首批奈米標章三月核發

　　美國專利商標局(USPTO)與歐洲專利局(EPO)簽署協議，合作開發「以歐洲專利分類系統為基礎，並納入兩局分類實務特點」的共同分類系統：「合作專利分類」(Cooperative Patent Classification, CPC)系統，該系統為全球性的專利文件分類系統。USPTO與EPO為促進專利調合化，積極努力並共同合作建立CPC系統，該系統結合了兩局最好的分類作法，為專利技術文件建立一個共同且為國際間相容的分類系統，供專利審查使用。CPC於2013年1月1日宣布正式啟用，EPO開始使用CPC，不再使用歐洲專利分類(ECLA)；2015年1月1日，USPTO正式宣告成功由美國專利分類(USPC)轉換至CPC。目前已有超過45個專利局與超過 25,000名審查人員使用CPC作為檢索工具，使CPC成為國際性的分類標準。

美國白宮於2024年2月9日宣布從《晶片與科學法》（CHIPS and Science Act）撥款110億美元執行「CHIPS研發計畫」（CHIPS Research and Development (R&D) programs），並將設立投資基金，協助美國新興半導體公司技術商業化發展。 CHIPS研發計畫源係於美國國會於2022年8月通過《晶片與科學法》，提供527億美元的經費支持美國半導體產業，其中390億美元用於補助半導體生產，110億美元用於半導體研發。此次CHIPS研發計畫的具體作法如下： （1）建置國家半導體技術中心（National Semiconductor Technology Center，簡稱NSTC）：為CHIPS研發計畫的核心項目，將投資50億美元建置NSTC，協助美國先進半導體研發與設計，確保美國於半導體領域的領先地位。NSTC將向公眾共享設施與專業知識，幫助創新者取得相關專業知識與能力。此外NSTC亦將推動利益團體（Community of Interest），將開放所有利益相關者就NSTC的規劃提供意見。 （2）投資半導體人才（Investing in the Semiconductor Workforce）：創建人才勞動卓越中心（Workforce Center of Excellence），以培育、訓練美國半導體產業所需人才，並促進產業界與學術界的合作。 （3）投資其他關鍵領域研發之需求（Investing in Other Key R&D Needs）：向美國晶片製造研究所（CHIPS Manufacturing USA Institute）投資至少2億美元，以創建美國首座半導體製造數位孿生研究所（Semiconductor Manufacturing Digital Twin Institute），以降低晶片研發製造的成本，加速創新技術商業化之週期；以及投資3億美元於先進封裝產業，以提升半導體系統之效能。以外亦投資1億美元資助「CHIPS量測計畫」（CHIPS Metrology Program）的29個項目，幫助研發新型測量設備與方法，以滿足為電子產業的技術需求。

從Mart-Stam-Chair案談德國國際商展智財侵權案之司法見解趨勢與因應 資訊工業策進會科技法律研究所 李莉娟 副法律研究員 2020年7月8日 　　許多企業為了爭取產品曝光度與品牌知名度，會以參與國際相關產業商展作為其一方式，而全球多場專業商展中，絕對少不了德國各大城市定期舉行之國際商展[1]，我國企業亦為常客。惟德國司法人員針對展覽品侵害智財權之鐵腕做法有別於他國，尤其以2008年「德國漢諾威電子展（CeBIT 2008）」，史上最大的專利權侵權搜索案最為知名，當時檢警直接闖進會場對51家參展的廠商進行搜索，並扣押了涉及專利侵權的產品，又因德國法院以往對於如此取締方式多採取支持的態度，在侵權要件判斷上常見對被控侵權人有所不利，但這樣的情景，在近年的民事侵權紛爭開始出現些微轉變，而本文將從最近期、且首次涉及著作權侵權的Mart-Stam-Chair案談起。 壹、事件摘要 　　2014年10月21日到25日期間，在僅開放專業人員與會的科隆國際展覽會（ORGATEC）上，波蘭某家企業（下稱被告）展出一鋼管椅，卻被一名聲稱鋼管椅著作權被授權人之合法繼承人Mart Stam（下稱原告）主張被告展出的鋼管椅，類似其鋼管椅外型，認為被告侵害其著作散布權，而在2014年10月21日提交警告信函給被告，就此開啟了本案的訴訟程序[2]，但歷經三年爭訟、上訴程序，德國聯邦最高法院認為被告行為並無侵害原告著作散布權而判處原告敗訴。 一、本案事實 　　本案被告於2014年10月21到25日期間參與了僅開放給專業人士參展的科隆國際展覽會（ORGATEC），其展出外型相似於原告擁有著作權保護的鋼管椅（型號「Zoo」），並在攤位上放置印有型號「Zoo」鋼管椅圖片之產品目錄與行銷廣宣品，同時以文字說明該椅子為設計「原形」，目前僅為設計階段，迄至2015年才開放訂購[3]。原告得知後，便於同年10月21日當天發警告信函予被告，並聲明要求被告限期答覆，後續原告逕向杜塞爾多夫地方法院提出告訴[4]，主張被告展出型號「Zoo」椅子與其所擁有著作權之椅子外型相似，且被告無正當權利複製多張椅子圖片，置於其產品型錄與行銷廣告宣上並公開於展場，種種行為均已侵害其著作散布權。 (左圖為本案原告所有之椅子外型；右圖為本案被告於展場展出之椅子外型及型號。左右兩圖擷取自本案終審判決BGH vom 23.2.2017 - I ZR 92/16內文) 二、本案爭點 　　本案主要爭點在於：「國際商展上展出作品，是否代表已經將作品投入德國市場之行銷或交易行為，而構成侵害著作權人的散布權？」