美國眾議院議員Mark Takano於2019年10月2日提出「刑事鑑識演算法草案」 (Justice in Forensic Algorithms Act),以建立美國鑑識演算法標準。依據該法第2條,美國國家標準與技術研究所(National Institute of Standard)必須建立電算鑑識軟體之發展與使用標準,且該標準應包含以下內容:
一、以種族、社會經濟地位、兩性與其他人口特徵為基礎之評估標準,以因應使用或發展電算鑑識軟體,所造成區別待遇產生之潛在衝擊。
二、該標準應解決:(1)電算鑑識軟體所依據之科學原則與應用之方法論,且於具備特定方法之案例上,是否有足夠之研究基礎支持該方法之有效性,以及團隊進行哪些研究以驗證該方法;(2)要求對軟體之測試,包含軟體之測試環境、測試方法、測試資料與測試統計結果,例如正確性、精確性、可重複性、敏感性與健全性。
三、電算鑑識軟體開發者對於該軟體之對外公開說明文件,內容包含軟體功能、研發過程、訓練資料來源、內部測試方法與結果。
四、要求使用電算鑑識軟體之實驗室或其他機構應對其進行驗證,包含具體顯示於哪個實驗室與哪種狀況下進行驗證。此外,亦應要求列於公開報告內之相關資訊,且於軟體更新後亦應持續進行驗證。
五、要求執法機關於起訴書或相關起訴文件上應詳列使用電算鑑識軟體之相關結果。
本文為「經濟部產業技術司科技專案成果」
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
新加坡個人資料保護委員會2017年7月發布資料共享指引新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年7月27日發布資料共享指引(GUIDE TO DATA SHARING),該指引協助組織遵守新加坡2012年個人資料保護法(Personal Data Protection Act 2012, PDPA),並提供組織內部和組織之間的個資共享指引,例如得否共享個資,與如何應用,以確保符合PDPA共享個資之適當方法;並得將特定資料共享而豁免PDPA規範。該指引共分為三部分,並有附件A、B。 指引的第一部分為引言,關於資料共享區分為三種類型探討: 在同一組織內或關係組織間共享 與資料中介機構共享(依契約約定資料留存與保護義務) 與一個或多個組織共享(在不同私部門間、公私部門間) 共享包含向一或多組織為利用、揭露或後續蒐集個資;而在組織內共享個人已同意利用之個資,組織還應制定內部政策,防止濫用,並避免未經授權的處理、利用與揭露;還應考慮共享的預期目的,以及共享可能產生的潛在利益與風險。若組織在未經同意的情況下共享個資,必須確保根據PDPA的相關例外或豁免之規定。 指引的第二部分則在決定共享資料前應考慮的因素: 共享目的為何?是否適當? 共享的個資類型為何?是否與預期目的相關? 在該預期目的下,匿名資料是否足以代替個資? 共享是否需要得同意?是否有例外? 即使無須同意,是否需通知共享目的? 共享是否涉及個資跨境傳輸? 上述因素還能更細緻對應到附件A所列應思考問題,附件B則有相關作業流程範例。 指引的第三部分,具體說明如何共享個資,與資料共享應注意規範,並提供具體案例參考,值得作為組織遵守新加坡個人資料保護規範與資料共享之參考依據。
印度電子及資訊科技部公告封鎖數款由中國企業開發之應用程式2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下: 政府封鎖59款有害印度主權之完整性、防禦力、國家安全及公共利益的手機應用程式(Government Bans 59 mobile apps which are prejudicial to sovereignty and integrity of India, defence of India, security of state and public order)。 政府封鎖118款有害印度主權之完整性、防禦力、國家安全和公共利益的手機應用程式(Government Blocks 118 Mobile Apps Which are Prejudicial to Sovereignty and Integrity of India, Defence of India, Security of State and Public Order)。 政府禁止國內使用者使用43款手機應用程式(Government of India blocks 43 mobile apps from accessing by users in India)。 三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。 電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。
