歐盟委員會發布NIS 2實施條例以定義資安重大事件

歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:

1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。

2. 造成商業機密洩漏。

3. 已造成或能造成自然人死亡。

4. 對自然人健康已造成或能造成大量傷害。

5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。

6. 反覆發生的事件。

7. 符合第5條至第14條特定資訊服務的事件。

實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。

歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。

相關連結
你可能會想參加
※ 歐盟委員會發布NIS 2實施條例以定義資安重大事件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9290&no=64&tp=1 (最後瀏覽日:2026/07/02)
引註此篇文章
你可能還會想看
科技計劃研發成果之讓與及終止維護-科技部審查程序所生疑義-

科技計劃研發成果之讓與及終止維護 -科技部審查程序所生疑義- 資策會科技法律研究所 法律研究員 林思妤 105年04月28日 壹、前言   科技部目前提供產學合作計劃補助類型相當多元,有為產業發展前瞻技術的先導型計劃、為產業開發核心應用創新技術的開發型計劃,以及培育人才的應用型計劃[1],但補助的目的均係期待產學合作的研發成果以授權方式,廣泛為社會大眾使用,發揮其最大之效益。   惟部分研發成果或有可能經執行單位評估後,認為將該研發成果讓與給廠商或是企業可達更大運用效益而進行的讓與,抑或是在運用效益不高的情況下擬終止繳納該研發成果的維護費用。當研發成果有讓與或終止維護需求的情況下,其程序如何進行、實質要件如何審查,在法規適用上非無疑義。本文將以現行「科技部研究成果歸屬及運用辦法」(下稱科技部成果歸屬辦法)中「讓與」、「終止維護」的程序及審查流程為主要對象,就其規定內容與所面臨之適用問題,進行研析並提出調修之建議。 貳、各部會成果歸屬辦法讓與、終止維護規定有差異   根據科學技術基本法第6條第3項[2],行政院於2000年訂定「政府科學技術研究發展成果歸屬及運用辦法」,以供所屬各部會遵循。在主管機關階層,目前經濟部、農委會、國防部、原能會等也都有各自的成果歸屬辦法[3],而科技部亦於2011年制定了「科技部科學技術研究發展成果歸屬及運用辦法[4]」。各部會之所以針對研發成果的運用方式給予規範,乃是由國家給予該研發成果補助的立場出發,希望能夠以授權的方式,尤其是非專屬授權的方式作為研發成果的運用,讓社會大眾有廣泛使用、享受該研發成果的機會[5]。因此,在政府的立場上,由各部會給予補助的研發成果要進行讓與或是走向終止維護,須根據其規範實行之。   科技部成果歸屬及運用辦法第9條至第11條為其科技計畫研發成果讓與、終止維護的程序進行方式以及審查項目之規範,其要求包括研發成果專利權在經過一定合理期間推廣之後若無授權使用,始得公告讓與該研發成果予第三人[6],公告三個月後,無人請求受讓時,始得終止繳納該研發成果的維護費用[7]。   綜觀各部會成果歸屬辦法,科技部的規定和其他部會規範讓與、終止維護的目的相同,但在法條文字或是審查項目上則有所差異[8]: 一、在讓與、終止維護標的部分的比較,科技部是唯一一個將標的範圍限縮於研發成果專利權的單位。經濟部、國防部、衛福部、原能會以及農委會僅廣泛明文研發成果,而勞動部則是強調為研發成果智慧財產權。可見現行科技部成果歸屬辦法適用範圍之狹隘。 