美國目前沒有聯邦的隱私法,由各州訂定州隱私法、產業隱私法,要求企業應揭露資訊以提升資訊透明度,然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法(My Health My Data Act)》的州隱私法,其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料,可用於識別消費者過去、現在或未來的物理或心理健康狀況」,例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」,如零售業者蒐集消費者近期採購的訂單內容(非健康資訊),並透過AI機器學習分析得出消費者可能懷孕的比例及預產期,藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。
於《我的健康資料法》廣義定義「健康資料」下,導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。
為平衡隱私法的資訊透明度及企業想保護其營業秘密,建議企業可先採取:
1.使公司的智財部門與資料保護部門合作,確保公司人員對公司營業秘密標的及範圍的認知一致,並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。
2.企業在揭露受營業秘密保護的資料給消費者前,先與消費者簽訂保密契約,並參考前述營業秘密清單約定契約之保密範圍。
如企業欲採取更完備的營業秘密管理措施,建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。
本文同步刊登於TIPS網站(https://www.tips.org.tw)。
我國與日本企業增僱薪資費用稅捐優惠之研究與啟示 資訊工業策進會科技法律研究所 2024年10月01日 一、新修正中小企業發展條例第三十六條之二 《中小企業發展條例》(下稱中小條例)於2024年7月12日經立法院三讀通過後迎來了第35條研發投抵、第35條之1智慧財產權作價入股緩課及第36條之2薪資費用加成減除的延長適用[1],其中第36條之2分別有員工增僱、員工加薪薪資費用加成減除二項措施。根據該條第1項規定,中小企業增僱24歲以下或65歲以上員工並達法定要件者,得以增僱員工所支付之薪資費用之200%減除應納所得額,是立法者希望透過稅法減輕依法增僱之中小企業的營利事業所得稅負擔,藉此協助中小企業人力資源規劃、提升延攬青年與高齡者意願[2]。 稅捐法律關係本為支應國家一般財政需要,課予人民公法上金錢給付義務時應強調納稅義務之平等[3],故稅捐優惠者實則稅法上例外規定[4]。本次修法以企業僱用特定年齡員工作為稅法上非財政目的[5],既為針對特定費用予以中小企業稅捐負擔上差別待遇,是在引導企業主從事立法者所欲引導之行為時—即企業以增加僱用員工之形式增加支出—,稅捐立法就值得謹慎思考,如何在稅制適用上透過稅捐構成要件,盡可能使企業應減稅的行為達成稅法上非財政目的,以確保差別待遇之合理正當[6]。 關注於企業增僱薪資費用稅捐優惠,實證上在日本立法例中亦有所見,且該國稅制之發展已有逾12年之背景,尤具比較意義。本文將以稅法上非財政目的為中心,分別梳理兩國稅捐優惠立法,論述立法上有效引導企業增僱員工,並比較不同稅制的偏重與新意。 二、我國中小企業增僱薪資費用加成減除稅制 (一)、立法沿革與非財政目的 中小條例第36條之2的制定最早可追溯至2014年,當時國內廣泛呼籲解決青年失業率和薪資水準的問題[7],立法者於是鎖定在經濟景氣之影響[8],以中小企業增僱員工所支出之薪資費用為標的,訂定營利事業所得費用加成減除稅捐優惠,希望透過減稅的方式提升國內中小企業投資意願並帶動就業率[9]。 隨後,為鼓勵企業與受雇員工共同分享經濟成果[10],2015年該條文在第1項增僱稅捐優惠後增訂第2項,擴大僱用24歲以下員工之誘因[11]。申言之在經過一年的醞釀之後,改善青年就業的稅法上非財政目的,正式以減稅對象的年齡門檻作為適用條件,該稅制遂形成一般增僱與青年增僱稅捐優惠。 2024年中小條例第36條之2迎來重要修正,立法者明確指出將刪除既有的經濟景氣啟動門檻[12],不再限於促進經濟反轉動能的概念;另外則維持了增僱、加薪薪資費用加乘減除的稅制架構。其中,增僱薪資費用修正後的稅法上非財政目的之設定緣由,大致有二: 1.考量國內人口結構少子女化趨勢及高齡者勞動參與問題。 2.產業變遷與轉型過程中的多元人才需求[13]。 申言之,稅式支出將用於放大薪資費用支出,減輕中小企業增僱員工後的營利事業所得稅負擔,並以少子女化、高齡者勞動等緣由填充中小企業增僱、加薪等非財政目的[14]。 (二)、稅制效果與適用要件 為了深入比較我國與日本增僱薪資費用稅捐優惠,以下就中小條例第36條之2第1項為範疇,進一步介紹該條文之適用要件。 1.適格受雇員工身份與減免效果 承前所述,現行中小條例第36條之2增僱員工對象,必須為24歲以下或65歲以上之受員工[15],以符合引導企業僱用青年、高齡工作者的稅法上非財政目的。 稅捐優惠的減免效果方面,本條採取應納所得額費用加成減除措施,對於中小企業適格增僱行為,得按增僱所支付薪資金額之200%自營利事業所得額中減除[16]。亦即,在客觀淨所得原則之概念下,稅捐優惠減免效果發生於所得額計算階段,納稅義務人應再適用營利事業所得稅20%稅率,申報應納所得稅額。 2.基層員工薪資費用作為稅捐標的 增僱員工稅捐優惠以「基層員工」的薪資費用為稅捐標的,亦即得享有稅捐優惠之應納稅行為必須是增僱特定身分受僱員工之薪資費用。參酌行政院的立法文件可知[17],框定基層員工的內涵是指該名員工經常性薪資未滿6萬2千元者,係採專業人員職類別薪資作為天花板,強化稅式支出與提高基層員工薪資的關聯性[18]。 3.企業整體薪資給付總額 中小條例第36條之2有關增僱加成減除的部分,雖然沒有明確指出增加僱用人數與薪資水準的關係[19],但適用上仍設定了提高「企業整體薪資給付總額」的要件。根據現行授權子法規定,整體薪資給付總額指企業增僱本國籍員工之當年度總額,應高於比較薪資水準總額[20]。 其中比較薪資水準總額,須以企業當年度增僱員工數占前一年度僱用員工數之比例為被乘數,確立其依照前後年度僱用員工變動值;再乘以前一年度已增加支出資薪資費用總額,求得該企業按照人員變動所應該等比例支付的薪資;以此為比較基準,再以其3成作為中小企業在合理給付能力內應提升水準[21];最後加總前一年度已支付薪資總額,求得增僱後應達到的薪資給付總額。