科技計劃研發成果之讓與及終止維護-科技部審查程序所生疑義-科技計劃研發成果之讓與及終止維護 -科技部審查程序所生疑義- 資策會科技法律研究所 法律研究員 林思妤 105年04月28日 壹、前言 科技部目前提供產學合作計劃補助類型相當多元,有為產業發展前瞻技術的先導型計劃、為產業開發核心應用創新技術的開發型計劃,以及培育人才的應用型計劃[1],但補助的目的均係期待產學合作的研發成果以授權方式,廣泛為社會大眾使用,發揮其最大之效益。 惟部分研發成果或有可能經執行單位評估後,認為將該研發成果讓與給廠商或是企業可達更大運用效益而進行的讓與,抑或是在運用效益不高的情況下擬終止繳納該研發成果的維護費用。當研發成果有讓與或終止維護需求的情況下,其程序如何進行、實質要件如何審查,在法規適用上非無疑義。本文將以現行「科技部研究成果歸屬及運用辦法」(下稱科技部成果歸屬辦法)中「讓與」、「終止維護」的程序及審查流程為主要對象,就其規定內容與所面臨之適用問題,進行研析並提出調修之建議。 貳、各部會成果歸屬辦法讓與、終止維護規定有差異 根據科學技術基本法第6條第3項[2],行政院於2000年訂定「政府科學技術研究發展成果歸屬及運用辦法」,以供所屬各部會遵循。在主管機關階層,目前經濟部、農委會、國防部、原能會等也都有各自的成果歸屬辦法[3],而科技部亦於2011年制定了「科技部科學技術研究發展成果歸屬及運用辦法[4]」。各部會之所以針對研發成果的運用方式給予規範,乃是由國家給予該研發成果補助的立場出發,希望能夠以授權的方式,尤其是非專屬授權的方式作為研發成果的運用,讓社會大眾有廣泛使用、享受該研發成果的機會[5]。因此,在政府的立場上,由各部會給予補助的研發成果要進行讓與或是走向終止維護,須根據其規範實行之。 科技部成果歸屬及運用辦法第9條至第11條為其科技計畫研發成果讓與、終止維護的程序進行方式以及審查項目之規範,其要求包括研發成果專利權在經過一定合理期間推廣之後若無授權使用,始得公告讓與該研發成果予第三人[6],公告三個月後,無人請求受讓時,始得終止繳納該研發成果的維護費用[7]。 綜觀各部會成果歸屬辦法,科技部的規定和其他部會規範讓與、終止維護的目的相同,但在法條文字或是審查項目上則有所差異[8]: 一、在讓與、終止維護標的部分的比較,科技部是唯一一個將標的範圍限縮於研發成果專利權的單位。經濟部、國防部、衛福部、原能會以及農委會僅廣泛明文研發成果,而勞動部則是強調為研發成果智慧財產權。可見現行科技部成果歸屬辦法適用範圍之狹隘。 二、各部會在讓與、終止維護的審查規定上,大方向是一致的,皆規定了該研發成果必須是公開的,例如經過推廣(科技部)、公告(經濟部、衛服部、原能會),或是取得智慧財產權逾五年(國防部、農委會、勞動部);以及須以授權為優先原則,諸如該研發成果無授權使用(科技部)、無運用價值(經濟部、國防部、原能會)、未商品化(衛福部)、未有實際應用(農委會、勞動部)。但究竟應如何推廣並未說明,公告時間則有三年、五年,差異甚大。 三、研發成果經過了一定時間的公開推廣並符合授權優先原則之後,其讓與評估的進行方式並未說明。在認定可否為讓與的部分,經濟部交由研發執行單位自行認定,其它部會並未明文;在公告讓與執行部分,有由研發執行單位自行公告,有由部會公告,亦有未明文者。 四、每個部會皆一致的將讓與、終止維護兩個不同的研發成果運用方式使其在同一個程序上進行,規定該研發成果公告讓與三個月之後,若無受讓對象,即可停止繳交該研發成果的維護費用[9],是一個讓與、終止維護的連續性程序。 就上述各部會之間針對讓與、終止維護在規範上的比較,可觀察出,或許是各部會之間因研發成果性質相異而有不同考量所致,在類似的規範上仍存有前提條件上的差異;在審查項目上,要求也不一致。但各部會皆是讓與、終止維護的連續性程序,且審查項目亦皆有規範不明確的地方,例如推廣的方式。接下來,本文將就科技部讓與、終止維護的規範在適用上所產生的疑義作一分析,也期待此分析可提供其他部會在類似問題上作參考。 參、科技部研發成果讓與及終止之審查作業芻議 一、研認研發成果讓與之範圍 雖現行條文僅將研發成果限於「研發成果專利權[10]」,惟本文建議可放寬至所有研發成果,讓產學合作的研發成果能有更大的運用空間,類型能夠更加多元化,尤其是專利申請權的部分。建議納入專利申請權成為讓與標的,因為在實務上研發執行單位有礙於經費問題,無法在其研發成果的特定市場(例如國外)進行專利佈局。故建議可納入專利申請權讓與企業申請,使研發成果發揮其更大效益。 二、讓與、終止維護程序疑義 (一) 讓與、終止維護無法各自依其目的審查 目前科技部成果歸屬辦法規定是由研發執行單位就其欲讓與的研發成果先行評估是否適合讓與,再進行公告尋求受讓對象,也就是在尚未確定受讓對象時,先行評估讓與條件。