原告於第一審主張，被告展出椅子實體、複製椅子圖片放於廣告目錄與行銷廣宣之行為，均已侵害其身為著作權人的散布權[5]，要求被告提出損害賠償。而根據德國著作權法第17條第一項明文[6]，主要在於保護著作權人向公眾公開其作品原本、副本，以及使其作品於市場流通、散布、交易之權利[7]，故如未取得著作權人之授權或非著作物之著作權者，無權以任何公開行銷之方式於德國境內進行市場交易行為。被告則認為，其於展場上有明確表示展出的椅子只是「原形」樣式，尚未銷售，甚至在行銷廣告表示最終成品的設計可能會在公開銷售前改變，因此主張其並無於展場上銷售此鋼管椅之意[8]。 三、本案歷審法院見解 　　首先，第一審杜塞爾多夫地方法院對於原告之聲明予以部分駁回，第一審法院認為原告主張被告已侵害其著作散布權為有理由，但原告主張之損害賠償內容中，關於被告印製椅子圖片置於其廣告目錄及行銷文宣上之行為，因印刷地點非於德國，並無法主張損害賠償[9]，原告不服就全案再向杜塞爾多夫高等法院提出上訴，並要求更高額的賠償金，卻遭上訴法院全數駁回。 　　上訴法院認為，本案被告展出之型號「Zoo」椅子確實與原告所有之椅子造型元素十分接近，依據德國著作權法第15條規範，著作權人自享有法律上以任何形式利用其著作物之專有權利，如重製權、散布權、向公眾公開播送權等法定權益[10]，惟所有著作權人專有權利均有其法定要件，判斷是否侵害他人著作權利，尚需就法定要件逐一檢視，而本案原告認為被告侵害其著作散布權[11]，但被告行為並不該當於德國著作權法第17條「散布」之法定要件，依照其公告之方式與內容並無使公眾購買之意願，更不會因此而構成交易上的要約行為，故駁回原告聲明[12]。案件進入到了德國聯邦最高法院，其肯定上訴法院之見解，並再次聲明國際展場上展出產品，並不代表將提供公眾購買、進行交易，故駁回原告聲明[13]。 貳、德國司法近年針對商展智財侵權案件見解之變遷 　　以往德國司法實務對於權利人於展場查緝仿冒品之聲明一向抱持「積極」態度，除配合展覽時間加速處理聲請案件，甚至有法官坐鎮展覽現場以利能盡速處理假處分聲請案，或是逕將參展廠商攤位視為廠商於德國的營業處所，認為在德國商展展示的產品，有使用到他人之德國專利，即屬在德國行銷或提供該產品的行為，該當於侵害他人專利權的行為，且德國法院對此侵權行為有管轄權。但實際上許多廠商是抱持著使產品曝光增加知名度而前來參展，並無意拓展德國市場，但德國法院往往不會深究外國廠商是否有意在德國拓點、有無銷售侵權產品之意圖，即直接認定「參展等於德國販賣侵權產品」[14]，導致各國廠商前往參加德國商展時，對產品可能誤觸專利侵權之事感到惴惴不安，如此鐵腕做法亦使我國部分廠商表示不願再至德國參展[15]。 　　上述「一面倒」的態度，到了2010年時的Pralinenform II 商標侵權案開始出現了轉變。當時該案原告的圓型巧克力Pralinenform II的立體外型已取得註冊商標，隨後其於科隆舉行的國際糖果餅乾暨休閒食品展中，看到外型類似於自家立體圓型巧克力的產品廣告，便依據德國商標法第14條第三項第五款規範，主張該行為應屬於「未經商標權人同意，使用與商標權人相同或相似之標誌於其商業文件或廣告文宣上」的侵權行為[16]，進而請求損害賠償，但由於原告難以舉證證明被告於商展上之行為，構成就廣告上之產品為交易、販賣之行為態樣，德國聯邦最高法院因此認為在國際商展展示產品不見得代表即將於德國境內上市產品，對此類情形應採取限縮解釋，故判決原告敗訴[17]。 　　而本文分析之鋼管椅侵權案件，是首次將爭議標的擴展至著作權，可見到德國法院對於商展上智財侵權案件的判斷有逐漸嚴格化的趨勢—限於德國境內行銷、交易的行為。因參與商展的非德國廠商如其發展市場僅著眼於其他國家，其於德國商展展示產品並不一定對德國境內市場有所影響，且如日後確實進入德國市場進行銷售，合法權利人固有著作權法、商標法或專利法等智慧財產法可資主張，自無須於商展上逕行保全處分。 參、結論及建議 　　德國司法對展場智財侵權案件之解釋已趨於限縮，近年案件多針對是否構成視同在德國境內行銷、交易行為進行判斷，但仍須提醒企業，商展上的展出行為對法院而言是否一律都可能被認定為「非交易」或「非販售」行為而不至影響德國市場，尚需依照個案而定。因此我國企業日後如有亦前往德國參與國際商展，參展前可考量以下三點建議： 一、智財權檢索：建議先做好檢索功夫，如發現有專利侵權疑慮或是有商標相同、近似情形時，可預先採取因應措施，如取得授權或者迴避設計等。因除著作權無須註冊即可取得權利外，無論是我國或是德國之專利權及商標權均採取屬地主義，故即使於我國取得註冊權利，該效力亦不及於德國，如於展出時遇有德國司法人員搜索狀況或於訴訟程序時，我國註冊證書亦無法作為證明權利之用[18]，因此應事先檢索盡查證義務可避免侵害他人權利，也可藉此考量是否將智財布局範圍拓展至德國，如有意願即可著手規劃申請註冊德國專利或商標[19]。 二、釐清參展目的並對外聲明：即是否藉此次參展行銷或販售產品，或僅單純展出以增加企業與產品知名度。如本文案例，被告並無意於商展參展之時販賣產品，即使於攤位放上產品目錄與行銷廣宣，亦特別告知產品僅為設計原型。因此建議企業於展示時可特別標示並無意於德國販售此展品之說明、或是說明展品現行尚屬設計階段，以杜絕可能引發的侵權爭議。 三、備妥相關權利釐清或證明文件：建議企業可將檢索結果證明不侵權資料、德國註冊商標證書、德國註冊專利證書、權利移轉證書等證明文件備妥；如檢索資料非德文文件可先翻譯為德文，以備不時之需，而翻譯機構可尋找德國境內法院核可之翻譯機構進行[20]；而企業亦可逕將智財檢索委由德國律師或經德國官方核可的機構處理，即可免去翻譯手續。