跳到主要內容

留住本土廠商、吸引海外廠商:仍待改善的台灣法律環境

本文刊登於Rocket Café:  留住本土廠商、吸引海外廠商:仍待改善的台灣法律環境。因為撰寫時間匆促,感謝辛苦協助的編輯。

日前EZTABLE宣布將企業總部移至印尼;報導中提到,業者將總部移至東南亞國家的原因,除了投資人的壓力外,也想拓展該區域的市場,並節省與當地業者合作所需要支出的差旅費。

姑且不論EZTABLE出走到底真實原因為何,從台灣的政策和法令環境來看,要是筆者自己經營公司,在這種內外夾擊的狀況,加上投資者的壓力,可能也不得不轉往海外經營。
當然,每家廠商選擇出走或留下,都有複雜的原因;但檢視我國的法令環境,對留住國內廠商,吸引國外廠商來台,仍有諸多障礙。

資通安全管理法,對於開發業者的挑戰

「資通安全管理法」草案在去年底未能通過,在草案第六條提到:「行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。」而自第17條起則是對非公務機關的規範,第19條規定如下:
中央目的事業主管機關因查核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入第十六條及第十七條之非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
 就筆者解讀,由於行政院並無人力與編制可對公務機關、非公務機關進行相關資安檢測,所以得委外進行檢查工作;同時若是有發現重大的資通安全事件,有權直接進入私人公司檢查相關資料。

如果你是開發商,面對這樣的法律,會選擇把營業機密相關的伺服器放在台灣還是國外?如果該公司本身不是台灣企業,企業總部、相關開發人員與機器都在國外,政府就只能檢查公司在台灣的辦事處。因為台灣政府沒有權力去搜查國外的總部。這樣就輕鬆規避了這條法律。

APP資安認證政策,對國產軟體將形成不公平競爭

為了與可能於今年通過的「資通安全管理法」配合,自今年三月起,國內民眾手機在出廠時的內建軟體,其資安認證將由國家通訊傳播委員會(NCC)委託中華民國資訊安全協會進行檢測,並給予不同等級的標章;而民眾自行安裝的軟體,將由經濟部進行資安檢測,對於公務人員使用的公務手機則強制規定檢測。

以兩大手機作業系統商的應用程式商店App Store和Google Play為例,開發業者將應用程式上架前,會先經過平台的審查,才能讓應用程式成功上架;然而台灣政府卻以維護使用者資訊安全為由,要求國內的開發商先進行資安認證,但對於境外的開發業者,則僅能做到「要求有防護機制」,這樣反而對國內外開發商形成不公平的要求。

看不見的隱憂:資料所有權歸屬的問題

當企業總部搬到國外後,資料的所有權管轄就不受台灣法令規範。用戶在使用該服務前,一定要看清楚服務條款中,對於使用者資料是否會被提供至第三方企業,或是由國家進行審查的相關規定。

以中國今年六月將實行的「中華人民共和國網絡安全法」為例,該法要求於中國境內的網路服務商,均需配合中國政府進行資料審查。當服務商、開發者要至中國提供服務時,消費者是否考慮過,自己個人資料及使用記錄,可能會被中國政府或是其他國家政府以國家安全之名進行收集和審查呢?

資料所有權衍生的問題,還包括了當消費糾紛發生時,相關單位可以進行的處理方式。

隨著使用者上網的工具愈來愈多,從以往的PC、筆記型電腦,到現在透過平板電腦、行動電話等裝置上網,電子商務、服務平台的選擇性愈來愈多。連Facebook、LINE都開始經營線上拍賣社團、電子商務社團,其他的平台如蝦皮拍賣、旋轉拍賣,都讓使用者在短時間內可以快速的進行交易。這些看似便利的服務裡,卻隱藏著看不見的危機。

當消費者發生交易糾紛(如:常見的詐騙)時,如果是國內的平台商,政府單位會要求提供詐騙者帳號相關資訊加以調查,但對於國外的服務平台,政府就難以插手。以這個實際的例子來看,受害者在損失發生後,向平台申訴,平台業者查證後,最多是凍結該帳號活動;受害者雖然自己向防治詐騙單位申報,但也無法得到實質的保護。

境外平台用戶的圖文盜用問題也是另一個例子,不但處理耗時,也幾乎無解;其他如個人資料、交易資料外洩等情況,也是只能透過目的事業主管機關協助解決,但實際上能夠圓滿解決的案子也並不多見。

避免消費者、開發者、市場三輸

「資通安全管理法」的用意雖然在保障安裝用戶的資訊安全,但於對國內外開發商的軟體採取不同標準,事實上壓迫了國內開發商發展的空間。

國內許多法規對於境外業者不具實質約束能力,卻選擇性勒緊了國內開發商的咽喉,不但形同打壓本土廠商,無助於消費者保護,更使整體市場生態更不健康。

以UBER事件為例,由於UBER始終不願意配合國內法規,最後雖被勒令停業,但也突顯出消費者無法選擇不同品質的服務;也因為UBER的先例,白牌車的地下經濟市場將會更活絡,政府更加無法管理自以往就存在的白牌車問題與糾紛。

對於應用程式將進行資安檢查一事,台灣政府開了全球首例,並十分為此自豪;但並不是全球第一就值得開心。政策制訂者應該去了解:為什麼其他國家並未強制進行應用程式資安檢測?在國內進行這樣的措施,有無真正的幫助,還是只是迫使本土開發者出走?

