簡析日本電子帳簿等保存制度與電子資料真實性之確保

　　美國專利商標局(下稱USPTO)於6月2日和Google簽訂一協議，為期兩年Google將免費協助USPTO提供超過10TB(terabytes)大量的專利及商標相關資訊，提供使用者一次下載大量資料。其下載網站為http://www.google.com/googlebooks/uspto.html，該網站載明，所有的原始資料都來自於USPTO，Google未修改任何資料，只將檔案轉為zip壓縮檔。 　　早期專利及商標的資料是由使用者付費後方可由政府的DVD取得，所以公司往往花費龐大的費用在於取得所需要的資料。 　　USPTO表示，IP群體渴望USPTO可提供大批機器可閱讀的格式，然而USPTO未具備相關的技術能力。目前此協議是過渡的解決方案，USPTO正發展策略，希望未來能讓合作承包商獲得大量專利商標相關資料，並提供給大眾使用。 　　Google工程經理Jon Orwant表示，Google非常高興能與USPTO合作，以促進專利及商標資料更具存取性(accessible)及有用性，更重要的為，使公開的資料更容易蒐集與分析。 　　為可經由Google下載相關專利及商標資料，包括已獲證圖像(grant images)，已獲證全文(grant full text)，已獲證目錄資料(grant bibliographic data)，已公開申請案(published applications)，轉讓(assignment)，維護費用事項(maintenance fee events)，USPTO Red Book及分類資料(classification information)等。USPTO表示，未來將與Google再合作提供額外的資料，包括專利及商標申請歷史檔案及其相關資料。

論美國與歐盟半導體之保護策略 蔡立亭 資訊工業策進會科技法律研究所 2021年12月 　　根據美國白宮於2021年9月23日的公告，COVID-19的流行衝擊產業的供應鏈；政府藉由法案的施行，積極預防晶片的短缺[1]。為保護產業的發展，與國際競爭力，不僅美國致力於晶片的自給自足；歐盟鑒於國際趨勢，亦積極強化技術能力[2]。本文擬研析於2021年，美國、歐盟促進半導體發展的策略，並聚焦於相關的法制與聯盟。 壹、事件摘要 　　據調查報告指出，由於近年大量外購半導體與設置境外公司，美國於全球半導體的產量占比，已明顯下降，並欠缺先進技術的能力[3]。申言之，美國於半導體生產的量與質，皆已呈現危機。基於穩定國內產業之供需，和提升半導體技術的量能，美國政府積極擬定《2021財政年國防授權法》；半導體產業並組成聯盟凝聚共識，共同維護半導體供應鏈之健全。 　　歐洲亦致力於推進半導體的發展，提出《歐洲晶片法案》（European Chips Act）[4]，歐盟並另成立「處理器與半導體技術聯盟」（the Alliance for Processors and Semiconductor technologies）[5]。申言之，歐洲以法案與產業聯盟，共同強化歐洲整體於國際半導體之技術量能。 貳、重點說明 　　承上所論，為協助境內半導體產業的發展，提升研發技術能力，美國與歐盟創造適合的生態環境。由政府制定規範，挹注相關資源；產業並聚集為聯盟，協力提升半導體產能。本文以下擬分述之。 一、美國 　　美國《2021財政年國防授權法》的H Division其他事項第99主題（TITLE XCIX），為「創造有助於美國生產半導體的激勵措施」[6]。係資助發展安全且穩定的半導體，和半導體供應鏈；並含建立多邊半導體基金[7]，以及與國外共同籌資機制（common funding mechanism）[8]。在提升半導體研究與發展的層面，則成立「國家半導體科技中心」，參與的單位為商務部、國防部、能源局與國家科學基金會[9]。該中心的任務為執行半導體的製造、設計、研究[10]；並建立投資基金，與私部門合作，以支持新創公司、產學合作，提升美國的半導體生態系[11]。申言之，美國以國家主導，跨部會協作，挹注經費，整合半導體的研究資源。 　　美國半導體聯盟（Semiconductors in America Coalition，SIAC）係由製造與使用半導體的公司，組成跨部門聯盟，其任務為藉由提升半導體的製造與研究，強化美國的經濟、關鍵基礎設施，與國家安全[12]。另，美國半導體工業協會（Semiconductor Industry Association，SIA）自1977年成立[13]，成員類型包含半導體設計與製造公司總部位於美國者（特許會員）、總部位於美國境外而對美國具有重要性者（國際半導體會員）、在半導體產業供應鏈中的公司且期待對聯盟的公共政策具有發言權者（企業會員），和非屬半導體產業的公司（企業夥伴）[14]。SIA的任務為推動政策與法規，提升國際競爭力，和維持技術領先性[15]。換言之，聯盟包含境外成員的參與，以共同推動半導體的發展。 二、歐盟 　　歐盟之《歐洲晶片法》則尚處於研議階段，係由歐盟委員會主席Ursula von der Leyen於2021年9月提出，並認為應連結半導體設計、製造與測試的能力[16]。歐盟委員Thierry Breton指出，該法案應包含三個構面：一為歐洲半導體研究策略，此為歐洲在全球半導體價值鏈中的優勢；次為藉由共同計畫，以提升歐洲的產出能力；三為國際合作的框架[17]。擬以法案深化歐洲半導體產業的研究、技術量能。 　　歐洲處理器與半導體技術聯盟，係於2021年7月成立，總體目標為識別晶片生產與企業技術發展需求間的落差[18]。並轉化為兩個主要的行動，一為強化歐洲電子設計的生態系統；次為建立必要的製造能力[19]。藉由檢視晶片的供需，以協調整體生態系的發展。 參、事件評析 　　綜上所論，美國與歐洲輔助境內半導體的發展，可歸納為縱向層面：以立法的方式，編列預算並保護技術。以橫向層面觀察，半導體產業組成聯盟，可由產業界的視角，交流相關技術經驗，和調整規範以符合技術發展實務。 　　美國與歐盟積極整合相關的資源，提升境內之半導體研究與技術，競爭國際之領導地位。觀察美國《2021財政年國防授權法》對半導體產業的輔助，或可歸納為1、國際合作籌資；2、跨部會合作；與3、公私協力。歐盟之《歐洲晶片法案》並擬於2022年第2季有相關的倡議[20]。