解析雲端運算有關認驗證機制與資安標準發展
科技法律研究所
2013年12月04日
壹、前言
2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。
資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。
貳、雲端運算資訊安全之控制依循
雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。
在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。
一、ENISA「資訊安全確保架構」[3]
歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。
值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。
雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。
在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。
在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。
在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。
二、CSA「雲端資訊安全控制架構」[6]
CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。
舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。
三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]
日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。
舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。
参、針對雲端運算之認證與登錄機制
一、CSA雲端安全知識認證
CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。
二、CSA雲端安全登錄機制
由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。
(一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。
(二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。
資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。
另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。
三、日本-安全・信頼性資訊開示認定制度
由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。
此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。
肆、雲端運算資訊安全國際標準之形成
現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。
[1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20)
[2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009).
[3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework .
[4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009).
[5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009).
[6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013).
[8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013).
[9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。
[11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。
[12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。
[13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。
[14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013).
[15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).
本文為「經濟部產業技術司科技專案成果」
由日本金融廳(FSA)與各界相關人士組成的「虛擬貨幣交換產業相關研究會」(仮想通貨交換業等に関する研究会)於2018年11月2日再度召開會議,本次會議主要針對是否需就ICO監管予以討論。 按ICO,乃是指虛擬貨幣之首次代幣發行(Initial Coin Offering),即向社會大眾發行數位代幣(token),並收取主流虛擬貨幣之籌資行為。在過去,日本僅以向金融廳諮詢會報的方式督導,對於虛擬貨幣之交易所僅課予註冊義務,並未對於ICO行為予以規範。而ICO因其大量之籌資行為可能產生之風險如詐欺、非法募資或洗錢,從而日本金融廳研擬將ICO列入「金融商品交易法」規範之。 而就ICO是否有受到金融監管之必要,會議中主要之考量有以下兩點: 使用虛擬貨幣之行為是否具有金錢上融資之功能,會議中對於不具權利性質之虛擬貨幣認為無監管必要; 引入金融監督機制是否符合社會期待。 另外,會議中並就ICO和首次公開募股(Initial Public Offerings,以下簡稱IPO)進行比較,有認為,倘若ICO具有如同IPO籌集資金之經濟功能,並且也可能產生如同IPO之相同風險,理應受到相同之規範。可為之規範例如對於賣家進行最低度審查,避免透過籌資為詐欺之可能;限制權利內容模糊不清之虛擬貨幣流通,並對發行人之財務和業務狀況進行篩選;課予ICO負有如同IPO之揭露義務,並須在網站上公布對於投資人有影響性之資訊;使發行價格更有衡量基準。另外JVCEA(日本仮想通貨交換業協会)作為監管機構,擬對於ICO在銷售開始、銷售結束,甚至銷售結束後仍課予持續的情報提供義務。 而於後續2018年11月26日召開之第十次會議中,表示對於ICO在未來不會採取禁止之態度,仍保持鼓勵之立場,但對於投資人之保護需要更全面予以考量,減少利用ICO詐欺之情形。另外,對於虛擬貨幣交換業者,需要加強對客戶財產之管理和維護,亦可能對其施加信託義務,俾利加強投資人信心。 ICO在日本非常盛行,但也因此詐欺案件頻傳,對於日本將以何種方式監管ICO;對於虛擬貨幣交換業者之規範,對投資人之保護是否足夠;又或是此類規範將形成交換業者反抗,依目前會議頻繁討論之程度應很快會有定論。惟對於此種新創之產業,往往需在監管與鼓勵發展間求取平衡,而日本在虛擬貨幣之發展上,又領先亞洲各國,對於此次監管議題後續發展,實值關注,並得以借鏡我國,作為我國在相同議題上之參考。
德國大學研發成果商業化模式初探— 以拜揚專利聯盟為例德國大學研發成果商業化模式初探— 以拜揚專利聯盟為例 資訊工業策進會科技法律研究所 法律研究員 余承穎 2018年07月30日 壹、背景 「研發成果商業化」向來為我國政府關注議題。自2000年起,我國積極推動技轉中心設立,並在2002年後,宣導技轉業務推動以績效為導向,同時進行相關配套之獎助[1]。科技基本法下放政府資助之研究計畫成果下放予計畫執行單位,並允許執行單位可自行運用其研發成果將技術知識擴散於業界,且也開始有技轉金的收入,只是真正能技轉的技術件數並不多,還需要強化技轉中心的功能,以利未來更能聚焦學校的研發能量並有效的商業化。 近年來,德國聯邦政府在高等教育產學合作上,提出《知識創造市場》(Knowledge Creates Markets)[2]之報告,並提出四個行動方案,主要支持知識與技術的移轉在國家政策中給予最高的優先性。也因政府的支持下,德國聯邦政府斥資46.2百萬歐元建立專利利用局 (Patentverwertungsagentur,以下簡稱PVA),截至2016年止已成立29間PVA[3],每一間PVA對於區域性大學進行商業化的服務。 本篇就以德國各區的PVA中,技轉成績最好的拜揚專利聯盟(BayPat)進行介紹,並了解德國大學在國家政策支持下的專利聯盟運作機制。 貳、德國大學商業化困境及解決方案 西元2000年初,德國大學和我國一樣面臨研發成果無法商業化的問題,其主因可分為兩部分來說[4]: 大學教授以學術發表論文為主要目標且大學也擁有很多的研發成果,卻無法轉化成專利或推廣至市場上運用。 德國大學很早就開始推產學合作和技術移轉,由於技轉人員沒經驗,無法強化技轉人員的職能,導致校內研發成果無法集中管理而妥善的運用。 基於德國聯邦政府積極想讓高等教育的研發成果能夠商業化,並可以和產業建立溝通橋樑,因此德國聯邦政府推出了《知識創造市場》四個行動方案,其中一個行動方案Exploitation Offensive(市場開發)[5]的目標是希望將科學研發成果快速推至市場,其所採取的策略主要包含:建立專業的專利利用開發之基礎建設和大學教授特權之改革。 依據此策略目標,聯邦政府首先於1998年修訂高等學校框架法(Hochschulrahmengesetz,簡稱HRG) [6],擴大大學 (Hochschule)的任務與增加大學促進技術移轉之規定,但此修法的成效不佳,未見各大學技轉中心的研發成果運用有逐漸轉好;另一方面《知識創造市場》報告也指出因大學教授特權的規定,大學教授研發成果屬於自由發明,不須告知大學,則可自由運用,除大學教授接受大學資助外,原則上大學無法向教授請求研發成果。因此,教授特權使得大學無法從研發成果運用中受到利益,而許多教授發明也都沒有申請專利,這確實影響成果運用之推廣。