由於中小企業當年度薪資給付總額,比較前一年度薪資水準後應有所提升,因此適用上將架構出中小企業必須在前一年度之薪資給付能力之上進行增僱,始有稅捐優惠之適用。 此一要件在實質反映企業可能有因員工離職人數大於增僱員工人數,以及避免企業縮編聘僱員額使整體薪資下降後再享有稅捐優惠等,具有稽徵公平的意義。假設某中小企業前年度員工為20人,當年度離職員工共5人,但當年度增僱員工3人,因此該人員變動值為18/20,因此按照前一年度所能支付薪資總額假設為n,等比例推算當年度應支出薪資總額應為n×18/20。以其3成作為提升水準,並加總前一年度已支出薪資費用,可知增僱後應達到之薪資給付總額為n+(n×18/20)×30%。在此情形下,比較薪資水準總額為1.27n,故增僱事實發生當年度即便有員工總數減少,中小企業之整體薪資給付總額仍需大於1.27n。 因此,本條稅制將要求納稅義務人必須確保,當年度增僱的所能支出薪資費用的能力較前一年度有所成長,在強化稅式支出與非財政目的之間的關係上可謂相當嚴謹[22]。 三、日本增僱薪資費用稅額扣除稅制 (一)、立法沿革與非財政目的 日本有關增僱薪資稅捐優惠,首見於2011年「僱用促進稅制」(雇用促進税制)[23],當時配合「新成長戰略經濟對策」(新成長戦略実現に向けたの経済対策)政策,企業得按增加僱用所支出薪資費用一定比例享有營利事業所得稅額扣除,以稅制促進中小企業創造就業機會、基礎提升勞動所得[24],從而帶動整體經濟增長[25]。 隨後,日本政府為了因應人口結構對地方經濟的負面影響,2016年立法者在新成長戰略經濟對策下延伸出「活化區域經濟」(地域活性化)目標[26],在增僱稅捐優惠加上地理條件,新增「地方據點強化稅制」(地方拠点強化税制)[27]。引導企業在特定地區擴大投資或將業務遷移至特定地區時,以平衡區域經濟發展[28]。企業依據租稅特別措施法(租税特別措置法)第42條之12條規定,得按增僱員工數享有年度所得稅額定額扣除額、建築物加速折舊。 2020年僱用促進税制在確保「轉型投資與產業結構所須新興人力資源引進」之非財政目的下[29],更名為「人才確保稅制」。參照內閣府的立法說明文件可知,為了因應後新冠疫情時代產業結構新常態、碳中和與轉型投資急迫性,有必要以稅捐優惠加速企業帶動經濟成長良性循環,並改善應屆就職環境[30]。企業依據租稅特別措施法第42條之12之5條規定,僱用新進員工(新規雇用者)所支付「調整薪資給付額」(比較給与等支給額)達法定比例者,得作為當年度所得稅額之扣除額。 鳥瞰日本增僱薪資稅捐優惠稅制,目前無論是地方據點強化稅制或是人才確保稅制,兩者在非財政目的上都與岸田首相新資本主義政策的「實現結構性薪資成長」子政策鏈結;著重在中小企業作為人力資源需求端的相對多數,給予其稅捐優惠有助於在經濟成長的過程中促進勞動力的適當流動[31]。 圖1 日本增僱稅制及其非財政目的演變 資料來源:本研究繪製 (二)、地方據點增僱稅制效果與適用要件 承前所述,日本增僱薪資稅制目前可分為地方據點強化稅制與人才確保稅制,從稅制效果與架構來看,前者可分為轉移型僱用促進型、擴張型僱用促進型,後者可分為人才確保基本型、人才確保增額型,以下逐項論述其特色及其適用要件。 1.地方業務設施整備計畫 地方據點強化稅制的增僱稅捐優惠,係以地方政府公告之「地方再生計畫指引」[32]框定地方經濟特性,以此引導納稅義務人從事特定營業設施與處所投資及員工增僱[33]。企業應依據該指引,說明地方據點投資的與規劃[34],業務轉移或業務擴張的內容[35],以及預計調任或增僱員工數,完成「業務設施整備計畫」。計劃書應送交地方再生推進事務局(即地方經濟產業局)核定[36],確認後始可進行轉型或擴張投資,以此契合地方經濟實況、區域產業發展及移轉或擴張業務時的具體增僱需求[37]。 申請企業並須於每年年度終了時,向地方政府提交投資報告書(実施状況報告書),說明其營業設施與處所投資情形及實際任職或增僱員工數[38]。稅捐優惠之適用原則上與投資審查併行,只要企業於申報營利事業所得稅時,檢具前一年度稅務帳冊者,即可向稅務機關申請適用[39]。 2.類型化營業設施與處所 為了確保增僱薪資費用稅捐優惠與企業投資地方據點之關聯性,企業必須在前述計畫書中概要該名增僱員工預計於企業所投資之營業設施與處所從事之業務。也就是說,投資的營業設施與處所將成為適用稅捐優惠的一項附帶前提。 根據內閣府發布之業務設施指引可知,適格的增僱員工從業地點以業務用途分類,分別有事務場所、研究場所、育成場所,及其附屬之宿舍或商店、福利場所及兒童福利場所及設施[40],詳細見下表。 表 1:增僱或調任員工定額稅額扣除計算 資料來源:本研究整理 3.地方據點增僱或調任員工定額稅額扣除 租稅特別措施法第42條之12第1項及第2項規定,企業於東京23區以外之地點增加僱用員工時,得按新增僱員工或轉正職員工兩種身分,適用不同減稅乘數。企業增僱當年度申報營利事業所得稅時,得按僱員工人人數乘以減稅乘數計算稅額扣除額,因此又稱定額稅額扣除制度[41]。 由於地方據點稅制依據地方業務設施整備計畫可分為業務擴張型、業務移轉型,其減稅乘數需分別計算[42]。 (1)若企業主要業務所在地為東京23區內,並於地方據點進行投資並完成增僱等業務,則稱為業務移轉型。此時企業得以不定期、全職之新僱用員工人數,乘以減稅乘數50萬日圓之積數,自當年度營利事業所得稅扣除額。或以約定轉正職之僱用員工人數,乘以減稅乘數40萬日圓之積數,自當年度營利事業所得稅扣除額[43]。 (2)若企業主要業務所在地為東京23區以外,並於地方據點進行投資並完成增僱等業務,則稱為業務擴張型。此時企業得以不定期、全職之新僱用員工人數,乘以減稅乘數30萬日圓之積數,自當年度營利事業所得稅扣除額。或以約定轉正職僱用員工人數,乘以減稅乘數20萬日圓之積數,自當年度營利事業所得稅扣除額[44]。 表 2:增僱或調任員工定額稅額扣除計算 資料來源:本研究繪製 需附帶說明的是,過往地方據點強化稅制增僱稅捐優惠定有大企業應增僱達5人以上、中小企業應增僱達2人以上,不過2023年修法後租稅特別措施法第42條之12已刪除人數門檻,亦即無論新僱用或轉正職1人皆有適用。 (三)、人才確保增僱稅制效果與適用要件 1.人才確保與新僱用者適格對象 人才確保促進稅制於2023年修正延長後,目前已與生產力提升稅制分立,其最重要的差異在於人才確保促進稅制不再要求中小企業在增僱員工的同時,必須附帶設備或軟體支出的投資[45],而專門處理人力資源流動與經濟良好循環的關係[46]。 