歐盟委員會發佈新「電視無疆界指令」(Television without Frontiers)

  歐盟委員會在2007年03月09日,發佈了具現代化的統一文案:「電視無疆界指令」。在經過歐盟議會以及首長會議一讀後,委員會對於歐洲相關視聽的未來法律框架,有了廣泛的共識。

 

  加速1989年電視無疆界指令的現代化,是2005年12月13日由委員會提出,目的是希能夠幫助歐洲視聽產業能更具競爭力,也期望透過對傳統電視廣播業者更彈性的規範,使其能夠因應技術的發展,接受新的技術,也能因應市場變化以及閱聽者收視習慣的改變,進一步創造新興的視聽媒體服務(數位電視中的視聽服務、行動電視、隨選視訊服務)。

 

  除了新的規範內容,新指令還重申了自1989以來,一直為歐洲視聽政策核心的共同政策目標。這些目標包括尊重多元文化、要求各會員國採取適當措施來保護未成年人、媒體多元化、打擊種族和宗教仇恨等。此外,也明確鼓勵業者自律以及國家與非國家間的相互約束。整個新指令的文案目前正進行二讀中。

相關連結
※ 歐盟委員會發佈新「電視無疆界指令」(Television without Frontiers), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=2095&no=57&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
二次創作影片是否侵害著作權-以谷阿莫二次創作影片為例

