印度隱私權制度下兒童資料安全的保護現狀

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

　　歐盟執委會人工智慧高級專家小組（High-Level Expert Group on Artificial Intelligence）於2019年4月8日公布「具可信度之人工智慧倫理指引」（Ethics Guidelines For Trustworthy AI）。該指引首先指出，具可信度之人工智慧需具備三個關鍵特徵：（1）合法（Lawful）：應遵守所有適用於人工智慧之法規；（2）合乎倫理（Ethical）：確保人工智慧符合倫理原則與價值；（3）健全（Robust）：自技術與社會層面觀之，避免人工智慧於無意間造成傷害。 　　該指引並進一步指出人工智慧應遵守以下四項倫理原則： (1) 尊重人類之自主權（Respect for Human Autonomy）：歐盟之核心價值在於尊重人類之自由與自主，與人工智慧系統互動之個人，仍應享有充分且有效之自我決定空間。因此，人工智慧之運用，不應脅迫、欺騙或操縱人類，人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害（Prevention of Harm）：人工智慧不應對人類造成不利之影響，亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性，技術上則應健全，且確保不會被惡意濫用。此外，弱勢族群應於人工智慧運用中受到更多關注，並被視為服務對象。 (3) 公平（Fairness）：人工智慧系統之開發、布建與利用，必須具備公平性。除了透過實質承諾與規範，進行平等與公正之利益與成本分配外，亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害，並可對人工智慧之自動化決策結果提出質疑，且獲得有效之補救。 (4) 可解釋性（Explicability）：人工智慧應盡量避免黑箱（Black Box）決策，其系統處理程序須公開透明，並盡可能使相關決策結果具備可解釋性，分析特定訊息可能導致之決策結果，此外亦需具備可溯性且可接受審核。

我國促進外籍人才來台之法規鬆綁簡介 資訊工業策進會科技法律研究所 法律研究員　吳采薇 105年12月02日 　　在創新驅動時代，創新、研發為經濟成長的核心，而人才是創新、研發的根本。為了競逐產業發展關鍵人才，近年來各國政府陸續推出吸引外國人才之政策措施，期望吸納國際人才以為產業發展挹注新活力。我國行政院於103年核定創業拔萃方案 ，象徵延攬外籍 人才來台之決心，並由各主管機關進行相關法規鬆綁，為外籍人才來台發展建立完善制度。本文將針對外籍人才來台參與創業活動之法規鬆綁議題，以及其放寬範圍進行簡介。 壹、法規鬆綁議題 　　我國由於土地資源稀少、人口密度高，對於外籍人士來台停、居留或移民有一定之條件門檻。但在國際競才之環境下，若外籍人士進駐的門檻過高，可能不利我國延攬外籍人才，並且可能對我國產業創新造成負面影響。有關法規鬆綁議題，說明如下： 一、不利爭取僅具創意想法之外籍創業家來台發展 　　在全球化趨勢下，除了吸引外國資金、技術之外，吸引創新及創意人才亦為政策重點[1]。根據行政院核定的「推動創業家簽證之規劃」分析，目前外籍人士來台的簽證方式主要有商務停留、投資居留、投 資移民等方式[2]。惟商務停留屬於短期停留，較不適合計畫長期在台發展之外籍創業家作為長期居留的管道；又投資居留及投資移民有投資門檻限制，可能排除具創意想法但尚未取得創業資金之創業家。 　　故此，對於有創意構想但資金不足之草創時期創業者，難以依據我國既有簽證管道來台進行創業籌備工作，導致其轉往其他國家發展，可能使得我國錯失潛力創新創業人才，無法於國際人才競賽中取得先機。 二、不利爭取僅具創意想法之外籍創業家來台發展 　　過去普遍認為僅有大型或跨國企業才有延攬外籍專業人才之需求，因此我國「外國人從事就業服務法第46條第1項第1款至第6款工作資格及審查標準(以下簡稱審查標準)」，對於企業延攬外籍專門及技術人才，設有雇主資格限制及外籍工作者條件限制。但數 位經濟的發展顛覆企業聘僱外籍人才之運作，即便是中小型新創事業，由於希望融入多元文化與跨領域之思考，而由多國成員組成，可能難以符合審查標準之規定。 （一）雇主資格限制 　　依據審查標準第4條規定，外國人可從事之專業性及技術性工作類型包括：營繕工程或建築技術、交通事業、財稅金融服務、不動產經紀、移民服務、律師、專利師、技師、醫療保健、環境保護、文化、運動及休閒服務、學術研究、獸醫師、製造業、批發業及其 他經中央主管機關會商中央目的事業主管機關指定之工作。 　　又依審查標準第36條規定，聘僱外國人之雇主應符合實收資本額達新台幣5百萬元以上、營業額達新台幣1千萬元以上、進出口實績總額達美金1百萬元以上或代理佣金達美金40萬元以上。受拘束之業別包括不動產經紀、移民服務、環境保護、文化、運動及休閒服 務、製造業、批發業及其他經中央主管機關會商中央目的事業主管機關指定之工作。 　　故此，我國中小型新創事業若未符合資本額5百萬元以上或營業額1千萬元以上之資格限制，則將因雇主資格不符而無法延攬外籍人才加入新創事業。 （二）外籍工作者條件限制 　　依據審查標準第5條規定，受聘僱之外籍人才應符合下列資格之一，並且其薪資不得低於中央主管機關公告之月平均薪資(新台幣47,971元)。 1.依專門職業及技術人員考試法規定取得證書或執業資格者。 2.取得國內外大學相關系所之碩士以上學位者，或取得相關系所之學士學位而有2年以上相關工作經驗者。 3.服務跨國企業滿1年以上經指派來我國任職者。 4.經專業訓練，或自力學習，有5年以上相關經驗，而有創見及特殊表現者。 　　惟實務運作上，我國企業可能受制於上述受聘僱之外籍人才條件，而無法延攬中意之外籍人才，例如具有學士學位仍需2年以上相關工作經驗，產生專長經驗與學位領域不同而無法適用的情況[3]；或企業 有意延攬之人才甫自大學畢業或正在研讀碩士學位，雖有撰寫程式經驗或對跨國市場有所瞭解，仍無法滿足「相關工作經驗」之要求。 三、僑外生畢業後難以留台工作 　　在我國學校畢業之僑外生申請工作簽證，必須回歸「外國人從事就業服務法第46條第1項第1款至第6款工作資格及審查標準」第5條之學士學位外籍工作者需具備2年工作經驗之條件，以及薪資下限要求，導致僑生或外籍學生畢業後難以直接進入我國就業市場 。一旦學生身份消滅即喪失居留事由，因此必須回國發展，使得我國無法有效運用僑外生的知識及經驗，以幫助企業發展海外市場。 貳、已鬆綁之規範 　　為推動我國創新創業發展，廣泛吸納國際相關人才，自103年迄今，各部會已陸續完成外籍人士來台參與創業活動之法規鬆綁。有關外籍人才來台相關法規鬆綁之說明如下： 一、開放外籍創業家來台 　　為促進具創意想法之外籍創業家來台發展，行政院104年核定「推動創業家簽證之規劃[4]」，由外交部增設以「創新創業」為由之居留簽證，以及經濟部投資審議委員會訂定「外國人來臺申請創業家簽證資格審 查處理要點」，對於符合創新創業條件[5]之個人或團隊給予1年居留期限，每年初簽暫以核發2,000名為原則[6]。居留屆滿前，經經濟部核有「已設立公司並具有營 運事實(如：公司營業收入及進貨支出、僱用員工人數、或租金及水電費等)」，可取得延長居留期間2年。內政部亦配合修正「香港澳門居民進入台灣地區及居留定居許可辦法」相關規定，以開放港澳創業家來台發展。 二、放寬具創新能力之新創事業延攬外籍人才 　　創業拔萃方案放寬創新的新創事業延攬外籍人才，對於「具創新能力之新創事業[7]」放寬其聘僱外籍人才之限制，包括雇主資本額或營業額、外籍人才學士學位需2年相關工作經驗之限制等，說明如下： （一）放寬雇主資格限制 　　勞動部104年1月7日放寬自由經濟示範區、「具創新能力之新創事業」聘僱外籍人才之雇主資本額或營業額限制。透過放寬審查標準第36條第5款所定之專案認定之解釋[8]，使自由經濟示範區之區內事業單位、 以及「具創新能力之新創事業」得聘僱外籍人才，免受雇主資本額或營業額門檻限制。 　　此外，勞動部進一步於104年12月25日預告修正審查標準，期望全面刪除雇主資本額及營業額限制，惟其他併同修正之相關條文引發爭議，目前已暫緩公告[9]。 （二）放寬外籍工作者條件限制 　　為降低開放外籍工作者來台對我國就業市場的衝擊，勞動部目前僅針對具創新能力之新創事業進行開放，以因應新創企業之用人需求，並透過跨部會申請審核程序，對於聘僱外國人才之雇主進行審核管制。