新加坡正式推動金融服務與市場法案,加強對新型態金融服務產業之監管力度
新加坡為全球性商務金融重鎮,影響全球金融市場甚鉅,其法制變革具有指標性意義,近年來新加坡政府針對電子支付、數位代幣領域加強監管,於2017年新加坡金管局(Monetary Authority of Singapore, MAS)發布「數位代幣發行指引」;2019年通過「支付服務法」(Payment Service Act),規定從事付款業務之單位,皆須先取得許可執照。新加坡國會更於2022年4月5日三讀通過「金融服務與市場法」 (Financial Services and Markets Act),旨在促使金管局得更有效率因應、監管當今變化快速、逐漸數位化之金融市場。
該法規主要著眼於金管局對於金融業中數位代幣及加密貨幣業者之控管,並使合法之加密貨幣業者更具競爭優勢。首先明定受規範之相關金融機構或特定個人,若其具違法情事,金管局得對其發布禁制令(Prohibition Order);對於得受禁制令之主體及其涵蓋範圍,相較於過去其他法案更為擴張。
在主體方面納入「數位代幣服務供應商」(Digital Token Service Providers),以防止洗錢、進行資助恐怖主義之活動或其他金融犯罪行為,禁制令可視違法者之情節嚴重程度,而區分禁制期間為特定時間或至永久。此外,金管局亦得於特定情形下,評估要求相關金融機構進行強制股份轉讓或重組。
綜上,可以知悉新加坡當局有意對新興型態之金融模式進行有效監管,雖可能被認定與過去寬鬆、開放市場之控管機制背道而馳,惟面臨如此多元且發展快速之金融市場,著實有不斷將法規進行修正,以靈活配合當下金融趨勢及發展之必要性。
趙奕縣
法律研究員 編譯整理
Explanatory Brief for Financial Services and Markets Bill 2022, MAS.GOV, https://www.mas.gov.sg/news/speeches/2022/explanatory-brief-for-financial-services-and-markets-bill-2022 (last visited Aug. 23, 2022).
LENA NG, New Omnibus Act for Singapore's Financial Sector – Financial Services and Markets Act 2022, Clifford Chance, Apr. 18, 2022, https://www.cliffordchance.com/briefings/2022/04/new-omnibus-act-for-singapore-financial-sector.html (last visited Aug. 23, 2022).
Hagen Rooke, Nina Carlina Sugianto, Johnny Lim, Bryan Tan, Bernice Tian, The Singapore Financial Services and Markets Bill – what you need to know, ReedSmith, Mar. 16, 2022, https://www.reedsmith.com/en/perspectives/2022/03/the-singapore-financial-services-and-markets-bill (last visited Aug. 22, 2022).
資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 隨著網路科技的進步,伴隨著資安風險的提升,世界各國對於資安防護的意識逐漸升高,紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量,我國於107年5月經立法院三讀通過「資通安全管理法」(以下簡稱資安法),並於同年6月6日經總統公布,期望藉由資通安全管理法制化,有效管理資通安全風險,以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外,另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法,建置了我國資通安全管理之法制框架。然而,資安法及相關子法於108年1月1日實施後,各機關於適用上不免產生諸多疑義,故本文擬就我國資通安全管理法之規範重點為扼要說明,作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 資安法所規範之對象,主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義,指依法行使公權力之中央、地方機關(構)或公法人,但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣(市)政府機關、依公法設立之法人(如農田水利會[1]、行政法人[2])、公立學校、公立醫院等,均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊,故資安法排除軍事及情報機關之適用[3]。 特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。目前各關鍵基礎設施領域,預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 此外,政府捐助之財團法人,依該法第3條第9項之規定,指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人,則非屬資安法所稱特定非公務機關之範圍。公營事業之認定,則可參考公營事業移轉民營條例第3條之規定,指(一)各級政府獨資或合營者;(二)政府與人民合資經營,且政府資本超過百分之五十者;(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 資安法之責任架構,可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段,分述如下: (一)事前規劃 就事前規劃部分,資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」,使各機關得據此落實相關之資安防護措施,各機關並應依據資通安全責任等級分級辦法之規定,依其重要性進行責任等級之分級,辦理分級辦法中所要求之應辦事項[5],並將應辦事項納入安全維護計畫中。 此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 (二)事中維運 事中維運部分,資安法要求各機關應定期提出資通安全維護計畫之實施情形,上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件,應於機關知悉資通安全事件發生時,於規定時間內[7],依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施,以避免資通安全事件之擴大。 (三)事後改善 在事後改善部分,如各機關發生資通安全事件或於稽核時發現缺失,則均應進行相關缺失之改善,提出改善報告,並應針對缺失進行追蹤評估,以確認缺失改善之情形。 三、情資分享 為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。情資分享義務原則於公務機關間,就特定非公務機關部分,為鼓勵公私間之協力合作,故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 我國已於107年1月將政府資安資訊分享與分析中心(G-ISAC)調整提升至國家層級並更名為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)。