開放非銀行從事預付式行動付款服務法制議題之研究

　　美國聯邦第九區巡迴上訴法院，於2009年2月20日判決中維持下級審見解，認定『禁止暴力電玩法案』係違反憲法所保護的言論自由。系爭法案於2005年由加州國會通過，並由州長Arnold Schwarzenegger所簽署批准。根據該法案規定，禁止販售或出租所謂『特別殘酷、極端邪惡或道德敗壞（especially heinous, cruel or depraved）』的暴力電玩給未滿18歲的未成年人；符合法條所描述之暴力電玩並應該在包裝盒上加註除現行ESRB分級標誌以外的特別標示（18禁）；且賦予零售商於販賣暴力電玩時，有檢查顧客年齡之義務，違者將可處1000美元罰款。 　　聯邦法院法官認為，被告（加州政府）無法證明『暴力電玩』會影響青少年心理及精神方面的健康，或者出現反社會或激進的行為舉止；被告也無法證明透過立法禁止的手段，能有效達到法案所宣稱保護未成年人的立法目的；法院也認為，系爭條文規定過於模糊，並未能說明暴力電玩之判斷標準。 　　原告Video Software Dealers Association 和Entertainment Software Association表示，要達到加州政府所宣稱的保護未成年人的立法目的，應從加強既有ESRB分級制度的教育宣導、落實零售商遵守分級制度以及透過父母的管教監督等方式著手，而非增加不適當的內容審查機制。然而，支持該法案者則主張，禁止暴力電玩如同禁止對未成年人散佈色情內容一樣（最高法院認為政府禁止對未成年人散佈色情內容並未違憲），本案被告加州州長Schwarzenegger也表示將上訴到底。 　　日前在德國也出現修正刑法，將販賣或散佈暴力電玩入罪之提議，在暴力電玩分級制度所引起的爭議日益擴大之際，各國相關作法及其所引起之爭議，或許值得我國主管機關重新檢討「電腦軟體分級辦法」之借鏡參考。

　　近來常聽聞各國以公私夥伴關係(Public-Private Partnership, PPP)之模式發展產業科技，PPP故名思義，係指結合公私部門之力量，以共同達成公共政策目標之合作模式。公部門可借重私部門的專業、經驗與品質，使其服務更有效率，私部門也可得到政府與政策之支持。 　　如今科技進步程度往往可代表ㄧ國之競爭力，惟科技研發需投入大量成本，因此各國多有針對科研補助之相關政策，從早年的單方補助，到如今強調公私合作進行科研的PPP模式。各國亦提出各種產官學合作研發的模式或組合之立法或相關政策。例如成立獨立非營利法人讓各項研發活動進行更方便、研究設施設備共享更容易的日本「技術研究組合」、芬蘭之SHOKs。荷蘭近來亦大力推行PPP研發之策略。德國之高科技領先戰略計畫( Spitzencluster-Wettbewerb)亦以區域聚落(該區域聚落即包含產業界、大學及其他相關學術機構)為單位，藉競爭給予補助的方式，促成該地區產官之緊密合作。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　為因應日本2014年接連發生重大營業秘密外洩之事件而使日本國內公司蒙受鉅額損失，日本經濟產業省於去年9月開始，積極地展開《不正競爭防止法》修法專家會議，並在2015年1月15日舉行的會議上，揭露了彙整各界公開意見後之《不正競爭防止法》中期報告書（中間とりまとめ），以作為未來修法方向之指引。 　　該報告書列出之修法方向區分為民事及刑事規定。第一，民事的修正重點有以下三點：(1) 減輕原告（受害企業）之舉證責任，而改由被告（非法使用營業秘密之企業）負擔；(2) 除斥期間之延長：將現行法規定之除斥期間，由10年延至20年；(3) 使用非法營業秘密而製造的物品，禁止轉讓或出口；以及新增邊境措施之規範。 　　第二，刑事的修正重點則有以下六點：(1) 擴大國外犯罪的處罰範圍：目前現行法僅規範「日本國內所管理之營業秘密」在國外「使用、開示」 之行為，未來將新增處罰在國外之「取得」營業秘密之行為；(2) 新增未遂犯規定，同時將繼續檢討新增共犯及教唆之處罰態樣；(3) 現行法僅規範竊取營業秘密者本人以及藉由前者直接不法取得營業秘密者為處罰對象，但鑒於智慧型手機、平版電腦等裝置（携帯情報通信端末）之普及，造成營業秘密的竊取及使用型態趨向多樣化，是故未來將新增第三人不法取得之相關處罰規定；(4) 使用非法營業秘密而製造的物品，禁止轉讓或出口：新增相關刑罰規定；(5) 法定刑之提高：目前個人最高罰金為1000萬日圓、企業則為3億日圓，未來預計調整罰金之上限；並且，將新增沒收犯罪收益及海外加重處罰之規定；(6) 擬由告訴乃論改為非告訴乃論。 　　綜上，經產省力爭在2015年1月26日開始的通常國會期間內，依上述之改正要點為基礎，正式提交《不正競爭防止法》之修正案，預計最快將於2016年開始實行新法 ，後續的立法進度，值得吾人持續關注。