不同於舊法帶有擴大勞動所得的概念,稅捐優惠的適格對象為「繼續僱用者」(継続雇用者),修正後租稅特別措置法第42條之12之5第3項改以「僱用者」(雇用者)認定增僱要件;此一修正是為了配合解決第二次就業困境政策[47]所作出的放寬。而為了具體區隔稅制新、舊的差異,在日本經濟產業省或中小企業廳的官方文件中皆以「新進僱用員工」(新規雇用)說明,以契合改善應屆就業環境的財政目的[48]。 2.增僱員工比較薪資給付額 中小企業適用租稅特別措施法第42條之12之5第3項規定,增僱員工所支付「比較薪資給付費用」(比較給与等支給増加額)或「比較教育訓練費用」(比較教育訓練費)達法定比例者,得分別適用一般型增僱或增額型增僱稅額扣抵: (1)若中小企業當年度增僱員工所支付薪資總額,比較前一年度支付員工薪資總額之差額,占前一年度支付員工薪資總額之比例(即比較薪資給付增額)大於等於1.5%者,得按當年度增僱員工所支付薪資總額之15%,自當年度營利事業所得稅額中扣除。此為一般型增僱稅額扣抵。 (2)若中小企業當年度增僱員工所支付薪資總額,比較前一年度支付員工薪資總額之差額,占前一年度支付員工薪資總額之比例(即比較薪資給付增額)大於等於2.5%者,得按當年度增僱員工所支付薪資總額之30%,自當年度營利事業所得稅額中扣除。此為增額型增僱稅額扣抵。 (3)若中小企業增僱當年度之教育訓練費用,比較前一年度教育訓練費用之差額,占前一年度比較教育訓練費用之比例(即比較教育訓練費用)大於等於10%者,得按當年度增僱員工所支付薪資總額之25%,自當年度營利事業所得稅額中扣除。此為增額型增僱稅額扣抵。 倘若中小企業在增僱員工時,同時滿足上述一般型和增僱型的所有比較額條件,其當年度增僱員工薪資費用稅捐優惠,將按所支付薪資總額之40%自營利事業所得稅額中扣除。 (四)、小結-複數稅制的優勢 日本增僱薪資稅捐優惠從最初的新經濟成長論點,到因應地方就業人口議題的分支,再到目前以改善首次就業環境,在企業增僱與經濟發展此一課題上,已發展出複數稅制。這種複數稅制的立法,表現出立法者對稅法上非財政目的設定有其多義性,並與日本經濟發展的背景始終保持緊密關係。 在課稅標的篩選上,地方據點強化稅制以地方業務設施整備計畫作為適用前提,並以業務擴張及業務移轉兩種類型,呼應企業在地方據點雇用員工的可能性,具體鏈結引導企業從事特定應納稅行為與非財政目的的關聯性。而人才確保稅制則下分出一般型或增額型等概念,對於分層給予應納稅行為減稅誘因上,頗具新意。 四、企業增僱薪資費用稅捐優惠法制的啟示 綜觀現時日本地方據點強化稅制與人才確保促進稅制可知,在鼓勵中小企業增僱員工的政策目標下,立法者對非財政目的之調整相當靈活。雖然此與兩國立法週期不同直接相關,但其配合不同稅法上非財政目的所設定之課稅標的、適用要件,仍有值得參考之處。 首先,為了達成改善地方就業市場萎縮、衡平區域經濟落差之目的,在稅制上以業務移轉或者業務擴張去類型化企業往赴特定地區投資的經營行為,一定程度呼應了企業僱用新員工的真實性。另一方面,再搭配不同程度的稅捐優惠效果,盡可能提高稅式支出與地方據點增僱的關聯。 次者,在呼應人才確保的立法論述上,除了增僱薪資給付的計算外,額外新增的比較教育訓練費用無疑是鏈結「新常態、碳中和與轉型投資急迫性」的一種方法。此要件雖然在能否有效篩選出碳中和、轉型投資所需人才方面還值得進一步思考,然而將稅捐優惠設計成一般型、增額型的分層制度,展現了單一稅制配置不同應納(減)稅行為的參考依據[49]。 其三,在稅制要件與達成非財政目的之關聯性上,我國中小條例第36條之2採取的企業整體薪資給付總額計算公式,以及透過職類別薪資水準篩選基層員工的概念,無疑較日本立法例來的更為嚴謹。此外,相較於日本立法例所採比較增僱薪資給付額達法定數值之制度而言,我國以前後年度僱用員工變動值作比較基準,再以提升3成水準為概念,更細緻地考量到年度員工數增減對薪資費用計算的影響,並能客觀要求企業以自身前後年度薪資給付水準加以比較,而非以單一法定公告值衡量全體納稅義務人。 最後,日本雖然在鼓勵企業增僱的稅捐優惠立法上,展現出單一個課題複數稅制的全景,然而相關學者對於複數立法所引起的高度複雜性亦有所批評[50]。繁複的稅捐優惠立法勢必存在納稅者權利保護的疑慮[51],如何在稅法形成合理的非財政目的、設計適當的制度,無疑是外國法例借鑒時必須謹慎注意之處。 [1]行政院新聞傳播處,〈政院通過《中小企業發展條例》部分條文修正草案 優化並延長多項租稅優惠措施 強化中小企業營運環境〉,行政院,2024/04/18,https://www.ey.gov.tw/Page/9277F759E41CCD91/8a5ddf1d-83da-4ef9-9efc-dac17110db09 (最後瀏覽日:2024/07/21)。 [2]中小企業發展條例修正第35條、第36條之2、第40條修正草案總說明,頁4。 [3]方華香,〈量能課稅原則在憲法解釋與納稅者權利保護法之落實及修法研析〉,立法院法制局議題研析,https://www.ly.gov.tw/Pages/Detail.aspx?nodeid=6590&pid=85539(最後瀏覽日:2024/8/16)。 [4]廖欽福,〈能源稅的美麗新世界—環境能源公課之課徵及其憲法界線〉,《華岡法粹》,第64期,頁160(2018);柯格鐘,〈談稅捐優惠作為鼓勵產業發展之手段〉,《全國律師》,頁2(2011)。 [5]另有學者將非財政目的在細分為經濟引導目的、公益目的。詳參柯格鐘,〈稅收之立法界線及其憲法上的當為要求-以德國稅捐法理論為基礎〉,收錄於台灣憲法解釋之理論與實務第七輯,中央研究院法律研究所,黃舒芃編,頁240-241(2010)。 [6]納稅者權利保護法第5條。 [7]鄭琪芳,〈台青失業率14% 亞洲4小龍最高〉,自由時報,2013/8/22;陳劍虹,〈臺灣近年薪資成長停滯原因探討及改善對策〉,《經濟研究年刊》,第13期,頁112(2013)。 [8]該次立法針對經濟景氣的變化提出了「景氣救生圈」的概念,希望在經濟景氣不佳的情況下,透過中小企業群體的投資能量加強經濟成長動力,詳參〈立法院第8屆第5會期經濟委員會第6次全體委員會議紀錄〉,《立法院公報》第103卷第26期,頁68(2014/04/09)。 [9]參照2014年中小企業發展條例第36條之2修正理由「為因應嚴峻之國際經濟情勢,增加投資、創造就業,立即加強經濟成長之動力並吸引外資來台,爰訂定本條文。」 [10]〈立法院第8屆第6會期經濟委員會第16次全體委員會議紀錄〉,《立法院公報》第103卷第51期,頁68(2014/09/12)、〈立法院第8屆第7會期經濟委員會第8次會議議案關係文書〉,第103卷第83期,頁272-273(2014/11/21),〈立法院第8屆第7會期經濟委員會第16次會議議案關係文書〉,《立法院公報》第104卷第4期,頁11(2015/01/06)。 [11]參照2015年中小企業發展條例第36條之2第3條修正理由。 [12]〈立法院第11屆第1會期經濟委員會第3次全體委員會議紀錄〉,立法院公報第113卷第12期,頁117。 [13]參照2024年中小企業發展條例第36條之2立法理由。 [14]參照2024年中小企業發展條例第36條之2可知,修正後第一項(即增僱薪資加成減除)係「為鼓勵中小企業延攬青年,提升高齡人力資源規劃意願」,修正後第二項(即加薪薪資加乘減除)則係「為鼓勵中小企業替員工加薪,協助其留用人才」,其核心旨趣可概括為攬才留才。 [15]至於加薪部分為廣泛對應繼續任職者的年齡,契合企業為加薪本係基於員工技、職能與業務績效,則無細分適用年齡資格。惟本文著重在增僱薪資費用稅捐優惠之比較研究,加薪稅制相關論述在此不另行開展。 [16]中小企業發展條例第36條之2第1項。 [17]行政院新聞傳播處,〈討一 中小企業發展條例_經濟部 懶人包〉,本院新聞,https://www.ey.gov.tw/File/EF46233500BEDDBD?A=C (最後瀏覽日:2024/7/25)。 [18]雖然中小企業發展條例第36條之2條文中並未論及勞動部職類別薪資,然參酌立法院第11屆第1會期財政委員會第11次會議紀錄中,經濟部曾就鼓勵中小企業為員工加薪子題說明,基層員工薪資範圍將配合職類別薪資調查結果修訂。詳參〈立法院第11屆第1會期財政委員會第11 次全體委員會議紀錄〉,《立法院公報》,第113卷第36期,頁57-58(2024/05/01)。 [19]從2014年中小企業發展條例第36條之2理由「新投資創立或增資擴展中小企業達一定金額且增僱一定人數」,或同條文2024年修正理由「為鼓勵中小企業延攬青年,提升高齡人力資源規劃意願」可知,文義上增加僱用人數應該是對應就業率,至於企業增僱員工後如何正向影響薪資水準則並不明確。 [20]中小企業增僱員工薪資費用加成減除辦法第4條第1項第5款。 [21]中小企業增僱員工薪資費用加成減除辦法第4條第4項。 [22]范文清,〈租稅優惠之研究〉,《月旦財經法雜誌》,第41期,頁143(2017)。 [23]舊租稅特別措施法第措法42の12の4。 [24]因此雇用促進稅制有時又稱所得擴大稅制。 [25]厚生勞動省,〈平成23年税制改正(租税特別措置)要望事項-雇用促進税制の創設等-〉,https://www.kantei.go.jp/jp/kakugikettei/2010/h23zeiseitaikou.pdf (最後瀏覽日:2024/8/2)。 [26]中西 涉,地方創生をめぐる経緯と取組の概要,参議院事務局立法と調査,頁5(2016)。 [27]租税特別措置法法第42條之12。 [28]內閣府,〈平成27年税制改正の大綱〉,https://www.cas.go.jp/jp/seisaku/kokudo_kyoujinka/sisakushu/pdf/pdf_38.pdf (最後瀏覽日:2024/7/22)。 [29]財務省,〈令和6年度税制改正要望事項-地方における企業拠点の強化を促進する税制措置の拡充及び延長-〉,https://www.mof.go.jp/tax_policy/tax_reform/outline/fy2024/request/cao/06y_cao_k.pdf (最後瀏覽日:2024/7/22);財務省,〈コロナ禍を踏まえた賃上げ及び投資の促進に係る税制の見直し(人材確保等促進税制)〉,令和3年稅制改正,https://www.mof.go.jp/tax_policy/publication/brochure/zeisei21/03.htm#a04 (最後瀏覽日:2024/8/2)。 [30]財務省,〈コロナ禍を踏まえた賃上げ及び投資の促進に係る税制の見直し(人材確保等促進税制)〉,令和3年稅制改正,https://www.mof.go.jp/tax_policy/publication/brochure/zeisei21/03.htm#a04 (最後瀏覽日:2024/7/25);小竹義範,小竹義範,〈租税特別措置法等(法人税関係)の改正〉,《財務省令和3年度税制改正の解説》,頁508。https://www.soumu.go.jp/main_content/000724449.pdf (最後瀏覽日:2024/7/25)。 [31]地方據點強化稅制最初係配合日本「地方創生」政策所制定,然在令和6年的稅制文件中可知已有所調整。參小竹義範,〈租税特別措置法等(法人税関係)の改正〉,《財務省令和6年度税制改正の解説》,頁509。 [32]內閣府,〈地方活力向上地域等特定業務施設整備計画の運用に関するガイドライン〉,https://www.chisou.go.jp/tiiki/tiikisaisei/pdf/03guideline.pdf (最後瀏覽日:2024/8/5)。 [33]地方再生法第16條。 [34]包括地理條件、產業結構、市場規模、基礎設施條件。 [35]地方再生法第17條之2第1項、第2項。 [36]地方再生法第17條之2第5項。 [37]業務設施整備計畫與增僱認定相關者僅在於紀載員工人數,至於該計畫在如何撰寫地方經濟特性於業務移轉或擴張部分,則為其他稅制之核心與本文關注之增僱稅制無實質關聯,故不詳述。 [38]地方再生法第36條。 [39]租税特別措置法施行令第27條之11之3。 [40]內閣府,〈地方活力向上地域等特定業務施設整備計画の運用に関するガイドライン〉,https://www.chisou.go.jp/tiiki/tiikisaisei/pdf/03guideline.pdf (最後瀏覽日:2024/8/5)。 [41]国税庁,〈No.5926 地方活力向上地域等において雇用者の数が増加した場合の法人税額の特別控除〉,https://www.nta.go.jp/taxes/shiraberu/taxanswer/hojin/5926.htm (最後瀏覽日:2024/8/5);內閣府地方創生推進事務局,〈地方拠点強化税制令和6年改訂〉,https://www.chisou.go.jp/tiiki/tiikisaisei/pdf/01pamphlet.pdf (最後瀏覽日:2024/7/26)。 [42]租税特別措置法施行令第27條第3項、第5項。 [43]租税特別措置法第42條之12第1項第2款。 [44]租税特別措置法第42條之12第5項第2款。 [45]投資要件分別為機械或設備金額達100萬日圓、器具或備品金額達30萬日圓、建築附屬物金額達60萬日圓擇一達成。 [46]経済産業省中小企業庁事業環境部,〈令和6年税制改正要望事項-中小企業向け賃上げ促進税制の拡充及び延長-〉,https://www.mof.go.jp/tax_policy/tax_reform/outline/fy2024/request/meti/06y_meti_k_24.pdf (最後瀏覽日:2024/8/5)。 [47]第二次就業困境指的是相對於日本90年代末期經濟泡沫時期,企業規模萎縮伴隨勞動力需求大幅度下滑,當時卻正好迎來戰後嬰兒人口大學畢業,致使勞動供給過剩因而從勞動政策引發一連串社會與經濟問題的背景。參堀有喜衣、田上皓大、小杉礼子,〈就職氷河期世代のキャリアと意識〉,独立行政法人労働政策研究機構,頁1、頁115-116,https://www.jil.go.jp/institute/siryo/2024/documents/0272.pdf (最後瀏覽日:2024/8/13)。 [48]新進僱用員工係指依日本勞動基準法第107條第1項規定申報勞動名簿未滿一年支員工,先前受僱於關係企業或受控公司之員工不適用之,但受僱於子公司或分支機構之員工不在此限。參照。見経済産業省,〈「人材確保等促進税制」よくある御質問Q&A集令和4年2月4日改訂版〉,https://www.meti.go.jp/policy/economy/jinzai/syotokukakudaisokushin/pdf/jinzaikakuhotousokushinzeisei20220204faq.pdf (最後瀏覽日:2024/7/18)。 [49]我國在已廢止之促進產業升級條例中,曾有超額扣抵之稅制立法,然在計算超額之對象上乃指同一筆投資(應納稅行為),與日本將薪資費用與教育訓練費用兩項不同投資行為整合,以對應稅法上非財政目的。 [50]藤谷武史,〈論拠としての「租税法律主義」―各国比較〉,《フィナンシャル・レビュー》,第129号,頁204(2020)。 [51]納稅者權利保護法第6條第1項規定,稅法或其他法律為特定政策所規定之租稅優惠,應明定實施年限並以達成合理之政策目的為限,不得過度。
奈米科技之前瞻性規劃-以美國推行綠色奈米為中心 日本提出「放送法施行規則」修正草案,強化智慧防救災訊息發佈設備整備措施日本總務省鑒於311地震時媒體播送的減災效果,在2014年2月14日對日本放送法施行規則的部分修正展開公眾諮詢。此次的修正係基於放送法母法第108條規定。依據該條的規範,基幹放送業者在進行國內的廣播時,若發生暴風、豪雨、洪水、地震、大型火災或有發生之虞時,為預防其發生或減輕其所造成之損害,應進行有效之廣播。 蓋日本在311災後,因其對對社會所產生巨大的衍生影響,後續規劃研擬了許多因應法制政策及措施。根據日本內閣府「2013年防災白皮書」,日本政府在311地震後所規劃政策方向及重要施政措施有:防災對策推進會議檢討會議的最終報告、災害對策法制的改正、與防災基本計畫的修正等各層面工作。 此外,依據日本防災對策推進會議檢討會議在2012年7月所完成之報告,其中對於災害立即回應體制的充實與強化,及建立綜合的防災資訊系統,建議應蒐集並提供必要之資訊,以盡早提供根本性的改善為目標。並且,為因應災害防救需要及強化即時應變能力,建立智慧防救災體系即屬刻不容緩,如何能運用各種多元性傳遞管道,落實將緊急性災害防救重要資訊傳送至每位國民,遂成關鍵議題。 而此次放送法施行規則的修正則擬增訂第86-2條,要求基幹放送業者應就基幹放送設備等向總務省所擬定的「基幹放送等整備計畫」;其中,關於母法108條廣播之確實實施而有特別必要者,並應取得總務省之確認。修正案擬增訂的101-2條除重複上述意旨,並要求總務省在確定確認上述計畫後,並應將公開其計畫的相關內容。 其中,對於地震防災對策特別措施法(地震防災対策特別措置法) 、水防法 與關於在土砂災害災害警戒區域內等的土砂災害防止推進的法律(土砂災害警戒区域等における土砂災害防止対策の推進に関する法律)等規範所訂定易受災區域內發信設備之設置,皆納入上述應被確認計畫的範圍。 日本屬地處地震頻繁國家,對於災害防救體系甚為重視,並投入大量資源加以發展。未來日本對於推動智慧防救災體系,是否會有更多進一步法制修改及調整,值得我們持續進行關注。
美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 根據一項網路入侵案件的統計分析,約有80%的案件事來自於機關或企業內部人員,或是至少與內部人員有關。[1]然而,對於資通訊安全與機密資訊的維護,機關單位與人員把大部分的重心放在防範外來的入侵者,也就是外部威脅,反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限,也就是因為這樣,內部威脅不易被發現。這就好比擁有大門鑰匙一般,正當合法從大門出入,以及從事本來就可以做的事,而不易被發覺。美國由於維基解密(WikiLeaks)事件的爆發,使政府對於機密維護的焦點,從外在攻擊的防止,轉聚焦於內部威脅的防範。 在美國,內部威脅並不是一個新的概念,公務機關本具備一定的管理措施;惟在維基解密案爆發後,帶給美國政府極大的衝擊,美國也全面檢討與創制新的因應作法,並於政策面、制度面與技術面等不同面向,進行積極的研究與合作。以下將引介美國之制度設計,藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 有關資訊的價值,近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例,智慧財產權與企業機密,儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩,導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關,「機密」對內部人員即成為最有價值的財產與籌碼,而公務機關可能因為內部威脅將機密外洩,造成對於國家、機關或人民產生公共安全,甚至是國家安全的危機。 (一)內部威脅的定義 外部威脅(External threat)」[3]係與內部威脅相對應之概念;外部威脅係指該威脅非由組織內部發生,而是由組織外部之人員或其他組織,透過一般的網際網路、互聯網系統,以未經授權之方式,對該組織之資訊設備,以植入惡意程式、或以駭客入侵等方式,進行侵入式的資訊系統攻擊,其目的係在於由外部取得該組織「有價值」的資訊。 為因應威脅,「威脅識別(Threat Identification)」成為威脅防禦之首要任務,按形成威脅的原因加以區分,大抵可分為「外部威脅(External Threat)」與「內部威脅(Insider Threat 或Internal Threat)」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等;相對外部威脅,係指自然災害,例如火災與地震,以及來自外部的惡意攻擊,例如盜賊、駭客、惡意程式,以及網路病毒等。[4] 「內部威脅」雖然被認知為威脅的一個種類,但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義,通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖(「惡意(Malicious)」),對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊(Computer Emergency Readiness Team, CERT)」認為內部威脅係指一位或多位具備存取控制(Access)的個人,意圖利用弱點侵入公司、組織,或企業的系統、服務、產品或設施,對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告(Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation)」,內部威脅係指未經授權存取控制國防部資訊系統的人員,可能為軍事人員員工(Military Member)、國防部一般僱員(Civilian Employee )、其他聯邦機構員工,以及私部門等。[6] 由上述定義可得知,內部威脅係來自於組織單位的「內部」,如以行為人之意圖區分,又可細分為「惡意(Malicious)」與「過失」。因人員之過失所造成之內部威脅,大部分原因為人員對於資訊系統與之使用與管理不當所造成,例如,人員使用Email或即時通訊軟體,受到社交工程之攻擊,導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅(Malicious Insider)」,係指內部人員利用合法存取權限,為超出於其授權使用之對象、時間、範圍、目的,與用途等之行為,並意圖對於單位組織或是特定人、事、物等造成傷害,或是謀取不當利益。 依據惡意內部威脅事件,大約可分為以下各類型:[7] 1.IT破壞(IT Sabotage) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,意圖損害一個具體的個人或組織,或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改(Theft or Modification for Financial Gain) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改(Theft or Modification for Business Advantage) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他(Miscellaneous) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為非基於經濟利益或業務優勢,而進行竊盜或修改機密或專有資訊。 或通常會涵蓋二種以上的類型,例如:員工先行對於IT系統進行破壞,然後再試圖敲詐僱主,以協助他們恢復系統為條件換取金錢。另曾有案例為,一名前副總裁於結束工作前,複製客戶數據庫與銷售手冊,再向其他外單位組織兜售。[8] (二)內部威脅事件的發生與所造成的損失 依據CERT於2011年4月對於內部威脅控制的報告指出,以報告中123件資訊科技破壞(IT Sabotage)事件進行統計,內部威脅發生的時間為26%件事件發生於上班時間,35%發生於下班時間,另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看,54%事件發生於進行遠端連線時,27%發生於公司所在地,另外19%發生於不特定之地點或場所。[9] 有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計,可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡,或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響,所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 美國傳統對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。第8381號行政令,授權政府官員保護軍事與海軍基地。爾後,歷任總統以發布行政命令的方式,建置聯邦政府的機密分級標準。不過,羅斯福總統以經特定法規授權為由,後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法,[12]設法平衡總統權利。 歐巴馬總統上任前歷經2001年911事件的壓力,[13]以及2010年維基解密等機密外洩事件,致使歐巴馬團隊對於資訊安全以及機密維護非常重視,除了推動開放政府(Open Government),促進政府政策更公開透明的民主治理外,對於資通訊安全(Cyber Security)、機密資訊外洩的通報機制,以及內部人員(Insider)所帶來的威脅,更是採取積極的作法。[14] 針對內部人員對於國家安全與機密外洩的問題,歐巴馬政權立即採取相對應的措施,於2011年發布第13587號行政命令:「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革(Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information)」,與因應第13587號行政命令所規範之「內部威脅」議題,於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」的總統備忘錄。 