再者，如為著作權權利釐清或證明文件，由於德國同於我國，著作權利取得無須經由官方註冊登記，當創作完成時即取得著作人法律保障之權益，因此建議可將作品實體紙本或電腦上創作歷程（如刪減草稿圖、階段筆記）、會議記錄、工作日誌保留，如為電子檔案，可將不同修改階段分別存檔。而該等證明著作權利相關文件翻譯，亦建議可經由專業翻譯人員進行。 　　對於有意前往德國參展的企業，釜底抽薪之計實在於參展前的檢索義務，並備妥智財權利相關證明文件，提前備好訴訟程序常需之舉證文件，即可盡量避免後續不必要的冗長司法程序。 [1]德國著名國際商展，如漢諾威工業展、法蘭克福國際春季消費品展覽會、杜塞爾多夫國際醫療Medica展等。 [2]BGH vom 23.2.2017,I ZR 92/16. [3]Sascha Abrar (Löffel Abrar)，Take a seat and wonder: IP protection at trade fairs in Germany，http://trademarkblog.kluweriplaw.com/2017/07/26/take-seat-wonder-ip-protection-trade-fairs-germany/?doing_wp_cron=1592292179.2917780876159667968750，(last visisted June.18,2020). [4]BOEHMERT&BOEHMERT，No infringement of copyright protected product at (international) trade fair in Germany，https://www.boehmert.de/en/activities/bb-bulletin/no-infringement-of-copyright-protected-product-at-international-trade-fair-in-germany/，(last visisted June.18,2020). [5]LG Düsseldorf vom 18.6.2015, 14 c O 184/14. [6]§17.Abs.1 UrhG（Urheberrechtsgesetz）. [7]德國著作權法第17條第一項著作權人之散布權，意同於我國著作權法第3條第一項第12款散布權：「散布：指不問有償或無償，將著作之原件或重製物提供公眾交易或流通。」 [8]Sascha Abrar (Löffel Abrar)，Take a seat and wonder: IP protection at trade fairs in Germany，http://trademarkblog.kluweriplaw.com/2017/07/26/take-seat-wonder-ip-protection-trade-fairs-germany/?doing_wp_cron=1592292179.2917780876159667968750，(last visisted June.18,2020). [9]LG Düsseldorf vom 18.6.2015, 14 c O 184/14. [10]§15.Abs.1 UrhG（Urheberrechtsgesetz） [11]如本案原告主張被告侵害其著作重製權，即可能被法院認定為訴之聲明有理由，因依據德國著作權法第16條第一項規範，無論是臨時或永久，無論採用什麼方式、程序重製作品，亦不論重製數量多寡，該重製權僅屬於著作權人所有，故被告之行為即可能該當於侵害原告重製權；但同法第17條第一項之散布權，尚須侵權者散布此作品之原件或是副本乃出自於向公眾散布、供交易之用。因此，本案原告聲明基礎顯有疑義。 [12]OLG Düsseldorf vom 19.4.2016,I-20 U 99/15. [13]BGH vom 23.2.2017,I ZR 92/16. [14]李怡姍，從2008年CeBIT會場之檢警搜索扣押事件，談德國專利侵權之刑事責任及實務運作，智慧財產權月刊第117期，5-6頁(2008)。 [15]如，2008年時「德國漢諾威電子展（CeBIT 2008）」案，當時負責搜索與查扣的警方身著便服，產品疑有侵權疑慮之展出廠商難以分辨究竟為司法人員或是權利人；再者，警方事實上難以依照法院提供搜索票而查扣產品，導致搜索票形同一般紙張，只得任由權利人主導查扣程序，廠商又因不懂德文而難以反駁；已有委任律師處理相關爭議之廠商，即使警方知悉廠商律師即將到達，警方仍拒絕等待律師到場而逕行為查扣行為，至於後續司法程序，該案檢察官多朝向簡易判決處刑之方向處理，也有部分被告同意放棄被查扣產品、或在繳納訴訟費用擔保金後受不起訴處分。李怡姍，從2008年CeBIT會場之檢警搜索扣押事件，談德國專利侵權之刑事責任及實務運作，智慧財產權月刊第117期，7-10頁(2008)。 [16]§14,Abs.3 Nr.5 MarkenG (Markengesetz). [17]BGH vom 22.4.2010,I ZR 17/05. [18]雖以往曾有實務專家建議，可於參展前完成檢索後，請德國律師提出權利證明文件並向德國法院（商展所在地法院）申請「保護聲明」預防可能發生的民事假扣押處分，但實際上該保護聲明完全無法阻止檢索的搜索及查扣行為。故本文認為，釜底抽薪方式仍建議先預先釐清參展目的並盡檢索義務，視情況是否改變參展策略或註冊德國智財權。實務專家建議轉引自：參加德國商展遇專利爭端之因應措施，自行車市場快訊，第126期，頁131（2009）。 [19]德國現代商標法(Markenrechtsmodernisierungsgesetz，MaMoG)於2019年1月14日生效，其為滿足歐盟商標法規範，新增更多商標請樣式供選擇，如：全像圖、聲音商標；亦可申請證明標章，開放商標可為授權登記，企業可因需求申請。Bettina Clefsen, Germany: Modernized Trademark Law,http://trademarkblog.kluweriplaw.com/2019/02/04/germany-modernized-trademark-law/?doing_wp_cron=1592451592.7486619949340820312500 (last visisted June.20,2020). [20]我國不同於德國，翻譯業務並無所謂的法院認證資格，為保險起見，建議企業可請我國獲德國法院認可的翻譯人員進行文件翻譯。

