美國著名社交網站MySpace.com同意提供性侵犯資料

中國大陸為推動商業銀行電子支付業務健全發展、保障電子支付業務中當事人之權益、防範電子支付業務風險並確保銀行與客戶之資金安全， 繼 中國銀行業監督管理委員會 （銀監會）於 5 月 19 日發佈《電子銀行業務管理辦法（徵求意見稿）》（草案）之後，中國人民銀行 於 6 月 9 日公佈《電子支付指引（徵求意見稿）》 （草案）， 公開諮詢大眾的意見。該草案規定電子支付指令 ( Electronic Payment Instruction, EPI ) 與書面支付憑證可以相互轉換，兩者具有同等效力。 　　為達到安全控制，該草案不僅要求銀行採用規定的資訊安全標準、技術標準、業務標準，建立有效的管理制度，同時要求確保業務處理系統的安全性、交易資料的不可否認性、資料儲存的真實性、客戶身份的辨識性，以妥善管理安全認證資料。此外，該草案還對支付過程中所發生的錯誤與責任作了詳細規定。 在風險控制方面， 銀行亦應針對不同客戶，在電子支付業務類型、單筆支付金額和每日累計支付金額等方面作出合理限制。銀行通過網路提供網上支付業務，公司行號與個人客戶之單筆支付金額不得超過 5 萬元。　　該草案所稱電子支付是指公司行號或個人通過電子終端機，直接或間接向銀行業金融機構發出支付指令，實現貨幣支付與資金轉移。 電子支付的業務類型分為網上支付（透過網路）、電話支付、移動支付（透過行動通訊設備）、銷售點終端 (point of sale) 交易、自動櫃員機 (ATM) 交易和其他電子支付。

　　於2000年基因圖譜解碼後，「基因歧視」議題成為各界關注焦點，而在電子通訊技術之配合下，更加速了包括基因資訊之個人醫療資訊的流通。在此時空背景下，如何能在善用相關技術所帶來的便捷同時，也對於相關資訊不甚外流時，得以有適切的因應措施以保障患者之隱私，成為了必須處理的問題。 　　美國國會甫於今年(2009年)2月所通過的「經濟與臨床健康資訊科技法」 (The Health Information Technology for Economic and Clinical Health Act, HITECH) 之相關修正中，強化了對醫療資訊之保護，其中要求美國衛生暨福利部(the Department of Health and Human Service, HHS )，針對受保護之醫療資訊未經授權而取得、侵入、使用或公開外洩之情形擬定「暫行最終規則」(interim final rule)進行管理，該項規則亦於今年(2009年)8月24日公布。值得注意的是，HITECH之規範主體(適用主體、商業夥伴)與保護客體(未依法定方式做成保護措施之健康資訊)皆沿用「1996醫療保險可攜性與責任法案」（the Health Insurance Portability and Accountability Act of 1996, HIPAA）之定義。然而，與HIPPA最大的不同在於， HIPAA中僅以私人契約之隱私權政策間接地管理醫療資料外洩事件，但於暫行最終規則中直接課以相關主體一項明確且積極的法定通知義務。HITECH之規範主體，基於其注意義務，應於得知或可得而知之日起算，60日內完成通知義務；視醫療資訊外洩之嚴重程度，其通知之對象亦有所不同，必要時應通知當地重要媒體向外發布訊息，HHS也將會以表單方式公布於其網站中。 　　整體而言，HITECH首次課以規範主體主動向可能受影響個人通知醫療資訊外洩事件之義務，此為HIPPA過去所未規範者；其次HITECH也突破HIPAA過往基於契約關係執行相關隱私權及安全規定之作法，於法規上直接對於洩露醫療資訊之相關主體課以刑責，強化了違反HIPAA隱私權與安全規定之法律效果。惟值得注意的是，受限於美國國會對HHS提出最終規則之期限要求，HHS現階段所提出的版本僅屬暫行規定，最終規定之最終確切內容仍有待確定，也值得我們持續觀察。

從Mart-Stam-Chair案談德國國際商展智財侵權案之司法見解趨勢與因應 資訊工業策進會科技法律研究所 李莉娟 副法律研究員 2020年7月8日 　　許多企業為了爭取產品曝光度與品牌知名度，會以參與國際相關產業商展作為其一方式，而全球多場專業商展中，絕對少不了德國各大城市定期舉行之國際商展[1]，我國企業亦為常客。惟德國司法人員針對展覽品侵害智財權之鐵腕做法有別於他國，尤其以2008年「德國漢諾威電子展（CeBIT 2008）」，史上最大的專利權侵權搜索案最為知名，當時檢警直接闖進會場對51家參展的廠商進行搜索，並扣押了涉及專利侵權的產品，又因德國法院以往對於如此取締方式多採取支持的態度，在侵權要件判斷上常見對被控侵權人有所不利，但這樣的情景，在近年的民事侵權紛爭開始出現些微轉變，而本文將從最近期、且首次涉及著作權侵權的Mart-Stam-Chair案談起。 