二、各部會在讓與、終止維護的審查規定上,大方向是一致的,皆規定了該研發成果必須是公開的,例如經過推廣(科技部)、公告(經濟部、衛服部、原能會),或是取得智慧財產權逾五年(國防部、農委會、勞動部);以及須以授權為優先原則,諸如該研發成果無授權使用(科技部)、無運用價值(經濟部、國防部、原能會)、未商品化(衛福部)、未有實際應用(農委會、勞動部)。但究竟應如何推廣並未說明,公告時間則有三年、五年,差異甚大。 三、研發成果經過了一定時間的公開推廣並符合授權優先原則之後,其讓與評估的進行方式並未說明。在認定可否為讓與的部分,經濟部交由研發執行單位自行認定,其它部會並未明文;在公告讓與執行部分,有由研發執行單位自行公告,有由部會公告,亦有未明文者。 四、每個部會皆一致的將讓與、終止維護兩個不同的研發成果運用方式使其在同一個程序上進行,規定該研發成果公告讓與三個月之後,若無受讓對象,即可停止繳交該研發成果的維護費用[9],是一個讓與、終止維護的連續性程序。   就上述各部會之間針對讓與、終止維護在規範上的比較,可觀察出,或許是各部會之間因研發成果性質相異而有不同考量所致,在類似的規範上仍存有前提條件上的差異;在審查項目上,要求也不一致。但各部會皆是讓與、終止維護的連續性程序,且審查項目亦皆有規範不明確的地方,例如推廣的方式。接下來,本文將就科技部讓與、終止維護的規範在適用上所產生的疑義作一分析,也期待此分析可提供其他部會在類似問題上作參考。 參、科技部研發成果讓與及終止之審查作業芻議 一、研認研發成果讓與之範圍   雖現行條文僅將研發成果限於「研發成果專利權[10]」,惟本文建議可放寬至所有研發成果,讓產學合作的研發成果能有更大的運用空間,類型能夠更加多元化,尤其是專利申請權的部分。建議納入專利申請權成為讓與標的,因為在實務上研發執行單位有礙於經費問題,無法在其研發成果的特定市場(例如國外)進行專利佈局。故建議可納入專利申請權讓與企業申請,使研發成果發揮其更大效益。 二、讓與、終止維護程序疑義 (一) 讓與、終止維護無法各自依其目的審查   目前科技部成果歸屬辦法規定是由研發執行單位就其欲讓與的研發成果先行評估是否適合讓與,再進行公告尋求受讓對象,也就是在尚未確定受讓對象時,先行評估讓與條件。這樣的程序規定並無法讓研發執行單位針對受讓對象作具體評估,也使得科技部無法就雙方條件進行有效實質審查。再者,研發成果公告讓與三個月後,若無受讓對象,即終止維護。這樣的連續性程序將有可能使尚有運用價值的研發成果走向終止維護,甚是可惜。 (二) 建議讓與、終止維護程序分軌   針對上述在程序上的兩個問題,本文建議無論是在讓與或是終止維護方面,都應在確定推廣一定合理期間、確無授權使用情形後,就先行公告讓與,待有受讓對象時,再就該讓與研發成果及受讓對象之間作具體評估。相信在確有受讓對象之後作的讓與條件評估,會比現行在沒有受讓對象時作的一般性讓與條件評估更有實質效益。   另外,欲終止維護的研發成果也應該在公告讓與一定時間之後,設有專屬的審查程序,就其運用效益、價值進行評估,而非如現行規範接續著讓與評估程序,在公告三個月後無受讓人時,即終止繳納維護費用。簡而言之,讓與或是終止維護均應該先行公告,再就其公告結果(有無受讓對象)作讓與、終止維護的評估,以避免有運用價值的研發成果落入終止維護的風險。 三、讓與、終止維護審查重點   就實質審查部分,不管是讓與或是終止維護,研發執行單位都應該先就該研發成果標的範圍進行說明,並針對經過一定合理期間推廣、確無授權使用情形提出自評結果及其相關佐證文件,再交由科技部審查。基於讓與、終止維護程序分軌的建議,兩者在部分審查項目上亦應有不同的判斷標準,例如讓與之前提即不宜以無技術服務之效益及運用價值為條件[11]。因此,本文認為其審查重點應有如下調整: (一) 一定合理期間推廣該研發成果至全國周知平台   就一定合理期間部分,現行法並未明文規定具體期間,慮及科技發展日新月異,研發成果之市場競爭力究竟可以維持多久,抑或是在多少時間之內可能被其他技術取代,不同的研發成果都不盡相同,實難具體規定所謂一定合理期間,故維持現行法之文字應無不妥。   