美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介

刊登期別
2012年04月15日
 

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介

科技法律研究所
102年04月01日

壹、事件摘要
  根據一項網路入侵案件的統計分析,約有80%的案件事來自於機關或企業內部人員,或是至少與內部人員有關。[1]然而,對於資通訊安全與機密資訊的維護,機關單位與人員把大部分的重心放在防範外來的入侵者,也就是外部威脅,反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限,也就是因為這樣,內部威脅不易被發現。這就好比擁有大門鑰匙一般,正當合法從大門出入,以及從事本來就可以做的事,而不易被發覺。美國由於維基解密(WikiLeaks)事件的爆發,使政府對於機密維護的焦點,從外在攻擊的防止,轉聚焦於內部威脅的防範。
  在美國,內部威脅並不是一個新的概念,公務機關本具備一定的管理措施;惟在維基解密案爆發後,帶給美國政府極大的衝擊,美國也全面檢討與創制新的因應作法,並於政策面、制度面與技術面等不同面向,進行積極的研究與合作。以下將引介美國之制度設計,藉此提供公務機關因應內部威脅議題之政策之參考。

貳、重點說明
一、內部威脅的定義與事件

  有關資訊的價值,近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例,智慧財產權與企業機密,儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩,導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關,「機密」對內部人員即成為最有價值的財產與籌碼,而公務機關可能因為內部威脅將機密外洩,造成對於國家、機關或人民產生公共安全,甚至是國家安全的危機。
(一)內部威脅的定義
  外部威脅(External threat)」[3]係與內部威脅相對應之概念;外部威脅係指該威脅非由組織內部發生,而是由組織外部之人員或其他組織,透過一般的網際網路、互聯網系統,以未經授權之方式,對該組織之資訊設備,以植入惡意程式、或以駭客入侵等方式,進行侵入式的資訊系統攻擊,其目的係在於由外部取得該組織「有價值」的資訊。
  為因應威脅,「威脅識別(Threat Identification)」成為威脅防禦之首要任務,按形成威脅的原因加以區分,大抵可分為「外部威脅(External Threat)」與「內部威脅(Insider Threat 或Internal Threat)」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等;相對外部威脅,係指自然災害,例如火災與地震,以及來自外部的惡意攻擊,例如盜賊、駭客、惡意程式,以及網路病毒等。[4]
  「內部威脅」雖然被認知為威脅的一個種類,但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義,通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖(「惡意(Malicious)」),對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊(Computer Emergency Readiness Team, CERT)」認為內部威脅係指一位或多位具備存取控制(Access)的個人,意圖利用弱點侵入公司、組織,或企業的系統、服務、產品或設施,對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告(Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation)」,內部威脅係指未經授權存取控制國防部資訊系統的人員,可能為軍事人員員工(Military Member)、國防部一般僱員(Civilian Employee )、其他聯邦機構員工,以及私部門等。[6]
  由上述定義可得知,內部威脅係來自於組織單位的「內部」,如以行為人之意圖區分,又可細分為「惡意(Malicious)」與「過失」。因人員之過失所造成之內部威脅,大部分原因為人員對於資訊系統與之使用與管理不當所造成,例如,人員使用Email或即時通訊軟體,受到社交工程之攻擊,導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅(Malicious Insider)」,係指內部人員利用合法存取權限,為超出於其授權使用之對象、時間、範圍、目的,與用途等之行為,並意圖對於單位組織或是特定人、事、物等造成傷害,或是謀取不當利益。
  依據惡意內部威脅事件,大約可分為以下各類型:[7]
1.IT破壞(IT Sabotage)
  現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,意圖損害一個具體的個人或組織,或該組織的數據、系統或日常業務之運作。
2.為經濟利益而進行盜竊或修改(Theft or Modification for Financial Gain)
  現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為經濟利益意圖竊取或修改機密或專有資訊。
3.為取得業務優勢而進行竊盜或修改(Theft or Modification for Business Advantage)
  現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為取得業務優勢而進行竊盜或修改機密或專有資訊。
4.其他(Miscellaneous)
  現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為非基於經濟利益或業務優勢,而進行竊盜或修改機密或專有資訊。
  或通常會涵蓋二種以上的類型,例如:員工先行對於IT系統進行破壞,然後再試圖敲詐僱主,以協助他們恢復系統為條件換取金錢。另曾有案例為,一名前副總裁於結束工作前,複製客戶數據庫與銷售手冊,再向其他外單位組織兜售。[8]
(二)內部威脅事件的發生與所造成的損失
  依據CERT於2011年4月對於內部威脅控制的報告指出,以報告中123件資訊科技破壞(IT Sabotage)事件進行統計,內部威脅發生的時間為26%件事件發生於上班時間,35%發生於下班時間,另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看,54%事件發生於進行遠端連線時,27%發生於公司所在地,另外19%發生於不特定之地點或場所。[9]
  有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計,可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡,或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響,所以通常對於事件大抵只有表面上概略之描述。[10]