壹、事件摘要 　　2014年10月21日到25日期間，在僅開放專業人員與會的科隆國際展覽會（ORGATEC）上，波蘭某家企業（下稱被告）展出一鋼管椅，卻被一名聲稱鋼管椅著作權被授權人之合法繼承人Mart Stam（下稱原告）主張被告展出的鋼管椅，類似其鋼管椅外型，認為被告侵害其著作散布權，而在2014年10月21日提交警告信函給被告，就此開啟了本案的訴訟程序[2]，但歷經三年爭訟、上訴程序，德國聯邦最高法院認為被告行為並無侵害原告著作散布權而判處原告敗訴。 一、本案事實 　　本案被告於2014年10月21到25日期間參與了僅開放給專業人士參展的科隆國際展覽會（ORGATEC），其展出外型相似於原告擁有著作權保護的鋼管椅（型號「Zoo」），並在攤位上放置印有型號「Zoo」鋼管椅圖片之產品目錄與行銷廣宣品，同時以文字說明該椅子為設計「原形」，目前僅為設計階段，迄至2015年才開放訂購[3]。原告得知後，便於同年10月21日當天發警告信函予被告，並聲明要求被告限期答覆，後續原告逕向杜塞爾多夫地方法院提出告訴[4]，主張被告展出型號「Zoo」椅子與其所擁有著作權之椅子外型相似，且被告無正當權利複製多張椅子圖片，置於其產品型錄與行銷廣告宣上並公開於展場，種種行為均已侵害其著作散布權。 (左圖為本案原告所有之椅子外型；右圖為本案被告於展場展出之椅子外型及型號。左右兩圖擷取自本案終審判決BGH vom 23.2.2017 - I ZR 92/16內文) 二、本案爭點 　　本案主要爭點在於：「國際商展上展出作品，是否代表已經將作品投入德國市場之行銷或交易行為，而構成侵害著作權人的散布權？」原告於第一審主張，被告展出椅子實體、複製椅子圖片放於廣告目錄與行銷廣宣之行為，均已侵害其身為著作權人的散布權[5]，要求被告提出損害賠償。而根據德國著作權法第17條第一項明文[6]，主要在於保護著作權人向公眾公開其作品原本、副本，以及使其作品於市場流通、散布、交易之權利[7]，故如未取得著作權人之授權或非著作物之著作權者，無權以任何公開行銷之方式於德國境內進行市場交易行為。被告則認為，其於展場上有明確表示展出的椅子只是「原形」樣式，尚未銷售，甚至在行銷廣告表示最終成品的設計可能會在公開銷售前改變，因此主張其並無於展場上銷售此鋼管椅之意[8]。 三、本案歷審法院見解 　　首先，第一審杜塞爾多夫地方法院對於原告之聲明予以部分駁回，第一審法院認為原告主張被告已侵害其著作散布權為有理由，但原告主張之損害賠償內容中，關於被告印製椅子圖片置於其廣告目錄及行銷文宣上之行為，因印刷地點非於德國，並無法主張損害賠償[9]，原告不服就全案再向杜塞爾多夫高等法院提出上訴，並要求更高額的賠償金，卻遭上訴法院全數駁回。 　　上訴法院認為，本案被告展出之型號「Zoo」椅子確實與原告所有之椅子造型元素十分接近，依據德國著作權法第15條規範，著作權人自享有法律上以任何形式利用其著作物之專有權利，如重製權、散布權、向公眾公開播送權等法定權益[10]，惟所有著作權人專有權利均有其法定要件，判斷是否侵害他人著作權利，尚需就法定要件逐一檢視，而本案原告認為被告侵害其著作散布權[11]，但被告行為並不該當於德國著作權法第17條「散布」之法定要件，依照其公告之方式與內容並無使公眾購買之意願，更不會因此而構成交易上的要約行為，故駁回原告聲明[12]。案件進入到了德國聯邦最高法院，其肯定上訴法院之見解，並再次聲明國際展場上展出產品，並不代表將提供公眾購買、進行交易，故駁回原告聲明[13]。 貳、德國司法近年針對商展智財侵權案件見解之變遷 　　以往德國司法實務對於權利人於展場查緝仿冒品之聲明一向抱持「積極」態度，除配合展覽時間加速處理聲請案件，甚至有法官坐鎮展覽現場以利能盡速處理假處分聲請案，或是逕將參展廠商攤位視為廠商於德國的營業處所，認為在德國商展展示的產品，有使用到他人之德國專利，即屬在德國行銷或提供該產品的行為，該當於侵害他人專利權的行為，且德國法院對此侵權行為有管轄權。但實際上許多廠商是抱持著使產品曝光增加知名度而前來參展，並無意拓展德國市場，但德國法院往往不會深究外國廠商是否有意在德國拓點、有無銷售侵權產品之意圖，即直接認定「參展等於德國販賣侵權產品」[14]，導致各國廠商前往參加德國商展時，對產品可能誤觸專利侵權之事感到惴惴不安，如此鐵腕做法亦使我國部分廠商表示不願再至德國參展[15]。 　　