二次創作影片是否侵害著作權以谷阿莫二次創作影片為例 資策會科技法律研究所 法律研究員 陳依婷 104年12月29日   2015年Google公布台灣Youtube的各類熱門項目中,「這群人」、「谷阿莫」、「蔡阿嘎」等影音創作者的影片特別受到歡迎[1],這些熱門Youtube創作者都是利用他人著作素材進行二次創作,由於二次創作人利用的素材是他人的著作,二次創作人如果沒有獲得素材著作權利人同意而逕自進行修改,有可能面臨到著作侵權的問題。而Google著作權法律總監 Fred von Lohmann說明,YouTube平台其中有許多影片是利用現有的音樂、短片來改編,創造出來的改編影片甚至比原始影片還要更多的社會價值,透過 YouTube 提供保障,避免扼殺工作者的創意發展空間,與創造出「更棒的社群」[2]。   由此可知,目前影音平台的創意內容,以利用他人著作進行二次創作為大宗,同時也帶來更多人收看的效果,Youtube為了要讓這些二次創作得以存續在影音平台上,針對合理使用他人著作而進行二次創作的創作者,以協助支付智慧財產權相關訴訟費用的方式[3],避免二次創作者因為原著作人要求下架的通知,就移除影音平台上二次創作的影片。   二次創作者利用他人著作進行創作應取得他人同意,若未取得他人同意,有可能有侵害他人著作權之可能,除非主張利用他人著作是屬於合理使用範圍,若利用他人著作的行為屬於合理使用,則原著作之著作權利人就無法主張著作侵權,意即二次創作者並不侵害著作權利。 壹、著作權合理使用之規定   著作權合理使用係限縮原著作人主張著作權利的範疇,所以必須在一定的條件下才能主張適用,也就是說利用人並非再任何情況下都可以主張著作權合理使用,必須符合一定的條件規定。著作的利用是否符合著作權法的合理使用,除了需要符合著作權法第44條至第63條[4]規定或其他合理使用之情形,應該審酌一切情狀並依據第65條[5]規定作為判斷的基準。又第65條屬於獨立之合理使用概括條款[6],意即可單獨就第65條之規定進行合理使用的判斷。著作權法第65條規定判斷合理使用的基準包含1.利用之目的及性質,包括係為商業目的或非營利教育目的。2.著作之性質。3.所利用之質量及其在整個著作所占之比例。4.利用結果對著作潛在市場與現在價值之影響。 貳、著作權合理使用之判斷要件   著作權合理使用以著作權法第65條第2項作為判斷基準,著作權法第65條第2項共有四款要件,而四款必須綜合判斷,也就是說著作利用並非符合其中一款要件就屬於合理使用,也非符合四款要件才屬於合理使用,並須綜合四款要件作整體性利用情形的評估,而該四款要件說明如下: 一、利用之目的及性質,包括係為商業目的或非營利教育目的:   審酌著作利用目的與性質主要是要確認著作的利用是否有助於社會公共利益或國家文化發展,一般人通常誤解法條規定中敘述的商業目的或非營利教育目的,以為本項的判斷基準就是以是否有營利作為區分,也就是誤以為只要非營利的利用行為就一定符合本項要件,然最高法院判決指明,本款要件並非區分商業及非營利(或教育目的),著作的利用雖然是非營利但是對於社會公共利益或國家文化發展並無助益仍不符合本款要件,反之,著作的利用雖然是以營利為目的,但是有助於社會公共利益或國家文化發展,則亦屬於本款要件[7]。 二、著作之性質。   著作之性質所指為被利用的著作的類型種類,由於著作類型眾多,在不同類型著作的創作目的與著作性質差異甚大,也會影響著作內容,合理使用的判斷自然會因為著作性質的不同而有不同的審酌標準。 三、所利用之質量及其在整個著作所占之比例。   本款係指利用他人的著作的質與量占利用人的著作的比例,也就是說要分兩部分綜合評估,一是利用他人著作的範圍是否是他人著作最精華之處或數量很多,二是看被利用著作占利用人著作內容的比例。意即雖然使用他人著作的全部或是最精華之處,仍要就利用人著作內容來看他人著作占整體內容的比例進行判斷,如果占利用人著作的比例很低,仍有可能符合本款的要件[8]。 