Contract
行政院農業委員會農業科技產學合作計畫契約書
(111 年 4 月 18 日修正)
契約編號(與計畫編號相同):○○○農科-○.○.○-○-○○甲方(計畫執行單位):行政院農業委員會○○○○○○
乙方(合作業者):○○○○○○主管機關:行政院農業委員會
為辦理○○○年度「○○○○○○○○○(計畫名稱)」農業科技產學合作計畫(以下簡稱本計畫),甲方及乙方共同出資,由甲方負責執行,經雙方協議同意訂立本契約共同遵守,其條款如下:
第一條 契約文件及效力
(一) 本契約包括下列文件:
1. 契約本文、附件及其變更或補充。
2. 依契約所提出之履約文件或資料。
(二) 本契約文件,包括以書面、錄音、錄影、照相、微縮、電子數位資料或樣品等方式呈現之原件或複製品。
(三) 本契約所含各種文件之內容如有不一致之處,其優先適用依下列原則處理:
1. 契約本文優於其他文件所附記之條款。但附記之條款有特別聲明者,不在此限。
2. 文件經甲方審定之日期較新者優於審定日期較舊者。
(四) 本契約文件相關規定得互為補充,如仍有不明確之處,應依公平合理原則解釋之。如有爭議,依各相關法令之規定處理。
(五) 本契約未約定事項,應依照主管機關計畫作業之相關規定辦理或雙方另以換文方式約定,並視為契約之一部分,修正時亦同。
第二條 計畫內容
詳如本計畫說明書核定本(附件)
第三條 計畫執行期間
自中華民國(下同)○○○年○月○日至○○○年○月○日止。
第四條 計畫經費金額
(一) 計畫總經費新臺幣(下同)○○○元整,計經常門○○○元整,資本門○○○元整;其中○○○元整由甲方在○○○年度○○○○○○經費預算項下列支,配合款
○○○元整,由乙方支應。
(二) 本計畫執行期間若因甲方發生年度預算裁減或執行節約措施等不可歸責之因素,
致影響履約者,甲方得以書面通知乙方變更計畫經費之金額及給撥付方式。
第五條 計畫經費之撥付方式
乙方之配合款應於本契約生效30日內(以日曆天計算,遇例假日順延)一次撥付入甲方指定專戶(銀行:○○銀行○○分行,帳號:○○○○○○,戶名:○○○○
○○);乙方如屆期未付款,甲方得終止本契約。
第六條 計畫經費之支存
(一) 甲方應將計畫經費專戶儲存,並依核定之預算項目核實動支,以用於與本計畫內容直接有關者為限。
(二) 甲方執行本計畫有關計畫經費之支存及會計事務之處理,應依「行政院農業委員會主管計畫經費處理作業規定」(以下簡稱主管機關計畫經費處理規定)辦理。
(三) 甲方執行計畫產生之研發成果收入,應依「行政院農業委員會科學技術研究發展成果歸屬及運用辦法」(以下簡稱主管機關研發成果歸屬及運用辦法)及相關規定辦理。
(四) 甲方如於計畫所屬會計年度內因不可抗力因素不能結束本計畫而必須延期時,得申請保留經費繼續支用,保留手續依據主管機關計畫經費處理規定辦理。
第七條 計畫內容之變更、契約變更及轉讓
(一) 甲方在本計畫執行期間,如因實際需要必須變更預算時,需依據主管機關計畫經費處理規定提出預算變更明細表述明理由,經書面同意後為之。
(二) 本計畫執行期間,如因技術、市場、或其他外在不可抗力因素、情事變遷而無法完成本計畫時,甲乙雙方皆得提出具體理由向主管機關申請緩辦或停辦本計畫,經審查同意後以書面通知甲乙雙方終止契約;本契約經核定為停辦或緩辦者,甲方應於收到通知函後一個月內,將本計畫未支用之計畫經費(含補助款與配合款)及已完成或進行中之一切相關資料返還。
(三) 本契約之解除,不影響甲方損害賠償請求權之行使。
(四) 如經發現甲方同一研究人員主持計畫(單一或細部)項數超過 2 項者,主管機關得要求其選擇更換主持人或放棄超出 2 項之計畫。
(五) 甲方或乙方如與共同執行之本契約當事人以外之人合作執行本計畫者,甲方或乙方應監督各共同執行之本契約當事人以外之人確實遵守並執行本契約各項條文,並取得其他共同執行之本契約當事人以外之人授權甲方或乙方代表簽約之同意書或合作契約,俾甲方得對共同執行之本契約當事人以外之人加以控管,並享有對其行為直接請求執行之權利。
(六) 乙方不得將本契約之部分或全部轉讓予本契約當事人以外之人,但因公司合併、銀行或保險公司履行連帶保證、銀行因權利質權而生之債權或其他類似情形致有轉讓必要,經審查同意者,不在此限。
第八條 計畫所需工程及購置定製財物程序
x計畫經費預算項下所需工程、購置定製財物及勞務採購,應依照「行政院農業委員會科學技術研究發展採購作業要點」及相關規定辦理,審計機關得對甲方有關本計畫之一切收支及財物隨時稽查之。
第九條 計畫經費抽查及財產管理