上述「一面倒」的態度，到了2010年時的Pralinenform II 商標侵權案開始出現了轉變。當時該案原告的圓型巧克力Pralinenform II的立體外型已取得註冊商標，隨後其於科隆舉行的國際糖果餅乾暨休閒食品展中，看到外型類似於自家立體圓型巧克力的產品廣告，便依據德國商標法第14條第三項第五款規範，主張該行為應屬於「未經商標權人同意，使用與商標權人相同或相似之標誌於其商業文件或廣告文宣上」的侵權行為[16]，進而請求損害賠償，但由於原告難以舉證證明被告於商展上之行為，構成就廣告上之產品為交易、販賣之行為態樣，德國聯邦最高法院因此認為在國際商展展示產品不見得代表即將於德國境內上市產品，對此類情形應採取限縮解釋，故判決原告敗訴[17]。 　　而本文分析之鋼管椅侵權案件，是首次將爭議標的擴展至著作權，可見到德國法院對於商展上智財侵權案件的判斷有逐漸嚴格化的趨勢—限於德國境內行銷、交易的行為。因參與商展的非德國廠商如其發展市場僅著眼於其他國家，其於德國商展展示產品並不一定對德國境內市場有所影響，且如日後確實進入德國市場進行銷售，合法權利人固有著作權法、商標法或專利法等智慧財產法可資主張，自無須於商展上逕行保全處分。 參、結論及建議 　　德國司法對展場智財侵權案件之解釋已趨於限縮，近年案件多針對是否構成視同在德國境內行銷、交易行為進行判斷，但仍須提醒企業，商展上的展出行為對法院而言是否一律都可能被認定為「非交易」或「非販售」行為而不至影響德國市場，尚需依照個案而定。因此我國企業日後如有亦前往德國參與國際商展，參展前可考量以下三點建議： 一、智財權檢索：建議先做好檢索功夫，如發現有專利侵權疑慮或是有商標相同、近似情形時，可預先採取因應措施，如取得授權或者迴避設計等。因除著作權無須註冊即可取得權利外，無論是我國或是德國之專利權及商標權均採取屬地主義，故即使於我國取得註冊權利，該效力亦不及於德國，如於展出時遇有德國司法人員搜索狀況或於訴訟程序時，我國註冊證書亦無法作為證明權利之用[18]，因此應事先檢索盡查證義務可避免侵害他人權利，也可藉此考量是否將智財布局範圍拓展至德國，如有意願即可著手規劃申請註冊德國專利或商標[19]。 二、釐清參展目的並對外聲明：即是否藉此次參展行銷或販售產品，或僅單純展出以增加企業與產品知名度。如本文案例，被告並無意於商展參展之時販賣產品，即使於攤位放上產品目錄與行銷廣宣，亦特別告知產品僅為設計原型。因此建議企業於展示時可特別標示並無意於德國販售此展品之說明、或是說明展品現行尚屬設計階段，以杜絕可能引發的侵權爭議。 三、備妥相關權利釐清或證明文件：建議企業可將檢索結果證明不侵權資料、德國註冊商標證書、德國註冊專利證書、權利移轉證書等證明文件備妥；如檢索資料非德文文件可先翻譯為德文，以備不時之需，而翻譯機構可尋找德國境內法院核可之翻譯機構進行[20]；而企業亦可逕將智財檢索委由德國律師或經德國官方核可的機構處理，即可免去翻譯手續。再者，如為著作權權利釐清或證明文件，由於德國同於我國，著作權利取得無須經由官方註冊登記，當創作完成時即取得著作人法律保障之權益，因此建議可將作品實體紙本或電腦上創作歷程（如刪減草稿圖、階段筆記）、會議記錄、工作日誌保留，如為電子檔案，可將不同修改階段分別存檔。而該等證明著作權利相關文件翻譯，亦建議可經由專業翻譯人員進行。 　　對於有意前往德國參展的企業，釜底抽薪之計實在於參展前的檢索義務，並備妥智財權利相關證明文件，提前備好訴訟程序常需之舉證文件，即可盡量避免後續不必要的冗長司法程序。 [1]德國著名國際商展，如漢諾威工業展、法蘭克福國際春季消費品展覽會、杜塞爾多夫國際醫療Medica展等。 [2]BGH vom 23.2.2017,I ZR 92/16. [3]Sascha Abrar (Löffel Abrar)，Take a seat and wonder: IP protection at trade fairs in Germany，http://trademarkblog.kluweriplaw.com/2017/07/26/take-seat-wonder-ip-protection-trade-fairs-germany/?doing_wp_cron=1592292179.2917780876159667968750，(last visisted June.18,2020). [4]BOEHMERT&BOEHMERT，No infringement of copyright protected product at (international) trade fair in