四、利用結果對著作潛在市場與現在價值之影響。   本款係指利用結果對於被利用著作的權利人是否有市場價值上的影響,考量利用後原著作經濟市場是否因此產生「市場替代」之效果,而使得原著作的商業利益受到影響,若對原著作商業利益影響越大,則可主張合理使用之空間越小[9]。 参、谷阿莫二次創作是否符合著作權合理使用之範圍?   從今年快速竄起的晉升熱門 YouTube 創作者「谷阿莫」,以 X 分鐘看完電影的系列創作來看,谷阿莫用簡潔的方式搭配影片畫面說明劇情,讓人可以快速了解一部影片,同時谷阿莫也利用諧趣的方式將影片感想穿插在說故事的內容中,也因為清楚易懂又有令人會心一笑的說故事方式,讓谷阿莫的youtube訂閱人數達到了73萬[10]。   谷阿莫是利用他人著作進行二次創作,是否屬於合理使用他人著作而進行創作,其著作侵權之判斷仍需以法院個案判定為依準,但本文期先以目前的法律規定來進行初步評析,以提供二次創作者之參考。   谷阿莫二次創作影片大多以電影為主,搭配上自己簡化劇情的旁白與字幕說明,完成大約10分鐘內的故事情節與畫面。由於谷阿莫使用的是電影影片,若未經影片著作權利人同意或授權,谷阿莫進行影片的下載、剪輯配音與配上字幕、上傳網路的行為,則會有可能侵害影片著作權利人的重製權、改作權與公開傳輸權[11]。   谷阿莫使用他人電影影片是否屬於合理使用,以下就著作權法第65條第2項各款要件進行評析: 一、利用之目的及性質,包括係為商業目的或非營利教育目的:   從youtube影音平台中谷阿莫的說明來看[12],主要是分享並說一個他喜歡的故事,從說明文字來看並無涉及賺錢營利之商業目的,而實際上是否有收益或營利,例如參與youtube影音平台進行廣告分潤而收益[13],從網路中的公開資料中無法得知。然谷阿莫利用他人著作是否對於公共利益或國家文化發展有所助益,從只是分享一個他喜歡的故事而用到他人的影片來探討,若是讓大眾能夠瞭解影片要傳達的教育內容以及提供摘要歸納的學習方式,必須從谷阿莫二次創作影片的旁白內容來進行個案認定,目前從諸多的谷阿莫二次創作的影片觀之,較多屬於詼諧有趣的內容但每部影片都提供了歸納摘要故事劇情表現方式,而其是否具有教育性質有助於調和公共利益仍有灰色地帶,難直接被認定對於促進公共利益與國家文化發展是有所助益。 二、著作之性質。   谷阿莫利用電影影片進行二次創作,利用的電影影片是視聽著作,該電影影片之創作目的在於提供人們娛樂欣賞,與以報導為目的攝影著作相較起來[14],具有較高的商業價值,合理使用的審酌標準自應較高。 三、所利用之質量及其在整個著作所占之比例。   雖然所利用之質量及其在整個著作所占之比例,仍要據以個案內容進行判斷被利用的著作的量與質,但從谷阿莫二次創作的理念,以簡化摘要重點的方式來訴說故事來評估,由於精簡的說故事手法通常都會以劇情重點來表示,呈現電影劇情最高潮最精華的片段是可預期的,但是並不會使用到整部電影影片,所以使用被利用著作之質是可預期,但是可能使用被利用著作的量較不會太多。再來,所利用的質量占二次創作內容的比例來看,谷阿莫的二次創作影片除了旁白配音,都是使用電影影片,所利用的視聽著作在二次創作的著作內容比例是高的,雖然並非使用到原視聽著作的所有內容,但原視聽著作的內容占二次創作的視聽著作內容比例是高的。 四、利用結果對著作潛在市場與現在價值之影響。   谷阿莫的二次創作影片是否有影響原著作的現在價值與潛在市場,從谷阿莫二次創作影片是否具有市場替代的效果、影響原著作的商業利益的角度思考,從網友們對於谷阿莫的影片的回應如「可以省下電影票的錢」、「被谷阿莫一說就沒有想看的慾望啦」[15],從文字上來看是有可能致使大家看了谷阿莫二次創作的影片就不會想要花錢進電影院看原著作電影,進而使原著作的商業利益受損,但進一步探究網友不想花錢進電影院看原著電影(現在價值)或是付費購買原著電影下檔後的影碟(潛在市場),有可能因為原著作電影的劇情內容本身無法提高網友付費意願,加上谷阿莫二次創作的影片,使網友更加確認不想看原著作電影的想法,而針對本有意願付費觀賞原著作電影的網友,反而有可能因為谷阿莫的二次創作呈現出原著作電影的劇情內容,進而強化了網友付費欣賞原著影片的想法達到了廣告效果並促進原著作電影的商業利益。