二、美國歐巴馬政府面對內部威脅之政策規範
  美國傳統對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。第8381號行政令,授權政府官員保護軍事與海軍基地。爾後,歷任總統以發布行政命令的方式,建置聯邦政府的機密分級標準。不過,羅斯福總統以經特定法規授權為由,後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法,[12]設法平衡總統權利。
  歐巴馬總統上任前歷經2001年911事件的壓力,[13]以及2010年維基解密等機密外洩事件,致使歐巴馬團隊對於資訊安全以及機密維護非常重視,除了推動開放政府(Open Government),促進政府政策更公開透明的民主治理外,對於資通訊安全(Cyber Security)、機密資訊外洩的通報機制,以及內部人員(Insider)所帶來的威脅,更是採取積極的作法。[14]
  針對內部人員對於國家安全與機密外洩的問題,歐巴馬政權立即採取相對應的措施,於2011年發布第13587號行政命令:「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革(Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information)」,與因應第13587號行政命令所規範之「內部威脅」議題,於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」的總統備忘錄。
  部會或機關紛紛對於內部威脅採取相關防範措施,例如國務院(Department of State)對於涉及機密的網路,採用新的審查與監控的工具,而在國防部(Department of Defense)也開始開發自動偵測內部威脅的辨識系統。在情報系統方面,商務部(Department of Commerce)國家標準與技術中心(National Institute of Standards and Technology, NIST)與司法部(Department of Justice)聯邦調查局(Federal Bureau of Investigation, FBI)也訂立內部威脅指引,提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊(Computer Emergency Readiness Team,以下簡稱CERT)內部威脅中心(CERT Insider Threat Center)進行多項內部威脅的研究。
  至今為止,歐巴馬政權對於內部威脅的防範,於法制政策提出下列各項規範:
(一)總統第13587號行政命令:「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」
  由於維基解密事件的爆發,使美國將機密的維護,從對於防止外在的攻擊,轉聚焦於機密資訊的內部威脅。事件發生後,國家安全人員馬上成立跨機關小組,檢視處理機密資訊的政策與實務作法,希望可以提出解決行政部門可共用的機制,以減少類似的事件再度發生。
  跨機關小組歷時七個多月的檢討後,對於機密資訊的保護,與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則:加強跨機關資訊有責共享的重要性;確保政策、流程與技術的安全解決方案,與監督和組織文化的發展;強調聯邦政府對於資訊必須實施一致的作法;與確保隱私、公民權和自由的保護。[15]
  歐巴馬團隊將上述原則落實至第13587行政命令,[16]成立監督的架構,發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任,並加強跨機關資訊的流通與保護,包括電腦網路的安全,與內部威脅的機制,以減低未來國家安全機密外洩的風險。
  第13587號行政命令大抵分為下列各大項,除此之外,聯邦政府同時已經採行增進機密資訊網路與人員的控管,例如拆卸式媒體、網路身分管理、內部威脅方案(Insider Threat Program)、存取控制的管控(Access Control)、機密網路的審核,[17]項目分為:
1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任;
2.設置「資深資訊分享與安全維護推動小組(Senior Information Sharing and Safeguarding Steering Office)」;
3.成立「機密資訊流通與保護局(Classified Information Sharing and Safeguarding Office, CISSO)」;
4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks);與
5.設置「內部威脅專責小組(Insider Threat Task Force)」。
  其中有關「內部威脅專責小組」的部分,跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕,包括利用、損害,或其他未經授權揭露機密資訊的內部威脅,並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標,建立和整合機關內部的安全與反間諜,用戶審查和監控等優先事項,以及其它機關的實作發展和保護能力。[18]除此之外,內部威脅專責小組還必須與相關單位合作,以促成政策的草擬與可行。[19]
  專責小組的職責應包括下列:
1.制定並與行政機關協調,阻止、檢測和減輕內部威脅的政策,並提交至督導委員會檢閱;
2.與適當的機關合作,制定行政機關內部威脅方案的政策指引和最低標準,並於一年內發布,該相關指引和最低標準對於行政部門具拘束力;
3.如果有足夠的經費或經授權,繼續與適當單位合作,於一年之後,增修相關指引與最低標準;
4.如果沒有獲得足夠的經費或授權,建議由預算辦公室(Office of Management and Budget)或國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISSO)於一年之後頒布相關指引與最低標準的增修版本;
5.如仍有任何未解決的問題,以致於延宕最低標準的公布,應將問題提交給督導委員會(Steering Committee);
6.按照專責小組所制定之方案,獨立評估相關機關單位是否適當的落實既定的政策和最低標準,並將評估結果向督導委員會提報;
7.提供機關單位援助,包括提供最佳實作案例以供參考;與
8.提供美國政府所分析的內部威脅新的困難與挑戰。
  由上可見,第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策,機關亦必須依照指示時程,落實內部威脅政策的偵測方案,以及監控其運作是否符合政策的目標。
(二)「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20]
  雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組,負責偵測與避免內部威脅,以增進對於機密資訊的保護,以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而,機關應該如何施行的細項尚未有細緻規範,仍需等待歐巴馬團隊進一步制定,以落實於聯邦政府所屬的公務機關。
  緣此,美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」,主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護,並加強危及國家安全的敵對勢力或內部威脅的防禦。
  這些威脅包括潛在的間諜活動,對國家或機關單位的暴力行為,以及未經授權揭露機密資訊,包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。
  目前標準的詳細內容尚未發布,不過,依據備忘錄大約可分為下列各項:
1.蒐集、整合、集中分析和應變主要威脅相關的資訊;
2.監控人員對於機密網路的使用;
3.提供人員對於內部威脅意識的培訓;
4.保護人員的公民、自由和隱私權。

參、事件評析
  觀察美國一連串的改革,顯見維基解密事件對於美國政府產生非常大的衝擊,更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制,對機密資訊的管理與「內部威脅」的防範進行全面檢討,並對於配套標準及措施進行增修。
  除對於傳統以人員監督威脅的存在外,應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據,再進一步因應與確認內部威脅的存在。
  最重要的是,該制度與措施要求全國公務機關一起合作落實,以及分享潛在內部威脅的異常警訊,才能真正達成減低公務機關對於內部威脅的防範。

[1]行政院退除役官兵輔導委員會,張維平,日晷第4期認識公務機關資訊安全問題,取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf(最後瀏覽日:2012年11月30日)。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來,隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗,世界各地傳出多起嚴重的資料外洩事件,當然台灣也不能倖免。外洩的資料包羅萬象,而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊,另外還有最令機關防不勝防的內賊。只要有心,要在機關內部竊取資料很容易,從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟,都可當作工具,如果機關(各單位)沒有危機意識,採取防範措施,資料外洩在所難免。鑑此,籲請各單位安全連絡員,加強單位自主管理,協助單位主管加強責任區安全檢查,共同維護機關公務機密與安全。
[2]中廣新聞網.海軍共諜案,國防部:才在發展階段,影響有限,(2012年10月29日),取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html(最後瀏覽日:2012年11月30日)。
國防部軍事發言人羅紹和表示,涉案的海軍大氣海洋局前政戰處長張祉鑫,在退役後透過友人介紹,認識中共官方人員,然後再透過軍中舊識,「謀取不法利益」,保防安全部門在今年三月間接獲檢舉,依法由反情報單位展開調查行動,並移請檢調單位協助調查,順利破獲本案。
[3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013).
[4]碁峰資訊,資訊安全概論與實務,取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf(最後瀏覽日:2012年11月30日)。
[5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013).
[6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013).
[7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013).
[8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013).
[9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013).
[10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012)
[11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012).
[12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」,「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」,與「2012年減少過度加密法 (Reducing Over-Classification Act)」。
[13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012).
[14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件,以年度區分,截至2012年11月30日止,包括下列:1.2009年:「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」,與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」;2.2010年:「第13549號行政命令-國家、地方、部落,和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」;3.2011年:「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」;4.2012年:「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。
[15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012).
[16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012).
[17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012).
[18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012).
[19]Id. 專責小組應該與總檢察長(Attorney General)與國家情報局主任(Director of National Intelligence)或指定人共同擔任主席。內部威脅專責小組成員應該由國務院(Department of State)、國防部(Department of Defense)、司法部(Department of Justice)、能源部(Department of Energy)、國土安全部(Department of Homeland Security)部長所指定的人員,以及國家情報局主任(Director of National Intelligence)、中央情報局(Central Intelligence Agency),和國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISOO)等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官(Office of the National Counterintelligence Executive, ONCIX)和其他機構,於法律所允許的範圍內配置。這些人員必須是官員,或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所,以及行政支援。
[20]美國總統依美國憲章擁有直接發布據法律效力的文件(Document),文件的種類根據事務類型之不同分為三大類:Executive orders(有連續編碼的行政命令)、Proclamation(公告)、Administration orders(無編號的行政命令),其下尚有不同的子分類,備忘錄則屬Administration orders下的子分類之一,總統所發布的文件效力相同,並無位階之分,http://www.archives.gov/presidential-libraries/research/guide.html(最後瀏覽日:2013年1月12日)。

※ 美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=6082 (最後瀏覽日:2025/01/13)
引註此篇文章
你可能還會想看
競業禁止新方向-「勞資雙方簽訂離職後競業禁止條款參考原則」