惟就推廣方式或是宣傳平台,本文擬對現行規範以及實務上的作法提供建議。在規範部分,比較各部會之間針對讓與、終止維護的規範後,發現僅國防部有具體訂定公告方式:「前項公告,執行單位應以刊登網際網路、全國性報紙、函告業界相關公會 或辦理說明會等方式為之[12]」。另外,行政程序法第一五四條第二項「行政機關除為前項之公告外,並得以適當之方法,將公告內容廣泛周知。」強調了全國性能見度。在實務上,部分大學技轉中心也提供了推廣平台(例如交大專利推廣平台[13])。又如英國牛津大學技轉中心Isis,目前在國際專利申請(PCT[14])的數量排名全球第16名,截至2015年3月為止,已完成75件專利授權案件[15]。由國內外的例子看來,不管是規範上,或是實務運作上,皆可看出推廣平台的重要性。故本文建議推廣平台應有必要限於全國周知的平台[16]。 (二) 市場價值的判斷   科技部成果歸屬辦法第9條第1項提及「技術服務之效益及運用價值者」,在此,本文以市場價值稱之。而即將讓與或是終止維護的研發成果的市場價值在審查上自有其不同的判斷標準。就讓與部分,本文建議在讓與、終止維護程序分軌、先行公告讓與、確有受讓對象後,研發執行單位在自行評估讓與條件時,可請受讓對象提出針對該研發成果的預期發展效益,例如:產品研發進度、預計銷售量、讓與條件,作為讓與標的市場價值的說明。至於終止維護的部分,除了研發執行單位必須說明沒有運用價值以外,尚有一種情況是因為該研發成果維護費用過高,以至於與運用價值不合比例,因此走向終止維護。 肆、結語   科技部以及各部會基於期待其所補助的研發成果能夠廣泛被社會大眾使用,而以授權為研發成果的優先運用方式,並對讓與、終止維護部分加以規範。然後現行程序規範中,未將讓與、終止維護兩個不同的研發成果處理程序分別處理,造成兩者無法各自依其目的審查,甚至使尚有運用價值的研發成果走向終止維護,故本文建議應對讓與、終止維護程序進行分軌。又為了讓產學合作的運用更有彈性,建議放寬現行條文讓與標的的範圍由「研發成果專利權」擴大至「所有研發成果」。   本文就推廣該研發成果至全國周知平台以及市場價值在讓與、終止維護之間不同的判斷標準提供淺見,目的在於是讓研發執行單位在研發成果的運用上有更明確具體的法規遵循,使我國產學合作發展能夠日趨順利。但如何在希望達到社會大眾廣泛使用與適合該研發成果的運用方式之間,像是廠商或是企業往往偏向實質獲得研發成果所有權,取得一個平衡點,值得思考。 [1] 科技部產學及園區業務司產學合作計劃,http://web1.most.gov.tw/spu/ch/list?menu_id=03dbe285-8784-4be5-a5c9-1520f63676f5&view_mode=listView(最後瀏覽日,2016/4/14)。 [2]科學技術基本法第6條第3項:「前二項智慧財產權及成果之歸屬及運用,應依公平及效益原則,參酌資本 與勞務之比例及貢獻,科學技術研究發展成果之性質、運用潛力、社會公 益、國家安全及對市場之影響,就其目的、要件、期限、範圍、全部或一 部之比例、登記、管理、收益分配、迴避及其相關資訊之揭露、資助機關 介入授權第三人實施或收歸國有及相關程序等事項之辦法,由行政院統籌 規劃訂定;各主管機關並得訂定相關法規命令施行之。」。 [3] 王立達,「我國學術機構技術移轉法制現況、問題與探討」,全國律師13卷1期,2009年1月,47-59頁。 [4] 「科技部科學技術研究發展成果歸屬及運用辦法」,2011年7月1日,https://tw.news.yahoo.com/%E6%98%8E%E5%B9%B4%E9%80%A3%E7%BA%8C4%E5%A4%A9%E5%81%87%E6%9C%894%E5%80%8B-215005744.html(最後瀏覽日,2016/4/8)。 [5] 現行研發成果的運用、商品化的方式主要有授權、讓與或是以該技術成立新創公司等方式,若從商業化、市場競爭力的角度考量,一個研發成果的運用方式自是依其性質判斷。一般來說,廠商或是企業並不願意以授權,尤其是非專屬授權的方式,運用該研發持果,因為非專屬授權的方式通常商業價值不高。 [6]「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項:「研發成果專利權經執行研究發展之單位推廣一定合理期間後,評估無授權使用或技術服務之效益及運用價值者,基於符合公益之目的或為促進整體產業發展、提升研發成果運用效益等原則,執行研究發展之單位循內部行政程序辦理研發成果讓與相關評估後,得備函檢具相關文件向本部申請讓與第三人;文件不全或不符規定者,不予受理。」 [7]] 「科技部科學技術研究發展成果歸屬及運用辦法」第10條:「執行研究發展之單位依前條評估原則及處理程序申請讓與,並經本部同意讓與後,始得公告讓與之,三個月內無人請求受讓時,得終止繳納研發成果維護費用」。 [8] 各部會成果歸屬及運用辦法在讓與、終止維護的條號: 科技部科學技術研究發展成果歸屬辦法,100年7月1日發布,104年6月11日修正:第9、10、11條 經濟部科學技術研究發展成果歸屬辦法,89年5月19日發布,103年8月13日修正:第22條 國防部科學技術研究發展成果歸屬辦法,96年4月19日發布,103年5月7日修正:第24條 衛福部科學技術研究發展成果歸屬辦法,99年1月20日發布,105年2月25日修正:第24條 勞動部科學技術研究發展成果歸屬辦法,100年7月12日發布,104年6月16日修正:第2條第1項 行政院原子能委員會科學技術研究發展成果歸屬辦法,93年7月7日發布,103年2月18日修正:第26條 行政院農業委員會科學技術研究發展成果歸屬辦法,90年9月14日發布,102年2月6日修正:第20、27條 [9] 「科技部科學技術研究發展成果歸屬及運用辦法」第10條:「執行研究發展之單位依前條評估原則及處理程序申請讓與,並經本部同意讓與後,始得公告讓與之,三個月內無人請求受讓時,得終止繳納研發成果維護費用」。 [10] 「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項:「研發成果專利權經執行研究發展之單位推廣一定合理期間後, ⋯⋯。」 [11] 「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項:「研發成果⋯,評估無授權使用或技術服務之效益及運用價值者,⋯。」 [12] 國防部成果歸屬辦法第24條:「執行單位取得一般研發成果已逾五年而經其評估認定不具運用價值者,除法令另有規定外,得發布讓與之公告。自公告之日起,三個月內無人請求受讓者,得經本部核准後,終止繳納維護智慧財產權相關之費用。前項公告,執行單位應以刊登網際網路、全國性報紙、函告業界相關公會 或辦理說明會等方式為之。」 [13] 交大專利授權暨拍賣平台,http://patent.nctu.edu.tw/bid(最後瀏覽日:2016/04/22)。 [14] PCT-the International Patent System,http://www.wipo.int/pct/en/(最後瀏覽日:2015/04/22) [15] Isis Innovation Limited, http://isis-innovation.com/(最後瀏覽日:2016/04/22)。 [16] 像是I-ACE鏈結產學媒合平台,https://iace.stpi.narl.org.tw/search;jsessionid=9992E4BD21C8959EAF83F1F6D8AD47F3,政府研究資訊系統GRB,https://www.grb.gov.tw/,(最後瀏覽日:2016/04/25)。