因此聯邦政府於議會修訂受雇人發明(Arbeitnehmererfindungsgesetz, cf. ArbEG, 2002) [7]第42條規定,其主要能落實前述的策略目標之一,主要廢止「教授特權」的規定,原本屬於教授可自由運用之研發成果歸屬於大學,讓大學教授享有研發成果商業化所得淨利之30%為收益[8],這樣的改革可讓大學教授願意投入研究和申請專利,進而達到商業化的發展。 行動方案Exploitation Offensive(市場開發)的另一個策略目標就是其能建造一個有效的專利利用基本設施。因此聯邦教育與研究部(Bundesministerterium für Bildung und Forschung,簡稱BMBF)挹注大筆的經費以支持改革大學的結構措施。前期依據高等學校框架法(HRG)的改革,而大學紛紛設立技術移轉中心,但專利申請件數和商業化的比率沒有因此提高。 因此2002年起,聯邦政府以「商業利用創業保護」(Schutz für Ideen für die gewerbliche Nutzung, 簡稱SIGNO)計畫中以補助對象為大學的分項計畫延伸出「SIGNO高等學校-專利開發資助的計畫」建設專利利用的專業機構。其計畫資助重點在於對高等學校、企業以及發明者的創新發明構想提供智慧財產等法律保障與經濟利用,進而達到技術移轉[9],也因如此,造成德國各邦設立獨立的PVA[10],針對區域性大學進行智財服務和商業化規劃。 自2008年, BMBF將部分技轉業務交由經濟及科技部(Bundesministerium für Wirtschaft und Energie,簡稱BMWi)負責,原則上還是以「SIGNO高等學校-專利開發資助的計畫」持續補助成立PVA,針對各邦的PVA之補助比率由100%,逐漸降至50%,2011年起更不超過40%,BMWi的補助從全額補助逐年遞減來觀看,可促使各邦的PVA能集中研發成果的能量,強化與產業界的媒合進而達到合作夥伴或新創公司,進而達到自足營運,所得的收益可以自給自足。 藉由政府資助成立PVA,截至2016年左右已有29 家PVA成立[11],而其中拜揚專利聯盟(BayPat)內的三間夥伴大學連續兩年被評鑑(Technical University of Munich, Friedrich-Alexander University of Erlangen-Nuremberg , Ludwig-Maximilians-University of Munich )是全歐洲最具創新性的學校[12],這也代表拜揚專利聯盟的運作機制是有目共睹的,本文以下將提供進一步介紹。 参、拜揚專利聯盟的發展 德國高等教育框架法修正後,德國聯邦政府亦交由各邦制定高等教育法規。拜揚邦政府於2007年修正高等教育法(Bayerisches Hochschulgesetz, BayHSchG),增加學校運作的自由[13]。拜揚邦於2000年制定創新及知識經濟政策,並策劃新創資助、協助技術移轉、及創業孵化器空間等技轉系列政策;其中即包含拜揚專利聯盟(BayPat)。 拜揚專利聯盟(BayPat)源自拜揚邦政府技轉計畫中的拜揚大專院校專利計畫(Die Bayerische HochschulPatentinitiative)[14],也是由拜揚邦政府主導拜揚邦內大學進行技術移轉服務的完整機構,即專利利用局(PVA)。整體計畫是由拜揚邦政府與當時德國三大科研機構之一的弗勞恩霍夫爾協會(Fraunhofer-Gesellschaft zur Forderung der angewandten Forschung e.V.)[15]協助邦內大學進行技術移轉,一開始參加學校有8所,之後陸續累積至33所大學及科技大學[16]。 (一)弗勞恩霍夫爾協會輔導時期 拜揚專利聯盟一開始是由弗勞恩霍夫爾協會的慕尼黑技術移轉中心(Die Fraunhofer-Patentstellefür die DeutscheForschung,PST)[17]撥出10名人員擔任拜揚大專院校專利計畫的技術經理,各校內建1~2名校內技轉人員窗口,PST處理弗勞恩霍夫爾協會的技轉案件,累積相當的經驗,所以他們培育拜揚專利聯盟的技轉人員,以強化大學技術移轉人才的職能。以下分別說明聯盟在專利申請以及專利技術商業化流程的運轉機制: (1)專利申請:發明人提出技術揭露,校內技轉人員初步判斷可專利性。隨後校內技轉人員將技術揭露文件提供給拜揚聯盟,經聯盟評估後給予專利佈局策略建議。後續專利申請流程(包含答辯、費用)都是由專利聯盟主導。 (2)專利技術商業化的流程:提出專利申請之後,聯盟開始進行技術行銷推廣以及後續授權合約草擬、談判和最後的收益分潤等事務。 值得一提的是,德國修訂受雇人發明法第42條後,專利所有權歸屬於大學,雖然大學專利申請的所有費用都是由拜揚專利聯盟所負擔,但專利的所有權人還是隸屬於大學。 至於專利商業化所得的收益分配比率,拜揚專利聯盟分得25%,大學分得52.5%,大學教授分得22.5%。拜揚專利聯盟執行長佛茲堡大學校長Axel Haase曾表示,雖然2002年修法後教授僅能保障收益分配,但透過集中資源讓教授最終獲得的利潤比當初教授完全擁有成果時更多[18]。 (二)拜揚專利聯盟公司之成立 因為拜揚專利聯盟內部逐漸累積技術移轉經驗,2007年弗勞恩霍夫爾協會退出營運,由拜揚邦內所有33所大專院校(拜揚大學及應用科技大學)共同創立拜揚專利聯盟公司[19],而拜揚專利聯盟公司仍沿襲當初弗勞恩霍夫爾協會所建立的專利聯盟制度[20],仍以技術移轉及商業化為主要任務。 