或亦將注重國際合作，以優化半導體產業。 　　針對半導體聯盟之設置，成員或包含國際會員，以協調相關的政策、法規，整合半導體的供給與需求。申言之，美國與歐盟槓桿國際資源，輔助境內半導體產業，提升研發技術，與半導體供應之量能。 [1] Sameera Fazili and Peter Harrell, When the Chips Are Down: Preventing and Addressing Supply Chain Disruptions, Briefing Room Blog (September 23, 2021), https://www.whitehouse.gov/briefing-room/blog/2021/09/23/when-the-chips-are-down-preventing-and-addressing-supply-chain-disruptions/#3 (last visited Oct. 13, 2021). [2] EU’s costly plan to close the semiconductor gap, Bloc would do better to focus on chip design and specialist machinery, FINANCIAL TIMES, Oct. 4, 2021, https://www.ft.com/content/a016f686-791f-4a3f-9e7a-c6389896862b (last visited Nov. 2, 2021). [3] FACT SHEET: Biden-⁠Harris Administration Announces Supply Chain Disruptions Task Force to Address Short-Term Supply Chain Discontinuities, 100-Day Review Outlines Steps to Strengthen Critical Supply Chains, Final Report, The White House, https://www.whitehouse.gov/briefing-room/statements-releases/2021/06/08/fact-sheet-biden-harris-administration-announces-supply-chain-disruptions-task-force-to-address-short-term-supply-chain-discontinuities/ (last visited Oct. 18, 2021). [4] Ursula von der Leyen, President of the European Commission, 2021 State of the Union Address by President von der Leyen, Address at European Commission (September 15, 2021), 1, at 4, https://ec.europa.eu/commission/presscorner/detail/ov/SPEECH_21_4701 (last visited Oct. 21, 2021). [5] Digital sovereignty: Commission kick-starts alliances for Semiconductors and industrial cloud technologies, European Commission, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_3733 (last visited Oct. 20, 2021). [6] TITLE XCIX—CREATING HELPFUL INCENTIVES TO PRODUCE SEMICONDUCTORS FOR AMERICA, William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021, Authenticated U.S. Government Information GPO, One Hundred Sixteenth Congress of the United States of America at the second session, 1, at 1456, https://www.congress.gov/bill/116th-congress/house-bill/6395/text (last visited Oct. 22, 2021). [7] SEC. 9905. Funding for development and adoption of measurably secure semiconductors and measurably secure semiconductors supply chains (a), id., at 1467. [8] SEC. 9905. Funding for development and adoption of measurably secure semiconductors and measurably secure semiconductors supply chains (b), id., at 1468. [9] SEC. 9906. Advanced microelectronics research and development (c) (1), id., at 1471. [10] SEC. 9906. Advanced microelectronics research and development (c) (2) (A), id., at 1471. [11] SEC. 9906. Advanced microelectronics research and development (c) (2) (B), id., at 1472. [12] About, SIAC Semiconductors in