跳至主要內容

留住本土廠商、吸引海外廠商:仍待改善的台灣法律環境

本文刊登於Rocket Café:  留住本土廠商、吸引海外廠商:仍待改善的台灣法律環境。因為撰寫時間匆促,感謝辛苦協助的編輯。

日前EZTABLE宣布將企業總部移至印尼;報導中提到,業者將總部移至東南亞國家的原因,除了投資人的壓力外,也想拓展該區域的市場,並節省與當地業者合作所需要支出的差旅費。

姑且不論EZTABLE出走到底真實原因為何,從台灣的政策和法令環境來看,要是筆者自己經營公司,在這種內外夾擊的狀況,加上投資者的壓力,可能也不得不轉往海外經營。
當然,每家廠商選擇出走或留下,都有複雜的原因;但檢視我國的法令環境,對留住國內廠商,吸引國外廠商來台,仍有諸多障礙。

資通安全管理法,對於開發業者的挑戰

「資通安全管理法」草案在去年底未能通過,在草案第六條提到:「行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。」而自第17條起則是對非公務機關的規範,第19條規定如下:
中央目的事業主管機關因查核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入第十六條及第十七條之非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
 就筆者解讀,由於行政院並無人力與編制可對公務機關、非公務機關進行相關資安檢測,所以得委外進行檢查工作;同時若是有發現重大的資通安全事件,有權直接進入私人公司檢查相關資料。

如果你是開發商,面對這樣的法律,會選擇把營業機密相關的伺服器放在台灣還是國外?如果該公司本身不是台灣企業,企業總部、相關開發人員與機器都在國外,政府就只能檢查公司在台灣的辦事處。因為台灣政府沒有權力去搜查國外的總部。這樣就輕鬆規避了這條法律。

APP資安認證政策,對國產軟體將形成不公平競爭

為了與可能於今年通過的「資通安全管理法」配合,自今年三月起,國內民眾手機在出廠時的內建軟體,其資安認證將由國家通訊傳播委員會(NCC)委託中華民國資訊安全協會進行檢測,並給予不同等級的標章;而民眾自行安裝的軟體,將由經濟部進行資安檢測,對於公務人員使用的公務手機則強制規定檢測。

以兩大手機作業系統商的應用程式商店App Store和Google Play為例,開發業者將應用程式上架前,會先經過平台的審查,才能讓應用程式成功上架;然而台灣政府卻以維護使用者資訊安全為由,要求國內的開發商先進行資安認證,但對於境外的開發業者,則僅能做到「要求有防護機制」,這樣反而對國內外開發商形成不公平的要求。

看不見的隱憂:資料所有權歸屬的問題

當企業總部搬到國外後,資料的所有權管轄就不受台灣法令規範。用戶在使用該服務前,一定要看清楚服務條款中,對於使用者資料是否會被提供至第三方企業,或是由國家進行審查的相關規定。

以中國今年六月將實行的「中華人民共和國網絡安全法」為例,該法要求於中國境內的網路服務商,均需配合中國政府進行資料審查。當服務商、開發者要至中國提供服務時,消費者是否考慮過,自己個人資料及使用記錄,可能會被中國政府或是其他國家政府以國家安全之名進行收集和審查呢?

資料所有權衍生的問題,還包括了當消費糾紛發生時,相關單位可以進行的處理方式。

隨著使用者上網的工具愈來愈多,從以往的PC、筆記型電腦,到現在透過平板電腦、行動電話等裝置上網,電子商務、服務平台的選擇性愈來愈多。連Facebook、LINE都開始經營線上拍賣社團、電子商務社團,其他的平台如蝦皮拍賣、旋轉拍賣,都讓使用者在短時間內可以快速的進行交易。這些看似便利的服務裡,卻隱藏著看不見的危機。

當消費者發生交易糾紛(如:常見的詐騙)時,如果是國內的平台商,政府單位會要求提供詐騙者帳號相關資訊加以調查,但對於國外的服務平台,政府就難以插手。以這個實際的例子來看,受害者在損失發生後,向平台申訴,平台業者查證後,最多是凍結該帳號活動;受害者雖然自己向防治詐騙單位申報,但也無法得到實質的保護。