(一) 主管機關得隨時派員或會同審計人員查核計畫執行情形及計畫所購置之財產,執甲乙雙方不得拒絕或隱匿。
(二) 本計畫項下所購置之財產,其所有權歸屬於甲方,由甲方自行登錄管理,並應盡善良管理人之責任,依國有公用財產管理手冊之規定辦理。
第十條 保密義務
(一) 甲乙雙方履約期間所知悉之任一方機密或任何不公開之文書、圖畫、消息、物品或其他資訊,均應保密,不得洩漏。
(二) 本契約之計畫主持人及參與計畫工作人員均應嚴守契約應保密事項,未經主管機關書面同意,甲乙雙方不得將契約內容、執行情形及研發成果公開或洩漏於本契約關係人以外之人員;且乙方應與其聘用之研究人員訂定保密契約,乙方之聘用研究人員違反刑法、保密協定或營業秘密法及其相關規定時,乙方應依法追償並應與之對甲方負連帶損害賠償責任。
(三) 甲乙雙方應依行政院「科技資料保密要點」之規定訂定機密等級,於可能洩密途徑中,履行保密責任及採取洩密之補救措施,並遵守相關法令與保密要求,不得有侵害任一方權利,違者除應負法律責任外,亦應負因此而產生之損害賠償。
(四) 本計畫各項文件、資料、底圖、甲方提供乙方參考之技術資料文件或乙方及其工作人員因履行本契約而取得之甲方業務資料,乙方有代為保密及責成參與人員保密之義務,未經甲方書面同意,乙方不得將任何文件之全部或一部份發表、供與、給與或售與本契約當事人以外之人。但經由甲方公布或公開後即解除保密之義務。本契約因期限屆滿、解除或其他原因而消滅時,乙方及其工作人員仍負有前款之保密責任。
(五) 甲方或乙方及其計畫執行人員如有違反前 4 款之情事時,主管機關得限制甲方或乙方及其計畫執行人 10 年內不得申請或參與計畫。
第十一條 期中及期末評核標準
詳如計畫說明書核定本(附件)。
第十二條 計畫執行之管制
(一) 計畫執行期間主管機關為瞭解本計畫之執行情形時,甲乙雙方應詳予說明,並依
「農業科技計畫研提與管理作業手冊」及「行政院農業委員會一般農業科技計畫補助作業要點」規定時間及格式等提供資料。甲方應依規定提報執行進度表,如係專
案列管計畫,並應遵照行政院管考有關規定,填送執行進度及執行情形報告表等有關資料。如經主管機關選為實地查核計畫標的,甲乙雙方應依規定配合辦理相關作業。
(二) 主管機關為增進本計畫對農業升級及經濟發展之效益,於本計畫執行中或結案後,進行歷年績效評估時,甲乙雙方應全力配合;本項績效評估之紀錄,得列入往後年度申請計畫評選之參考。
(三) 本計畫屬於「科學技術」類計畫,甲方應就執行本計畫之過程撰寫研究紀錄簿,俾供研發成果之需求;主管機關得就甲方撰寫研究紀錄簿情形,作為評估未來計畫經費之給付參考。
(四) 參與「國家核心科技項目」之計畫研究人員,受「臺灣地區與大陸地區人民關係條例」(以下簡稱兩岸條例)規範:
1. 進入大陸地區應經申請審查許可,依兩岸條例第 9 條第 4 項第 2 款規定,經內政部會同國家安全局、法務部及大陸委員會組成之審查會審查許可。
2. 如擬擔任大陸地區法人、團體或其他機構之職務或其成員,依兩岸條例第 33 條第
3 項規定列為應經許可項目者,應先經許可。
(五) 本契約之研究計畫內容(請勾選其中一項)
□ 涉及農業五項國家核心科技項目,包含 1.種苗繁殖關鍵技術、2.食藥用菇液體培養關鍵技術、3.新品種育種關鍵技術、4.功能性基因體及其生物晶片、5.家畜幹細胞技術。執行本研究計畫時,應依「政府資助國家核心科技研究計畫安全管制作業手冊」之規定建立安全管制制度,並於各種可能之洩密途徑中,履行保密責任及採取必要之保密措施等;並遵守「科技資料保密要點」及相關法令與甲方之相關保密要求,違者應負法律責任,甲方並得視其情節於 10 年內停止接受計畫主持人與違約之研究人員申請或參與甲方之補助等計畫。
□ 非屬農業國家核心科技項目。
(六) 計畫執行中甲乙雙方應善盡維護實驗環境衛生及安全之責,倘研究人員及助理因執行計畫致生命、健康、財產上受有損害時,甲方或乙方應負完全責任。
第十三條 遲延履約
(一) 因下列天災或事變等不可抗力或不可歸責於甲乙雙方之事由,致未能依時履約者,得展延履約期限;不能履約者,得免除本契約責任:
1. 戰爭、封鎖、革命、叛亂、內亂、暴動或動員。
2. 山崩、地震、海嘯、火山爆發、颱風、豪雨、冰雹、水災、土石流、土崩、地層滑動、雷擊或其他天然災害。
3. 墜機、沉船、交通中斷或道路、港口冰封。
4. 罷工、勞資糾紛或民眾非理性之聚眾抗爭。
5. 毒氣、瘟疫、火災或爆炸。
6. 履約標的遭破壞、竊盜、搶奪、強盜或海盜。
7. 履約人員遭殺害、傷害、擄人勒贖或不法拘禁。
8. 水、能源或原料中斷或管制供應。
9. 核子反應、核子輻射或放射性污染。