因此,難謂谷阿莫的二次創作有造成市場替代之效果。   谷阿莫二次創作是否造成著作潛在市場與現在價值的影響,亦不能只以網友的回覆為準,仍需要有具體價值影響的證據或是著作潛在市場影響的證明等才能作為判斷的依據。   綜上所述,目前就網路上公開的資料來看,谷阿莫二次創作的目的較難直接認定有調和公共利益或促進國家文化發展,而所利用的著作性質為視聽著作有較高的商業價值,而利用的著作較容易使用到視聽著作精華的畫面,且谷阿莫的二次創作影片畫面全部都是使用原著作的影片畫面,占谷阿莫二次創作視聽著作的比例甚高,利用的結果若照網友的回應「省了電影票的錢」,尚須進一步確認是否有市場替代效果而影響原著作現在價值或是潛在市場,就著作權法第65條第2項的規定各款要件進行審視,谷阿莫利用他人著作被認定為合理使用的可能性難謂過高,故亦有被認定著作權侵權之風險。   從谷阿莫二次創作影片探討是否屬於合理使用的範圍,雖然其判斷仍需由法院個案判定,但創作人在進行二次創作時能從著作權法合理使用的要件來先行評估,從利用他人著作的目的、他人著作的性質、使用他人著作質量占二次創作著作內容的比例以及是否會影響他人著作的價值與潛在市場,在二次創作的內容上可考量原著作人的商業利益,或進一步取得同意而進行二次創作,則可以降低著作侵權的風險。 [1]譚偉晟,<柯P、谷阿莫皆入榜! YouTube 2015 年台灣熱門排行公布?>,自由時報,2015/12/09,http://3c.ltn.com.tw/news/21907(最後瀏覽日2015/12/29)。 [2]劉季清,<影片沒侵權卻被檢舉?別擔心,YouTube 出錢幫你打官司!>,自由時報,2015/11/23,http://3c.ltn.com.tw/news/21592 (最後瀏覽日2015/12/29)。 [3]顧濟韋,<合理使用卻被下架? Youtube幫你出錢打官司>,數位時代,2015/11/20,http://www.bnext.com.tw/article/view/id/38019 (最後瀏覽日2015/12/29)。 [4]著作權法第44條 中央或地方機關,因立法或行政目的所需,認有必要將他人著作列為內部參考資料時,在合理範圍內,得重製他人之著作。但依該著作之種類、用途及其重製物之數量、方法,有害於著作財產權人之利益者,不在此限。 第 45 條 專為司法程序使用之必要,在合理範圍內,得重製他人之著作。前條但書規定,於前項情形準用之。 第 46 條 依法設立之各級學校及其擔任教學之人,為學校授課需要,在合理範圍內,得重製他人已公開發表之著作。第四十四條但書規定,於前項情形準用之。 第 47 條 為編製依法令應經教育行政機關審定之教科用書,或教育行政機關編製教科用書者,在合理範圍內,得重製、改作或編輯他人已公開發表之著作。前項規定,於編製附隨於該教科用書且專供教學之人教學用之輔助用品,準用之。但以由該教科用書編製者編製為限。依法設立之各級學校或教育機構,為教育目的之必要,在合理範圍內,得公開播送他人已公開發表之著作。前三項情形,利用人應將利用情形通知著作財產權人並支付使用報酬。使用報酬率,由主管機關定之。 第 48 條 供公眾使用之圖書館、博物館、歷史館、科學館、藝術館或其他文教機構,於下列情形之一,得就其收藏之著作重製之︰一、應閱覽人供個人研究之要求,重製已公開發表著作之一部分,或期刊或已公開發表之研討會論文集之單篇著作,每人以一份為限。