這樣的程序規定並無法讓研發執行單位針對受讓對象作具體評估,也使得科技部無法就雙方條件進行有效實質審查。再者,研發成果公告讓與三個月後,若無受讓對象,即終止維護。這樣的連續性程序將有可能使尚有運用價值的研發成果走向終止維護,甚是可惜。 (二) 建議讓與、終止維護程序分軌 針對上述在程序上的兩個問題,本文建議無論是在讓與或是終止維護方面,都應在確定推廣一定合理期間、確無授權使用情形後,就先行公告讓與,待有受讓對象時,再就該讓與研發成果及受讓對象之間作具體評估。相信在確有受讓對象之後作的讓與條件評估,會比現行在沒有受讓對象時作的一般性讓與條件評估更有實質效益。 另外,欲終止維護的研發成果也應該在公告讓與一定時間之後,設有專屬的審查程序,就其運用效益、價值進行評估,而非如現行規範接續著讓與評估程序,在公告三個月後無受讓人時,即終止繳納維護費用。簡而言之,讓與或是終止維護均應該先行公告,再就其公告結果(有無受讓對象)作讓與、終止維護的評估,以避免有運用價值的研發成果落入終止維護的風險。 三、讓與、終止維護審查重點 就實質審查部分,不管是讓與或是終止維護,研發執行單位都應該先就該研發成果標的範圍進行說明,並針對經過一定合理期間推廣、確無授權使用情形提出自評結果及其相關佐證文件,再交由科技部審查。基於讓與、終止維護程序分軌的建議,兩者在部分審查項目上亦應有不同的判斷標準,例如讓與之前提即不宜以無技術服務之效益及運用價值為條件[11]。因此,本文認為其審查重點應有如下調整: (一) 一定合理期間推廣該研發成果至全國周知平台 就一定合理期間部分,現行法並未明文規定具體期間,慮及科技發展日新月異,研發成果之市場競爭力究竟可以維持多久,抑或是在多少時間之內可能被其他技術取代,不同的研發成果都不盡相同,實難具體規定所謂一定合理期間,故維持現行法之文字應無不妥。 惟就推廣方式或是宣傳平台,本文擬對現行規範以及實務上的作法提供建議。在規範部分,比較各部會之間針對讓與、終止維護的規範後,發現僅國防部有具體訂定公告方式:「前項公告,執行單位應以刊登網際網路、全國性報紙、函告業界相關公會 或辦理說明會等方式為之[12]」。另外,行政程序法第一五四條第二項「行政機關除為前項之公告外,並得以適當之方法,將公告內容廣泛周知。」強調了全國性能見度。在實務上,部分大學技轉中心也提供了推廣平台(例如交大專利推廣平台[13])。又如英國牛津大學技轉中心Isis,目前在國際專利申請(PCT[14])的數量排名全球第16名,截至2015年3月為止,已完成75件專利授權案件[15]。由國內外的例子看來,不管是規範上,或是實務運作上,皆可看出推廣平台的重要性。故本文建議推廣平台應有必要限於全國周知的平台[16]。 (二) 市場價值的判斷 科技部成果歸屬辦法第9條第1項提及「技術服務之效益及運用價值者」,在此,本文以市場價值稱之。而即將讓與或是終止維護的研發成果的市場價值在審查上自有其不同的判斷標準。就讓與部分,本文建議在讓與、終止維護程序分軌、先行公告讓與、確有受讓對象後,研發執行單位在自行評估讓與條件時,可請受讓對象提出針對該研發成果的預期發展效益,例如:產品研發進度、預計銷售量、讓與條件,作為讓與標的市場價值的說明。至於終止維護的部分,除了研發執行單位必須說明沒有運用價值以外,尚有一種情況是因為該研發成果維護費用過高,以至於與運用價值不合比例,因此走向終止維護。 肆、結語 科技部以及各部會基於期待其所補助的研發成果能夠廣泛被社會大眾使用,而以授權為研發成果的優先運用方式,並對讓與、終止維護部分加以規範。然後現行程序規範中,未將讓與、終止維護兩個不同的研發成果處理程序分別處理,造成兩者無法各自依其目的審查,甚至使尚有運用價值的研發成果走向終止維護,故本文建議應對讓與、終止維護程序進行分軌。又為了讓產學合作的運用更有彈性,建議放寬現行條文讓與標的的範圍由「研發成果專利權」擴大至「所有研發成果」。 本文就推廣該研發成果至全國周知平台以及市場價值在讓與、終止維護之間不同的判斷標準提供淺見,目的在於是讓研發執行單位在研發成果的運用上有更明確具體的法規遵循,使我國產學合作發展能夠日趨順利。但如何在希望達到社會大眾廣泛使用與適合該研發成果的運用方式之間,像是廠商或是企業往往偏向實質獲得研發成果所有權,取得一個平衡點,值得思考。 [1] 科技部產學及園區業務司產學合作計劃,http://web1.most.gov.tw/spu/ch/list?menu_id=03dbe285-8784-4be5-a5c9-1520f63676f5&view_mode=listView(最後瀏覽日,2016/4/14)。 [2]科學技術基本法第6條第3項:「前二項智慧財產權及成果之歸屬及運用,應依公平及效益原則,參酌資本 與勞務之比例及貢獻,科學技術研究發展成果之性質、運用潛力、社會公 益、國家安全及對市場之影響,就其目的、要件、期限、範圍、全部或一 部之比例、登記、管理、收益分配、迴避及其相關資訊之揭露、資助機關 介入授權第三人實施或收歸國有及相關程序等事項之辦法,由行政院統籌 規劃訂定;各主管機關並得訂定相關法規命令施行之。」。 [3] 王立達,「我國學術機構技術移轉法制現況、問題與探討」,全國律師13卷1期,2009年1月,47-59頁。 [4] 「科技部科學技術研究發展成果歸屬及運用辦法」,2011年7月1日,https://tw.news.yahoo.com/%E6%98%8E%E5%B9%B4%E9%80%A3%E7%BA%8C4%E5%A4%A9%E5%81%87%E6%9C%894%E5%80%8B-215005744.html(最後瀏覽日,2016/4/8)。 [5] 現行研發成果的運用、商品化的方式主要有授權、讓與或是以該技術成立新創公司等方式,若從商業化、市場競爭力的角度考量,一個研發成果的運用方式自是依其性質判斷。一般來說,廠商或是企業並不願意以授權,尤其是非專屬授權的方式,運用該研發持果,因為非專屬授權的方式通常商業價值不高。 [6]「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項:「研發成果專利權經執行研究發展之單位推廣一定合理期間後,評估無授權使用或技術服務之效益及運用價值者,基於符合公益之目的或為促進整體產業發展、提升研發成果運用效益等原則,執行研究發展之單位循內部行政程序辦理研發成果讓與相關評估後,得備函檢具相關文件向本部申請讓與第三人;文件不全或不符規定者,不予受理。」 [7]] 「科技部科學技術研究發展成果歸屬及運用辦法」第10條:「執行研究發展之單位依前條評估原則及處理程序申請讓與,並經本部同意讓與後,始得公告讓與之,三個月內無人請求受讓時,得終止繳納研發成果維護費用」。 [8] 各部會成果歸屬及運用辦法在讓與、終止維護的條號: 科技部科學技術研究發展成果歸屬辦法,100年7月1日發布,104年6月11日修正:第9、10、11條 經濟部科學技術研究發展成果歸屬辦法,89年5月19日發布,103年8月13日修正:第22條 國防部科學技術研究發展成果歸屬辦法,96年4月19日發布,103年5月7日修正:第24條 衛福部科學技術研究發展成果歸屬辦法,99年1月20日發布,105年2月25日修正:第24條 勞動部科學技術研究發展成果歸屬辦法,100年7月12日發布,104年6月16日修正:第2條第1項 行政院原子能委員會科學技術研究發展成果歸屬辦法,93年7月7日發布,103年2月18日修正:第26條 行政院農業委員會科學技術研究發展成果歸屬辦法,90年9月14日發布,102年2月6日修正:第20、27條 [9] 「科技部科學技術研究發展成果歸屬及運用辦法」第10條:「執行研究發展之單位依前條評估原則及處理程序申請讓與,並經本部同意讓與後,始得公告讓與之,三個月內無人請求受讓時,得終止繳納研發成果維護費用」。 [10] 「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項:「研發成果專利權經執行研究發展之單位推廣一定合理期間後, ⋯⋯。」 [11] 「科技部科學技術研究發展成果歸屬及運用辦法」第9條第1項:「研發成果⋯,評估無授權使用或技術服務之效益及運用價值者,⋯。」 [12] 國防部成果歸屬辦法第24條:「執行單位取得一般研發成果已逾五年而經其評估認定不具運用價值者,除法令另有規定外,得發布讓與之公告。自公告之日起,三個月內無人請求受讓者,得經本部核准後,終止繳納維護智慧財產權相關之費用。前項公告,執行單位應以刊登網際網路、全國性報紙、函告業界相關公會 或辦理說明會等方式為之。」 [13] 交大專利授權暨拍賣平台,http://patent.nctu.edu.tw/bid(最後瀏覽日:2016/04/22)。 [14] PCT-the International Patent System,http://www.wipo.int/pct/en/(最後瀏覽日:2015/04/22) [15] Isis Innovation Limited, http://isis-innovation.com/(最後瀏覽日:2016/04/22)。 [16] 像是I-ACE鏈結產學媒合平台,https://iace.stpi.narl.org.tw/search;jsessionid=9992E4BD21C8959EAF83F1F6D8AD47F3,政府研究資訊系統GRB,https://www.grb.gov.tw/,(最後瀏覽日:2016/04/25)。