歐洲五大電信公司聯合呼籲歐盟建立Open RAN創新生態系統

  歐洲五大電信公司──德國電信(Deutsche Telekom)、法國Orange電信、義大利電信(Telecom Italia)、西班牙電信(Telefonica)與英國沃達豐電信(Vodafone)於2021年11月18日聯合發表聲明,呼籲歐盟執委會與成員國加速開放「開放式無線存取網路」(Open Radio Access Network, Open RAN)的技術應用,並提出「為歐洲建立Open RAN生態系統」(Building an Open RAN Ecosystem for Europe)研究報告。   本報告對Open RAN價值鏈和當前供應商進行分析,發現許多歐洲供應商正處於發展初期,未獲得Open RAN商業契約,且在Open RAN關鍵服務的部分類別(如雲端軟體)中,尚未有歐洲供應商。甚至綜觀Open RAN的各項關鍵服務分布,歐洲供應商僅有少數等。因此,本報告強調歐洲需迫切將Open RAN作為戰略重點,並提出以下五點建議: (一)歐盟的政策制定者應積極推動發展創新、開放及可互通之電信生態系統,並期望歐盟執委會、成員國與產業利害關係人,透過對話與討論,促使全歐洲對Open RAN生態系統之建立產生共識。 (二)執委會應成立下世代通訊基礎設施聯盟,如同過去其為雲端與半導體設立聯盟,作為推動該產業的關鍵力量。此外,為迎接Open RAN新興技術,應提倡如歐盟共同利益重要計畫(Important Projects of Common European Interest, IPCEI)的微電子和通訊技術、5G產業協會與共同承諾推動智慧網路服務多國計畫。 (三)政策制定者應降低歐盟供應商和新創企業之投資風險,並對歐洲未來具有戰略意義的技術領域,以資金與租稅等激勵措施,支持歐洲供應商合作。如由歐盟執委會和各國政府為財團提供資金,使歐洲公司建立穩固的合作關係,並成為Open RAN價值鏈中茁壯成長的供應商。 (四)O-RAN聯盟(O-RAN ALLIANCE)與第三代合作夥伴計劃(3rd Generation Partnership Project, 3GPP)及歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)正式合作,支持採用O-RAN規範作為ETSI的自願性標準,可透過快速程序對現有3GPP規範進行補充。透過促進全球統一的Open RAN標準,確保開放性網路設備的互通性,如:全歐認證的品質與互通性,建立生態系統部署者的信心。 (五)歐盟應與國際合作,促進安全、多樣化及可持續的資訊與通訊技術供應鏈,如:利用七大工業國組織(Group of Seven, G7)、美歐貿易和技術委員會(EU-US Trade and Technology Council)與日歐資通訊技術對話(Japan-EU ICT Dialogue)促進發展和部署開放且可互通的網路架構。

