跳到主要內容

留住本土廠商、吸引海外廠商:仍待改善的台灣法律環境

本文刊登於Rocket Café:  留住本土廠商、吸引海外廠商:仍待改善的台灣法律環境。因為撰寫時間匆促,感謝辛苦協助的編輯。

日前EZTABLE宣布將企業總部移至印尼;報導中提到,業者將總部移至東南亞國家的原因,除了投資人的壓力外,也想拓展該區域的市場,並節省與當地業者合作所需要支出的差旅費。

姑且不論EZTABLE出走到底真實原因為何,從台灣的政策和法令環境來看,要是筆者自己經營公司,在這種內外夾擊的狀況,加上投資者的壓力,可能也不得不轉往海外經營。
當然,每家廠商選擇出走或留下,都有複雜的原因;但檢視我國的法令環境,對留住國內廠商,吸引國外廠商來台,仍有諸多障礙。

資通安全管理法,對於開發業者的挑戰

「資通安全管理法」草案在去年底未能通過,在草案第六條提到:「行政院得委任或委託其他公務機關、法人或團體,辦理資通安全整體防護、國際交流合作及其他資通安全相關事務。」而自第17條起則是對非公務機關的規範,第19條規定如下:
中央目的事業主管機關因查核資通安全維護情形發現重大缺失,或遇重大資通安全事件,而認有必要時,得派員攜帶執行職務證明文件,進入第十六條及第十七條之非公務機關場所檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。
對於前項之檢查,非公務機關及其相關人員無正當理由不得規避、妨礙或拒絕。
參與檢查之人員,對於因檢查而知悉之他人應秘密之資訊,負保密義務。
 就筆者解讀,由於行政院並無人力與編制可對公務機關、非公務機關進行相關資安檢測,所以得委外進行檢查工作;同時若是有發現重大的資通安全事件,有權直接進入私人公司檢查相關資料。

如果你是開發商,面對這樣的法律,會選擇把營業機密相關的伺服器放在台灣還是國外?如果該公司本身不是台灣企業,企業總部、相關開發人員與機器都在國外,政府就只能檢查公司在台灣的辦事處。因為台灣政府沒有權力去搜查國外的總部。這樣就輕鬆規避了這條法律。

APP資安認證政策,對國產軟體將形成不公平競爭

為了與可能於今年通過的「資通安全管理法」配合,自今年三月起,國內民眾手機在出廠時的內建軟體,其資安認證將由國家通訊傳播委員會(NCC)委託中華民國資訊安全協會進行檢測,並給予不同等級的標章;而民眾自行安裝的軟體,將由經濟部進行資安檢測,對於公務人員使用的公務手機則強制規定檢測。

以兩大手機作業系統商的應用程式商店App Store和Google Play為例,開發業者將應用程式上架前,會先經過平台的審查,才能讓應用程式成功上架;然而台灣政府卻以維護使用者資訊安全為由,要求國內的開發商先進行資安認證,但對於境外的開發業者,則僅能做到「要求有防護機制」,這樣反而對國內外開發商形成不公平的要求。

看不見的隱憂:資料所有權歸屬的問題

當企業總部搬到國外後,資料的所有權管轄就不受台灣法令規範。用戶在使用該服務前,一定要看清楚服務條款中,對於使用者資料是否會被提供至第三方企業,或是由國家進行審查的相關規定。

以中國今年六月將實行的「中華人民共和國網絡安全法」為例,該法要求於中國境內的網路服務商,均需配合中國政府進行資料審查。當服務商、開發者要至中國提供服務時,消費者是否考慮過,自己個人資料及使用記錄,可能會被中國政府或是其他國家政府以國家安全之名進行收集和審查呢?

