平台業者發布下令改善之行政處分，要求業者重新審視經營漏洞，限期建立有效且完善的風險管理系統、保護消費者機制、反洗錢與打擊資恐、資金管理系統、內部稽核與內部控制系統及用戶客服系統等，避免再度發生大型駭客攻擊事件。 　　另為能有效地建立虛擬貨幣交易市場管制規範，日本金融廳宣布成立「虛擬貨幣交易產業研究小組」，並由學者、金融業者及虛擬貨幣業者為主要成員，為將來虛擬貨幣市場可能面臨各種議題，研析相關監管政策及法制規範。 　　面對襲捲而來之虛擬貨幣交易經濟，日前法務部邀集金管會、內政部、央行、警政署、調查局等單位跨部會協商，並就管制面、執法面等持續進行研商；我國或可以日本該次事件為借鏡，於行政管制強度做適當之調整，尤其我國為亞太防制洗錢組織（APG）創始會員，而虛擬貨幣交易之匿名性，已成為反洗錢與反資恐之最大風險，隨著虛擬貨幣交易行為頻繁與發展態樣多變，日後對於虛擬貨幣交易之管制政策與範圍都將備受矚目。

　　中國科學技術部與中國科學院等六個部門，於2011年12月8日聯合發布《國家中長期生物技術人才發展規劃（2010-2020年）》(以下簡稱「生技人才規劃」)，期藉由具體政策措施之推動，充實國內生技人才資源，以促進生物技術及其產業蓬勃發展。 　　從中國國務院於2006年所提出的《國家中長期科學和技術發展規劃綱要（2006-2020年）》到科技部最近發布的《國家十二五科學和技術發展規劃》，均揭示「生物技術」為中國科技發展的重點領域。然而，現階段中國生技發展卻面臨了人才瓶頸，包括缺乏高層次創新人才、缺乏優秀創業型人才、人才資源開發投入不足，以及人才發展體制障礙待破除等問題，本規劃便在這樣的背景下誕生。 　　針對前述生技人才缺乏問題，生技人才規劃以「2020年時將中國打造成生物產業大國」為總體目標，分兩階段達成充實、培育生技人才的目的。第一階段為2011年至2015年，主要目標係在國內培育、造就一定規模的科技人才與創新團隊；第二階段為2016年至2020年，主要目標則為提高中國整體生技人才的素質，並建置5到10個具國際水準的國家生技實驗室。為達成前述目標，生技人才規劃宣示未來將分別實施以下各項政策措施，包括：持續給予優秀人才科研經費支援、鼓勵支持生物技術人才創業、加速生物技術人才在產學研各領域間的流動、制定優先支持生物產業技術人才發展的財政金融政策，以及吸引海外高層次生物技術人才回國創業或參與重大科研計畫等。 　　自2006年以來，中國於各個重大科技與產業政策規劃中，均將生物技術列為國家重點發展領域，顯見中國對於生技產業的重視，而根據往例，中國在發布重大國家政策規劃綱要以後，國務院各部門隨即會頒布相關法令及配套措施，以達成規劃綱要中所揭示的各項發展目標。因此，「生技人才規劃」頒布後，其後續相關的人才引進法制架構將如何呼應、達成綱要所訂的總體發展目標，值得持續觀察。