歐洲汽車供應商協會發表關於標準必要專利之政策指南，以期有關單位能給予汽車產業更明確的指示

早在今年（2024年） 3月13日，美國眾議院曾正式表決通過《保護美國人免受外國對手應用程式侵害法案》（Protecting Americans from Foreign Adversary Controlled Applications Act），所有由「外國敵對勢力控制的應用程式」若對國內造成國安威脅，則必須在法案生效後的6個月內拆分在美國之業務及出售持股，且收購公司或新成立公司的營運必須完全獨立自主，不得與原事業有任何往來或合作關係，包括演算法或資料分享等。而相關收購案也須經過主管機關審查，確認其出售之後已完全脫離外國敵對勢力的控制，直到分拆業務為止，美國的虛擬主機服務提供者，始得為其架設網站；若超過期限而未出售，其將從應用程式商店和基於網路的託管服務中被關閉，永久被排除在美國的Google Play、Apple App Store等軟體商店之外。 攤開美國商務部所列的外國敵對勢力清單，中國大陸和香港、古巴、伊朗、北韓、俄國都在名單之列。然而，擁有1.7億美國使用者的短影音平臺TikTok在美國極為盛行，且盛傳TikTok似將所蒐集的美國使用者個人資料提供中國大陸北京政府，因而成為該法案首當其衝的頭號目標。故法案當中即點名TikTok，甚至強調其母公司字節跳動（ByteDance）未來推出的應用程式亦在禁止之列，故該法案又俗稱TikTok禁令。 於審議2024年度的國安補充撥款法案時遂提出將援外法案裂解成獨立法案的發想，而TikToK禁令則屬其他國安需求之類別而包裹在另外一個法案中進行單獨的審議及表決，為兩黨創造更多妥協空間，以便在個別議題上尋求最大公約數。4月20日下午，眾議院以360票贊成58票反對通過《透過力量實現21世紀和平法案》(21st Century Peace through Strength Act)，爾後以四案合一的包裹方式送交參議院審議表決，於當地時間23日晚間美國參議院通過該單一修正案，24日再經美國總統拜登（Joe Biden）簽署後正式生效。該HR8038法案包含對以色列、烏克蘭、印太區域安全的3項援助法案，至於強制TikTok脫離中國大陸母公司字節跳動的措施則位在法案的D章節，此部分名為「保護美國人免受外國對手控制應用程式侵害」，實質上乃與眾議院上月通過的法案類同，僅在出售期限上與眾議院上月通過的版本不同，其理由在強調該法案首在以「撤資」為核心，故從原先6個月之限期展延至1年，而此1年期限包含法案生效後270天內讓受規範者脫售持有股份，如於出售期限屆期之際，倘在任何收購階段已取得進展或近乎完成撤資之目標，總統基於職權可額外授權給予90天寛限期以便完成交易程序。從而當前受第一波影響的TikTok得暫時在美國市場續命，惟若終局倘未能出售其在美資產及持股而達完全剝離母公司控制之進程，仍舊得面臨業務全面下架並禁止在美國境內運營的結果。 從HR8038法案的通過可透析兩個重要資訊： 1.為美方體認到社群媒體強大的認知影響力：此前有關數位平臺演算法如何推薦特定內容的曝光不易由法律監管，任何措施皆須在美國憲法第一修正案的框架下進行，避免任何人對言論自由和獲取資訊施加限制，因而法案改以不公平競爭之角度為外衣，迫使敵國之外國企業出售技術和資產，防免其透過不透明的演算法操縱美國人民的行為判斷。 2.從法案的性質上綱到國家安全層次觀察：可探知該法案為美中在科技領域角力下之產物，阻止中國大陸將數據資料武器化，由於中國從2017年起，陸續通過《國家情報法》、《網絡安全法》和《數據安全法》等國安法規，明文規定如為維護國家安全或調查犯罪，有關單位可以調取數據，而握有數據的私人企業或個人只能依法配合，同時中國大陸北京政府也大力整頓網路科技業者，目的之一就是提高國家對企業蒐集資料的控制，產生干預美國內政之風險。 惟TikToK借鑒在蒙大拿州之經驗，表示將同樣基於違反美國憲法第一修正案所保障之言論自由採取法律行動，擬透過司法救濟途徑爭取其在市場上繼續運營的空間。若期間法院未作成任何決定，自法案生效日（2024年4月24日）起算270天，正值落在下一任總統就職前一天，即2025年1月19日之前，字節跳動公司必須出售TikTok在美之業務及資產，屆期未出售則將從Apple App Store或Google Play等應用程式商店全面下架TikTok及其更新版，否則應用程式商店將面臨依使用者數量計算的等比例罰款，另外其他網路服務供應商也將封鎖TikTok進行網路存取。

