日本促進產學合作相關計畫簡介

　　英國政府提議將網路盜版者的有期徒刑從2年調整到10年的法律修正案，假使這修正案被批准，將會使網路著作權侵權刑責與實體侵權的刑責趨於一致。 　　英國智慧財產局公開了諮詢文件，提到利益人希望調整網路侵權的刑事制度，提高為10年的有期徒刑的訴求。英國政府同意網路著作權侵權導致的嚴重損害不少於實體盜版侵權的損害。此項修正案的嚴刑峻罰對於網站擁有者的影響將大於個人侵權者。政府文件指出，此修正案特別針對設法透過網路廣告和訂閱費用獲利的犯罪活動。 　　英國的智慧財產部長Baroness Neville-Rolfe說道，創意產業帶動超過7萬億經濟價值，應著重保護創意產業遠離網路犯罪集團。對於商業規模的網路犯罪行為採取嚴峻的刑罰，將可提供產業更大的保護，並可明確傳遞清除犯罪的決心以嚇阻罪犯。 　　政府針對諮詢文件提供六周的時間供個人和組織對此已知的提案提供意見，一旦政府進一步對此議題的回應進行評估與審查，可預期未來幾個月即可獲知此法律修正案最終的決定。 將網路侵權的刑期提高到10年已經是第二次推動，在2005年Gowers智慧財產權審查報告中已經提議提高刑責2年到10年，但在當時政府拒絕此項提議，因為當時政策僅針對嚴重或危險的罪犯處以監禁服刑。

　　澳洲證券投資委員會(Australian Securities and Investments Commission, ASIC) 於2016年12月15日發布第257號法規指導(Regulatory Guide 257，RG 257)-在未持有AFS或信用執照的狀態下測試fintech產品與服務(Testing fintech products and services without holding an AFS or credit licence)。RG 257並包含澳洲的監理沙盒架構。重要內容如下: 1.有別於其他國家的監理沙盒需要申請方能適用，透過法規以及ASIC澳洲已經提供一些鬆綁機制，換句話說並不需要事先申請就可以取得監管沙盒鬆綁。例如非現金支付產品，包含儲值卡，以及某些國外交易服務。 2.ASIC的fintech 執照豁免見諸於ASIC Corporations (Concept Validation Licensing Exemption) Instrument 2016/1175 以及ASIC Credit (Concept Validation Licensing Exemption) Instrument 2016/1176。 3.ASIC也可個別提供客製化的執照豁免以促進產品或服務測試，個別豁免就比較接近其他國家的監管沙盒架構。 　　因此基本上，只要符合法定以及上述兩個instruments的規定，就可以自動取得監管沙盒的鬆綁，而無需另外申請，唯需「通知」ASIC，並提供相關資料。監理沙盒的適用期間為十二個月。但是如果不符法定以及Instrument 2016/1175、Instrument 2016/1176的規定，也可以另外向ASIC申請客製化的豁免。 　　目前可適用Instrument 2016/1175的金融服務包含： •掛牌的澳洲證券； •簡易管理的投資架構； •存款產品； •某些一般的保險商品；以及 •「授權存款取用機構(authorised deposit-taking institutions，ADIs)」發行的支付產品。 　　唯須注意的是，Instrument 2016/1176允許有限的信用協助，但是不得提供借貸。另外，使用監理沙盒的fintech企業最多只能有100個零售客戶，以有效控制風險。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。