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 　　根據一項網路入侵案件的統計分析，約有80%的案件事來自於機關或企業內部人員，或是至少與內部人員有關。[1]然而，對於資通訊安全與機密資訊的維護，機關單位與人員把大部分的重心放在防範外來的入侵者，也就是外部威脅，反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限，也就是因為這樣，內部威脅不易被發現。這就好比擁有大門鑰匙一般，正當合法從大門出入，以及從事本來就可以做的事，而不易被發覺。美國由於維基解密（WikiLeaks）事件的爆發，使政府對於機密維護的焦點，從外在攻擊的防止，轉聚焦於內部威脅的防範。 　　在美國，內部威脅並不是一個新的概念，公務機關本具備一定的管理措施；惟在維基解密案爆發後，帶給美國政府極大的衝擊，美國也全面檢討與創制新的因應作法，並於政策面、制度面與技術面等不同面向，進行積極的研究與合作。以下將引介美國之制度設計，藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 　　有關資訊的價值，近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例，智慧財產權與企業機密，儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩，導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關，「機密」對內部人員即成為最有價值的財產與籌碼，而公務機關可能因為內部威脅將機密外洩，造成對於國家、機關或人民產生公共安全，甚至是國家安全的危機。 （一）內部威脅的定義 　　外部威脅（External threat）」[3]係與內部威脅相對應之概念；外部威脅係指該威脅非由組織內部發生，而是由組織外部之人員或其他組織，透過一般的網際網路、互聯網系統，以未經授權之方式，對該組織之資訊設備，以植入惡意程式、或以駭客入侵等方式，進行侵入式的資訊系統攻擊，其目的係在於由外部取得該組織「有價值」的資訊。 　　為因應威脅，「威脅識別（Threat Identification）」成為威脅防禦之首要任務，按形成威脅的原因加以區分，大抵可分為「外部威脅（External Threat）」與「內部威脅（Insider Threat 或Internal Threat）」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等；相對外部威脅，係指自然災害，例如火災與地震，以及來自外部的惡意攻擊，例如盜賊、駭客、惡意程式，以及網路病毒等。[4] 　　「內部威脅」雖然被認知為威脅的一個種類，但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義，通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖（「惡意（Malicious）」），對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊（Computer Emergency Readiness Team, CERT）」認為內部威脅係指一位或多位具備存取控制（Access）的個人，意圖利用弱點侵入公司、組織，或企業的系統、服務、產品或設施，對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告（Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation）」，內部威脅係指未經授權存取控制國防部資訊系統的人員，可能為軍事人員員工（Military Member）、國防部一般僱員（Civilian Employee ）、其他聯邦機構員工，以及私部門等。[6] 　　由上述定義可得知，內部威脅係來自於組織單位的「內部」，如以行為人之意圖區分，又可細分為「惡意（Malicious）」與「過失」。因人員之過失所造成之內部威脅，大部分原因為人員對於資訊系統與之使用與管理不當所造成，例如，人員使用Email或即時通訊軟體，受到社交工程之攻擊，導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅（Malicious Insider）」，係指內部人員利用合法存取權限，為超出於其授權使用之對象、時間、範圍、目的，與用途等之行為，並意圖對於單位組織或是特定人、事、物等造成傷害，或是謀取不當利益。 　　