　　過去十餘年來，美國商務部國家技術與標準局（The Commerce Department’s National Institute of Standards and Technology, NIST）推動的「先進技術計畫」（Advanced Technology Program, ATP），成功帶領美國中小企業透過技術的研發投入，創造美國經濟榮景。近年來面對變動劇烈的國際環境，為提升美國競爭力，美國總統於2007年8月9日簽署通過「意涵深遠地促進傑出技術、教育與科學之美國機會創造法」（The America Creating Opportunities To Meaningfully Promote Excellence In Technology, Education, And Science Act, 簡稱The America COMPETES Act）。 　　The America COMPETES Act特別授權NIST負責推動並執行一項新的研究補助計畫－技術創新計畫（Technology Innovation Program, TIP），企圖藉由在國家重點需求領域（critical national need areas），補助具有高風險性及高報酬的技術研究（high-risk, high-reward research），支持、促進並加速美國的創新。所謂「高風險、高報酬」之技術研究，指具有以下三項特質的技術研究：（1）研究可轉化成具體實益的潛在可行性，其成果將產生深遠及廣泛的影響；（2）研究計畫的進行係為了回應屬NIST技術職掌範圍內的重大國家需求；（3）研究的技術議題過於創新（too novel）或跨越甚多學科（spans too diverse a range of disciplines），以致傳統的專家審查程序無法適當地用來篩選此類計畫。至於「國家重點需求領域」，指問題觸及的面向極大，然須要被克服的社會挑戰（societal challenge）尚無因應之道而有賴國家予以關注，此等問題與社會挑戰可能可以透過高風險、高報酬研究之進行而予以解決者。 　　根據The America COMPETES Act，TIP將依研究實力競爭（on the basis of merit competitions）的原則，透過分攤成本的研究補助（cost-shared research grants）、合作協議（cooperative agreements）或契約（contracts）等方式，鼓勵業界單獨或共同（透過合資方式）提出技術創新的研究計畫申請以合資方式提出者，其主導者（lead entity）可為中小型企業或高等教育機構。TIP的補助對象限於設立於美國並在美國境內經營其主事務的中小型企業，外國企業參與TIP若符合美國經濟利益者，亦得獲得補助。TIP的補助金額不超過個別研究計畫總成本的半數，且只能用於補助直接成本，間接成本、收益或管理費則不在補助之列。總計對單一單位的補助以最長三年且不超過三百萬美元為限；對於合作研究則以最長五年且不過過九百萬美元為限。由於The America COMPETES Act僅就TIP的補助目的、補助對象、補助條件等作原則性規定，其運作細節仍有待NIST進一步設計，日前NIS已於2008年3月7日對外公布TIP執行規則草案，徵求各界意見。 　　隨著TIP的規劃與實際運作，過去由NIST所執行的ATP也將完成其歷史性任務，由TIP取代並宣告美國政府支持產業技術研發的新理念－亦即透過支持高風險、高報酬之技術研究，以回應美國的國家重點需求領域。 　　身為全球創新的龍頭，美國所提出的科技研發創新政策向為各國學習與參考借鏡的標竿，隨著The America COMPETES Act的通過，新法中關於美國產業創新的新機制規劃，已引起其他國家高度關注。印度科技與地球科學（Science & Technology and Earth Sciences）部長在The America COMPETES Act通過的一個月後即宣佈，印度政府將於短期內提出全面性的印度創新法案（Indian Innovation Act），藉以激勵印度的創新，而此項創新法案將會以美國的America COMPETES Act為參考模型。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　英國智慧財產局於2017年10月1日修正公布施行智慧財產權不正當威脅法（IP Unjustified Threats Act 2017），使智慧財產權之法規範更具明確及一致性，並協助企業免於昂貴的訴訟費用。 　　所謂智慧財產權之不正當威脅（unjustified threat）係指無智慧財產權、智慧財產權已過期或無效、或雖未實際發生智慧財產權之侵權事實，卻對他人提起侵權之法律行為或措施，該行為耗費成本、引起市場混亂，致使客戶出走並造成企業合法販售商品或服務之業務停滯，並扼殺智慧財產創新之本質，破壞市場衡平。 　　因涉及智慧財產侵權之法規範複雜、不明確或不一致，且當有侵權之虞尚未進入司法審判程序前其紛爭難以解決，致使智慧財產權人（特別是擁有智慧財產權之中小企業）不願意實施其權利。因此，修正公布施行智慧財產權不正當威脅法將有助於智慧財產權人或第三人知悉何種行為算是威脅，提供明確之規範框架，鼓勵企業建立商談（talk first）文化，使爭議雙方可交換訊息以解決紛爭，而非興訟。並使企業或個人在智慧財產權爭議中取得公平合理的地位，以保護客戶及供應鏈（包括零售商或供應商），避免企業或個人因不正當威脅、惡性之商業競爭，而遭受損害。再者，智慧財產權之不正當威脅法適用於專利權、商標權及設計權，使智慧財產權法複雜之規範更趨明確且一致。