資料所有權衍生的問題,還包括了當消費糾紛發生時,相關單位可以進行的處理方式。

隨著使用者上網的工具愈來愈多,從以往的PC、筆記型電腦,到現在透過平板電腦、行動電話等裝置上網,電子商務、服務平台的選擇性愈來愈多。連Facebook、LINE都開始經營線上拍賣社團、電子商務社團,其他的平台如蝦皮拍賣、旋轉拍賣,都讓使用者在短時間內可以快速的進行交易。這些看似便利的服務裡,卻隱藏著看不見的危機。

當消費者發生交易糾紛(如:常見的詐騙)時,如果是國內的平台商,政府單位會要求提供詐騙者帳號相關資訊加以調查,但對於國外的服務平台,政府就難以插手。以這個實際的例子來看,受害者在損失發生後,向平台申訴,平台業者查證後,最多是凍結該帳號活動;受害者雖然自己向防治詐騙單位申報,但也無法得到實質的保護。

境外平台用戶的圖文盜用問題也是另一個例子,不但處理耗時,也幾乎無解;其他如個人資料、交易資料外洩等情況,也是只能透過目的事業主管機關協助解決,但實際上能夠圓滿解決的案子也並不多見。

避免消費者、開發者、市場三輸

「資通安全管理法」的用意雖然在保障安裝用戶的資訊安全,但於對國內外開發商的軟體採取不同標準,事實上壓迫了國內開發商發展的空間。

國內許多法規對於境外業者不具實質約束能力,卻選擇性勒緊了國內開發商的咽喉,不但形同打壓本土廠商,無助於消費者保護,更使整體市場生態更不健康。

以UBER事件為例,由於UBER始終不願意配合國內法規,最後雖被勒令停業,但也突顯出消費者無法選擇不同品質的服務;也因為UBER的先例,白牌車的地下經濟市場將會更活絡,政府更加無法管理自以往就存在的白牌車問題與糾紛。

對於應用程式將進行資安檢查一事,台灣政府開了全球首例,並十分為此自豪;但並不是全球第一就值得開心。政策制訂者應該去了解:為什麼其他國家並未強制進行應用程式資安檢測?在國內進行這樣的措施,有無真正的幫助,還是只是迫使本土開發者出走?

政府如果希望保護使用者個資,或是相關資訊安全,筆者認為應該自使用者與開發者的教育著手,例如應用程式開發者在開發時期與完成應用程式,需要關閉為維運方便的管道而留下的捷徑和後門、公司擬訂內部的開發流程,需要考量使用者的資訊安全等等,並且加強一般使用者的資訊安全教育,例如個人資料、相關記錄、隱私的保護觀念等。

數位經濟的發展,不是只有補助與計畫KPI

行政院通過了九年1700億的「數位國家.創新經濟」發展方案,希望在這些發展方案中同時提倡人權、縮短城鄉數位落差等網路治理的相關議題。

在各種計畫與美好前景之外,在法規的制訂上,政府應該要更加了解市場實際需求,多聆聽不同角色、立場的聲音,並共同找出解決的方案,別讓想根留台灣的開發者,遭到自己國家的法令阻礙腳步,無法搶得市場先機。至於想出國發展的廠商,政府也可以協助他們了解至國外拓展海外市場時可能面臨的法規問題、人才需求問題等,別讓業者們到了國外拚經濟,卻像孤兒一樣單打獨鬥。

留言

這個網誌中的熱門文章

問題不在於區塊鏈

這個星期在台灣,有一場盛大的「亞洲區塊鏈高峰會」,因為在準備 TWIGFAPrIGF 2019 的會議資料,就沒有報名。看了INSIDE 整理的逐字稿,不禁坐在電腦前抽動著嘴角。對於需要經過銀行或是第三方、第 N 方擔保的支付工具,都應屬於建立信任的數位支付工具,如果一個以加密貨幣為交換工具卻還要經過銀行,那都不是「區塊鏈應用」,或可說,它還在重建信任的過渡期。