依據惡意內部威脅事件，大約可分為以下各類型：[7] 1.IT破壞（IT Sabotage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，意圖損害一個具體的個人或組織，或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改（Theft or Modification for Financial Gain） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改（Theft or Modification for Business Advantage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他（Miscellaneous） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為非基於經濟利益或業務優勢，而進行竊盜或修改機密或專有資訊。 　　或通常會涵蓋二種以上的類型，例如：員工先行對於IT系統進行破壞，然後再試圖敲詐僱主，以協助他們恢復系統為條件換取金錢。另曾有案例為，一名前副總裁於結束工作前，複製客戶數據庫與銷售手冊，再向其他外單位組織兜售。[8] （二）內部威脅事件的發生與所造成的損失 　　依據CERT於2011年4月對於內部威脅控制的報告指出，以報告中123件資訊科技破壞（IT Sabotage）事件進行統計，內部威脅發生的時間為26%件事件發生於上班時間，35%發生於下班時間，另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看，54%事件發生於進行遠端連線時，27%發生於公司所在地，另外19%發生於不特定之地點或場所。[9] 　　有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計，可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡，或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響，所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 　　美國傳統對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。第8381號行政令，授權政府官員保護軍事與海軍基地。爾後，歷任總統以發布行政命令的方式，建置聯邦政府的機密分級標準。不過，羅斯福總統以經特定法規授權為由，後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法，[12]設法平衡總統權利。 　　歐巴馬總統上任前歷經2001年911事件的壓力，[13]以及2010年維基解密等機密外洩事件，致使歐巴馬團隊對於資訊安全以及機密維護非常重視，除了推動開放政府（Open Government），促進政府政策更公開透明的民主治理外，對於資通訊安全（Cyber Security）、機密資訊外洩的通報機制，以及內部人員（Insider）所帶來的威脅，更是採取積極的作法。[14] 　　針對內部人員對於國家安全與機密外洩的問題，歐巴馬政權立即採取相對應的措施，於2011年發布第13587號行政命令：「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革（Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information）」，與因應第13587號行政命令所規範之「內部威脅」議題，於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」的總統備忘錄。 　　部會或機關紛紛對於內部威脅採取相關防範措施，例如國務院（Department of State）對於涉及機密的網路，採用新的審查與監控的工具，而在國防部（Department of Defense）也開始開發自動偵測內部威脅的辨識系統。在情報系統方面，商務部（Department of Commerce）國家標準與技術中心（National Institute of Standards and Technology, NIST）與司法部（Department of Justice）聯邦調查局（Federal Bureau of Investigation, FBI）也訂立內部威脅指引，提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊（Computer Emergency Readiness Team，以下簡稱CERT）內部威脅中心（CERT Insider Threat Center）進行多項內部威脅的研究。 　　至今為止，歐巴馬政權對於內部威脅的防範，於法制政策提出下列各項規範： （一）總統第13587號行政命令：「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 　　由於維基解密事件的爆發，使美國將機密的維護，從對於防止外在的攻擊，轉聚焦於機密資訊的內部威脅。事件發生後，國家安全人員馬上成立跨機關小組，檢視處理機密資訊的政策與實務作法，希望可以提出解決行政部門可共用的機制，以減少類似的事件再度發生。 　　