二、基於保存資料之必要者。三、就絕版或難以購得之著作,應同性質機構之要求者。 第 48-1 條 中央或地方機關、依法設立之教育機構或供公眾使用之圖書館,得重製下列已公開發表之著作所附之摘要︰一、依學位授予法撰寫之碩士、博士論文,著作人已取得學位者。二、刊載於期刊中之學術論文。三、已公開發表之研討會論文集或研究報告。 第 49 條 以廣播、攝影、錄影、新聞紙、網路或其他方法為時事報導者,在報導之必要範圍內,得利用其報導過程中所接觸之著作。 第 50 條 以中央或地方機關或公法人之名義公開發表之著作,在合理範圍內,得重製、公開播送或公開傳輸。 第 51 條 供個人或家庭為非營利之目的,在合理範圍內,得利用圖書館及非供公眾使用之機器重製已公開發表之著作。 第 52 條 為報導、評論、教學、研究或其他正當目的之必要,在合理範圍內,得引用已公開發表之著作。 第 53 條 中央或地方政府機關、非營利機構或團體、依法立案之各級學校,為專供視覺障礙者、學習障礙者、聽覺障礙者或其他感知著作有困難之障礙者使用之目的,得以翻譯、點字、錄音、數位轉換、口述影像、附加手語或其他方式利用已公開發表之著作。前項所定障礙者或其代理人為供該障礙者個人非營利使用,準用前項規定。依前二項規定製作之著作重製物,得於前二項所定障礙者、中央或地方政府機關、非營利機構或團體、依法立案之各級學校間散布或公開傳輸。 第 54 條 中央或地方機關、依法設立之各級學校或教育機構辦理之各種考試,得重製已公開發表之著作,供為試題之用。但已公開發表之著作如為試題者,不適用之。 第 55 條 非以營利為目的,未對觀眾或聽眾直接或間接收取任何費用,且未對表演人支付報酬者,得於活動中公開口述、公開播送、公開上映或公開演出他人已公開發表之著作。 第 56 條 廣播或電視,為公開播送之目的,得以自己之設備錄音或錄影該著作。但以其公開播送業經著作財產權人之授權或合於本法規定者為限。前項錄製物除經著作權專責機關核准保存於指定之處所外,應於錄音或錄影後六個月內銷燬之。 第 56-1 條 為加強收視效能,得以依法令設立之社區共同天線同時轉播依法設立無線電視臺播送之著作,不得變更其形式或內容。 第 57 條 美術著作或攝影著作原件或合法重製物之所有人或經其同意之人,得公開展示該著作原件或合法重製物。前項公開展示之人,為向參觀人解說著作,得於說明書內重製該著作。 第 58 條 於街道、公園、建築物之外壁或其他向公眾開放之戶外場所長期展示之美術著作或建築著作,除下列情形外,得以任何方法利用之︰一、以建築方式重製建築物。二、以雕塑方式重製雕塑物。三、為於本條規定之場所長期展示目的所為之重製。四、專門以販賣美術著作重製物為目的所為之重製。 第 59 條 合法電腦程式著作重製物之所有人得因配合其所使用機器之需要,修改其程式,或因備用存檔之需要重製其程式。但限於該所有人自行使用。前項所有人因滅失以外之事由,喪失原重製物之所有權,除經著作財產權人同意外,應將其修改或重製之程式銷燬之。 第 59-1 條 在中華民國管轄區域內取得著作原件或其合法重製物所有權之人,得以移轉所有權之方式散布之。 第 60 條 著作原件或其合法著作重製物之所有人,得出租該原件或重製物。但錄音及電腦程式著作,不適用之。附含於貨物、機或設備之電腦程式著作重製物,隨同貨物、機器或設備合法出租且非該項出租之主要標的物者,不適用前項但書之規定。 第 61 條 揭載於新聞紙、雜誌或網路上有關政治、經濟或社會上時事問題之論述,得由其他新聞紙、雜誌轉載或由廣播或電視公開播送,或於網路上公開傳輸。但經註明不許轉載、公開播送或公開傳輸者,不在此限。 第 62 條 政治或宗教上之公開演說、裁判程序及中央或地方機關之公開陳述,任何人得利用之。但專就特定人之演說或陳述,編輯成編輯著作者,應經著作財產權人之同意。 