境外平台用戶的圖文盜用問題也是另一個例子,不但處理耗時,也幾乎無解;其他如個人資料、交易資料外洩等情況,也是只能透過目的事業主管機關協助解決,但實際上能夠圓滿解決的案子也並不多見。

避免消費者、開發者、市場三輸

「資通安全管理法」的用意雖然在保障安裝用戶的資訊安全,但於對國內外開發商的軟體採取不同標準,事實上壓迫了國內開發商發展的空間。

國內許多法規對於境外業者不具實質約束能力,卻選擇性勒緊了國內開發商的咽喉,不但形同打壓本土廠商,無助於消費者保護,更使整體市場生態更不健康。

以UBER事件為例,由於UBER始終不願意配合國內法規,最後雖被勒令停業,但也突顯出消費者無法選擇不同品質的服務;也因為UBER的先例,白牌車的地下經濟市場將會更活絡,政府更加無法管理自以往就存在的白牌車問題與糾紛。

對於應用程式將進行資安檢查一事,台灣政府開了全球首例,並十分為此自豪;但並不是全球第一就值得開心。政策制訂者應該去了解:為什麼其他國家並未強制進行應用程式資安檢測?在國內進行這樣的措施,有無真正的幫助,還是只是迫使本土開發者出走?

政府如果希望保護使用者個資,或是相關資訊安全,筆者認為應該自使用者與開發者的教育著手,例如應用程式開發者在開發時期與完成應用程式,需要關閉為維運方便的管道而留下的捷徑和後門、公司擬訂內部的開發流程,需要考量使用者的資訊安全等等,並且加強一般使用者的資訊安全教育,例如個人資料、相關記錄、隱私的保護觀念等。

數位經濟的發展,不是只有補助與計畫KPI

行政院通過了九年1700億的「數位國家.創新經濟」發展方案,希望在這些發展方案中同時提倡人權、縮短城鄉數位落差等網路治理的相關議題。

在各種計畫與美好前景之外,在法規的制訂上,政府應該要更加了解市場實際需求,多聆聽不同角色、立場的聲音,並共同找出解決的方案,別讓想根留台灣的開發者,遭到自己國家的法令阻礙腳步,無法搶得市場先機。至於想出國發展的廠商,政府也可以協助他們了解至國外拓展海外市場時可能面臨的法規問題、人才需求問題等,別讓業者們到了國外拚經濟,卻像孤兒一樣單打獨鬥。

留言

此網誌的熱門文章

聽死神說故事--偷書賊

書名:偷書賊(THE Book Thief) 作者:Markus Zusak ISBN:9789866973420 作者網站: Markus Zusak 譯者:呂玉嬋 出版:木馬文化 封面取自博客來網路書局。 購買於小小書房。 這個夏天讀《偷書賊》和《失物之書》,會在兩本不同的故事裡看到同一個時空背景所發生的故事,同樣是發生在孩子身上的事,同樣在說文字的力量,但《偷書賊》的節奏比《失物之書》緩慢一些。我盡量不要比較這兩本書,因為這是很無聊的事,但在閱讀的過程裡總驚訝這兩個故事有那麼多巧合之處,不是情節上的相似,而是在人物角色和背景總是有相似或是對立的情況出現。 《偷書賊》的女主角是被德國夫妻領養的莉賽爾,原本也要一同被領養的莉賽爾的弟弟卻死於火車上,莉賽爾在遭受與父母分離及弟弟的死亡後,在精神上受了極大的創傷,幸運的是領養她的父母是故事書中最仁慈的角色,給了莉賽爾完整的愛,不同於此時期裡其他的孩子可能瀕臨餓死或是送入集中營或是在街頭流浪被流彈波及,莉賽爾因為養父母的照顧和周遭的朋友、躲在地下室的猶太人…還有偏愛她的死神。 這個故事的特別處之一,敘述者不是主角或是任何一個書中的角色,而是沒有時空限制,總是旁觀的第三者,特別是在二戰的年代,無所不在的死神,戰場、集中營、巷弄裡,特別的是,這個死神總是想要表現祂冷酷無情和輕蔑人類的一面,但實際上我們從書中讀到的,是祂憐憫人類、輕視、無奈、驚訝人類的個性,也像人類一樣會抱怨工作、具有詩意、幽默感,也就是具有人性的一面: 人類只有在一天的開始與結束時,才會觀察顏色的變化。 但是對我而言,一天當中,每個短暫片刻都呈現出不同的色度與調性。 光是一個小時的時間,就包含了幾千種不同的顏色:蜜蠟黃、柔絲藍、陰鬱黑。 我是做這行的,當然特別注意顏色的變化。 …她貫徹始終,只要經過三十三號的門口,從沒有忘記吐痰,還會外加一句「死豬」。我發現德國人有個特點:他們真的很愛豬。 這個具有人性的死神成了說書者,祂說著在戰時會發生在任何一個角落的故事,然而我們透過祂的眼睛,看到一個帶著色彩、煙硝味濃厚、心驚膽跳與眼淚的故事,祂不儘是旁觀者,同時也是貫穿整個故事的主要角色之一。 整個故事讀起來有對納粹主義的不滿也有對當時情況的無奈。裡面對於創傷後壓力症候群( PTSD )的描寫也很貼切,莉賽爾和猶太人麥克斯分別經歷了不同程度的打擊,也產生了同樣的症狀,