跨機關小組歷時七個多月的檢討後，對於機密資訊的保護，與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則：加強跨機關資訊有責共享的重要性；確保政策、流程與技術的安全解決方案，與監督和組織文化的發展；強調聯邦政府對於資訊必須實施一致的作法；與確保隱私、公民權和自由的保護。[15] 　　歐巴馬團隊將上述原則落實至第13587行政命令，[16]成立監督的架構，發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任，並加強跨機關資訊的流通與保護，包括電腦網路的安全，與內部威脅的機制，以減低未來國家安全機密外洩的風險。 　　第13587號行政命令大抵分為下列各大項，除此之外，聯邦政府同時已經採行增進機密資訊網路與人員的控管，例如拆卸式媒體、網路身分管理、內部威脅方案（Insider Threat Program）、存取控制的管控（Access Control）、機密網路的審核，[17]項目分為： 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任； 2.設置「資深資訊分享與安全維護推動小組（Senior Information Sharing and Safeguarding Steering Office）」； 3.成立「機密資訊流通與保護局（Classified Information Sharing and Safeguarding Office, CISSO）」； 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks)；與 5.設置「內部威脅專責小組（Insider Threat Task Force）」。 　　其中有關「內部威脅專責小組」的部分，跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕，包括利用、損害，或其他未經授權揭露機密資訊的內部威脅，並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標，建立和整合機關內部的安全與反間諜，用戶審查和監控等優先事項，以及其它機關的實作發展和保護能力。[18]除此之外，內部威脅專責小組還必須與相關單位合作，以促成政策的草擬與可行。[19] 　　專責小組的職責應包括下列： 1.制定並與行政機關協調，阻止、檢測和減輕內部威脅的政策，並提交至督導委員會檢閱； 2.與適當的機關合作，制定行政機關內部威脅方案的政策指引和最低標準，並於一年內發布，該相關指引和最低標準對於行政部門具拘束力； 3.如果有足夠的經費或經授權，繼續與適當單位合作，於一年之後，增修相關指引與最低標準； 4.如果沒有獲得足夠的經費或授權，建議由預算辦公室（Office of Management and Budget）或國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISSO）於一年之後頒布相關指引與最低標準的增修版本； 5.如仍有任何未解決的問題，以致於延宕最低標準的公布，應將問題提交給督導委員會（Steering Committee）； 6.按照專責小組所制定之方案，獨立評估相關機關單位是否適當的落實既定的政策和最低標準，並將評估結果向督導委員會提報； 7.提供機關單位援助，包括提供最佳實作案例以供參考；與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 　　由上可見，第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策，機關亦必須依照指示時程，落實內部威脅政策的偵測方案，以及監控其運作是否符合政策的目標。 （二）「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 　　雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組，負責偵測與避免內部威脅，以增進對於機密資訊的保護，以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而，機關應該如何施行的細項尚未有細緻規範，仍需等待歐巴馬團隊進一步制定，以落實於聯邦政府所屬的公務機關。 　　緣此，美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」，主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護，並加強危及國家安全的敵對勢力或內部威脅的防禦。 　　這些威脅包括潛在的間諜活動，對國家或機關單位的暴力行為，以及未經授權揭露機密資訊，包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 　　目前標準的詳細內容尚未發布，不過，依據備忘錄大約可分為下列各項： 1.蒐集、整合、集中分析和應變主要威脅相關的資訊； 2.監控人員對於機密網路的使用； 3.提供人員對於內部威脅意識的培訓； 4.保護人員的公民、自由和隱私權。 參、事件評析 　　觀察美國一連串的改革，顯見維基解密事件對於美國政府產生非常大的衝擊，更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制，對機密資訊的管理與「內部威脅」的防範進行全面檢討，並對於配套標準及措施進行增修。 　　除對於傳統以人員監督威脅的存在外，應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據，再進一步因應與確認內部威脅的存在。 　　