第 63 條 依第四十四條、第四十五條、第四十八條第一款、第四十八條之一至第五十條、第五十二條至第五十五條、第六十一條及第六十二條規定得利用他人著作者,得翻譯該著作。依第四十六條及第五十一條規定得利用他人著作者,得改作該著作。依第四十六條至第五十條、第五十二條至第五十四條、第五十七條第二項、第五十八條、第六十一條及第六十二條規定利用他人著作者,得散布該著作。 [5]著作權法第65條著作之合理使用,不構成著作財產權之侵害。著作之利用是否合於第四十四條至第六十三條所定之合理範圍或其他合理使用之情形,應審酌一切情狀,尤應注意下列事項,以為判斷之基準:一、利用之目的及性質,包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權人團體與利用人團體就著作之合理使用範圍達成協議者,得為前項判斷之參考。前項協議過程中,得諮詢著作權專責機關之意見。 [6]智慧財產法院102年度民著上字第1號民事判決。第65條第1 項、第2 項亦有明文。本條規定乃獨立之合理使用概括條款,法院得單獨審酌第65條第2項之判斷標準而認定構成合理使用,並明文例示4 項判斷標準,並可考量非第65條第2 項所例示之判斷標準。 [7]最高法院94年度臺上字第7127號刑事判決認為:「著作權法第65條第2 項第1 款所 謂『利用之目的及性質,包括係為商業目的或非營利教育目的』,應以著作權法第一條所規定之立法精神解析其使用目的,而非單純二分為商業及非營利(或教育目的),以符合著作權之立法宗旨。申言之,如果使用者之使用目的及性質係有助於調和社會公共利益或國家文化發展,則即使其使用目的非屬於教育目的,亦應予以正面之評價;反之,若其使用目的及性質,對於社會公益或國家文化發展毫無助益,即使使用者並未以之作為營利之手段,亦因該重製行為並未有利於其他更重要之利益,以致於必須犧牲著作財產權人之利益去容許該重製行為,而應給予負面之評價。」 [8]智慧財產法院102年度民著上字第1號民事判決。被上訴人蘋果日報臺灣分公司係將系爭照片刊登在其所發行之99年8 月25日蘋果日報A9「政治」版左下方,固係利用整張系爭照片,惟系爭照片在系爭報紙A9版所佔篇幅之比例低,較諸該文字報導所佔版面為小。 [9] 智慧財產法院103年度民著上更(一)字第2號民事判決, [10] 谷阿莫youtube創作頻道,https://www.youtube.com/user/AMOGOOD,(最後瀏覽日2015/12/29)。 [11]著作財產權有重製權、改作權、編輯權、出租權、散布權、公開播送權、公開傳輸權、公開口述權、公開上映權、公開演出權、公開展示權。 [12]谷阿莫youtube創作頻道,https://www.youtube.com/user/AMOGOOD,我是谷阿莫,very good的阿莫,科科,來這邊只是聽我說一個我喜歡的故事,我不­評論原始故事背後的含意或導演拍攝的用意,因為那些東西每個人都­有不同的看法,有空還是要自己去看原創故事喔,謝謝。 [13]陳怡如,<透過YouTube影片賺錢!台灣超過3萬名創作者加入廣告分潤計畫>,數位時代,2013/03/23,http://www.bnext.com.tw/article/view/id/27051 (最後瀏覽日2015/12/29)。 [14]智慧財產法院102年度民著上字第1號民事判決,被使用的照片性質上而言,乃屬攝影著作,系爭攝影著作之目的在於輔助公眾對該新聞事件之理解,而非在於該照片本身有何獨特之處,顯然並無特殊商業價值,是以,就系爭照片著作性質而言,應屬與新聞事件高度相關之攝影著作,脫離新聞事件,縱使該照片具有原創性,其價值亦不高。 [15]Now娛樂,<影/谷阿莫5分鐘看《侏羅紀》 網友反吐槽>,Nownews,2015/07/13,http://www.nownews.com/n/2015/07/13/1746862(最後瀏覽日2015/12/29)。