英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟

  英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。   英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。

美國發布網路事件協調準則

  隨著網路技術的進步,資安事件亦日益加增,為了因應日趨頻繁的網路攻擊,美國總統歐巴馬於2016年7月26日發布了對於美國資安事件發生時聯邦部門間協調之指令(PRESIDENTIAL POLICY DIRECTIVE/PPD-41),該指令不僅提出聯邦政府對於資安事件回應的處理原則,並建立了聯邦政府各部門間對於發生重大資安事件時之協調指引。   指令中就資安事件及重大資安事件進行了定義:資安事件包含資訊系統漏洞、系統安全程序、內部控制、利用電腦漏洞的執行;而重大資安事件則指可能對國家安全利益、外交關係、美國經濟、人民信心、民眾自由或大眾健康與安全發生明顯危害的有關攻擊。 此外,就遭遇資安事件時,列舉出下列幾點作為聯邦政府因應資安事件時之原則:(A)責任分擔;(B)基於風險的回應;(C)尊重受影響者;(D)政府力量之聯合;(E)促進重建及恢復。   聯邦政府機關於因應資安事件時,需同時在威脅、資產及情報支援三方面上做相關之因應。其中司法部透過轄下聯邦調查局(Federal Bureau of Investigation, FBI)、國家網路調查聯合行動小組(National Cyber Investigative Joint Task Force, NCIJTF)負責威脅之回應;國土安全部(Department of Homeland Security, DHS)則透過轄下的國家網路安全與通訊整合中心(National Cybersecurity and Communications Integration Center, NCCIC)負責保護資產之部分,而情報支援部分,則由國家情報總監辦公室(Office of the Director of National Intelligence)下之網路威脅情報整合中心(Cyber Threat Intelligence Integration Center)負責相關事宜。如係政府機關本身遭受影響,則機關應處理該資安事件對其業務運作、客戶及員工之影響。另在遭遇重大資安事件時,為使聯邦政府能有效率因應,指令指出聯邦政府應就國家政策、全國業務及機關間為協調。此外,指令中亦指示國土安全部及司法部應建立當個人或組織遭遇資安事件時得以聯繫相關聯邦機關之管道。   該指令加強了現有政策的執行,並就美國機構組織上於資安事件與現行政策之互動做了進一步之解釋。

日亞化學與藍光LED發明人和解

  日亞化學與前員工、現任美國加州大學教授中村修二(Shuji Maka mura)達成和解,日亞化學要支付中村修二本人8億4400萬日圓的費用,以補償其在日亞化學任內發明藍光LED晶粒技術,並帶給日亞化學日後龐大收入的功勞。   中村修二去年1月因不甘其在日亞化學工作期間,開發相關藍光LED晶粒技術,為公司帶進3300億餘日圓的收益,但日亞化學卻將專利獨佔,並未支付中村修二合理的費用。中村修二遂向日本地院提出告訴,日本地方法院一審判日亞化學敗訴,需支付200億日圓作為中村修二的補償金。日亞化學不服再向高院上訴,近日傳出雙方已達成和解,以8億4400萬日圓達成和解,其中6億850萬日圓係中村修二在日亞化學工作時開發出藍光LED晶粒後,為公司帶進約3300餘億日圓中屬中村修二的貢獻所得。   相較於一審判決日亞化學要賠200億日圓來看,此次只需支付8億4000餘萬日圓,替日亞化學省下了一大筆錢,且可早日解決此紛爭,日亞化學在此次官司中不能算輸,還可確立日亞化學日後擁有藍光LED晶粒的所有技術專利,有利日亞化學未來拓展白光LED及藍光晶粒市場。一般認為,日亞化學急於與中村修二達成和解之因,主要是藍光L ED晶粒市場仍在大幅成長中,預估今年全球LED市場需求可達到50億美元,其中白光及藍光LED也佔到一半以上,未來更是以倍數成長。日亞化學如未能快速解決與中村修二的官司,恐影響日亞化學在藍光及白光LED市場上的領先地位。

TOP