各國政府在談資料跨境傳輸時,台灣需要什麼?

保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在北美境內自由傳輸資料。 2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。 在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。 到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。 如果有興趣進一步了解DFFT,可以閱讀: Digital Agency, Data Free Flow with Trust (DFFT) , World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows 網路上的資料很多,

關於我所了解的數位錢包 (Digital Wallet)

Image by Gerd Altmann from Pixabay 「電子身分證」(eID)和「數位身分證」(Digital Identity)的議題在台灣始終一直具有爭論,但出發點都是好的,希望透過電子化或數位化的方式,讓人民不需要隨時隨地為實體卡的期限、有效性而擔心,但隨之而來的是容易被追蹤、把所有功能都整合在一張卡片時,若卡片遺失,就需要負擔的手續及風險。 更換身分證也涉及許多政治議題的操作,例如在 2019年 ,時任內政部長脫口而出「不換新身分證無罰則 恐無法投票」使全民嘩然。更早的時候,還有聽聞過因為其他國家都更換為多卡合一的晶片或電子身分證,所以台灣也應跟著換,以加速實現智慧台灣的願景。2020年時,我自己 再整理相關的內容 ,相關部門在推動晶片身分證(New ID)的方式則是以民眾比較容易參與的卡面設計開始,但後續的資安問題、資料外洩事件,及新冠大流行,延宕整件事的進度。 2019年時台灣沒有數位發展部(以下簡稱數位部)、沒有獨立的個人資料保護機關、個人資料保護法的主管機關「暫時」是國發會,沒有法源依據卻同時也被拿來作認證身分用途的健保卡、有法源也有主管機關的「自然人憑證」並不是每個人都有。許多公共服務上仍以實際臨櫃服務優先考量,雖然當時已有許多文件可以自網站下載或線上申請,但多數服務只能將實際流程網路化,而不是利用網路優化服務流程,反而增加挫折感。 當COVID-19肆虐後,改變許多服務,也實際的數位化,而許多卡片雖然在緊急情況下被拿來作為認證身分的用途,但從報稅、領口罩、全民普發現金,台灣政府和人民也一起改變使用行為。 目前已知的幾個數位身分證、數位錢包應用 先列一下自己已知道的幾個在進行的案例,不會說太多,因為有許多研究報告可以參考,也可以參考各國在數位身分證上的政策頁面。  1. 歐盟數位身分錢包 2021年注意到歐盟執委會公布數位身分證相關法案的修正案,後來通過許多歐洲社群使用者持續反對的「歐盟數位身分錢包」( European Digital Identity Wallets )相關立法框架,並推動 4 個大型示範計畫。熟悉歐盟這10年來的電子化、數位化或數位市場法、數位服務法的人會理解,這是一整個將公共行政數位化的過程,從立法、試驗、修法,其實都很完善。台灣也有相關的研究,有興趣的人再自己找找看。 關於「歐盟數位身分錢包」,我所理解的