Germany，https://www.boehmert.de/en/activities/bb-bulletin/no-infringement-of-copyright-protected-product-at-international-trade-fair-in-germany/，(last visisted June.18,2020). [5]LG Düsseldorf vom 18.6.2015, 14 c O 184/14. [6]§17.Abs.1 UrhG（Urheberrechtsgesetz）. [7]德國著作權法第17條第一項著作權人之散布權，意同於我國著作權法第3條第一項第12款散布權：「散布：指不問有償或無償，將著作之原件或重製物提供公眾交易或流通。」 [8]Sascha Abrar (Löffel Abrar)，Take a seat and wonder: IP protection at trade fairs in Germany，http://trademarkblog.kluweriplaw.com/2017/07/26/take-seat-wonder-ip-protection-trade-fairs-germany/?doing_wp_cron=1592292179.2917780876159667968750，(last visisted June.18,2020). [9]LG Düsseldorf vom 18.6.2015, 14 c O 184/14. [10]§15.Abs.1 UrhG（Urheberrechtsgesetz） [11]如本案原告主張被告侵害其著作重製權，即可能被法院認定為訴之聲明有理由，因依據德國著作權法第16條第一項規範，無論是臨時或永久，無論採用什麼方式、程序重製作品，亦不論重製數量多寡，該重製權僅屬於著作權人所有，故被告之行為即可能該當於侵害原告重製權；但同法第17條第一項之散布權，尚須侵權者散布此作品之原件或是副本乃出自於向公眾散布、供交易之用。因此，本案原告聲明基礎顯有疑義。 [12]OLG Düsseldorf vom 19.4.2016,I-20 U 99/15. [13]BGH vom 23.2.2017,I ZR 92/16. [14]李怡姍，從2008年CeBIT會場之檢警搜索扣押事件，談德國專利侵權之刑事責任及實務運作，智慧財產權月刊第117期，5-6頁(2008)。 [15]如，2008年時「德國漢諾威電子展（CeBIT 2008）」案，當時負責搜索與查扣的警方身著便服，產品疑有侵權疑慮之展出廠商難以分辨究竟為司法人員或是權利人；再者，警方事實上難以依照法院提供搜索票而查扣產品，導致搜索票形同一般紙張，只得任由權利人主導查扣程序，廠商又因不懂德文而難以反駁；已有委任律師處理相關爭議之廠商，即使警方知悉廠商律師即將到達，警方仍拒絕等待律師到場而逕行為查扣行為，至於後續司法程序，該案檢察官多朝向簡易判決處刑之方向處理，也有部分被告同意放棄被查扣產品、或在繳納訴訟費用擔保金後受不起訴處分。李怡姍，從2008年CeBIT會場之檢警搜索扣押事件，談德國專利侵權之刑事責任及實務運作，智慧財產權月刊第117期，7-10頁(2008)。 [16]§14,Abs.3 Nr.5 MarkenG (Markengesetz). [17]BGH vom 22.4.2010,I ZR 17/05. [18]雖以往曾有實務專家建議，可於參展前完成檢索後，請德國律師提出權利證明文件並向德國法院（商展所在地法院）申請「保護聲明」預防可能發生的民事假扣押處分，但實際上該保護聲明完全無法阻止檢索的搜索及查扣行為。故本文認為，釜底抽薪方式仍建議先預先釐清參展目的並盡檢索義務，視情況是否改變參展策略或註冊德國智財權。實務專家建議轉引自：參加德國商展遇專利爭端之因應措施，自行車市場快訊，第126期，頁131（2009）。 [19]德國現代商標法(Markenrechtsmodernisierungsgesetz，MaMoG)於2019年1月14日生效，其為滿足歐盟商標法規範，新增更多商標請樣式供選擇，如：全像圖、聲音商標；亦可申請證明標章，開放商標可為授權登記，企業可因需求申請。Bettina Clefsen, Germany: Modernized Trademark Law,http://trademarkblog.kluweriplaw.com/2019/02/04/germany-modernized-trademark-law/?doing_wp_cron=1592451592.7486619949340820312500 (last visisted June.20,2020). [20]我國不同於德國，翻譯業務並無所謂的法院認證資格，為保險起見，建議企業可請我國獲德國法院認可的翻譯人員進行文件翻譯。

雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 　　資訊時代，資訊應用所帶來的風險幾乎無可迴避，且往往帶來莫大衝擊；尤其在網路應用普及之後，大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中，縱有再有高層級的防護，也無法使資料受損或漏失的風險機率降至零，因此有論者以為，對於無法藉由資訊安全措施加以避免的「殘餘風險」（Residual Risk），應由「保險機制」予以移轉。本研究特探討本議題，以呼應目前日益進展的保險產品發展趨勢。 　　此類的保險機制，一般稱為資料保險，專門填補網路應用所造成的風險，諸如網路安全（Network security）之欠缺所造成的損失，或者隱私（Privacy）被害所造成的損失。依據產業觀察者意見，此類保險產品的市場正有逐漸擴張的趨勢，尤其是對於健康照護服務（Health care）以及中小型的業者而言，此類保險對於風險管理服務可以發揮長足的作用，其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 　　本文以雲端運算應用的興起為背景，觀察相應保險機制的演進及發展；以及其對於產業發展而言，為何被視為不可或缺的配套機制，進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 　　用來填補資料受害之損害的保險，一般被稱為「資料保險」，尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」，不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現，當時其保險範圍，是填補資料被害所引發的損害賠償責任[2]。 　　財產保險可分成兩大類型，一類是一般的財產損害，即保險事故發生導致被保險人的財產減損或喪失，承保此類財產損失之保險，即英美法系所稱之「第一方保險」（First-party coverage）。另一類則是責任保險，即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任，承保因被保險人應負擔責任之財產損失，即所稱之「第三方保險」（Third-party coverage）。 　　在資料應用環境中，因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞（Destroys）或是剝奪被保險人對於資料的使用權限，則屬於第一方財產損失。另一方面，當被保險人所保護、監管（Custody）或控制的第三人資料或資訊，遭遇網路犯罪損害、毀壞或竊取時，將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用，此屬於第三方財產損失，例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼，又如妨礙有合法權限的第三人近用系統，以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 　　傳統的財產保險，由於未指明承保因資料被害所致損失，往往會在被保險人因資料被害導致財產損失而請求保險賠償時，發生很大的爭議。主要的原因是，傳統的財產保險其設計原則，是以被保險人對於有形財產的「保險利益」作為「保險標的」，並以有形財產受損來估算保險損害，並未考量到資料等無形財產。因此，起因於資料或類似形態的程式、軟體之缺損所致的損害，是否可能在傳統財產的保險範圍內，頗有疑義，且司法實務上的意見相當分歧，茲整理如下。 （一）有利於被保險人的實務見解 　　在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中，Ingram-Micro因幾分鐘的電力中斷，導致電腦資產與資料的喪失而嚴重影響正常的業務運作，遂依業務中斷保險(Business-interruption insurance）請求保險賠償，但遭受保險公司拒絕，保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為，被保險人客製軟體程式的喪失，構成「具體損害」，具體損害不限於電腦迴路的被有形損毀或傷害，也會包含無法近用（Loss of access）、無法使用（Loss of use）以及功能喪失。 　　