10. 非因乙方不法行為所致之政府或甲方依法令下達停工、徵用、沒入、拆毀或禁運命令者。
11. 政府法令之新增或變更。
12. 我國或外國政府之行為。
13. 其他經甲方認定確屬不可抗力者。
(二) 前款不可抗力或不可歸責事由發生或結束後,其屬可繼續履約之情形者,應繼續履約,並採行必要措施以降低其所造成之不利影響或損害。
(三) 甲方或乙方履約有遲延者,在遲延中,對於因不可抗力而生之損害,亦應負責。但經甲方或乙方證明縱不遲延給付,而仍不免發生損害者,不在此限。
(四) 甲方或乙方未遵守法令致生履約事故者,由甲方或乙方負責。因而遲延履約者,不得據以免責。
(五) 甲方或乙方違反前款規定且情節重大者,主管機關得終止或解除本契約,甲方應結清並繳回已撥付而未執行或已執行而不符合本計畫執行內容之計畫經費,並得要求更換計畫主持人。
第十四條 違約罰則、損害賠償及履約責任
(一) 甲乙雙方於履約時,有下列情形之一者,主管機關得核減本計畫經費,並得要求更換計畫主持人或參與人員:
1. 執行進度或經費動支落後且未能改善。
2. 執行項目與本契約計畫內容不符。
3. 實地查訪或查核帳目發現有重大缺失。
4. 未依主管機關計畫管理、會計作業或研發成果管理制度執行。
5. 主管所提改進建議、注意辦理事項,甲方或乙方不予改進或辦理。
6. 違反本契約相關規定。
(二) 甲方或乙方違反前款規定且情節重大者,主管機關得終止本契約。如因而致甲方權益受損時,乙方應負責賠償。
(三) 本計畫執行期間,甲方得派員查核進度及帳目,乙方如有虛報計畫執行進度,致本計畫經費溢撥者,得限期乙方將溢撥部分加計利息繳回。甲方核減或剔除之項目,乙方應依限繳回。
第十五條 研發成果之歸屬及運用
(一) 本計畫所獲得之原型、產品、技術、方法、著作或其他智慧財產權及成果(以下簡稱研發成果),依主管機關研發成果歸屬及運用辦法第 7 條規定,歸屬國家所有,
並以甲方為管理單位。
如涉及應用軟體系統服務等相關工作項目時,乙方所產出之著作權部分,請就下列選項勾選:(註釋及舉例文字,免載於契約)
註:在流通利用方面,考量資訊軟體系統開發之特性,如其內容包含甲方與乙方雙方之創作智慧,且不涉及甲方安全、專屬使用或其他特殊目的之需要,甲方得允許此軟體著作權由乙方流通利用,以增進社會利益。甲方亦宜考量避免因取得不必要之權利而增加採購成本。
1. □以甲方為著作人,並由甲方取得著作財產權之全部(註:後續不辦理授權時勾
選)。
2. □以甲方為著作人,並由甲方取得著作財產權之全部,乙方於開發或維護完成該應用軟體時,應經下列程序取得著作財產權之授權:(項目由甲方於簽約時勾選)
【A】□取得甲方之下列使用授權,於每次使用時均不需徵得甲方之同意。
【1】□重製權 | 【2】□公開播送權 | 【3】□公開傳輸權 |
【4】□改作權 | 【5】□編輯權 | 【6】□出租權 |
【7】□散布權 | 【8】其他: |
【B】□取得甲方之下列使用授權,於每次使用均需徵得甲方同意。
【1】□重製權 | 【2】□公開播送權 | 【3】□公開傳輸權 |
【4】□改作權 | 【5】□編輯權 | 【6】□出租權 |
【7】□散布權 | 【8】其他: |
例:如約定甲方取得著作財產權,乙方得就業務需求,為其內部使用之目的,勾選【1】重製權及【5】編輯權。如乙方擬自行修改著作物,可以勾選【4】改作權。
3. □xxxx著作人,甲方取得著作財產權,乙方並同意甲方因著作財產權之行使或利用而有公開發表其著作(著作權法第 15 條)、變更著作人姓名(著作權法第 16 條)及變更著作內容之權利(著作權法第 17 條)。
例:依甲方專用或甲方特殊需求規格所開發之資訊應用軟體,甲方取得著作財產權之全部。
4. □其他。(內容由甲方於簽約時載明)
例:甲方得就其取得之著作財產權,允許乙方支付對價,授權乙方使用。
(二) 本計畫研發成果未經甲方依研發成果歸屬及運用辦法第 23 條規定報請主管機關同意,不得於中華民國管轄區域外授權實施。
(三) 甲方將研發成果移往大陸地區實施時,應依「臺灣地區與大陸地區人民關係條例」第 35 條及其相關子法,包括「在大陸地區從事投資或技術合作許可辦法」等相關法令之規定。
(四) 本計畫研發成果,甲方應建立完整之技術資料檔案,主管機關得隨時調閱,甲方應
全力配合。
(五) 甲乙雙方應於契約結束後,配合主管機關(或委託本契約當事人以外之人)辦理研發成果管理及運用情形之調查;並配合甲方辦理推廣本計畫研發成果之展覽及宣導活動。
(六) 本計畫研發成果計價時,得參考主管機關研發成果歸屬及運用辦法第 20 條之規定計價,如授權對象為參與本計畫之合作業者得酌予優惠。