數位創新實驗法規沙盒制度研析

數位創新實驗法規沙盒制度研析 資訊工業策進會科技法律研究所 2023年01月17日 近年全球產業發展趨勢,數位創新技術往往是企業取得競爭優勢之關鍵,亦改變人們消費習慣與商業模式,同時促進社會數位轉型。但在新興技術發展過程中,部分既有法規可能成為發展限制,因此國際間積極運用沙盒機制(Sandbox)由主管機關提供業者一個法規上之安全空間(Safe Space),使其得以在現實環境中測試其新創商品、服務、商業模式,甚至是較新之法規範、多樣化新技術、商業模式的驗證性測試場域等,透過法規沙盒制度進行開展。 從而,法規沙盒制度在全球各國之運用不斷增加,考量許多萌芽中技術在研發階段因面臨高投資門檻、伴隨法規相關風險及不確定市場等因素影響,恐阻滯相關創新計劃之投資、執行,本文將著重探討可否針對數位創新商品或服務建置「泛用型法規沙盒」,以協助業者降低法規風險,並促使其後續順利商業化。 壹、事件摘要 我國目前法規沙盒制度有《金融科技發展與創新實驗條例》、《無人載具科技創新實驗條例》及《國家重點領域產學合作及人才培育創新條例》,限於「金融科技」、「無人載具」及「產學合作」三類相關技術開放申請創新實驗,係以特定個別領域區分之法規沙盒制度,其共通點為國家高度監理特許事業、受法令嚴格限制領域,相關具體法規範相對較可被事先盤點進而列入正面排除之法律中。由於當前仍有許多他領域之創新應用無法適用沙盒制度,而可能限縮、影響產品和服務的未來發展。 故,本文以「數位創新技術」之法規沙盒作為研析重點,透過探討建置泛用型沙盒制度,其適用標的擬含括多樣化面向之創新應用及服務,以擴大法規沙盒之適用、推動多元創新發展,將與現行個別領域之法規沙盒有所互補。 而「數位創新技術」之法規沙盒,屬以「創新技術或產品為主」之法規沙盒類別,因其涉及各面向、範圍廣泛,首先須面對問題為「數位創新技術」之範圍、定義與沙盒監管模式等,更進一步則是考量其法規排除或豁免方式,若仍欲參照《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之正面表列的法規排除方式,除事先限縮法規沙盒之適用標的進而列出正面表列之排除具體法規範外,事先盤點並列出具體相關可被排除之法規範在立法技術上具有其困難度,有掛一漏萬問題,且可能失去適用彈性而與沙盒目的相悖。 故,如何在開放大範圍之技術創新下,並遵守法律位階理論及法律明確性等立法原則,以法律訂立明確可預見之排除條款或運作機制,作為法規沙盒之法律或豁免依據也成為本文主要討論重點之一。 文中將先說明法規沙盒建置所需留意重點、再透過比較法學方法簡要觀察日本、韓國「以創新技術或產品為主」之法規沙盒制度,了解其制度運作、法制模式及法規排除方式等,作為我國建置泛用型沙盒之參考。 一、國際法規沙盒制度發展與比較 日本、韓國皆有針對創新技術或產品為主之(近)泛用型法規沙盒制度,且日、韓皆為成文法系,我國多數規範受日影響頗深,而韓國產業結構與我國相似,其規範模式或可作為我國立法之參照。 故本文選擇上述國家與泛用型沙盒概念較為相近之立法例及法規沙盒政策模式進行研析,包含立法模式(政策依據)、範圍擇定、法規排除模式及監管方式等內容,作為我國研訂數位創新實驗政策及立法之參考與分析基礎。 (一)日本專案型沙盒(規制のサンドボックス制度)簡介 本文主要針對日本以「新興技術[1]」相關應用測試的沙盒制度,可泛用於各類產業應用領域—新技術實證制度[2] (專案型沙盒)進行介紹、研析。主要法源原先為2018年6月6日施行之《生產力向上特別措施法》,其中第二章「促進創新事業活動」(革新的事業活動の促進)即為「專案型沙盒」之依據[3] 。惟《生產力向上特別措施法》已於2021年6月廢止,而相關重要政策若有延續則分別移置其他法規,其中專案型沙盒相關制度已常設化,而其法源則移至《產業競爭力強化法》[4] 。 欲申請專案型沙盒之業者,須與內閣官房下成立的申請實證實驗之單一窗口「新興技術社會實施推動團隊」(新技術等社会実装推進チーム)[5] ,進行「事前面談」,並由該單一窗口於計畫申請前與事業主管機關進行意見交換。接著,遞交申請「新興技術實證計畫」(新技術等実証)時,由企業經營者擔任提案主體透過身為單一窗口的內閣官房向主管機關提出申請書,主要在於加速行政機關間的協調,協助業者與政府之間的溝通[6] ,以利集中計畫。 除此之外,若需要「法規特例措施」(規制の特例措置),應於計畫申請前向主管機關申請(與計畫認定相同程序)[7] 。《產業競爭力強化法》所稱的「法規特例措施」,係指針對法律所規定之規範,分別創造以法律規定特例措施,以及針對政令或主務省令所規定之規範,有另以政令等規定之特例措施[8] ,類似於我國的法規排除適用, 此沙盒機制透過限制參與業者的數量和一定實證期間,在暫時不受既有法規約束情境下,於創新事業活動中使用具有顯著新穎性[9] 之技術或方法,且該技術或手法可創造出高附加價值者,創建一個實驗環境,供業者進行新興科技技術實證[10] 。藉此加快技術發展、蒐集法規改革所需之數據資料,透過與市場的對話和實證過程,引導後續監管政策[11] 。 (二)韓國ICT法規沙盒(ICT규제 샌드박스)簡介 在韓國監理沙盒五法當中[12] ,與新興技術和創新服務領域最為相關的《資通訊融合法[13] 》(정보통신 진흥 및 융합 활성화 등에 관한 특별법),於2019年1月17日修訂施行,特針對資通訊領域之創新應用而設計的監管改革體系[14] ,本法設計了「ICT之法規沙盒」制度,以下將進一步整理、簡介其內涵。 該實驗機制於2019年1月開始受理申請,其主管機關為科學技術資訊通訊部(과학기술정보통신부,Ministry of Science and ICT,MSIT[15] )。 韓國ICT法規沙盒限定與「資訊通訊融合」新興科技領域有關之創新產品和服務為主,適用申請對象為運用、研發資通訊融合等新興技術、服務者皆可申請[16] 。 韓國ICT法規沙盒,主要再區分為以下三種態樣: 1.「迅速處理制度」(신속처리):當管制模糊時,依《資通訊融合法》第36條,企業可洽詢新技術、新服務是否受管制及相關內容,且在30天內得到科學技術資訊通訊部回覆[17] ,採「迅速處理制度」[18] 。 2.「實證管制特例」(실증특례):按《資通訊融合法》第38-2條規定,可採取「實證管制特例」[19] 。擬利用新資訊通訊融合技術、服務開展業務者,若符合法律所規定之特定事由時(例如:依據其他法令規定,無法申請新資訊通訊融合等技術、服務相關許可等的情況;依據許可等之根據法令,適用基準、規格、必要條件時,不明確或不合理的情況),可於一定條件下進行安全性試驗及驗證,向科學技術資訊通訊部申請「實證管制特例」措施,排除適用管制[20] 。 3.「臨時許可」(임시허가):按《資通訊融合法》第37條,擬利用新資訊通訊融合技術、服務開展業務者,若符合法律所規定之特定事由時(例如:依據其他法令規定,無法申請新資訊通訊融合等技術、服務相關許可等的情況;依據許可等之根據法令,適用基準、規格、必要條件時,不明確或不合理的情況),而難以使新產品和服務商業化時,可向科學技術資訊通訊部申請「臨時許可」,排除適用管制,並將相關產品或服務在一定條件下投放於市場[21] ,故「臨時許可」與「實證管制特例」主要差異在於是否進入市場。 針對法規排除方式,「實證管制特例」及「臨時許可」之法規排除條件相同,主要差別則是「臨時許可」以市場推出為目的,後續也有規定應對相關法令進行調整和因應。關於「臨時許可」之法規排除部份,可參見《資訊通訊融合法》第37條第1項規定,擬利用新資訊通訊融合技術、服務開展業務之人,若符合法律所規定之特定事由時,包括:1.許可等之根據法令內容中,無適合該新資訊通訊融合等技術及服務的標準、規格、條件等之情況;2.許可等之根據法令內容中規定之標準、規格、條件等不明確或不合理之情況。符合上述情況時,為了將該技術或服務率先投入、推出市場,可向科學技術資訊通訊部申請臨時許可。為使臨時許可之效力有效延續,並發揮其法規調適之功能,韓國政府於2021年6月通過《資訊通訊融合法》第37條第6項之修正,主要規範主管機關應於臨時許可有效期間內完成相關法令之修訂;若相關法令未及時完備,臨時許可之有效期限則延長至法令修正並完備為止[22] 。而法令一經修正完成,申請人則須依據同條第7項之申請正式許可。綜合上述,法規排除的部分,特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等,或不清楚是否需要許可等而模糊不明」之情況。 (三)綜整說明日本、韓國法規沙盒制度 本文綜整、介紹上述二國之沙盒制度,其主要內涵可參照下表,包括「制度簡介」、「運作方式」、「法規排除方式」、「實驗管理與後續作法」以及「案例分析」等面向。 表1:主要國家法規沙盒立法例比較 日本 韓國 制度名稱 專案型沙盒 ICT法規沙盒 法源依據 原為《生產力向上特別措施法》,2021年6月後移至《產業競爭力強化法》 《資通訊融合法》 制度特色/法規排除方式 需透過法律具體排除特定條文之適用:創造「法規特例措施」以排除特定法令之適用。 