America Coalition, https://www.chipsinamerica.org/about/ (last visited Oct. 20, 2021). [13] History, SIA Semiconductor Industry Association, https://www.semiconductors.org/about/history/ (last visited Oct. 21, 2021). [14] Join SIA, SIA Semiconductor Industry Association, https://www.semiconductors.org/about/become-a-member/ (last visited Oct. 21, 2021). [15] Mission, SIA Semiconductor Industry Association, https://www.semiconductors.org/about/mission/ (last visited Nov. 2, 2021). [16] Ursula von der Leyen, supra note 4. [17] 歐盟官方發布內容：Thierry Breton, How a European Chips Act will put Europe back in the tech race, Blog (September 15, 2021), https://ec.europa.eu/commission/commissioners/2019-2024/breton/blog/how-european-chips-act-will-put-europe-back-tech-race_en (last visited Oct. 20, 2021). Linked in發布內容：Thierry Breton, How a European Chips Act will put Europe back in the tech race, Linked in (September 15, 2021), https://www.linkedin.com/pulse/how-european-chips-act-put-europe-back-tech-race-thierry-breton/?published=t (last visited Oct. 21, 2021). [18] Alliance on Processors and Semiconductor technologies, Shaping Europe’s digital future, European Commission, https://digital-strategy.ec.europa.eu/en/policies/alliance-processors-and-semiconductor-technologies (last visited Oct. 20, 2021). [19] Industrial Alliance on Processors and Semiconductor Technologies, Internal Market, Industry, Entrepreneurship and SMEs, European Commission, https://ec.europa.eu/growth/industry/policy/industrial-alliance-on-processors-and-semiconductor-technologies_en (last visited Oct. 20, 2021). [20] EUROPEAN COMMISSION, Commission Work Programme 2022 Annex I: New initiatives (October 19, 2021), 1, at 2, https://ec.europa.eu/info/system/files/factsheet_cwp_2022_annex_v4.pdf (last visited Nov. 1, 2021).

　　從2006年開始，FCC所推出的「偏遠地區醫療照護領航計畫」 (Rural Health Care Pilot Programs)，扶植其國內50個不同的醫療照護寬頻網路。此計畫不僅強化了美國對於遠距醫療照護技術的需求，更被寄望發展成為一高效能之寬頻服務。而計畫中「聯盟」 (consortium-focused)的概念，更促進了城鄉醫療團隊的合作(rural-urban collaboration)。除了減低申請普及服務補助時所需花費之行政成本外，更提升了醫療業者購買所需頻寬時的議價地位。 　　不過美國政府並不以此為滿足，為進一步改善整體計畫的實施效益， FCC於2012年12月再次針對醫療照護普及服務進行新階段的革新，並提出「醫療照護網路基金」 (Healthcare Connect Fund)，以取代原有之領航計畫(Pilot Program)。「醫療照護網路基金」規劃的目的，在於提供計畫參與者更多的彈性，以規劃其本身的網路。業者可透過購買所需之寬頻服務、自行佈建寬頻基礎建設或混合上述兩種方式，取得所需之頻寬。不過FCC亦訂定資格限制以及審查機制。目前僅有具備一定經濟規模的醫療聯盟，可自行佈建寬頻基礎建設，獨立醫療業者並不具佈建之資格。另外，FCC亦要求醫療業者須提出詳細證明，以供主管機關審查。審查文件中需證實所得頻寬資源，是透過公正的招標機制後，所採行最具成本效益之決定。 　　普及服務的延伸就如同規劃渠道，將水源引向一片匱乏與困境的孤島。美國在面對偏遠地區醫療資源的匱乏，以及該地醫療業者的困境時，運用寬頻網路來傳遞病患所需的服務，也透過城鄉醫療業者的結盟，讓城市醫療團隊所發展的技術，得以與偏遠地區藉提供服務後所得的實證資料，透過網路互通流通，甚至允許醫療業者佈建基礎寬頻建設，以提供更完善的服務。普及服務的概念，不應該偏離電信基礎建設的佈建，但更上一層樓的是以滿足人民基礎生存權利之必須所主導的概念。

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。