部會或機關紛紛對於內部威脅採取相關防範措施,例如國務院(Department of State)對於涉及機密的網路,採用新的審查與監控的工具,而在國防部(Department of Defense)也開始開發自動偵測內部威脅的辨識系統。在情報系統方面,商務部(Department of Commerce)國家標準與技術中心(National Institute of Standards and Technology, NIST)與司法部(Department of Justice)聯邦調查局(Federal Bureau of Investigation, FBI)也訂立內部威脅指引,提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊(Computer Emergency Readiness Team,以下簡稱CERT)內部威脅中心(CERT Insider Threat Center)進行多項內部威脅的研究。 至今為止,歐巴馬政權對於內部威脅的防範,於法制政策提出下列各項規範: (一)總統第13587號行政命令:「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 由於維基解密事件的爆發,使美國將機密的維護,從對於防止外在的攻擊,轉聚焦於機密資訊的內部威脅。事件發生後,國家安全人員馬上成立跨機關小組,檢視處理機密資訊的政策與實務作法,希望可以提出解決行政部門可共用的機制,以減少類似的事件再度發生。 跨機關小組歷時七個多月的檢討後,對於機密資訊的保護,與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則:加強跨機關資訊有責共享的重要性;確保政策、流程與技術的安全解決方案,與監督和組織文化的發展;強調聯邦政府對於資訊必須實施一致的作法;與確保隱私、公民權和自由的保護。[15] 歐巴馬團隊將上述原則落實至第13587行政命令,[16]成立監督的架構,發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任,並加強跨機關資訊的流通與保護,包括電腦網路的安全,與內部威脅的機制,以減低未來國家安全機密外洩的風險。 第13587號行政命令大抵分為下列各大項,除此之外,聯邦政府同時已經採行增進機密資訊網路與人員的控管,例如拆卸式媒體、網路身分管理、內部威脅方案(Insider Threat Program)、存取控制的管控(Access Control)、機密網路的審核,[17]項目分為: 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任; 2.設置「資深資訊分享與安全維護推動小組(Senior Information Sharing and Safeguarding Steering Office)」; 3.成立「機密資訊流通與保護局(Classified Information Sharing and Safeguarding Office, CISSO)」; 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks);與 5.設置「內部威脅專責小組(Insider Threat Task Force)」。 其中有關「內部威脅專責小組」的部分,跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕,包括利用、損害,或其他未經授權揭露機密資訊的內部威脅,並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標,建立和整合機關內部的安全與反間諜,用戶審查和監控等優先事項,以及其它機關的實作發展和保護能力。[18]除此之外,內部威脅專責小組還必須與相關單位合作,以促成政策的草擬與可行。[19] 專責小組的職責應包括下列: 1.制定並與行政機關協調,阻止、檢測和減輕內部威脅的政策,並提交至督導委員會檢閱; 2.與適當的機關合作,制定行政機關內部威脅方案的政策指引和最低標準,並於一年內發布,該相關指引和最低標準對於行政部門具拘束力; 3.如果有足夠的經費或經授權,繼續與適當單位合作,於一年之後,增修相關指引與最低標準; 4.如果沒有獲得足夠的經費或授權,建議由預算辦公室(Office of Management and Budget)或國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISSO)於一年之後頒布相關指引與最低標準的增修版本; 5.如仍有任何未解決的問題,以致於延宕最低標準的公布,應將問題提交給督導委員會(Steering Committee); 6.按照專責小組所制定之方案,獨立評估相關機關單位是否適當的落實既定的政策和最低標準,並將評估結果向督導委員會提報; 7.提供機關單位援助,包括提供最佳實作案例以供參考;與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 由上可見,第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策,機關亦必須依照指示時程,落實內部威脅政策的偵測方案,以及監控其運作是否符合政策的目標。 (二)「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組,負責偵測與避免內部威脅,以增進對於機密資訊的保護,以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而,機關應該如何施行的細項尚未有細緻規範,仍需等待歐巴馬團隊進一步制定,以落實於聯邦政府所屬的公務機關。 緣此,美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」,主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護,並加強危及國家安全的敵對勢力或內部威脅的防禦。 