政府如果希望保護使用者個資,或是相關資訊安全,筆者認為應該自使用者與開發者的教育著手,例如應用程式開發者在開發時期與完成應用程式,需要關閉為維運方便的管道而留下的捷徑和後門、公司擬訂內部的開發流程,需要考量使用者的資訊安全等等,並且加強一般使用者的資訊安全教育,例如個人資料、相關記錄、隱私的保護觀念等。

數位經濟的發展,不是只有補助與計畫KPI

行政院通過了九年1700億的「數位國家.創新經濟」發展方案,希望在這些發展方案中同時提倡人權、縮短城鄉數位落差等網路治理的相關議題。

在各種計畫與美好前景之外,在法規的制訂上,政府應該要更加了解市場實際需求,多聆聽不同角色、立場的聲音,並共同找出解決的方案,別讓想根留台灣的開發者,遭到自己國家的法令阻礙腳步,無法搶得市場先機。至於想出國發展的廠商,政府也可以協助他們了解至國外拓展海外市場時可能面臨的法規問題、人才需求問題等,別讓業者們到了國外拚經濟,卻像孤兒一樣單打獨鬥。

留言

這個網誌中的熱門文章

觀察台灣租車公司資料外洩事件和國外的類似個案

一月底時, TechCrunch 的報導讓大家注意到台灣的租車公司發生了資料外洩事件,從報導中可以得知,這次的資料外洩的範圍,部分信用卡號碼、客戶身份證明文件,以及租車者的相片、簽名和租車詳細資訊。由於是租車公司,主管機關大概是交通部公路總局,所以也看到台灣的 後續報導 是公路總局要求該公司限期改善,在 TechCrunch 的原報導中也提到他們有發信問數位發展部,已經通報  TWCERT/CC  協助處理,也已經無法自該資料庫下載資料。 這件事情讓我想到幾個美國的案件,我簡單的摘要並提供美國FTC的案件連結,有興趣的人可以再去網站上閱讀: Equifax資料外洩案: 2017年時的Equifax資料外洩案十分有名,由於它是一家跨國消費者信用調查的公司,所以儲存了大量的美國、加拿大、英國人民的個人資料、財務與金流資訊,被評估會讓這些被資料外洩的受害者可能會遇上身分被竊取、詐欺等事件。 經過調查, 在這次的資料外洩案中有 1.47 億人的個人資料被外洩,在去年12月與美國FTC、消費者金融保護局、和一些美國地區達成和解,在和解協議中,需要支付4.25 億美元給受到資料外洩案影響的人,到2026年之前,美國的消費者透過特定的網站,每年可以取得7份免費的信用評估報告,另外,受害者也可以在特定期間內,針對因受到身分被竊取、詐欺的而影響,要求賠償需要恢復身分所花費的時數及費用,每小時賠償25美元,最多20小時。 對於常常接到電話詐騙、在公共場所大聲報出自己身分證號碼的台灣人來說,可能不覺得有什麼,但從2017年關注這個事情到現在,我想美國人對於因資料外洩而導致身分被竊取、詐騙,實在是謹慎且處理方式完整許多。 連結: Equifax Data Breach Settlement Drizly 資料外洩案 資料外洩的案子常在網路上出現,看到後來我常常都麻木了。2018年還有萬豪酒店集團的資料外洩案、國泰航空的資料外洩案、四大會計公司輪流出包把客戶的財務資料存在雲端系統,還把帳號密碼未經加密就寫在某個公開的服務裡。 2018年對我來說幾乎是資料外洩案爆發的一年,但對長期服務於資安領域的人來說,這些都不是新案。 美國的 Drizly 是 UBER 所經營的一個販賣及運送含酒精飲料的網站,他們使用了Amazon的雲端服務,在上面儲存了消費者的電子郵件位置、郵務地址、電話號碼、單一裝置識