自接觸區塊鏈應用以來,不斷的聽到網際網路的大老們、前輩們、經濟學者們都在極力反對區塊鏈技術,很多人權團體、媒體、各國央行、金融體系都對於區塊鏈的特性大加撻伐:
過度集中、非去中心化。整個網際網路是個過度中心化的系統,大概很少有人去想網際網路的架構和特性。ICO 是詐騙。老實說,這就是一個人要不要被騙一樣,你不能說投資失敗就是被騙,ICO 是一種賺錢手段,但是「投資」還是「投機」?每個人心中都有一把尺。加密貨幣(Cryptocurrency)的應用。加密貨幣是數位(電子)支付的一種,大家常常把加密貨幣作為數位支付的代名詞。台灣政府對於加密貨幣的態度較偏向視之為虛擬貨幣、商品,而不是正式的法幣 (Fiat Money)。無法移除不該保有的資料。有些人權團體表示會有人把婦女、孩童受虐的照片或裸露的影片上傳到區塊鏈上,且無法移除。把這個問題歸咎於區鏈技術實在很莫名其妙,畢竟暴力傷害人類、動物的行為就是非法行為,當影片或照片上網後,會迅速的傳播與擴散,有些是存在私人的硬碟裡。但該注意的重點在於:(1) 這些虐待、強迫裸露、拍攝這些影片與照片的犯罪行為根本就不該發生(犯罪預防)、(2) 這些存在私人硬碟裡的照片與影音檔根本就不該被擴散 (民眾教育)、(3) 基於前面兩點,政府應該加強自己的責任,而不應該強迫平台業者對使用者的內容進行審查,內容審查是侵犯言論自由權的。智財所有權的問題。例如用作品完成時的時間戳記 (Timestamp) 可以證明是自己的作品,但今天如果有人把這篇文章用他自己的帳號,把文字內容上傳到 IPFS (星際檔案系統,Inter Planetary File System),頂多就是在之後加註原始作者是誰,上傳者不是原作者這種尷尬的情況。所以日後若是使用自動化的分潤系統,要怎麼去證明作者是誰?如何分給哪些人?交易速度慢,無法因應全球金融、資料交換的大量工作。反觀,網際網路被大量應用的年代初期…

參與 1 月 11 日的「資通安全管理法」公聽會感想

如果有人讀過由去年諾貝爾經濟學奬得主 Richard H. Thaler 的《不當行為》,也許就會開始學習如何當一個理性的經濟學者,而不被衝動或個人習慣沖昏頭進行不當的消費。書中所提到的一些概念其實更可以運用在各個場域裡,包括已參與幾次的座談會到今日公聽會的「資通安全管理法」。
法學專家們的疑問 大概整理了幾點: 如何避免技術性的規避或離開市場?行政救濟的相關事項。擬這套法案時參考美國、日本、新加坡等這些國家的依據是什麼?是經濟或科技發展情況還是剛好搜尋到這個國家有這套法律,所以拿來用?這部「資通安全管理法」的主管機關是台灣的行政院,行政院主要是整合政策的功能,本身無執法的能力,僅能要求被管制者義務執行,也就是主管機關的管制責任是空虛的。參考的國家都有編制專責的單位與規劃預算,如果在台灣這套法令通過了,開始實行了,有編制的人力嗎?執行的能力嗎?可能沒有。「資通安全管理法」有主管機關,但「個人資料保護法」沒有主管機關。這兩部法一樣重要,但為什麼會有這樣的差異?

關於2018年的台灣網路治理論壇

2017年辦理了台灣網路治理論壇(Taiwan Internet Governance Forum,以下簡稱 TWIGF)後,陸續也有許多單位或有興趣的朋友加入論壇中的 Multi-stakeholder Steering Group (以下簡稱 MSG),TWIGF 今年也舉辦了幾次座談,努力讓台灣的民眾了解什麼是「網路治理」和與其相關的範疇,並持續舉辦會議讓與會者透過親身參與,體驗與了解什麼是「網路治理」和「多方利害關係人機制」。

TWIGF 在 2017 年的主題是「數位衝撞之契機 – 經濟、安全與人權之和諧發展」並將子議題分為:數位經濟、網路安全及網路人權,參與者約有兩百多人也刊登上《Global Information Society Watch(GISWatch) 2017 Special Issue - Internet governance from the edges: NRIs in their own words》,藉由此機會讓國外的讀者了解台灣網路治理的發展狀況。 網路治理論壇的精神:對話才是重點 不同於台灣習慣的研討會、座談會模式,主持人或與談人可能會準備大量的投影片向參與者簡報。TWIGF 會議裡有主持人、與談人和參與者三個角色,與會重點是主持人、與談人、台下參與者三方針對該場次主題的對話,並非與談人的個人演講;三方可能分別在不同領域裡有不同的專業,依照主席宣布的議事規則進行討論,沒有多餘的簡報與演講,在該場次 60 至 90 分鐘的對話時間裡,透過「多方利害關係人機制」找到彼此對議題的共識。對話可能包括了爭論、對談,參與者都是熟悉該議題或對議題有興趣,在彼此尊重與包容的前提下發言與討論,透過對話形成共識。