透過法律排除特定情況下之法規限制:特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等或不清楚是否需要許可等而模糊不明」之情況可申請「臨時許可」。 主管機關 經濟產業省 科學技術資訊通訊部 適用範圍 以「新興技術」應用為主:創新事業活動中使用具有顯著新穎性之技術或方法,且該技術或手法可創造出高附加價值者。 限定與「資訊通訊融合」新興科技領域有關之創新產品和服務為主。 實驗管理重點 負責管轄新興技術相關規定的主管機關,針對新興技術等應有之相關規範進行檢討,並根據檢討結果,廢除或鬆綁法規或採取其他必要措施。 ●申請人對該技術、服務導致使用者受到人力、物力的損失時,應負賠償責任。 ●應加入責任保險。 案例 (截至2022/12) 共計29件實證案例,其中有1件制定法規特例措施[23] 。 臨時許可48件;實證管制特例77件[24] 。 資料來源:本文整理 二、我國建置數位創新實驗法規沙盒制度之分析 (一)我國規範現況與待改善之處 從立法架構觀察,除《國家重點領域產學合作及人才培育創新條例》立法架構較為特殊外,《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之架構及規範較為相似,未來若發展其他類型之法規沙盒,或可循類似立法模式,因而,先將我國既有法規沙盒制度主要規範重點整理如下表,而後討論目前實際運行所遇之問題,作為建置泛用型沙盒之基礎參考。 表1:我國法規沙盒規範重點 金融科技 無人載具 產學合作 法源 《金融科技創新與發展實驗條例》 《無人載具科技創新實驗條例》 《國家重點領域產學合作及人才培育創新條例》 目的 提供金融科技研發試作之安全環境,讓業者可以在低度監理空間,測試其創新商品、服務或商業模式,不會立即受到現行法規的制約,並能在風險可控情形下,驗證該科技在金融服務上的可行性及成效。 藉由推動實驗條例,暫時排除相關法規的適用,運用地方政府場域,提供業者發展無人載具創新科技之實驗環境。 促進國家重點領域產學合作及人才培育之創新,提升國立大學研究發展成果效益,培育高階科學技術人才,強化產業競爭力。 主責機關 金管會 經濟部 教育部 適用對象 自然人、獨資或合夥事業、法人得申請主管機關核准辦理創新實驗。(第4條第1項) *解釋上以本國人為主,文件要求中華民國住居所或辦理登記 經濟部 教育部 進行測試之資格與標的 一、屬於需主管機關許可、核准或特許之金融業務範疇。 二、具有創新性。 三、可有效提升金融服務之效率、降低經營及使用成本或提升金融消費者及企業之權益。四、已評估可能風險,並訂有相關因應措施。 五、建置參與者之保護措施,並預為準備適當補償。 六、其他需評估事項。(第7條) 一、具有創新性。 二、確認屬於依現行法規無法取得目的事業主管機關許可或核准之範疇,及為進行創新實驗而應排除適用之法律、法規命令或行政規則。 三、具有於開放性場域實驗之可行性,並已提出曾於模擬或封閉性場域測試之相關經驗及數據分析資料。 四、可有效提升交通運輸服務或系統之效率、提升安全或降低經營及使用成本。 五、已提出維持交通順暢及確保交通安全之因應措施。 六、已評估潛在風險並定有相關因應措施,及其他與創新實驗計畫相關之安全或風險控管措施。 七、建置參與實驗者及實驗利害關係人之保護措施,並預為準備適當補償。 八、其他經審查會議決議應由申請人提出說明之事項。(第7條) 國立大學設立國家重點領域研究學院進行產學合作及人才培育經營模式之創新。(第3條) 實驗期間 消費者保護與風險管理機制 最長3年 1.資料保護:申請人於創新實驗期間應配合創新實驗業務性質,採行適當及充足之資訊安全措施,確保資訊蒐集、處理、利用及傳輸之安全。(第13條) 2.主管機關實地訪查權。(第14條) 3.主管機關廢止權。(第15條) 4.消費者保護機制。(第20條~第24條) 最長4年 1.電信管制射頻器材輸入管理、通訊干擾處理及其他相關電信監理。(第13條) 2.主管機關實地訪查權。(第14條) 3.資訊公開。(第15條第1項) 4.事故通報。(第15條第2項) 5.資料保護。(第16條、第17條) 6.公平原則。(第18條) 7.主管機關要求改善。(第20條) 8年以上12年以下 1.校務會議監督機制。(第14條) 2.監督會機制。(第15、16、17條) 3.研究學院應建立風險管理制度(第39條) 法規排除 實驗後作為 正面表列(第25、26條) 1.申請人實驗結束報告義務(第16條) 2.主管機關義務:一、檢討研修相關金融法規。二、提供創業或策略合作之協助。三、轉介予相關機關(構)、團體或輔導創業服務之基金。(第17條) 正面表列(第22、23條) 1.申請人實驗結束報告義務(第21條第1項) 2.主管機關就創新實驗之結果,得召開評估會議。(第21條第2項) 正面表列(第23條) 1.國立大學應輔導學生,協助其轉入至其他學院,並就原修習學分,依相關規定從寬予以採認抵免。 2.研究學院編制內人員,由國立大學接續聘任或任用。但經其同意辦理資遣或退休者,不在此限。 3.研究學院編制外人員,應辦理契約終止。(第49條) 資料來源:本文整理 (二)應優先處理和重視之關鍵議題 本文歸納各實驗階段常見之主要問題:1.申請前:常見的是缺乏單一窗口,使業者尋找對應窗口時遇到困難,以及程序繁瑣、耗時長,將影響申請意願,也造成實際案件少而失去該沙盒制度建置實益的窘境。同時,對於資源較少的新創業者更為不利,例如:金融沙盒的審查,對於計畫前期準備要求較多,新創業者投入的時間和成本壓力也相對較高。2.實驗執行期間:在計畫審查部分,例如:審查專家是否能完全了解創新內容、審查時間、流程與效率、是否影響申請者商業機密或專利等因素,皆可能產生不利後果。而實驗期投入的時間、成本與收益(可能無收益),有可能具有一定程度的風險。3.實驗後:該階段主要面臨相關創新產品或服務是否能順利上市,因其可能受修法時程影響導致上市時間延宕,甚至後續不一定能成功進入市場之缺點;但由於實驗後修法時程非法規主管機關所能掌握(仍需視立法機關之立/修法程序),以至於修法速度可能不及創新速度,若法規障礙持續存在,即便實驗後仍難以真正進入市場。詳整理如下表。 表2:我國執行創新實驗常見問題 申請前 執行中 實驗後 ➤缺乏單一窗口處理法規釋疑或進行跨部會協調難度較高。 ➤評估之行政程序繁瑣、費時較長,使申請意願低、案件少。 ➤對於資源較少之新創業者較為不利:例如金融沙盒的審查,須對計畫之準備要求較多。 ➤計畫審查之妥適性:例如審查專家是否真能完全了解創新內容、審查時間、流程與效率、是否影響申請者之商業機密或專利等。 ➤實驗期投入之時間、成本與收益(可能無收益)難成正比。 ➤實驗後之修法時程並非法規主管機關所能掌握,修法速度遠不及創新速度。 ➤對於創新先行者並無給與誘因,只要法規障礙仍存在,不一定能夠真正進入市場。 ➤需要其他支援。 資料來源:本文整理 回顧我國創新實驗推行至今,外界較常質疑申請案件數較國外沙盒制度緩慢,除主管機關積極透過監理門診或試辦計畫等相關配套解決業者問題外,前揭我國執行創新實驗之常見問題可能也是造成我國法規沙盒執行成效未彰之主因,除相關規範應進一步釐清及調整外,相關問題也是未來在設計數位創新實驗法規沙盒制度時,需要被優先處理和重視的部分。 貳、重點說明 關於如何設計、操作法規沙盒相對重要,部分規範也成為政策成敗關鍵。就前述所提及我國金融科技與無人載具法規沙盒之實際運行成果觀之,本文觀察到該二制度執行上浮現些許問題待解,相關問題可能導致制度未能發揮最大效益。 若要解決上述提及的先決問題、建構更為完整和妥適的法規沙盒制度,以下歸納出可在專法內明定的主要重點: 1.以具有「跨部會協調」功能之行政機關主導為宜:由於泛用型沙盒所涉範圍較廣,且在數位時代中「產業」之概念趨於模糊,甚至可能會出現既有部會皆無法進行監管之狀態,故需有跨部會任務之機關進行橫向協調,而跨部會溝通協調也可能是未來泛用型沙盒之關鍵執行步驟。 2.簡化行政程序:由於創新技術或服務多講求市場時效與效率,過於冗長或繁雜之行政程序可能使有意申請人望之卻步,因此行政程序應該盡量簡化,並配置足夠人員提升審查速率。 3.專業審查機制:由於泛用型沙盒涉及面向較廣,預期申請者所關注之技術面向有所不同,但或可參考韓國作法,針對關鍵技術可事先分組,並由機關事先快速分組審查進而交由專家審議,就各領域建立對應之專家小組審查名單。 4.縮短實驗期間:有些創新技術上並沒有太大問題也無過大風險,可能僅是法規阻礙致使上市困難,而針對此種具前景性、可行性之創新,應有可縮短實驗期間之機制並積極協助其商業化。 5.明定主管機關之修法義務:為使法規沙盒政策發揮最大效益,應明文規定主管機關之法規調適的義務,以使業者在實驗後能合法接軌上市。 6.延長許可時間:如認有修法之必要者,可參考韓國作法,於法規明定於相關修法完成前可延長其許可時間,以緩解業者上市空白期。 7.法規明定可提供其他協助或與他政府資源介接。 從而,本文嘗試進一步盤點目前法規沙盒制度執行時面臨的問題作為建置泛用型沙盒之基礎。包括申請前、執行中及實驗後各面臨不同重要的問題,並提出在建置泛用型沙盒時最優先要討論之五項關鍵問題,透過整理前述日、韓立法例相關規範後,建議對應作法如下表所示。 