[movie]Selena 哭泣的玫瑰

歌手:Selena Quintanilla Perez(1971~1995) 從wikipedia查Selena 導演:Gregory Nava 主要演員:Jennifer Lopez, Jackie Guerra 推薦CD: LIVE THE LAST CONCERT 電影原聲帶: 哭泣的玫瑰 最近在聽一張已絕版的專輯,已逝拉丁歌手Selena的Dreaming Of You。這位歌手只活了短暫的二十三年,死於自己歌友會主席的槍下。在她短暫的生命裡,歌唱事業佔了她二十三年生命中的大部份,然而她也曾在1987年獲得Tejano Music Awards本年度最佳女歌手獎、最佳表演獎並於1993年獲葛萊美最佳表演獎,之後又以《 Amor Prohibido 》這張專輯獲得1994年葛萊美金獎,跨越了國藉的隔閡,是位非常傑出的拉丁女歌手。 這部Selena在台灣被譯作《哭泣的玫瑰》1997年時由Jennifer Lopez演出,由於電影拍攝出資者是Selena的父親Abraham Quintanilla,而他們一家屬於墨裔美國人,所以在片中還可以看到移民者的一些感觸。 Abraham年輕時就有組團表演的夢想,但他的身份使他的樂團在白人舞廳裡無法得到表演機會,當他們在墨西哥舞廳裡歌唱時又因為只懂得唱白人的抒情歌曲,使喜愛跳舞的拉丁人民無法隨樂起舞而引起暴動,接著便結束了他的音樂夢,當他發現自己十歲的小女兒Selena具有音樂天份時,整個家庭都投入表演事業,由他擔任經紀人,全家四處表演。 由於她在年紀小小時便四處表演,所以她無法像其他同年齡的女孩一樣有機會談戀愛或是遊玩,在片中也有這麼一段台詞認為自己屬於被保護下長大的孩子,在光鮮亮麗的歌手外表下,她也想像其他女孩一樣有機會談戀愛、結婚、生子,在這部電影裡都可以看到父親對女兒的關懷,希望留下女兒美好的一面,所以也不會有一些緋聞或是不好的新聞,比較像是父親為了紀念自己的小女兒而拍攝的電影。 這部電影裡,Abraham提到到的一些觀點訴盡了移民們的心酸,他對西班牙語不流利但即將上台演唱的Selena說:「在美國要了解美國歷史,要比美國人更美國人,但也不能忘記墨西哥的歷史,要比墨西哥人更墨西哥人…。」也許因為以前慘痛的經驗,所以告訴女兒一定要學西班牙話,從拉丁歌曲開始表演。Selena的成功除了她本身的天賦和與生俱有的親和力外,我

為什麼我支持《數位中介服務法》草案

在經歷許多次反抗台灣政府所立的網路相關法案後,我其實沒想過除了《數位通傳法》草案外,我還會再支持另一部法律草案,雖然 《數位通傳法》草案還壓在某處,但如果有人讀過《數位通傳法》的草案,再讀這部《數位中介服務法》草案,就會知道這部草案的重要性,而且也可以顯示台灣網路使用者的成熟度,更重要的,這是我第一次看到引入國際網路治理多方利害關係人機制的法律草案,而且是用在正確的地方。 有興趣想知道我在讀法條時的筆記和當下的感想,可以看我這則  Tweet 。這篇不使用逐條讀法條的方式來寫,因為那會讓人昏昏欲睡,我也不去比對歐盟《數位服務法》,因為我在讀《數位服務法》草案時,該草案特別強調是加強歐盟 E-Commerce Directive  ,而不是取代它,而且更多著重在預防盜版、仿冒,保護消費者的法案。所以當有輿論提到參考自《數位服務法》的《數位中介服務法》草案限縮言論自由時,我其實是一頭問號的,但一直到今天我才有時間讀《數位中介服務法》草案,這篇文章出自於我的個人經驗和閱讀法案的心得,與擔任的職務無關。 如果最近注意一下網路的資訊,有幾件事該注意一下: 有許多人在社群平台,如Facebook或是其他網路看到一些廣告,而這些廣告可能是要你支持台灣農產品、台灣製的產品,結果你收到時,上面還寫著簡體字,通常這是所謂的一頁式廣告詐騙,而行政院的消費者保護會在 2019 年時就有新聞稿在警告「 一頁式廣告詐騙多 小心查證保障多 」,之後像公視或是其他單位都有相關的活動在提醒大家小心這類廣告。但目前這些廣告其實多數不易處理,因為不容易取證、保留證據,等到追查到時已經找不到對方了。 有不少親密照片與影片在情侶分手後,被報復性的上傳到情色網站或透過即時通訊傳到親友的帳號裡,或是被洩露個資,遭到公開的霸凌。 之前有一個專題:「 青春煉獄:網路獵騙性私密影像事件簿 」,光是讀完這個專題報導我就覺得受傷。 有人使用 Deep Fake 把台灣名人的臉部照片合成至色情影片再上傳至色情影片平台,今年 7 月才被判刑。 還有許多創作者藉由網路分享作品時,被人盜用,甚至有國外的使用者修改台灣人的作品去參與比賽還獲獎。 有一次打電話問某個部會,如果消費者在國外電子商務平台買東西,但資料被外洩怎麼辦?雖然政府願意協助,但衡量至國外打官司的時間和成本,就會讓人卻步。 有些行為在現實世界裡有法可管,例如《兒童與