透過情資格式標準化與系統自動化之分享機制,提升情資分享之即時性、正確性及完整性,建立縱向與橫向跨領域之資安威脅與訊息交流,以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 為使資安法之相關規範得以落實,資安法就公務機關部分,訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準,而獎懲辦法適用之人員,除公務人員外,尚包含機關內部之約聘僱人員。就特定非公務機關部分,資安法則另訂有相關之罰則,針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。 參、事件評析 公務機關及特定非公務機關為落實資安法之相關規範,勢必投入相關之資源及人力,以符合資安法之要求。考量公務機關或特定非公務機關之資源有限,故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌,以避免資源或相關措施重複建置,以下則列舉幾點建議: 一、風險評估與安全措施 資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制,與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似,故各機關於適用上可協調內部之資安與隱私保護機制,共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 三、委外管理監督 資安法第9條要求機關負有對於委外廠商之監管義務,個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同,惟均著重對於資料安全及隱私之保護,故各機關可從資料保護層面著手,訂定資安與個人資料保護共同之檢核項目,來進行委外廠商資格之檢視,並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 資安法施行細則第6條要求於建置安全維護計畫時,須先進行內部之資產盤點及分級,而個人資料保護法施行細則第12條中,則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時,可建立內部共同之資料盤點清單及資料管理措施,並增加資料使用軌跡紀錄,建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定,軍事機關指國防部及其所屬機關(構)、部隊、學校;情報機關指國家情報工作法第3條第1項第1款(包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊)及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定,行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關。 [4] 羅正漢,〈臺灣資通安全管理法上路一個月,行政院資安處公布實施現況〉,iThome, 2019/02/15,https://www.ithome.com.tw/news/128789 (最後瀏覽日:2019/5/13)。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級,各機關應依據其責任等級應從管理面、技術面及認知與訓練面向,辦理相應之事項。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後,應於1小時內依規定進行資通安全事件之通報;如為第一、二級資通安全事件,並應於知悉事件後72小時內完成損害控制或復原作業,第三、四級資通安全事件,則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉,行政院國家資通安全會報技術服務中心,https://www.nccst.nat.gov.tw/NISAC(最後瀏覽日:2019/5/14)。
美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面: 一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且: 1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務: 1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。 2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。 3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
日本公布新創事業與廠商合作之指針草案,統整雙方不對等契約關係之問題並提出改善建議日本經濟產業省、公平交易委員會及特許廳於2020年12月23日發布「Startup與廠商合作之相關指針」(スタートアップとの事業連携に関する指針)草案,並自同日起至2021年1月25日止向外徵求公眾意見。近年,日本國內一方面看重新創事業與大型企業合作所帶來的優勢;另一方面,在此種合作關係下,雙方的契約關係亦浮現如名為共同研究、卻由大型企業方獨占專利權等問題。基此,配合2020年4月未來投資會議的決議要求,統整新創事業與大型企業間不對等契約關係的問題與提出改善建議,並參考同年11月公平交易委員會所發布的「Startup交易習慣之現況調查報告最終版」(スタートアップの取引慣行に関する実態調査について最終報告),擬定本指針草案。 本指針主要著眼於新創事業與企業間的保密協議(Non-disclosure agreement, NDA)、概念驗證(Proof of Concept, PoC)契約、共同研究契約與授權(license)契約等四種契約類型。除了統整包含訂約階段在內的各種問題實例、以及日本獨占禁止法(私的独占の禁止及び公正取引の確保に関する法律)對此的適用現況外,亦提出了相應的改善與解決方案。舉例而言,指針草案指出,新創事業可能會被合作廠商要求對其公開營業秘密,卻未能簽訂保密協議。對此,合作廠商即可能構成獨占禁止法上濫用其優勢地位之行為。會造成此狀況發生的實務情境,可能為合作廠商承諾事後會簽署保密協議,但要求新創事業先行揭露其程式的原始碼等營業秘密等。而原因則主要包含新創事業缺乏足夠法律素養(literacy)、以及有關開放式創新的相關知識不足等。基此,指針提出改善方案,例如,締約前新創事業即先行區分出可直接向契約他方揭露的營業秘密、得透過締結NDA約定揭露之營業秘密、以及不得揭露之營業秘密等;締結NDA時,應盡可能具體約定營業秘密的使用目的、對象及範圍,並且考量到通常難以舉證廠商違反保密協議,因此不建議揭露攸關新創事業核心能力(core competence)的營業秘密。
何謂物聯網(Internet of Things, IOT)?物聯網是指明確可辨識的實體物件與虛擬的類網路代理架構的聯結。它是由馬克.維瑟於1991年所提出,指的是(個人)電腦作為機具設備的形式未來將逐漸消失,而替換為"智慧元件"的形式。當前人們關注的對象已經不再是物體本身,而是人們的各種活動中的物物相連。其在不知不覺中已經提供人們各式各樣的輔助,例如小型化的嵌入式電腦毋需操作,就可以提供各式各樣的輔助。這種微型的電腦,即所謂的穿戴式裝置,可以最大程度地結合不同感應器直接在服裝上出現。 數位化在多個層面正在改變我們的生活和工作方式。現代資訊技術幾乎使任何對象無論是家庭日常物品或工廠內的機器,都能用最小的空間達到強大的計算能力(所謂的“嵌入式系統”)。烤麵包機,洗衣機和機床都可由軟體控制,並可以透過網際網路相互、或與外部世界聯結。 物聯網在居家領域具體將以智慧住宅(Smart Home)形式呈現。運用智慧聯網技術將能獲得更多的舒適性和安全性、節約能源或提供適合各年領階層的生活與和起居。現有的解決方案可以透過智慧型手機遠端控制進行空調、電爐和燈具的使用。未來,洗衣機甚至可以自動尋找最優惠的電價決定洗衣服的最佳時間。 智慧家居若要成功,需得到消費者的接受。故物聯網解決方案必須具有可信賴性(資料保護、資訊安全)、能夠持久並可靠地運作,並能夠在未來繼續穩定地投入智慧家庭的行列。對於製造商和供應商而言,應該以在新的立場和視角來開拓一個新的市場。