針對受聘僱之外籍工作者條件，已放寬項目說明如下： 1.放寬「具創新能力之新創事業」聘僱之外籍人才2年工作經驗要求：勞動部104年5月修正審查標準第6條第1項規定，協助企業延攬專門性、技術性工作人員，經中央主管機關會商中央目的事業主管機關專案同意者，其依第5條第2款聘僱之外國人，得不受2年以上相關 工作經驗之限制。依據勞動部「具學士學位之外國人從事專門性或技術性工作免除2年工作經驗會商機制」說明，會商機制分為「通案會商」及「專案會商」。通案會商將以跨不會召開會商會議或以書面方式進行會商，以決定某一範圍內之特定產業，其企業雇主所聘僱顧 之外籍專業人員得否通案免除2年工作經驗之限制。而專案會商則由企業雇主個別提出申請，由勞動部提議進行跨部會協商，已決定是否針對個案進行放寬[10]。 2.放寬「具創新能力之新創僑外資事業」聘僱外籍主管範圍：勞動部104年5月修正審查標準第38條第1項第4款規定，將主管資格放寬為部門副主管以上或相當等級之人員。 3.放寬「具創新能力之新創事業」聘僱之外籍人才，屬「經專業訓練或自力學習，而有創見及特殊表現者」，得免除5年相關經驗限制：勞動部104年5月修正審查標準第6條第2項規定，具創新能力之新創事業者，依第5條第4款聘僱之外國人，得不受5年以上相關經驗之 限制。 　　惟勞動部104年12月25日預告將修正審查標準，改採雙軌模式，引發社會大眾批評。該雙軌模式係指除了既有聘僱管道，同時新增評點制，亦即外籍專業及技術人員僅需學歷、外語能力、專業能力等達60點以上，即可來台工作，毋須受限於「2年工作經驗」及「薪 資達47,971元」之門檻。但相關團體擔心雙軌模式之大幅開放可能造成我國薪資水準惡化，以及容易遭到濫用等問題，是故目前該修正草案已暫緩公告[11]。 （三）放寬僑外生留台工作 　　為鼓勵優秀僑外生畢業後留台工作，勞動部103年新增審查標準第5-1條規定，實施僑外生工作評點配額制，針對在我國公立或經立案之私立大專以上校院畢業之外國留學生、僑生或其他華裔學生，其受聘僱資格改以學經歷、薪資水準、語言能力及特殊專長等8個 項目進行評點，累計超過70點者，即可取得聘僱許可，不受審查標準第5條及月薪47,971元以上之限制。 　　目前僑外生工作評點配額制105年開放2,500名配額供工作許可申請[12]。此外，內政部移民署103年亦修正「外國人停留居留及永久居留辦法」第22條規定，增列留學生畢業後得申請延期6個月，以利其求職。 參、結語 　　察我國外籍人才來台法規鬆綁之脈絡，有關外籍創業家來台、創新的新創企業延攬外籍人才、僑外生畢業後留台工作之議題已完成初步放寬。除了僑外生留台工作放寬幅度較大之外，其他項目僅採取短期性或小幅度地放寬，如創業家簽證每年有固定核發額度、延 攬外籍人才之鬆綁僅限於「具創新能力之新創事業」，並針對個案審核以評估是否開放。 　　在法規鬆綁之外，仍需仰賴相關配套措施進行管理與推廣，如創業家簽證與僑外生評點制之國內外宣傳、申請便利性及外籍人士在台之管理等。而放寬新創企業延攬外籍人才部分，目前僅開放於具創新能力之新創事業，以回應我國新創企業之需求。至於後續是否 須增加開放範圍，仍待相關部會蒐集我國新創企業之看法，以及聽取利害關係人之意見。唯有不斷精進外籍人才來台參與創業活動之相關法規，建立我國完善的創業環境，才能吸引國際人才進駐，實現創新創業之目標。 [1] Business Roundtable, State of Immigration: How the United States Stacks Up in the Global Talent Competition (2015), http://businessroundtable.org/sites/default/files/immigration_reports/BRT%20immigration%20report.pdf (last visited Aug. 17, 2016). [2] 國家發展委員會，〈推動創業家簽證之規劃(核定本)〉，http://ws.ndc.gov.tw/Download.ashx? u=LzAwMS9hZG1pbmlzdHJhdG9yLzEwL3JlbGZpbGUvNjM4MS8yMzEwNy8wMDYzMDQ2LnBkZg%3d%3d&n=5o6o5YuV5Ym15qWt5a6257C96K2J5LmL6KaP5YqDKOaguOWumuacrCkucGRm&icon=..pdf (最後瀏覽日：2016/08/23)。 [3] 郭芝榕，〈鬆綁外籍人才怎麼做? 創業圈提5大建議，勞動部：兩週內蒐集共識！〉，數位時代，2016/03/02，http://www.bnext.com.tw/article/view/id/38804 (最後瀏覽日：2016/06/16)。 [4] 國家發展委員會，〈創業家簽證〉，http://www.ndc.gov.tw/News_Content.aspx?n=C07A4E0160AC69CE&sms=3AF9F1AD6420C22B&s=C5A037B21C472687 (最後瀏覽日：2016/06/16)。 [5]根據經濟部投資審議委員會之「外國人來臺申請創業家簽證資格審查處理要點」規定，有關申請創業家簽證，以個人為申請者之條件包括(1)獲得國內外創業投資事業投資，或於政府認定 之國際性募資平台籌資新臺幣2百萬元以上；(2)已獲同意進駐政府認定之創新創業園區或育成機構者；(3)取得國內外專利權；(4)參加國內外具代表性之創業、設計競賽獲獎者，或申請政府鼓勵外國創業家來台專案計畫通過；(5)已在臺設立符合具創新能力之新創事業認 定原則之事業，擔任該事業負責人並投資新臺幣1百萬元以上。 以團隊為申請者之條件包括(1)在台尚未設立之事業，應符合前款第1目至第4目條件之一者；(2)已在臺設立符合具創新能力之新創事業認定原則之事業，該團隊成員須擔任該事業之負責人、經理人或主管等職務，且合計投資金額達新臺幣1百萬 元以上者。 [6]經濟部投資審議委員會，〈經濟部投審會於104年6月29日發布施行「外國人來臺申請創業家簽證資格審查處理要點」〉，http://www.moeaic.gov.tw/system_external/ctlr?PRO=NewsLoad&id=1053 (最後瀏覽日：2016/06/16)。 [7] 依據行政院於103年8月19日核定之「具創新能力之新創事業認定原則」規定，具創新能力之新創為設立未滿5年之事業，且符合下列條件之一：(1)已獲得國內、外創業投資事業投資新臺 幣2百萬元以上；(2)已登錄財團法人中華民國證券櫃檯買賣中心創櫃板；(3)申請取得我國發明專利權、或經我國發明專利權人以其發明專利權讓與 或授權實施並經經濟部智慧財產局登記；(4)已進駐行政院核定之國際創新創業園區(定名台灣新創競技場 TSS)、經濟 部 直營、或該部近三年評鑑優良之育成機構，及其他經主管機關認可之 育成機構；(5)申請事業或其負責人曾參加國內、外具代表性之創業及設計競賽獲獎；(6)曾經或現正進駐經政府相關機關認定之加速育成機構；(7)其他經中央目的事業主管機關認定。 [8] 〈104年1月7日勞動發管字第10398016801號〉，行政院公報資訊網，http://gazette.nat.gov.tw/EG_FileManager/eguploadpub/eg021003/ch08/type2/gov82/num46/Eg.htm (最後瀏覽日：2016/06/16)。 [9]〈放寬白領外勞案 勞動部暫緩將再議〉，自由時報，http://news.ltn.com.tw/news/politics/breakingnews/1581286 (最後瀏覽日：2016/06/16)。 [10]〈具學士學位之外國人從事專門性或技術性工作免除2年工作經驗會商機制〉，勞動部，http://hirecruit.nat.gov.tw/chinese/download/consultation_des_cht.pdf (最後瀏覽日：2016/06/17)。 [11]台灣勞工陣線，〈反對開放低薪白領外勞，47971元薪資下限不能廢〉，苦勞網，http://www.coolloud.org.tw/node/84364 (最後瀏覽日：2016/06/17)。 [12] 〈勞動部公告105年受理僑外生留臺工作名額2,500名〉，勞動力發展署https://www.wda.gov.tw/home.jsp?pageno=201111160008&acttype=view&dataserno=201507160002 (最後瀏覽日：2016/02/04)。