(七) 本計畫研發成果授權實施對象如為出資達該計畫總經費 30%以上之(任一)乙方,甲方得依主管機關研發成果歸屬及運用辦法第 21 條及第 22 條之規定,以專屬授權、
有償讓與或信託方式運用研發成果,惟甲方應於計畫結束 1 年內報經主管機關同
意,始得為之;乙方於計畫結束 1 年內未與甲方完成專屬授權契約訂定者,或自願放棄專屬授權協商,本計畫研發成果得逕行授權他人。
第十六條 研發成果之發表
(一) 甲方如擬在國內外刊物發表本計畫之研發成果,應於發表文章上標明「行政院農業委員會農業科技產學合作計畫」字樣。
(二) 本計畫研究報告應依主管機關所訂「農業科技計畫研提與管理作業手冊」格式撰寫及繕印。甲方交付之報告及研發成果內容不得有抄襲、剽竊、或侵害他人營業秘密、智慧財產權及其他權利之情事。如違反該等情事,計畫主持人應負責處理並負擔因此所生之費用及賠償責任。此外,甲方並應將已撥付之配合款全數繳還乙方,並得視其情節於 3 年內停止接受計畫主持人與違約之研究人員申請各項計畫。
第十七條 執行成果之查核
(一) 甲方應於本計畫執行期間及屆期前,依主管機關規定之時間及格式提送期中摘要報告、期末暨成果效益報告與研究報告,若計畫獲選須辦理實地查核,甲方應予配合辦理。
(二) 本計畫之研究報告或工作成果如經主管機關審查合格,甲方應將研究報告及期末暨成果效益報告依當年度規定或需求,製作成電子資料檔案並上傳農業計畫管理系統。
(三) 執行成果如與計畫說明書核定本內容不符或有瑕疵者,主管機關應通知甲方限期改善或修正完成。
(四) 審查研發成果過程或應用時,如具有危害人體健康、污染環境或有公共危險之虞者,甲乙雙方應有善盡告知之義務。
第十八條 侵權行為之規範
(一) 甲乙雙方履約,不得侵害他人智慧財產權及其他權利,其有侵害本契約當事人以外之人合法權益時,應由甲方或乙方負責處理並承擔一切法律責任。
(二) 甲乙雙方執行本計畫時,無論研究、開發或自國內外引進、授權或購買技術、知識、資料或權利等應符合相關法令之規定,並應釐清該技術、知識、資料或權利等之合
法性。
(三) 甲乙雙方應擔保本契約當事人以外之人就履約標的,不得主張任何權利。
(四) 甲乙雙方保證執行本計畫所得之研發成果並無侵害他人智慧財產權及其他權利之情事。如因執行本計畫所得之研發成果遭本契約當事人以外之人主張涉及侵害他人智慧財產權及其他權利時,甲方應提出必要之答辯及相關資料,並負擔因此所生之訴訟費用、律師費用及其他相關之費用,並應負損害賠償責任。
(五) 本計畫研發成果如遭本契約當事人以外之人主張涉及侵害他人智慧財產權及其他權利,甲方應採修改侵害部分,使該標的物不再侵害他人權利。
(六) 除另有規定外,甲方如在契約使用專利品,或專利性履約方法,或涉及著作權時,其有關之專利及著作權相關權益,概由甲方依照有關法令規定處理,其費用亦由甲方負擔。
第十九條 契約之終止解除及暫停執行
(一) 甲方如未依本計畫預定進度執行或所執行之工作項目與計畫說明書核定本所列不符,經主管機關提請更正,如無正當理由而不予執行或更正時,主管機關得通知終止契約。
(二) 本計畫執行期間,如發現預期成果無法達成,研究工作不能進行,或甲乙任一方違反本契約各項協議事項時,甲乙任一方得提出終止契約。
(三) 經主管機關審查同意終止契約者,甲方應將契約終止前所完成之工作成果送交主管機關,主管機關未依前項規定通知甲乙雙方終止或解除契約者,甲乙雙方仍應依契約規定繼續履約。
(四) 本契約經依前款規定或因可歸責於甲乙雙方之事由致終止或解除者,主管機關得依其所認定之適當方式,核減或追回計畫經費。
(五) 甲乙雙方未依契約規定履約者,主管機關得隨時通知部分或全部暫停執行,至情況改正後方准恢復履約。甲乙雙方不得就暫停執行請求延長履約期限或增加計畫經費。
(六) 甲乙雙方不得對主管機關人員或受主管機關補助之廠商人員給予期約、賄賂、佣金、比例金、仲介費、後xx、回扣、餽贈、招待或其他不正利益。違反規定者,主管機關得終止或解除契約,或將溢價及利益自計畫經費中扣除。
(七) 本契約終止時,自終止之日起,甲乙雙方之權利義務即消滅。契約解除時,溯及契約生效日消滅。甲乙雙方並互負相關之保密義務。
(八) 本契約之終止或解除,不影響主管機關損害賠償請求權之行使。
(九) 甲乙雙方聘用擇領或兼領月退休金之人員,應依公務人員退休法第 23 條相關規定辦理。
(十) 擇領或兼領月退休金之人員,再於公務人員退休法第 23 條第 1 項第 3 款所列機構任董(理)事長及執行長者,年齡限制應依立法院決議及行政院規定辦理。
