美國新發布加強軍商二用科技產品管理行動

　　美國國家公路交通安全管理局（National Highway Traffic Safety Administration, NHTSA）於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐（Cybersecurity Best Practices for the Safety of Modern Vehicles），強化政府對先進聯網車輛網路安全之把關。 　　文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊，前者主要為公司整體組織網路安全文化與監管機制之建立；後者則偏重於技術性的建議內涵。 　　「一般網路安全最佳實踐」共有45項要點，核心概念為：公司應訂定明確的網路安全評估程序，由領導階層負責相關監督責任，定期執行網路安全之風險評估及第三方公正稽核，並對其所發現之風險弱點採取保護措施並持續監控，同時應妥善保存所有網路安全相關之紀錄文件，並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時，應將產品使用者、售後服務維修商，以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 　　「車輛技術網路安全最佳實踐」共有25項，核心理念為：對於產品開發人員，應建立存取權限管理，避免有心人士濫用權限。產品所使用的加密技術應隨時更新，若車輛具備診斷功能，應慎防遭到不當利用，且應防止車輛所搭載之感測器遭到惡意干擾或改動，感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新（Over-the-air, OTA）以及公司作業軟體所產生之風險漏洞。 　　本文件屬於自願性質，無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上，例如國際標準組織與國際汽車工程師協會（International Standards Organization, ISO/SAE International, SAE）先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下，進一步提出政府對車輛網路安全要求的努力。

　　歐盟最高法院（European Court of Justice, ECJ）於2011年03月08日發表裁定，認為歐盟會員國所提出有關設立單一歐洲專利法院來統一受理歐盟境內專利訴訟之草案協議係違反歐盟條約，此裁定對於推動歐洲單一專利制度（unitary patent）勢必為一大打擊。 　　在此草案協議中，歐盟會員國及歐洲專利公約（European Patent Convention）締約國屬意設立一個全新的歐洲專利法院，並賦予其歐洲專利及未來歐洲單一專利相關的法律訴訟之管轄權，其架構下將有初審法院（court of first instance）、上訴法院（court of appeals）及專利註冊處（registry）。歐盟會員國在2009年時就此草案協議是否符合歐盟條約提請歐盟最高法院出具意見。 　　而歐盟高法院認為協議所設立之歐洲專利法院係屬歐盟架構外之國際法庭，但仍有權受理歐盟境內之專利訴訟案件，並對歐盟法律提出解釋與應用，這會剝奪歐盟會員國司法機關對專利案件的管轄權及其向歐盟最高法院申請初步裁決（preliminary ruling）等權益，以上都會影響到賦予給歐盟機構和歐盟會員國之重要權力，此為歐盟條約最基本之要件，因此，若設立歐洲專利法院將不符合歐盟法律。歐洲目前的專利制度常被視為非常繁瑣及昂貴，雖然當事人可以向歐洲專利局（European Patent Office）統一申請專利，但仍需經過各國專利局一一承認後方有效力，這明顯增加在歐洲申請專利之成本。另外，專利訴訟均屬歐洲各國法院之管轄，因此若有需要，當事人必須逐一在各國法院提出告訴，以保障其在歐洲的專利權，另又各國法院針對同一個專利也有可能會做出不同的判決，亦會造成專利權在歐洲市場執行的不便。因此，歐盟國家近年來持續推動歐洲專利制度改革，除了希望能在歐洲能建立單一專利制度之外，歐洲專利法院的設立以統一專利訴訟制度也是推動的改革之一。 　　歐盟最高法院03月08日的裁決是否會影響歐洲單一專利制度的推動，仍有待觀察，而歐盟委員會（EU Commission）針對此裁定表示將謹慎分析歐盟最高法院的判決並進一步構想適當的解決方案。另一方面，歐盟理事會（EU Council）已於03月10日發表聲明，宣布啟動強化合作（enhanced cooperation）機制以繼續朝向單一歐洲專利制度邁進。

　　所謂營業秘密相關的秘密保持命令（或稱保密令），指訴訟中當事人所提示的證據內含有營業秘密時，為防止該些證據所涵括的特定營業秘密在民事或刑事訴訟程序進行中，可能因他造請求閱覽或當事人之證據揭示義務等事由，造成該當營業秘密洩漏，得在當事人釋明後，由司法機關依當事人或第三人聲請而採取的制度性保密措施。營業秘密的核心價值與保護法益，在於其秘密性的維持，無論為技術性或業務經營上的秘密，若因相關訊息的揭露導致該資訊獨占性喪失，也將連帶使其市場價值大幅減損，基此，立法者將應實施防止秘密資訊外洩之相關措施的領域，自社會經濟活動場域擴張至訴訟場域，避免漏洞產生。 　　經司法機關發秘密保持命令所生之主要效果，包含限制該特定營業秘密僅得被使用於實施該當訴訟程序之目的，以及禁止揭露給未接受該秘密保持命令之人。此規範一方面係為確保該訴訟之當事人得有效行使防禦權，另一方面，則是考量到因訴訟程序進行中，關於營業秘密保護的規範相對完善，基於實施該當訴訟為目的之使用導致洩密的可能性較低而設。制度設計上，如我國智慧財產案件審理法第11條至15條中，針對涉及營業秘密的民事與刑事訴訟程序所制定的秘密保持命令相關規範，即為適例。

　　美國第二大連鎖商塔吉特（Target）在12月19日正式發出郵件通知客戶，表示公司資訊系統因遭駭客入侵，從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊，約莫共4千萬筆，遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心，並對資料外洩的個別民眾提供免費的信用監督作為補償。 　　每當資安事件發生時，所有防毒軟體公司及資安管理服務都會跳出來大肆評論，並宣稱這是因為沒有購買自家資安服務或產品的關係，但在塔吉特事件，此番事後諸葛的批判方式顯然不再行得通。 　　塔吉特的資訊系統先前接受過檢驗，完全符合「支付卡產業資料安全標準（PCI DSS）」，有專家評析不太可能是在銷售點管理（POS）設備上（指擁有收銀、進銷存作業功能的機器）植入惡意軟體，比較可能是從授權與結算的交換系統竊取資料。 　　塔吉特的信用卡資料外洩事件，引發了一連串的訴訟案件及犯罪調查，目前加州提起了兩件團體訴訟、奧勒岡州一件，損害賠償額估計高於5百萬美元；另外，目前至少有四州的州檢察長（Attorney General）展開了聯合調查，直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊，民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間，從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。