另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5]，保險公司認為電腦病毒感染所造成的損失，非有形損失，因而拒絕保險給付。法院認為，本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換（Replaced），此種結果，等於電腦系統完全無法接收、發送或回復任何形態的資訊，而完全失去作為電腦系統的效用；因此未接受保險公司的主張。 　　近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中，Retail Venture是DSW鞋子盤商，2005年時它的電腦系統遭駭客入侵，共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險，在其承保項目中包括電腦與資金移轉詐欺（Computer & Fund transfer fraud coverage），DSW遂向保險公司請求保險賠償，主張此次駭客入侵所造成的損失有530萬元之多，但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟，地方法院認定保險公司應支付保險賠償，保險公司不服，提起上訴至巡迴法院，巡迴法院認為，條款規定雖是限於該損失是由保險事故「直接造成」（Resulting directly from），但這不代表該保險事故必須是造成損失的「唯一」（Solely）與「立即」（Immediately）的原因[7]，因此維持地方法院的判決。 （二）有利於保險人的實務見解 　　在America Online, Inc. v. St. Paul Mercury Insurance Co.中，由於America Online（AOL）所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統，因而被客戶訴訟求償，AOL依責任保險內容，轉而請求保險公司應替其進行訴訟防禦，遭保險公司拒絕。為此，AOL對保險公司提起訴訟，法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失，法院解釋，從字義上一般不會認為電腦資料、軟體及系統是「有形」財產，因為有形財產應是指可以觸摸（Be touched），但電腦資料、軟體及系統無法被感官感知，因此是無形財產。此外契約中亦有「功能降低除外條款」，意即，不良品或者危險產品所造成的損害非有形，故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 　　從上述實務案例的觀察，作成不利於被保險人判決結果的法院，是直接認定電腦資料、軟體與系統為無形財產。反之，作成有利於被保險人判決結果的法院，是將「資料」（程式或軟體）與「電腦系統」合為觀之，而認定電腦系統為有形財產，把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人，但是解釋方式卻較為迂迴，也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 　　雲端運算發展日益普遍日後，可以透過網際網路提供資訊服務（例如儲存空間、應用程式等），「資料」已然不附載在特定或固定的載體（電腦系統）上。因應整體資訊應用形態的轉變，國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 　　第一個例子，MSPAlliance是一個資源管理服務業者暨認證聯盟，於2013年4月與保險經紀公司Lockton 合作，設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance)，讓其聯盟會員提供資訊服務時得以購買此保險；承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任，以及因技術錯誤或無法作用（Tech Errors & Omissions）所導致的損害賠償責任，亦包含在內。至於被保險人的資格要求，則限定是聯盟會員，且必須通過Unified Certification Standard (UCS)驗證。事實上，要求被保險人取得一定的驗證，是保險風險管理很重要的ㄧ環。 　　