(十一) 甲乙雙方所聘(雇)用之人員如有違反前述各項規定情形之一者,主管機關得終止或解除契約。
(十二) xxx於本計畫執行期間中途退出,嗣後不得主張對本計畫研發成果有任何權利,且乙方已支付之配合款則視為損害賠償之一部分,不予退還。
第二十條 計畫執行中如涉及脊椎動物之科學應用,甲乙雙方應依動物保護法、野生動物保育法等相關法令及本愛護動物態度,儘量減少數目,並以使動物產生最少痛苦及傷害之方式為之。如有違反相關法律規定,由甲方或乙方負完全責任。
第二十一條 爭議處理
(一) 甲乙雙方因履約所生爭議,應依民法與相關法令及契約規定,考量公共利益及公平合理,本誠信和諧,盡力協調解決之。自協調開始逾 30 日尚未能達成協議者,得以下列方式處理之:
1. 提起民事訴訟。
2. 依其他法律申(聲)請調解。
3. 依本契約或雙方合意之其他方式處理。
(二) 履約爭議發生後,履約事項處理原則如下:
1. 與爭議無關或不影響之部分應繼續履約。
2. 甲乙雙方因爭議而暫停履約,其因爭議結果被認定無理由者,不得就暫停履約之部分要求延長履約期限或免除契約責任。
(三) 本契約以中華民國法律為準據法,以甲方所在地之地方法院為第一審管轄法院。
第二十二條 資訊安全
(一) 乙方投入本計畫之人員,均應依主管機關之規定簽訂保密切結書(詳如附表一),惟該切結書因含身分證字號等個人資訊,請於簽定後另案函送甲方存查,簽訂切結書之人員另登載於保密切結書清單(詳如附表二)併入契約裝訂。
(二) 乙方應遵守行政院所頒訂之各項資訊安全規範及標準,並遵守主管機關之資訊安全管理及保密相關規定,此外主管機關保有對甲乙雙方執行稽核的權利。主管機關得視需要,就委外系統之實體安全、存取控制及通訊與作業管理等,至甲方或乙方進行實地稽核作業。
(三) 乙方對甲方之業務機密負完全保密之責。
(四) 本契約因期限屆滿、解除或其他原因而終止時,乙方及其工作人員仍負有前款之保密責任。
(五) 甲乙雙方為執行本計畫所使用之軟體及各種文件,除不得抄襲、改作或任何侵害他人智慧財產權外,應負保密責任。
(六) 本系統之資通系統防護需求分級為□高□中□普級。甲乙雙方須遵循資通安全管理法相關規定,並符合該分級之資通系統防護基準。
(七) 甲乙雙方應確實執行組態管理(Configuration Management),以確保系統之完整性
及一致性,以符合主管機關對系統品質及資訊安全的要求。
(八) 乙方提供之軟硬體及文件,應先行檢查是否內藏惡意程式(如病毒、蠕蟲、xxx木馬、間諜軟體等)及隱密通道(covert channel),並於上線前清除正式環境之測試資料與帳號及管理資料與帳號,如因程式撰寫或安裝設定不當,造成甲方損失,乙方應立即修復並負賠償責任。乙方應於甲方提出書面需求時提供其開發之 Web應用程式源碼檢測服務,並完成複測,其服務內容需符合或達到下列功能:
1. 支援 PHP、ASP、J2EE(Java 全系列含 JSP)及 .NET(C#, XX.XXX, XXX.XXX)程式語言。
2. 支援 OWASP「跨網站腳本攻擊(XSS)」、「SQL Injection 資料隱碼攻擊」、「命令注入攻擊(command Injection)」、「惡意檔案執行(Malicious File Execution)」、「不安全物件參考(Insecure Direct Object Reference)」等程式源碼弱點安全問題之檢測。
3. 源碼檢測結果與報告須提供完整的源碼弱點安全問題,檢測結果報告須包含下列資訊:
(1) 程式源碼弱點所在之程式源碼片段、行數。
(2) 導致程式源碼弱點之函式名稱以及變數等。
(3) 程式源碼弱點安全漏洞說明與修復建議,協助程式開發成員修補漏洞。
4. 程式源碼檢測結果與報告書應支援 HTML 與 PDF 格式。
(九) 甲乙雙方開發、測試系統時,應遵守主管機關資訊安全原則,不得將系統分析、系統設計、原始碼、測試資料等內容揭露與本案無關人員。必要時,主管機關得前往甲乙雙方開發、測試場所檢查系統開發之資訊安全保護狀態,甲乙雙方不得拒絕。
(十) 甲乙雙方進行系統測試時,應自行建立測試資料,不得使用真實資料進行測試。
(十一) 乙方及其工作人員因履行本契約而取得之主管機關業務資料,未經甲方同意,不得揭露與本契約履行無關之本契約當事人以外之人。
(十二) 甲乙雙方進行資料轉換時須先製作備份,以保護原有的資料庫。
(十三) 開發、測試本系統所需電腦設備、網路連線及辦公處所如需由甲方提供時,乙方應依甲方作業規定辦理,並應盡善良管理人之責任,同時以在正常上班時間內使用為原則,如須逾時使用,乙方應另行提出申請。