表 1:立法論上應優先處理之議題、建議參採國家與作法 關鍵議題 主要面臨問題 立法建議作法 參考國家與理由 確立、擇定主管機關 ●泛用型沙盒之適用範圍廣,須有一主管機關具有跨部會協商功能。 ●主管機關對創新技術/服務進行評估、判斷能力。 ●以具有「跨部會協調」功能之行政機關主導為宜。 ●建置跨機關溝通協調管道並有效處理涉及跨部會之議題。 ●日本。 ●跨部會疑義通常非法規主管機關可解決。 ●統一機關受理業者之法規疑義、跨部會協調需求,免去業者尋找窗口之困擾[25] 。 「數位創新技術」之定義、範圍待研議 ●釐清需要法規沙盒之目的、欲解決之問題及政府資源,以確立適用範圍,建構有效率之法規沙盒。 ●不分領域之數位創新技術之產品或應用皆可申請,惟須考量優先順序與定義。 ●可先聚焦於中央主管機關指定之數位技術,以辦法方式優先開放申請。 ●參考標準以「創新性」「市場價值」、「因法規限制而遇阻」作為申請條件。 ●日本[26] 、韓國[27] 。 ●適用範圍較寬泛、彈性。 ●有助促進創新應用、加速監管革新。 法規豁免/排除方式 ●遵守法律明確性及法律位階間之排除關係。 ●目前使用之正面表列方式,對於大規模之泛用型沙盒所需排除之規範可能掛一漏萬,如何透過負面表列或概括規範之方式完善法規豁免之需求。 ●除以正面表列方式排除既有法規外,可參考加入韓國之概括規定、負面表列的設計,並兼顧法律明確性原則,擴大豁免範圍。 ●日本[28] 、韓國[29] 。 ●因產品或服務多元、立法時空,倘若僅以正面表列之方式排除,恐會掛一漏萬。 ●日、韓之立法方式亦以法律位階進行規範。 實驗流程、風險控管 ●申請資格和實驗流程應如何設計,使其具足夠誘因(如:申請、實驗、退出、測試時間)。 ●如何控管、降低實驗風險。 ●行政成本、資源分配公平性問題。 ●【實驗流程】機關可事先快速分組審查,並建立對應之專家小組審查名單。 ●【風險控管】參考韓國作法,透過保險機制衡平風險於實驗者保護,同時也可簡化作業流程。 ●【實驗流程】日本專家審議機制,有助主管機關判斷「創新性與附加價值」。 ●【風險控管】韓國透過保險機制進行風險管理措施,確保安全性[30] 。 實驗後之調適作為 ●實驗後如何有效率進行相關法規調適或法令修正。 ●欠缺對應之落地機制、個案成效追蹤,影響商轉可能性。 ●業者因無法確定實驗後是否能合法上市而卻步。 ●設計實驗後暫時上市許可機制,截至修法完成,避免業者之上市空白期。 ●中央主管機關應參酌創新實驗辦理情形、了解業者需求,如認該產品或服務具可行性且有法律增修之必要性,得將法規調適需求函送法規主管機關,並以法規明定機關之修法義務。 ●法規明定可提供其他協助或與他政府資源介接。 ●參考韓國維持其上市許可,若期限屆至前法律仍未修定,可延長許可期限[31] 。 ●可避免業者無法確定實驗後是否合法上市而卻步。 資料來源:本文整理 參、事件評析 近年來,許多國家透過法規沙盒制度調合創新技術與既有法規間之限制,透過該等實驗方式創造小規模且限定期間之法規安全空間,並藉此觀察創新技術可能帶來之風險並作為監管革新之主要機制。我國在制定《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》後,主管機關或業者同樣倡議在其他創新領域也朝向制定實驗條例或法規沙盒制度來進行法規鬆綁[32] 。而從國外相關立法例觀之,法規沙盒之目的可能並非單純之法規鬆綁,而可能更積極地涉及新規範之建立或舊規範之革新。 於此前提下,本文認為除可先就「法規沙盒」本身之定義、影響評估要項與制度設計要素進行設定,作為數位創新實驗制度之基礎外,前階段亦需釐清我國設置法規沙盒目的、欲解決之問題及可變動之法令規範,方能確立方向並建構有效率之法規沙盒。 確立方向後,在制度面上,細部之制度設計要素則可再進一步參考外國立法例之作法,參考立法例分別為日本專案型沙盒、韓國ICT沙盒。但因為各國不同政體、立法模式及行政背景各有不同運作方式,並達成不同成效。 值得我國參採之最大差異在於法規排除模式各有不同,日本透過「法規特例措施」進行法令之豁免適用,同樣也是透過該機制具體以法律排除特定條文,需豁免之特定法律仍應具體明確修訂於法規沙盒之法源依據中,惟日本之修法制度相較我國快速且有效率,況目前日本也盡量避免制定法規特例措施而改以大量個案行政解釋取代,若該制度引進我國,可預見未來在實際執行上行政機關可能相對難以掌握制定特例措施之進度。韓國則透過法律概括規定,允許於符合法定特定情況下可申請豁免法規限制,該法定要件特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等或不清楚是否需要許可等而模糊不明」之情況,此等概括規定之作法較能符合泛用型沙盒擴大創新應用之需求,惟如何妥適設計規範以符合明確性原則,並突破既有金融科技及無人載具創新實驗條例之正面表列之立法模式,可能需要後續強化與立法者溝通。 綜上,我國可考量建置關於數位創新之泛用型法規沙盒,不以領域區分,擴大創新實驗範圍將更有利於市場跨域創新、競爭。 基此,本文歸納法律層面主要面臨五大關鍵問題並提出具體建議,分別為:確立主管機關、「數位創新技術」之定義、範圍待研議、法規豁免/排除方式、實驗流程、風險控管及實驗後之調適作為等,同時參考前開相關國家之作法,以及考量目前既有創新實驗所面臨之問題,提出以下建議方向。 首先,須面臨主管機關之擇定問題,由於泛用型沙盒涉及之範圍較廣泛,且加上在數位時代中「產業」之概念趨於模糊,甚至可能會出現既有部會皆無法進行監管之狀態,故需要有跨部會任務之機關進行橫向協調,而跨部會溝通協調也可能是未來泛用型沙盒之關鍵執行步驟。 另,需對「數位創新技術」進行界定,該定義牽涉到確立法規沙盒之範圍與沙盒監管模式等;更進一步則與法規排除或豁免方式連動。在「數位創新技術」之定義方面,日本與韓國皆有針對適用標的再進一步限縮,日本雖以「新興技術」為標的,但仍進一步以「創新性」及「附加價值」再判斷是否可以進法規沙盒;而韓國則以「資通訊融合」之創新技術為主,同樣以「具市場價值」或「具創意」作為判斷標準。而我國若要定義「數位創新技術」由於其範圍較廣,除以「創新」作為判斷基準外,建議可以透過授權方式,由中央主管機關進一步擇定欲發展之創新領域(例如:人工智慧、物聯網等),以限縮適用標的之範圍,讓範圍可以更明確,後續法規盤點也能夠更符合法規明確性原則。 另一需考量之問題,則是法規排除之方式,依據目前《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之法規排除方式,主要係以正面表列方式排除特定條文為主,而在我國立法上通常也較偏向如此模式。惟,如前所述,由於「數位創新技術」之範圍較廣,恐難以透過事先盤點或預想需求之方式進行具體條文之排除。而我國修法程序又未如日本般快速,且有較不可控制之影響因素存在。因此,除了可部份透過事先盤點正面表列得排除的規範外,或可參考韓國之概括立法模式,將較偏向行政上需要取得許可、核准、認證後才可為之或單純係行政流程之規範,似可設計在滿足某種特定條件下透過法律的概括規範予以排除,以增加法規沙盒之彈性應用,並滿足泛用型法規沙盒之創新效益。故,未來制度設計上或可透過法規範之進一步分類,調整可排除法規設計上之明確性強度。 關於法規沙盒之實驗流程及風險控管如何進行,由於法規沙盒應屬於低度監理空間,如何保障創新實驗安全性將成重點,同時,也須避免申請實驗和相關流程冗長、成效不彰之疑慮。又,泛用型沙盒涉及範圍較廣,建議除要求申請人事先風險評估外,可針對原則性、共通性事項進行規範,例如:隱私保護、實驗者保護、資訊揭露等。 最後,在實驗後作為方面,若認為實驗有進一步商業化之可能,可能需進一步透過法規調適進行障礙之排除。但又由於成文法系國家進行法規調適之權限仍主要掌握於立法權上,行政權較不易掌握立/修法之進度,如同我國行政機關通過草案後,向立法院提請審議之過程與時序通常不易掌握,而可能產生實驗通過且具商業化之創新模式,可能會因修法時程延宕仍存有障礙,而出現上市空窗期,造成創新之時效性不易被展現進而使業者對於法規沙盒之效益產生疑慮,而對進入法規沙盒並無強烈誘因,造成法規沙盒申請案例較少之問題。為此,考量整體制度之效益,或可參考韓國做法,在未修法完成前可延長臨時許可之時效規定,避免業者因出現上市空窗期而對法規沙盒望之卻步。又,由於我國已有《金融科技發展與創新實驗條例》及《無人載具科技創新實驗條例》之制度先例,或可參考相關制度運行後對於申請個案之效益、業者之反饋,再運用相關經驗對欲建置之法規沙盒規範進行調整。 是以,因法規沙盒從目的、適用範圍、法規排除、實驗設計及實驗後機制為一連串連動之規範,需要精密之事前評估方能提出最有效率、精緻且適切之創新實驗規範制度。 [1]所謂「新興技術」(新技術等実証),係指在創新事業活動中所使用具有顯著新穎性之技術或方法,且該技術或手法可創造出高附加價值者。關於新技術之相關定義,可參見《產業競爭力強化法》第2條第3項。 [2]原文:「規制のサンドボックス制度」、「新技術等実証制度」。 [3]〈生産性向上特別措置法〉,経済産業省,https://elaws.e-gov.go.jp/document?lawid=430AC0000000025(最後瀏覽日:2022/12/15)。 [4]《產業競爭力強化法》已於2021年6月16日公布並施行,詳參:https://www.meti.go.jp/press/2021/06/20210616004/20210616004.html。 [5]附帶一提,內閣官房底下設立的「新興技術社會實施推動團隊」(新技術等社会実装推進チーム)為單一窗口,高於各部會的內閣官房與內閣府成員作為日本推動監理沙盒實證實驗的單位。 [6]陳譽文,〈日本推動專案型監理沙盒制度協助新興科技發展〉,關鍵評論網,2019/10/09,https://www.thenewslens.com/article/125820(最後瀏覽日:2022/12/21)。 [7]内閣官房 新しい資本主義実現本部事務局,〈規制のサンドボックス制度(新技術等実証制度)について〉,內閣官房,https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf(最後瀏覽日:2022/12/30)。 [8]《產業競爭力強化法》第7條。 [9]「具顯著新穎性」者,則指相較於該領域的常用技術和方法,更有新穎性且得以衍生實用化和事業化討論的技術與方法,例如AI(人工智慧)、IoT(物聯網)、巨量資料、區塊鏈等等。參見新技術等実証の総合的かつ効果的な推進を図るための基本的な方針,頁1(2018),https://www.kantei.go.jp/jp/singi/keizaisaisei/pdf/underlyinglaw/basicpolicy.pdf(最後瀏覽日:2022/12/16)。 [10]其中,「創新性」與「附 加價值」之判斷,則是參考「評價委員會」的協助與提供意見。 [11]〈「生産性向上特別措置法」が施行されました〉,経済産業省,https://www.meti.go.jp/press/2018/06/20180606001/20180606001.html(最後瀏覽日:2022/12/10);内閣官房 新しい資本主義実現本部事務局,〈規制のサンドボックス制度(新技術等実証制度)について〉,內閣官房,https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf(最後瀏覽日:2022/12/30)。 [12]包含資通訊融合法、產業融合促進法(산업융합 촉진법)、金融創新支援法(금융혁신지원 특별법)、地區專業化發展特區法(지역특구법)、行政管制基本法(행정규제기본법은)。머니투데이,〈이낙연 총리 "규제 샌드박스, 현장이 최대한 알기쉽게 설명해야"〉,머니투데이,2019/01/10,https://v.daum.net/v/20190110100115334(last visited Dec. 07, 2022). [13]全名為《促進資訊通訊及融合發展等相關特別法》(정보통신 진흥 및 융합 활성화 등에 관한 특별법)。 [14]〈ICT 규제 샌드박스 사례집〉,혁신의 실험장,https://www.sandbox.or.kr/board/data_roomDetail.do(最後瀏覽日:2022/12/09)。 [15]과학기술정보통신부,https://www.msit.go.kr/index.do(最後瀏覽日:2022/12/10)。 [16]資通訊融合法第36條。 [17]倘相關機關首長於30天內沒有回覆,則視同不屬於其管轄業務或不需要相關機關首長之許可。 [18]資通訊融合法第36條。 [19]資通訊融合法第38-2條。 [20]〈정보통신 진흥 및 융합 활성화 등에 관한 특별법 ( 약칭: 정보통신융합법 )〉,법제처 국가법령정보센터,https://www.law.go.kr/%EB%B2%95%EB%A0%B9/%EC%A0%95%EB%B3%B4%ED%86%B5%EC%8B%A0%EC%A7%84%ED%9D%A5%EB%B0%8F%EC%9C%B5%ED%95%A9%ED%99%9C%EC%84%B1%ED%99%94%EB%93%B1%EC%97%90%EA%B4%80%ED%95%9C%ED%8A%B9%EB%B3%84%EB%B2%95(最後瀏覽日:2022/12/02)。 [21]資通訊融合法第37條。〈ICT 규제 샌드박스 3종 제도〉,정보통신산업진흥원,https://www.sandbox.or.kr/main.do(最後瀏覽日:2022/12/18)。 [22]과학기술정보통신부 정보통신정책실 정보통신정책관 디지털신산업제도과,〈정보통신 진흥 및 융합 활성화 등에 관한 특별법 개정안 국무회의 의결〉,KDI경제정보센터,2021/06/01,https://eiec.kdi.re.kr/policy/materialView.do?num=214468&topic=L&pp=20&datecount=&recommend=&pg=(最後瀏覽日:2022/12/30)。 [23]内閣官房 新しい資本主義実現本部事務局,〈規制のサンドボックス制度(新技術等実証制度)について〉,內閣官房,https://www.cas.go.jp/jp/seisaku/s-portal/pdf/underlyinglaw/sandboximage516.pdf (最後瀏覽日:2022/12/20)。 [24]〈ICT 규제 샌드박스 정보마당〉,정보통신산업진흥원,https://www.sandbox.or.kr/board/designated_case.do (最後瀏覽日:2022/12/20)。 [25]内閣官房日本経済再生総合事務局新技術等社会実装推進チーム,〈規制のサンドボックス制度について〉,令和元年6月,https://www8.cao.go.jp/space/policy/suborbi/dai1/siryou3-5.pdf 。 [26]日本限定以「新興技術」應用為主進行實證,而針對新興技術之定義為在創新事業活動中所使用具有顯著新穎性之技術或方法,且該技術或手法可創造出高附加價值者。據此,可以收斂出日本針對新興技術之判定標準以「新穎性」與「高附加價值」兩者為主。 [27]韓國以「資訊通訊融合」新興科技領域有關之創新產品和服務為主,限定於資訊通訊產業之間或與資訊通訊不同的產業間,藉由技術或服務的結合及複合,而創造新的社會性市場價值或具創意的創新性活動,而韓國可進入ICT沙盒之實驗則主要是以「資通訊技術」、「具市場價值」或「具創意」作為判斷標準。依據韓國科學技術資訊通訊部與資通訊產業振興院所公布之「ICT監理沙盒運作指南」提及關於實證管制特例之審查基準,包括:該技術、服務之創新性、對於相關市場及使用者便利所波及的影響及效果、對於國民之生命、安全是否有危害以及對於個人資料是否有安全保護處理實證用管制特例之適當性及其它在指定實證用管制特例上所需要的事項,相關基準則可為我國進一步參考。 [28]日本透過個別制定「法規特例措施」排除相關法規,惟法規特例措施同樣需經過修法程序,程序較為複雜,因此在實際運作上日本主要透過主管機關針對個案系爭之相關法規進行合規之解釋,或是調整計畫之操作方式使之合於法律規範。 [29]韓國是以概括方式規範法規可被排除之條件,按《資通訊融合法》第37條,擬利用新資訊通訊融合技術、服務開展業務者,若符合法律所規定之特定事由時,而難以使新產品和服務商業化時,可向科學技術資訊通訊部申請「臨時許可」,排除適用管制,並將相關產品或服務在一定條件下投放於市場,其條文規範之情況如下:1.需要許可之法令依據內容中,無適合該新資訊通訊融合等技術及服務的標準、規格、條件等情況;2.需要許可之法令依據內容中,規定之標準、規格、條件等不明確或不合理之情況。法規排除的部分,特定於「無法取得法令上的各種許可、核准、登記、認可、驗證等,或不清楚是否需要許可等而模糊不明或不合理」之情況,如此規定並未明確列出可排除之法規,而是明確敘述法規可被排除之情狀,同時也避免逐一列出可被排除之法律而有所遺漏之狀況。而類此規定正也是法規沙盒政策之主要目的之一,當法規有所不合理或未規範時提供彈性空間。 [30]日本主要以事前風險評估、充分資訊揭露及參與者同意作為風險管控之主要手段;而韓國則是除資訊揭露之規範外,明定實驗風險發生時之責任歸屬及申請人之保險義務等。 [31]韓國ICT沙盒,其「臨時許可」制度係以市場推出為目的,故為避免申請人實驗後之上市空白期,2021年6月8日公布修正《資訊通訊融合法》第37條第6條明定直至法規完備為止可透過法規強制延長臨時許可,以緩解創新實驗之上市空白期,並作為銜接取得正式許可之配套。 [32]經濟部中小企業處,〈國際法規鬆綁經驗對我國實證場域未來規劃之啟示〉,關鍵評論網,2020/12/10,https://www.thenewslens.com/article/144483(最後瀏覽日:2022/12/10)。