自拜揚專利聯盟在大學成立公司之後,截至2015年,聯盟公司累積2263件技術揭露評估,559件專利申請,連結1800位潛在的被授權人,締結共223份合約,並累積收益達6.7億歐元(約240億台幣)[21]。 肆、結論 綜上所述,德國聯邦政府為強化大學產學合作及技術移轉能商業化,促使產業推動,政府將此議題列入國家重要政策並積極推動,從高等教育框架法鬆綁,受雇人發明法修正以及德國各邦建立PVA等,將原來大學技轉中心的職能藉由PVA而強化,協助邦內大學專利申請、佈局、尋找技轉對象或是以新創公司進行研發成果商業化,這樣一站式的服務,將周邊大學的技術集中整合,提供產業更多方面的技術資訊[22]。 我國目前各大學技轉中心皆獨立處理各大學研發成果商業化作業,可學習德國模式進行區域型技轉聯盟,以聯盟的方式來進行專利佈局以及商業化推廣,以達到規模經濟,並建立明確的商業化推廣模式,確定每項研發成果商業化皆能得到有效率的行銷推廣。 [1] 余曉雯、鍾宜興,<德國聯邦政府高等教育產學合作政策之探究>,《教育研究及刊》,第61輯第3期,頁47-79(2015)。 [2] BMBF/BMWi, Knowledge Creates Markets Action Scheme of the German Government (2001) [3] Czarnitzki, Dirk and Doherr, Thorsten and Schliessler, Paula and Toole, Andrew A., Knowledge Creates Markets: The Influence of Entrepreneurial Support and Patent Rights on Academic Entrepreneurship, European Economic Review, 86, 131–146 (2016) [4] 同前註2 [5] 同前註2。 [6] 1999年德國修正《高等學校框架法》(Hochschulrahmengesetz)第58條第1項:「高等學校是公法社團法人,同時也是國家設施,或以其他法律形式設立……」,在修正文中增加了「或以其他法律形式設立」之規定,賦予各邦具有較大的組織法形成自由,得以其他法律形式設置大學,以此開始鬆動了大學之法律地位,且國家開始從大學的具體管制中抽離出來。 [7] ArbEG (Employee Invention Act) 2002, Gesetz zur Änderung des Arbeitnehmererfindungsgesetzes. Berlin: Bundesgesetzblatt - Bundesministerium der Justiz, January 24th 2002. [8] 陳麗娟,<從德國受雇人發明法第42條論國立大學研究人員研發成果歸屬>,《科技法律透析》,第20卷第1期,頁48-61(2008) [9] 同前註1。 [10] Weyand, Haase, Der Innovationstransfer an Hochschulen nach Novellierung des Hochschulerfindungsrechts – eine Zwischenbilanz in rechtspolitischer Absicht, GRUR, S.28, 2007 [11] Czarnitzki, Dirk and Doherr, Thorsten and Schliessler, Paula and Toole, Andrew A., Knowledge Creates Markets: The Influence of Entrepreneurial Support and Patent Rights on Academic Entrepreneurship, European Economic Review, 86, 131–146 (2016) [12] 〈THREE BAYPAT PARTNER UNIVERSITIES AMONG THE TOP 12 MOST INNOVATIVEUNIVERSITIES IN EUROPE〉, Bayerische Patentallianz GmbH https://www.baypat.de/newsroom-de/three-baypat-partner-universities-among-the-top-12-most-innovative-universities-in-europe (最後瀏覽日:2018/07/04). [13] 由於德國大學具有公法上的人格權,學校可以在其權利範圍內創設公司,另一方面,拜揚邦政府引入基金董會制度,讓大學在此制度之下,可以增加學校的決策效率。 [14] 〈Presentation of the Bayern Patent Initiative - Promotion of Patenting and Exploitation of Inventionsby Bavarian Universities 〉, World Intellectual Property Organization,http://www.wipo.int/edocs/mdocs/innovation/en/wipo_inv_mty_02/wipo_inv_mty_02_10.pdf(最後瀏覽日:2018/06/11) [15] 〈60 years of fraunhofer-Gesellschaft〉, FRAUNHOFER GESELLSCHAFThttps://www.germaninnovation.org/shared/content/documents/60YearsofFraunhoferGesellschaft.pdf (最後瀏覽日:2018/06/10). [16] 〈Volljurist (m/w) Vertragsrecht / gewerblicher Rechtsschutz〉, Bayerische Patentallianz GmbHhttps://www.baypat.de/newsroom-de/volljurist-m-w-vertragsrecht-gewerblicher-rechtsschutz-in-teilzeit-bis-20-stunden-woche (最後瀏覽日:2018/07/04). [17] 佛勞恩霍夫研究院技轉中心(Fraunhofer-Patentstelle),資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=4&i=65&d=194 (最後瀏覽日:2018/06/10). [18] Axel Haase, 30 Prozent besser als 100, ERFINDUNGEN AN HOCHSCHULEN, 7(8), 461 (2008). [19] 同前註16 [20] 值得注意的是,雖然統稱為拜揚專利聯盟(BayPat),拜揚專利聯盟在此階段時仍就以政府計畫的形式存在,由各校技轉人員分別與德國發明專利辦公室內歸屬該計畫的人員合作,未有正式的法人格基礎 [21] 同前註14 [22] 跨領域科技管理研習班(MMOT),<大學研發成果歸屬對產學合作之影響-以德國制度為觀察對象>,跨領域科技管理與智財運用國際人才培訓計畫-103年海外培訓成果發表會,頁 1-63( 103 )
韓國特許廳推動「技術公開網路服務」,公開技術達到防禦性功能且促進公眾利用韓國特許廳自2000年12月開始提供「技術公開網路服務」,透過此網站服務,研究人員可將其研發的技術公開、並登載在韓國特許廳的技術公開網站,藉以取得具公信力的公開日期。假若網站上公開的技術與先申請專利的其他技術相似,但其公開日期較早,那麼網站上公開的技術會被認為他人申請專利時的先前技術(prior art),他人就無法取得專利權。此一服務的目的在於希望企業或個人的研究開發成果可防止他人以相同或類似的技術申請專利,作為一種防禦手段。另公開的研發成果也可提供公眾免費使用,進而促進整體產業的發展。 為改善「技術公開網路服務」,增加使用上之便利性,韓國特許廳2011年10月起推出新的「技術公開網路服務」系統,規定必須載明公開的必要記載項目(包括標題、相關領域、目的、技術組成內容),以利其他人得以簡便地了解被公開的技術內容。利用人可到韓國特許廳建置之「專利資訊檢索服務(Korea Intellectual Property Rights Information Service, KIPRIS) 」網站進行檢索,搜尋所需之技術內容。 研發者可以將自己的發明想法公開,防止他人就同一或類似技術申請專利;同時任何人皆可查詢利用已經公開的技術,避免重複研發,也可讓業界掌握技術發展的最新動向,以促進技術之活用。
英國綠色投資銀行即將上路英國財政大臣(Chancellor of the Exchequer)George Osborne日前於今(2011)年3月23日發表財政報告時宣佈,英國綠色投資銀行(UK Green Investment Bank, GIB)預計於2012年開始正式對外營業,且其開放對象為各相關產業。而未來英國GIB之營業項目,主要將針對具有高度風險,或是市場成本回收需要長時間等待之相關低碳企劃案進行經費補助,同時亦進一步制定二氧化碳排放價格。 早在2009年2月時,英國三大非營利組織團體E3G、Friends of the Earth、以及Climate Change Capital即共同發表一份聯合聲明提議成立綠色投資銀行,以鼓勵發展低碳經濟。然而,該份提議報告乃至2010年3月才正式獲得政府相關人士的重視,因其意識到綠色投資銀行之成立,也許能符合當前英國對於基礎設施與能源發展之需求。不過,對於綠色投資銀行是否成立之辯論,乃持續到今年3月才正式拍板定案,根據上述之政府財政報告,英國政府計劃於該投資銀行成立後,投注3億英鎊經費投資相關低碳企劃案之推行,並預計於2015年時,另外由私部門投注15億英磅補助相關企劃案,而其經費補助對象層面將以相關產品市場(market)為主。 英國能源與氣候變遷部(Department of Energy and Climate Change)國務卿(Secretary of State)Chris Huhne表示,綠色投資銀行成立後,在結合來自各方之穩定資金下,必能藉由投資綠色能源研發之方式,創造一個穩定且平衡的經濟成長。同時,相關政府單位亦期盼,未來綠色投資銀行除了能提供政府相關領域之經費分配,與研發技術之建議外,亦能以創造具商業價值之產品,達到分散私人投資風險之目的。