(十四) 乙方僅可存取本系統之資料與其相關之電腦資產,下列之功能項目,使用時需經甲方同意(核准)始得執行。
1. 本系統資料庫更新、維護。
2. 本系統資料庫使用權限之異動。
3. 其他有關變更或增加處理功能等權限之異動。
(十五) 乙方因處理本案,需存取甲方之資訊設施,須經甲方同意(核准),始得為之。
(十六) 乙方因處理本案,需攜帶資訊設施連線甲方網路,須經甲方同意(核准),始得為之。乙方如發生資訊安全事件時應即通報甲方,並按主管機關之「資訊安全事件管理程序」處理。
(十七) 乙方未達資安基本要求之服務水準時,甲方得依違反下列服務水準要求處以懲罰性違約金。
1. 每季不得超過3次開發系統程式異常,超過3次以上按次計罰,每次計罰新台幣3,000元整懲罰性違約金。
2. 每季不得超過累計異常總時數24個工作小時,異常總時數超過24個工作小時以上按時計罰,每小時計罰新台幣1,000元整懲罰性違約金。
3. 系統經行政院辦理資安相關演練及模擬滲透測試,被模擬入侵成功,按次計罰,每次計罰新台幣6,000元整懲罰性違約金。專案期間累計超過1次者,xx計罰懲罰性違約金。
4. 系統遭駭客入侵攻擊成功,按次計罰,每次計罰新台幣1萬元整懲罰性違約金專案期間累計超過1次者,加倍計罰懲罰性違約金。
5. 系統錯誤或瑕疵修正,乙方於接獲通知或發現翌日起20個工作日內應完成修改,情況特殊者,甲方另行通知修改期限逾甲方同意修改期限仍未完成修改者,按工作日計罰違約金,每日計罰契約金額1 ‰。
(十八) 乙方須依照資安管理相關規範提供權限控管與存取紀錄保存,並於帳號密碼登錄畫面提供機器人驗證。原則上必須使用唯一識別碼登入,非必要不得使用特權帳號
(administrator 或 root)登入,若有使用特權帳號之需求,須告知甲方原因與目的,並經甲方同意後方得施行。
(十九) 乙方提供服務,如發生資安事件等遭侵害情事時,必須於第一時間通報甲方,並說明所採取之緊急因應措施與事件影響程度,並應配合甲方做後續處理。
(二十) 主管機關每季執行一次主機弱點掃描與網頁弱點掃描,甲乙雙方應於主管機關指定期限內完成修補工作。
(二十一) 若系統建置地點不在甲方管轄之區域,乙方於維運、保固期間必須記錄以下資料,且依甲方要求提供甲方審核:
1. 主機管理者登入系統之存取行為,至少應包括主機登入登出紀錄。
2. 系統管理者登入系統之存取行為,應留存必要的軌跡紀錄。
3. 資料庫管理者登入系統之存取行為,至少應紀錄所執行 SQL 指令。
4. 視甲方要求之側錄紀錄。
5. 專案範圍內主機、系統及資料庫的權限帳號清單,並註明使用者單位與名稱。
6. 每天(非每天備份者,需經甲方同意)備份成功或失敗紀錄。
7. 備份資料還原測試成功紀錄。
8. 變更管理者密碼(8碼以上)紀錄。(若擷取螢幕畫面須包括變更時間)。
9. 主機最新修補程式(patch)與最新病毒碼日期。
10. 乙方須確保上述紀錄未經竄改、變造或刪除,一經查出,甲方得視情節輕重程度及受損害之程度,視同違約究責。
(二十二) 使用者密碼長度及複雜度必須符合主管機關「使用者註冊、登入與密碼管理指引」
之規定,並以程式強制使用者遵守; 密碼不得以明碼方式儲存及顯示。
(二十三) 乙方於對外服務的系統或網站主機中,不得放置不必要之原始程式碼及備份檔。
(二十四) 系統若有上傳檔案功能,需限制上傳檔案格式,且不得為執行檔,並將上傳之目的資料夾權限設定為「不可執行」。
(二十五) 非經甲方同意之系統,不得使用已終止支援(End of Support)服務之資訊產品,且乙方須配合甲方因應資訊產品終止支援(End of Support)服務之措施,進行系統升級(調校)作業或改用其他資訊產品。
(二十六) 乙方須配合甲方 IPv6網際網路通訊協定,使系統能同時符合 IPv4及 IPv6雙協定之架構。
(二十七) 系統必須於套用政府組態基準(Government Configuration Baseline, GCB)環境之個人電腦皆可正常運作。
(二十八) 系統應避免使用 Active X 元件,若無法避免,所使用之 Active X 元件皆應具有有效數位簽章,並至少須通過 IE 瀏覽器的驗證。
(二十九) 系統不得使用 SSLv2、SSLv3通訊協定,服務傳輸安全協定需支援 TLS1.2(含)以上。
(三十) 伺服器主機必須置於受門禁保護之機房或管制室,不得置於開放辦公區。
(三十一) 系統應符合下列個資保護要求:
1. 存有個資之系統必須留存管理者與使用者軌跡紀錄,必要時得視甲方要求提供相關佐證資料。