運動品牌Puma成功撤銷波蘭Sinda Poland鞋廠的歐洲共同體近似商標申請

  歐盟普通法院(The General Court of the European Union)於今年(2016)2月25日針對運動品牌Puma SE(以下簡稱Puma)提出之商標異議做出了判決。本判決認為,Puma所擁有的美洲獅商標(詳參圖1、圖2),與其異議之波蘭鞋廠Sinda Poland Corporation sp.(以下簡稱Sinda Poland)(詳參圖3)申請中的商標確有相似。此判決翻轉了歐盟內部市場協調局(Office for Harmonization in the Internal Market,以下簡稱OHIM) 所作出兩商標不近似之決議。本判決中,歐盟普通法院判決認為,OHIM應撤銷Sinda Poland之商標申請,並命令Sinda Poland及OHIM支付Puma相關訴訟費用。   本爭議起始於2012年,波蘭鞋廠Sinda Poland申請一歐洲共同體商標(Community Trade Mark,簡稱CTM),該商標為一跳躍的貓科動物形狀(詳參圖3),並指定使用於鞋類及運動鞋類產品。OHIM於2012年9月公告Sinda Poland申請的商標,同年11月Puma向OHIM提起異議,表示Sinda Poland之商標(詳參圖3)與Puma之美洲獅商標(詳參圖1、圖2)過於近似,有令消費者混淆商品或服務來源之虞。然而,OHIM於2014年決議認為,Sinda Poland之商標係兩種跳躍動物之結合,形成獨特的動物圖案設計,與Puma之美洲獅商標不相似,應不具有混淆消費者的疑慮。   Puma向歐盟普通法院上訴,認為法院應撤銷Sinda Poland之商標申請,並要求Sinda Poland支付相關訴訟費用。歐盟普通法院於今年2月25日做出決議,認為Sinda Poland侵害了Puma之商標權,並指出OHIM未將系爭兩商標在視覺上及概念上之整體相似度列入考量。該法院認為「Puma與Sinda Poland之商標皆為黑色的動物剪影,兩商標之動物背部及腹部弧度雖有所不同,但兩商標無法否認地有相似之處。」   經過為期將近四年的爭訟,Puma成功撤銷了Sinda Poland近似商標之申請。對國際知名運動品牌如Puma而言,近似商標的存在將會造成品牌知名度及商譽的打擊。如何藉由排除近似商標之申請以鞏固品牌形象及消費者認同,對品牌企業而言是必須面對的重要課題。本案中,Sinda Poland之近似商標仍在申請階段時Puma即提起異議。Puma積極的維權行動,是品牌廠商能夠藉以參照的模範。 圖1 Puma跳躍美洲獅商標(註冊於尼斯分類第1-42類)(圖片來源:歐盟普通法院判決) 圖2 Puma跳躍美洲獅商標(註冊於尼斯分類第18、25、28類)(圖片來源:歐盟普通法院判決) 圖3 Sinda Poland欲申請之商標(註冊於尼斯分類第25類) (圖片來源:歐盟普通法院判決) 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

TOP