無所不在的間諜軟體

數位建設在數位化浪潮以及AI來臨的年代，顯得非常重要，也是世界各國重視的議題之一，歐盟於2024年2月提出了「如何掌握歐洲的數位基礎建設需求？」（WHITE PAPER How to master Europe's digital infrastructure needs?）白皮書來匯集專家意見至6月30日止。 數位基礎建設所涵範圍甚廣，包含資訊科技所有的技術系統以及網際網路等等。如果沒有這些建設，將無法順利完成數位轉型及提升競爭力，況且人工智慧以及物聯網時代的到來，正在改變全球消費者的習慣，因此落實數位基礎建設佈建具有相當之必要性。白皮書開門見山地提到數位基礎建設的諸多優點，但要完成目標，需克服許多難題。 數位基礎建設的佈建需投入大量資金，更需仰賴公私協力才可順利達標，因此難題主要圍繞在企業實力以及是否能夠有相當之吸引力，促使企業投資者以龐大的金流支援，而企業投資者之目標以獲利為原則，因此如果要吸引大量投資人進場，必須提出成功施行並獲利的案例來拋磚引玉。白皮書內也提到，歐洲境內固網行動匯流尤其光纖及5G網路覆蓋率較世界各國來的低，且歐盟因為成員國眾多，缺乏單一的市場，難統籌規範，更何況歐盟對於複雜的數位基礎建設生態中，針對參與者沒有明確規範，諸如投入電子通訊網路建置之雲端供應商其權利義務關係，使得參與者無所適從，如何去克服這些絆腳石將會是歐盟的重大挑戰。 為克服數位基礎建設的難題，白皮書建議以三個支柱作為框架，其一為打造共同連結的運算網路系統（Connected Collaborative Computing）作為歐盟經濟體的中樞神經；其二為建立單一的數位市場，整合各國市場機制並建立完善法規制度；最後為所有數位基礎建設須安全且富有韌性，否則遭到攻擊，將會威脅歐盟各國。 數位化的時代，不僅可提提升運作效能，更能促進永續發展，然而工欲善其事，必先利其器，數位基礎建設為不可少之一環，鑒於我國推動數位建設佈建也可能面臨投資誘因的難題，歐盟白皮書所提到的建議以及後續的發展，或許值得我國持續關注。

日本經濟產業省（下稱經產省）於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引（IoT機器を開発する中小企業向け製品セキュリティ対策ガイド），本指引彙整企業應該優先推動IoT機器資安對策，經產省提出具體資安對策如下： 1.制定產品資安政策（セキュリティポリシー）並廣為宣導：由企業經營者率先制定資安政策，進行教育宣導，並依實際需求修正調整。 2.建立適當的資安政策體制：確立實施資安政策必要之人員及組織，明確其職務及責任。 3.指定IoT機器應遵守之資安事項，並預測風險：決定IoT機器的預設使用者及使用案例，並於釐清使用者需求後，指定IoT機器應遵守之資安事項，預測衍生風險。 4.考量IoT機器應遵守之資安事項及預測風險，進行設計與開發：以預設IoT機器應遵守之資安事項衍生風險為基礎，從設計與開發階段開始採取風險對策。 5.檢測是否符合資安相關要件：從設計與開發階段開始制定檢測計畫，檢測是否符合資安要件，並依據檢測結果進行改善。 6.於產品出貨後蒐集風險資訊，與相關人員溝通並適時提供支援：蒐集全球資安事故與漏洞資訊，並設置可適時與委外廠商以及用戶溝通之窗口。

美國德州第一上訴法院於2023年8月的一項裁決強調了以下重點—即便企業的智慧財產權戰略是圍繞在專利申請而建立的，仍應證明其有在專利公開前採取到位的營業秘密保護政策。 在FMC Technologies, Inc. v. Richard Murphy and Dril-Quip, Inc.一案中，FMC是一家石油與天然氣公司，而Murphy是其前首席工程師，可接觸FMC公司重要研發技術。兩者的關係於2018年惡化，同年12月FMC公司提出了ITW系統（orientation-free subsea tree system）的專利申請，Murphy則於隔年5月收到Dril-Quip公司的錄用通知。離職時Murphy有簽署一份協議，承認其有義務為FMC公司持有的專屬資訊保密，並已將所有與工作相關的資訊歸還。 Murphy於Dril-Quip公司被任命負責開發與ITW系統幾乎相同的競爭產品。2020年5月，Dril-Quip公司於海上技術會議發布其下一代海底採油系統（VXTe Subsea Tree）的相關內容，並宣布將商業化生產。據此，FMC公司控訴Murphy使用其花費了多年時間和數百萬美元開發的營業秘密資訊。Dril-Quip公司則辯稱FMC公司所謂的營業秘密可輕易透過一般管道查明，且其未採取合理的努力來防止營業秘密外洩。 在判斷FMC公司是否有採取合理保密措施時，德州第一上訴法院針對其於專利尚未公開及等待核准審定期間是否有採取合理的努力進行審查，並發現下列情形： 1. FMC公司並未根據有存取該機密資訊需求的人設定權限，反而將其工程資料庫開放給所有公司內部的工程師，讓他們都可以遠端存取相關資料。 2. FMC公司並未禁止員工將公司的機密文件複製到外部伺服器上。 據此，德州第一上訴法院認定FMC公司於專利公開前未妥善保護其營業秘密，並認為被告Murphy未不當使用其營業秘密。最終，德州第一上訴法院判被告Murphy勝訴。 由上述裁決可以發現，企業在專利公開前仍應採取營業秘密保護政策，包括：(1)對機密資訊存取的權限控管、(2)規範對機密資訊的使用程序、規定等，以避免在訴訟中失利。關於前述之管理措施，可以參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》，以了解如何降低自身營業秘密外洩之風險，並提升競爭優勢。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　德國新營業秘密保護法(The new German Trade Secrets Act, TSA)其中一個亮點即為：除非有明確契約或其他法規要求，逆向工程是合法的，其規範於該法第3條第1款，德國以往舊法（不正競爭防止法）並未特別明文，我國營業秘密法亦同。現今企業應盡快透過調整契約內容、保密政策或保密技術來防止該類法所「允許」之情形發生[1]，以避免供應鏈間之風險。德國法律專家提出有關「制定合作契約」建議供參： 禁止條款應有期間明文：契約起草禁止逆向工程條款時需注意其法律效力。法明文允許進行逆向工程，也代表著可促進企業市場參與並能從現有技術中受益做進一步發展。如契約一律禁止形同限制經濟自由，無論該條款訂於平行契約（如研發契約）或於垂直契約（如授權契約），往後遇有爭議恐被法院認為條款無效。故可折衷於「期間」加以限制，禁止逆向工程直到產品或服務上市為止，基本上企業只有在確信可以收回成本情況下才會投資於新技術開發。合理而言應在產品或服務公開上市後，才可以對產品或服務進行逆向工程。 注意誠實信用原則並延長條款效力：現行法就禁止逆向工程與否可由締約雙方協議。該禁止條款並不當然有違德國民法第307條第2項誠實信用原則而不利益於締約雙方之情況。但為避免仍有違誠實信用原則疑慮，契約可明確約定於產品或服務上市前不限制締約人使用相對人產品或服務並從中發現技術或資訊，也確保該期間內營業秘密所有權人之營業秘密專有權。合作契約亦可約定禁止條款於契約提早終止一定期間內仍有效。 [1]Dr. Henrik Holzapfel，New german law on the protection of trade secrets, https://www.mwe.com/insights/new-german-law-protection-trade-secrets/ (last visisted Sep.25,2019).