2. 系統應採用資料隱碼技術,個人資料中涉及身分證字號或護照號碼者,應遮罩後 4碼,並以*號表示,列印資料時亦應以相同方式處理。但屬業務需求或經甲方同意者,不在此限。
3. 系統應以安全連線方式存取系統個資資訊(例如:https 或 sftp 等)。
(三十二) 乙方配合本計畫所使用之資通訊產品不得使用中國大陸廠牌,甲方並得視需要要 求乙方提出切結書或至乙方端進行資通安全實地稽核。有關資通訊產品定義如下:
1. 資通系統:指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統,如應用軟體、系統軟體、開發工具、客製化套裝軟體、 APP 及電腦作業系統等。
2. 資通訊設備:指具連網能力、資料處理或控制功能之資通訊設備,如個人電腦、伺服器、無人機、印表機、影像攝錄設備、網路通訊設備、可攜式設備、智慧型手機及物聯網設備等。
3. 資通服務:指與資訊之蒐集、控制、傳輸、儲存、流通、刪除、其他處理、使用或分享相關之服務,如客服服務及軟硬體資產維護服務等。
第二十三條 個資保護
(一) 甲乙雙方應依個人資料保護法之要求,訂定個資保護管理相關的政策與程序,及提
供足夠培訓,以確保參與人員執行安控措施,並履行契約中有關蒐集、處理及利用個人資料的責任。
(二) 個人資料檔案安全維護計畫:甲方得要求乙方提供「個人資料檔案安全維護計畫」,說明委託蒐集、處理或利用個人資料之範圍、類別、特定目的及期間。另說明受託機關如何依據個資法施行細則第12條第2項第1款至第11款要求,善盡個資保護管理之責。
(三) 乙方至甲方處所工作時,應遵守主管機關「個資保護管理政策」相關規定。
(四) 乙方應依個人資料保護法施行細則第8條規定,實施委外監督作業,於期末時,填寫並交付「個人資料委外管理監督檢核表」(附表三,並應定期向甲方進行個人資料保護管理狀況報告。
(五) 甲乙雙方應防止個人資料洩漏及盜用,並禁止為契約範圍外之影印、複製、加工及利用等情事。
(六) 乙方提供服務或系統(網站)於發生個資外洩或有違反個人資料保護法事件等侵害情事時,必須即時通報甲方,並說明事件發生原委、所採取之緊急因應措施與事件影響程度。若有任何損失發生,則須負賠償責任,並應配合甲方做後續處理。
(七) 乙方若要將個人資料相關作業再委託其他機關,必須徵得甲方同意授權後,始得為之;複委託之機關亦應遵守本契約所要求之個資保護管理相關規範。
(八) 甲乙雙方應於契約終止或解除,並啟動退場機制時,返還個人資料之載體並銷毀與刪除所持有之個人資料。
(九) 本計畫過程傳遞之資料載體(包括但不限於隨身碟/可攜式硬碟/光碟片等儲存媒體)於使用完畢,必須確保資料已於載體中以無法復原方式刪除或銷毀。
(十) 甲方得視需要,邀請專家學者共同至乙方處所,就個資保護之實體安全、存取控制、通訊與作業管理及個人資料保護法施行細則第8條之要求,與乙方所提交之「個人資料檔案安全維護計畫」進行稽核作業,乙方不得拒絕。
第二十四條 其他
(一) 本契約以中華民國法律為準據法。
(二) 本契約未約定事項,甲乙雙方得以換文方式另行約定,並視為本契約之一部分。
(三) 本契約及其附件構成甲乙雙方對本計畫完整之合意。附件之效力與本契約同,但兩者有抵觸時,以本契約為準。
(四) 乙方對於履約所僱用之人員,不得有性別、種族或弱勢團體人士歧視之情事。
(五) 乙方履約時不得僱用甲方之人員或受甲方委託辦理本契約事項之人員。
(六) 乙方應迴避進用計畫主持人、共同主持人及協同主持人之配偶及x親等以內之血親、姻親為助理人員(含專任助理、兼任助理及臨時工),但因計畫之特殊需要,必須約用計畫主持人、共同主持人及協同主持人之配偶及三親等以內之血親、姻親為助理人員時,計畫主持人應敘明擬約用人員與計畫主持人、共同主持人及協同主
持人之關係及約用理由,如乙方為大專院校及行政機關,應循行政程序簽報該機關核准後始得約用;如乙方為財團法人、團體及業者等,應函報甲方核准後始得約用。
(七) 乙方授權之代表應通曉中文或甲方同意之其他語文。未通曉者,乙方應備翻譯人員。
(八) 甲乙雙方之履約事項,其涉及國際運輸或信用狀等事項,本契約未予載明者,依國際貿易慣例。
(九) 契約正本2份,甲乙雙方各執1份;副本○份,由甲方、乙方及相關機關(構)、單位分別執用。副本如有誤繕,以正本為準。
(十) 本契約自甲乙雙方代表或其指定授權簽約人簽署後生效。
立契約人
甲方:行政院農業委員會○○○○○ (印信)代表人:場/所長 ○○○ (簽章)地址:○○○○○○
計畫主持人:○○○ (簽章)