最重要的是，該制度與措施要求全國公務機關一起合作落實，以及分享潛在內部威脅的異常警訊，才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會，張維平，日晷第4期認識公務機關資訊安全問題，取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf（最後瀏覽日：2012年11月30日）。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來，隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗，世界各地傳出多起嚴重的資料外洩事件，當然台灣也不能倖免。外洩的資料包羅萬象，而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊，另外還有最令機關防不勝防的內賊。只要有心，要在機關內部竊取資料很容易，從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟，都可當作工具，如果機關（各單位）沒有危機意識，採取防範措施，資料外洩在所難免。鑑此，籲請各單位安全連絡員，加強單位自主管理，協助單位主管加強責任區安全檢查，共同維護機關公務機密與安全。 [2]中廣新聞網．海軍共諜案，國防部：才在發展階段，影響有限，（2012年10月29日），取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html（最後瀏覽日：2012年11月30日）。 國防部軍事發言人羅紹和表示，涉案的海軍大氣海洋局前政戰處長張祉鑫，在退役後透過友人介紹，認識中共官方人員，然後再透過軍中舊識，「謀取不法利益」，保防安全部門在今年三月間接獲檢舉，依法由反情報單位展開調查行動，並移請檢調單位協助調查，順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊，資訊安全概論與實務，取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf（最後瀏覽日：2012年11月30日）。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」，「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」，與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件，以年度區分，截至2012年11月30日止，包括下列：1.2009年：「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」，與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」；2.2010年：「第13549號行政命令-國家、地方、部落，和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」；3.2011年：「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」；4.2012年：「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長（Attorney General）與國家情報局主任（Director of National Intelligence）或指定人共同擔任主席。內部威脅專責小組成員應該由國務院（Department of State）、國防部（Department of Defense）、司法部（Department of Justice）、能源部（Department of Energy）、國土安全部（Department of Homeland Security）部長所指定的人員，以及國家情報局主任（Director of National Intelligence）、中央情報局（Central Intelligence Agency），和國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISOO）等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官（Office of the National Counterintelligence Executive, ONCIX）和其他機構，於法律所允許的範圍內配置。這些人員必須是官員，或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所，以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件（Document），文件的種類根據事務類型之不同分為三大類：Executive orders（有連續編碼的行政命令）、Proclamation（公告）、Administration orders（無編號的行政命令），其下尚有不同的子分類，備忘錄則屬Administration orders下的子分類之一，總統所發布的文件效力相同，並無位階之分，http://www.archives.gov/presidential-libraries/research/guide.html（最後瀏覽日：2013年1月12日）。