資通安全管理法之簡介與因應

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要   隨著網路科技的進步,伴隨著資安風險的提升,世界各國對於資安防護的意識逐漸升高,紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量,我國於107年5月經立法院三讀通過「資通安全管理法」(以下簡稱資安法),並於同年6月6日經總統公布,期望藉由資通安全管理法制化,有效管理資通安全風險,以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外,另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法,建置了我國資通安全管理之法制框架。然而,資安法及相關子法於108年1月1日實施後,各機關於適用上不免產生諸多疑義,故本文擬就我國資通安全管理法之規範重點為扼要說明,作為各機關遵法之參考建議。 貳、重點說明 一、規範對象   資安法所規範之對象,主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義,指依法行使公權力之中央、地方機關(構)或公法人,但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣(市)政府機關、依公法設立之法人(如農田水利會[1]、行政法人[2])、公立學校、公立醫院等,均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊,故資安法排除軍事及情報機關之適用[3]。   特定非公務機關依資安法第3條第6款之規定,指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定,須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定,報請行政院核定,並以書面通知受核定者。須注意者為該指定行為具行政處分之性質,如受指定之特定非公務機關對此不服,則可循行政救濟程序救濟之。目前各關鍵基礎設施領域,預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。   此外,政府捐助之財團法人,依該法第3條第9項之規定,指其營運及資金運用計畫應依預算法第41條第3項規定送立法院,及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人,則非屬資安法所稱特定非公務機關之範圍。公營事業之認定,則可參考公營事業移轉民營條例第3條之規定,指(一)各級政府獨資或合營者;(二)政府與人民合資經營,且政府資本超過百分之五十者;(三)政府與前二款公營事業或前二款公營事業投資於其他事業,其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容   資安法之責任架構,可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段,分述如下: (一)事前規劃   就事前規劃部分,資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」,使各機關得據此落實相關之資安防護措施,各機關並應依據資通安全責任等級分級辦法之規定,依其重要性進行責任等級之分級,辦理分級辦法中所要求之應辦事項[5],並將應辦事項納入安全維護計畫中。   此外,在機關所擁有之資通系統[6]部分,各機關如有自行或委外開發資通系統,尚應依據分級辦法就資通系統進行分級(分為高、中、普三級),並就系統之等級採取相應之防護基準措施,以高級為例,從7大構面中,共須採取75項控制措施。 (二)事中維運   事中維運部分,資安法要求各機關應定期提出資通安全維護計畫之實施情形,上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件,應於機關知悉資通安全事件發生時,於規定時間內[7],依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施,以避免資通安全事件之擴大。 (三)事後改善   在事後改善部分,如各機關發生資通安全事件或於稽核時發現缺失,則均應進行相關缺失之改善,提出改善報告,並應針對缺失進行追蹤評估,以確認缺失改善之情形。 三、情資分享   為使資通安全情資流通,並考量網路威脅可能來自於全球各地,資安法第8條規定主管機關應建立情資分享機制,進行情資之國際合作。情資分享義務原則於公務機關間,就特定非公務機關部分,為鼓勵公私間之協力合作,故規定特定非公務機關得與中央目的事業主管機關進行情資分享。   我國已於107年1月將政府資安資訊分享與分析中心(G-ISAC)調整提升至國家層級並更名為「國家資安資訊分享與分析中心」(National Information Sharing and Analysis Center, N-ISAC)。透過情資格式標準化與系統自動化之分享機制,提升情資分享之即時性、正確性及完整性,建立縱向與橫向跨領域之資安威脅與訊息交流,以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則   為使資安法之相關規範得以落實,資安法就公務機關部分,訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容,配合機關內部之人事考評規定訂定獎懲基準,而獎懲辦法適用之人員,除公務人員外,尚包含機關內部之約聘僱人員。就特定非公務機關部分,資安法則另訂有相關之罰則,針對未依資安法及相關規定辦理應辦事項之特定非公務機關,中央目的事業主管機關得令限期改正,並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分,因考量其影響範圍層面較廣,故規定特定非公務機關如未依規定進行通報,則可處以30萬元至500萬元之罰鍰。 參、事件評析   公務機關及特定非公務機關為落實資安法之相關規範,勢必投入相關之資源及人力,以符合資安法之要求。考量公務機關或特定非公務機關之資源有限,故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌,以避免資源或相關措施重複建置,以下則列舉幾點建議: 一、風險評估與安全措施   資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制,與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似,故各機關於適用上可協調內部之資安與隱私保護機制,共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施   資安法第18條要求機關應訂定資通安全事件通報應變機制,而個人資料保護法第12條亦規定有向當事人通知之義務,兩者規定雖不盡相同,惟各機關於訂定通報應變機制上,可將兩者通報應變程序進行整合,以簡化通報流程。 三、委外管理監督   資安法第9條要求機關負有對於委外廠商之監管義務,個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同,惟均著重對於資料安全及隱私之保護,故各機關可從資料保護層面著手,訂定資安與個人資料保護共同之檢核項目,來進行委外廠商資格之檢視,並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存   資安法施行細則第6條要求於建置安全維護計畫時,須先進行內部之資產盤點及分級,而個人資料保護法施行細則第12條中,則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時,可建立內部共同之資料盤點清單及資料管理措施,並增加資料使用軌跡紀錄,建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定,軍事機關指國防部及其所屬機關(構)、部隊、學校;情報機關指國家情報工作法第3條第1項第1款(包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊)及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定,行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關(構),於其主管之有關國家情報事項範圍內,視同情報機關。 [4] 羅正漢,〈臺灣資通安全管理法上路一個月,行政院資安處公布實施現況〉,iThome, 2019/02/15,https://www.ithome.com.tw/news/128789 (最後瀏覽日:2019/5/13)。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級,各機關應依據其責任等級應從管理面、技術面及認知與訓練面向,辦理相應之事項。 [6] 資通系統之定義,依資通安全管理法第3條第1款之規定,指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後,應於1小時內依規定進行資通安全事件之通報;如為第一、二級資通安全事件,並應於知悉事件後72小時內完成損害控制或復原作業,第三、四級資通安全事件,則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉,行政院國家資通安全會報技術服務中心,https://www.nccst.nat.gov.tw/NISAC(最後瀏覽日:2019/5/14)。

解析雲端運算有關認驗證機制與資安標準發展

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言   2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。   資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循   雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。   在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3]   歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。   值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。   雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。   在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。   在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。   在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6]   CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。   舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9]   日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。   舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證   CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。 二、CSA雲端安全登錄機制   由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。   (一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。   (二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。   資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。   另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度   由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。   此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成   現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。 [10]日本経済産業省,〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉,頁36(2011)年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。 [12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。 [13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

回歸修理/再製造判準?談日本最高裁事件判決

TOP