第二個例子，雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作，擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議（Service Level Agreements）中的承諾，再者也能依據其客戶存放於雲端環境之資料的風險層級，給予金錢防護。 第三個例子，與前兩例不同，是針對一般的資訊服務使用者來設計。保險經紀公司達信（Marsh）於2012年6月針對雲端環境的企業使用者，開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業，承保項目包括：因雲端服務中斷所致的營運收入損失（Loss of income）、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 　　美國的國家技術標準局（Institute of Standards and Technology, NIST）在規劃新網路時代藍圖時，把持續促進資料「保險」（Cyber Insurance），列為關鍵的一角。從這個角度而言，保險不僅具有轉移風險與填補損害的功能，更具有正面積極的意義，可作為新興技術發展的後盾。對於NIST這樣的主張，美國保險人協會（American Insurance Association）也予以呼應，認為針對網路應用環境而持續開發各種保險產品，是勢在必行的方向。 (一)政策推導 　　美國證券交易委員會指引（2011年），建議公司若為因應資安風險而購買保險產品，應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 　　美國有以政府機關名義購買資料相關保險之例，蒙大拿（Montana State Government）購買「網路資料安全保險」（Cyber/Data Information Security Insurance），為期一年（2012年7月1日至2013年7月1日），保險項目包括：資訊安全責任（每次事故保險賠償上限200萬美元）、行政罰款（每次事故保險賠償上限200萬美元）、損害通知支出（每次事故保險賠償上限100萬美元）、網站媒體披露支出（每次事故保險賠償上限200萬美元）、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley，保險經紀人為Alliant Insurance Services。值得特別注意的是，保險項目當中包含損害通知支出，此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論－我國推動相關資料保險機制可行性之總合評析 　　現階段我國相關保險市場的現況，為因應我國個人資料保護法的通過與正式實施，也有推出資料相關保險產品，目標客群為企業，以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於，針對業者（被保險人）因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失（營運中斷、負擔契約上損害賠償責任）之損害填補，似尚未有相關保險產品推出。考其原因，是保險業者對於此種因無形財產（資料）所導致損害的保險賠償模式，尚未累積足夠的經驗，也缺乏相關精算數據的掌握，因而不敢貿然承作，另一方面，保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象，我國主責資訊服務產業推動的有關政府部門，也思及政府投入參與資料保險機制，例如推動以機關為被保險人而購買相關的資料保險，藉以活絡資料保險市場；此種構想，在法律層面並無疑義，此乃保險賠償與國家賠償機制雖有各自目的，但未有所衝突[9]。然而，實際操作上，必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 　　事實上，我國相關資料保險市場要邁向成熟發展，尚待多方努力，除保險業者本身規劃並提出合適的保險產品之外，參酌國外經驗，保險經紀公司也能扮演一定角色，可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案，並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色，除直接以政策推導之外，尚能在若干條件齊備之後實際參與保險機制，其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。