這些威脅包括潛在的間諜活動,對國家或機關單位的暴力行為,以及未經授權揭露機密資訊,包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 目前標準的詳細內容尚未發布,不過,依據備忘錄大約可分為下列各項: 1.蒐集、整合、集中分析和應變主要威脅相關的資訊; 2.監控人員對於機密網路的使用; 3.提供人員對於內部威脅意識的培訓; 4.保護人員的公民、自由和隱私權。 參、事件評析 觀察美國一連串的改革,顯見維基解密事件對於美國政府產生非常大的衝擊,更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制,對機密資訊的管理與「內部威脅」的防範進行全面檢討,並對於配套標準及措施進行增修。 除對於傳統以人員監督威脅的存在外,應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據,再進一步因應與確認內部威脅的存在。 最重要的是,該制度與措施要求全國公務機關一起合作落實,以及分享潛在內部威脅的異常警訊,才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會,張維平,日晷第4期認識公務機關資訊安全問題,取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf(最後瀏覽日:2012年11月30日)。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來,隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗,世界各地傳出多起嚴重的資料外洩事件,當然台灣也不能倖免。外洩的資料包羅萬象,而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊,另外還有最令機關防不勝防的內賊。只要有心,要在機關內部竊取資料很容易,從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟,都可當作工具,如果機關(各單位)沒有危機意識,採取防範措施,資料外洩在所難免。鑑此,籲請各單位安全連絡員,加強單位自主管理,協助單位主管加強責任區安全檢查,共同維護機關公務機密與安全。 [2]中廣新聞網.海軍共諜案,國防部:才在發展階段,影響有限,(2012年10月29日),取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html(最後瀏覽日:2012年11月30日)。 國防部軍事發言人羅紹和表示,涉案的海軍大氣海洋局前政戰處長張祉鑫,在退役後透過友人介紹,認識中共官方人員,然後再透過軍中舊識,「謀取不法利益」,保防安全部門在今年三月間接獲檢舉,依法由反情報單位展開調查行動,並移請檢調單位協助調查,順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊,資訊安全概論與實務,取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf(最後瀏覽日:2012年11月30日)。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」,「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」,與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件,以年度區分,截至2012年11月30日止,包括下列:1.2009年:「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」,與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」;2.2010年:「第13549號行政命令-國家、地方、部落,和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」;3.2011年:「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」;4.2012年:「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長(Attorney General)與國家情報局主任(Director of National Intelligence)或指定人共同擔任主席。內部威脅專責小組成員應該由國務院(Department of State)、國防部(Department of Defense)、司法部(Department of Justice)、能源部(Department of Energy)、國土安全部(Department of Homeland Security)部長所指定的人員,以及國家情報局主任(Director of National Intelligence)、中央情報局(Central Intelligence Agency),和國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISOO)等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官(Office of the National Counterintelligence Executive, ONCIX)和其他機構,於法律所允許的範圍內配置。這些人員必須是官員,或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所,以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件(Document),文件的種類根據事務類型之不同分為三大類:Executive orders(有連續編碼的行政命令)、Proclamation(公告)、Administration orders(無編號的行政命令),其下尚有不同的子分類,備忘錄則屬Administration orders下的子分類之一,總統所發布的文件效力相同,並無位階之分,http://www.archives.gov/presidential-libraries/research/guide.html(最後瀏覽日:2013年1月12日)。