乙方:○○○○○○ (xx)
代表人:○○○ (簽x)
地址:○○○○○○
計畫聯絡人:○○○ (簽x)
中 華 民 國 年 月 日 簽 訂
附表一
行政院農業委員會農業科技產學合作計畫乙方人員資訊保密切結書
編號:○○○農科-○.○.○-科-○○
立切結書人 (簽署人姓名) ,因參與○○○年度「○○○○○○○○○○○○」農業科技產學合作計畫 ,謹聲明恪遵甲方下列工作規定,對工作中所持有、知悉之資訊系統作業機密或敏感性業務檔案資料,均保證善盡保密義務與責任,非經甲方權責人員之書面核准,不得擷取、持有、傳遞或以任何方式提供給無業務關係之本契約當事人以外之人,如有違反願賠償一切因此所生之損害,並擔負相關民、刑事責任,絶無異議。
一、 遵守國家機密保護法、個人資料保護法、檔案法等相關法規、甲方相關資訊安全規範及各項公務機密處理規定。
二、 不擅自於甲方所屬設備安裝非法軟體、後門及木馬程式等破壞資訊安全程式。
三、 攜帶可攜式儲存設備至甲方內部使用,必須先經病毒掃瞄後再行連接甲方網路及設備。四、 對於所知悉、持有之公務機密、不公開文書、圖畫、消息、物品、媒體或其他資訊等,
均善盡保密義務,絕不洩漏,退(離)職後亦同。
五、 服務期間所接觸之媒體檔案及公務文書,未經甲方同意絕不擅自複製、攜出或以任何形式將其全部或部分提供給本契約當事人以外之人知悉或使用。
六、 未經申請核准,不得私自將甲方之資訊設備攜出。
七、 未經甲方業務相關人員之確認並代為申請核准,不得任意將攜入之資訊設備連接甲方網路。若經申請獲准連接甲方網路,嚴禁使用數據機或無線傳輸等網路設備連接外部網路。
八、 乙方駐點服務及專責維護人員原則應使用甲方配發之個人電腦與週邊設備,並僅開放使用甲方內部網路。若因業務需要使用甲方電子郵件、目錄服務,應經甲方業務相關人員之確認並代為申請核准,另欲連接網際網路亦應經甲方業務相關人員之確認並代為申請核准。
九、 甲方得定期或不定期派員檢查或稽核立切結書人是否符合上列工作規定。十、 本保密切結書不因立切結書人離職而失效。
十一、 立切結書人因違反本保密切結書應盡之保密義務與責任致生之一切損害,乙方應負連帶賠償責任。
如有違反上開切結內容,乙方及立切結書人除依據契約規定承擔違約金及賠償甲方之所有損失,並願負刑法、個人資料保護法等法律上責任。
如就本保密切結書有爭訟時,應由臺灣臺北地方法院管轄。
立切結書人:
姓名及簽章 | 身分證字號 | 聯絡電話及戶籍地址 |
立切結書人所屬機構 /公司行號名稱:
名稱及蓋章 | 負責人姓名及簽章 | 聯絡電話及地址 |
公司章
中 華 民 國 年 月 日 簽 訂
附表二
行政院農業委員會農業科技產學合作計畫簽署資訊保密切結書清單
乙方因參與○○○年度「○○○○○○○○○」農業科技產學合作計畫,相關人員簽署資訊保密切結書清單如下(切結書正本因含身分證字號等個人資訊,請乙方另行文至甲方存查):
簽署切結書人員:
x XX、x XX、x XX、x XX……
(乙方印信)
中 華 民 國 年 月 日 簽 訂
附表三
個人資料委外管理監督檢核表
專案名稱:
契約編號:○○○農科-○. ○. ○-科-○○ 履約期間: 至
執行廠商:
檢 核 項 目 | 檢 核 結 果 | 說明/檢附資料 | ||
不適用 | 符合 | 不符合 | ||
(一)個資法施行細則要求事項 | ||||
1.是否符合預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間? | ||||
2.個人資料保護之安全維護措施是否完善? | ||||
3.複委託第三方蒐集、處理及利用個人資料之事項,是否已獲得農委會認可? | ||||
4.發生個資事件時之通知連絡及補救措施是否完善? | ||||
5.是否定期或不定期報告個人資料管理作業執行狀況? | ||||
6.接獲當事人行使權利之要求時,是否立即告知委託機關農委會? | ||||
7.是否舉辦個資與資安相關教育訓練,如內部定期/不定期之個資宣導/進階教育訓練課程、或派員參加外部訓練等? | ||||
8.委託關係結束或解除時,是否依契約約定,將個人資料返還或交付農委會,並刪除或銷毀載體等? | ||||
(二)是否符合委外契約中,資訊安全條款之要求規定? | ||||
(三)是否符合委外契約中,個資保護條款之要求規定? | ||||
(四)是否符合所交付建議書或專案管理計畫書中,對個人資料檔案安全維護之建議要求? | ||||
公司章
註:必要時檢附資料。勾選「不適用」、「不符合」應填寫說明欄或檢附資料。
[廠商]