SONY ERICSSON最新公開之專利申請案-多模式震動定位觸控式螢幕

從北京知識產權局裁定iPhone6停售看中國大陸外觀設計專利 資策會科技法律研究所 法律研究員　翁竹霆 106年01月17日 　　中國大陸北京市知識產權局於2016年5月10日作成京知執字（2016）854－16號《專利侵權糾紛處理決定書》，依中國大陸佰利公司之請求，認定美國蘋果公司與中國大陸中復電訊設備公司在市面上銷售之iPhone6、iPhone6 plus侵害了佰利公司的外觀設計專利（專利號：ZL201430009113.9），北京市知識產權局依中國大陸專利法第60條：「未經專利權人許可，實施其專利，即侵犯其專利權，引起糾紛的，由當事人協商解決；不願協商或者協商不成的，專利權人或者利害關係人可以向人民法院起訴，也可以請求管理專利工作的部門處理。管理專利工作的部門處理時，認定侵權行為成立的，可以責令侵權人立即停止侵權行為…」，爰責令蘋果公司立即停止侵權行為，即停止銷售系爭兩款手機。 　　蘋果公司、中復公司對此停售決定不服，爰以北京市知識產權局為被告，佰利公司為有利害關係之第三人，依行政訴訟法向北京知識產權法院提起行政訴訟，要求法院撤銷該裁定，並宣告iPhone6系列手機之外觀設計並未落入佰利公司系爭專利之保護範圍。北京知識產權法院於2016年6月15日受理本案，並由三名法官、二名學者組成五人合議庭，於2016年12月7日進行公開審理，擇日宣判本案。 壹、外觀設計專利要件 　　中國大陸之外觀設計專利制度，目的在於鼓勵工業品外觀設計的創作。而據大陸專利法第2條第4項，所謂外觀設計乃指對產品的形狀、圖案或者其結合以及色彩與形狀、圖案的結合所作出的富有美感並適於工業應用的新設計。條文所揭「富有美感」，所體現的是ㄧ種美學設計，而非功能性或技術性的考慮[1] ，「適於工業應用」，亦即可供工業上大量生產之需要[2]。同法第59條第2項：「外觀設計專利的保護範圍以表示在圖片或者照片中的該產品的外觀設計為準，簡要說明可以用於解釋圖片或者照片所表示的該產品的外觀設計。」，意即外觀設計專利係對產品的外觀進行保護，故外觀專利之審查重點應在於整體外觀是否構成相同或近似。揆諸中國大陸專利法條文，外觀設計須滿足下列要件方可獲得專利法之保護： 一、適於工業應用 　　按中國大陸專利法第2條，外觀設計必須適於工業應用，此意義為外觀設計所對應之產品「能應用於產業上並形成批量生產」，且外觀設計必須應用於特定載體，如脫離特定載體之外觀設計，其專利將失其附麗，無法取得專利法之保護，又據中國大陸《專利審查指南》第1部分第3章：「不能重複生產的手工藝品、農產品、畜產品、自然物不能作為外觀設計的載體」，所謂載體，反面解釋上，應指可重複生產的產品。此要件限縮了外觀設計專利之保護範圍，如將相同的外觀設計移植到不相同、不近似的的產品上，並不侵害外觀設計專利[3]。 二、新穎性 　　此新穎性依中國大陸專利法第23條第1項，應指不屬於現有設計，亦沒有任何單位或個人就同樣的外觀設計在申請日之前向專利行政部門提出申請，並記載於申請日之後公告之專利文件。 三、區別性 　　中國大陸專利法第23條第2項：「授與專利權的外觀設計與現有設計或者現有設計特徵的組合相比，應當具有明顯區別」。此與台灣設計專利所採之創作性要件不同，創作性係以該設計所屬技藝領域中具有通常知識者為標準，區別性則是以一般消費者為標準，旨在使該設計市場上可被消費者有效區分，以符外觀設計保護之目的。 四、不予專利之消極要件 　　中國大陸專利法定有不予專利之消極要件，外觀設計如違反第5條有關公序良俗之規定，或符合第26條第1項第6款「對平面印刷品的圖案、色彩或者二者的結合作出的主要起標識作用的設計」，將無法通過審查，依法不授予專利。 貳、外觀設計專利侵權審查 　　從近年中國大陸在外觀設計專利的司法解釋和侵權實務認定上，可歸納出三個面向：一般消費者標準、整體觀察綜合判斷、整體視覺效果之影響。 一、「一般消費者標準」視產品種類而定 　　在發明專利、新型專利中，判斷一技術是否為現有技術、是否相同近似之審查是採該技術領域之熟練技術人員為標準，惟參中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第10條，人民法院在判斷系爭外觀設計專利是否相同或者近似時，是以一般消費者的知識水平和認知能力，亦即採一般消費者標準進行審查。學者更具體指出，ㄧ般消費者之知識水平和認知能力應與系爭外觀設計產品相關聯[4]，換言之，係指該類產品領域之一般消費者，故所謂「一般消費者標準」應隨產品種類不同，而有所不同。 二、棄「要部判斷」，採「整體觀察、綜合判斷」 　　過去《專利審查指南》曾採「要部判斷」的方法，判斷外觀設計是否相同或近似，然於2006年修改《專利審查指南》時，放棄此法。理由在於，「要部判斷」過度強調局部設計，可能不適當的放大外觀設計專利保護範圍，且所謂「要部」是指容易引起ㄧ般消費者注意的部位，在選擇認定何為要部上充滿不確定性，使保護邊界更難清楚界定，使實務判斷者區別對待一項設計中的不同設計特徵[5]，而流於恣意。目前判斷標準與方法，可見於中國大陸《專利審查指南》第4部分第5章：「外觀設計相同，是指涉案專利與對比設計是相同種類產品的外觀設計，並且涉案專利的全部外觀設計要素與對比設計的相應設計要素相同，其中外觀設計要素是指形狀、圖案以及色彩。」。所謂相同種類，依最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第9條，可參考外觀設計的簡要說明、國際外觀設計分類表、產品功能及銷售等實際情況認定。是否相同或近似之判斷方法則採取「整體觀察、綜合判斷」，而不可從外觀設計的部分或局部得出判斷結論，此與發明專利中，需就系爭發明專利權利請求項之全部技術特徵一一比對有明顯不同。《專利審查指南》以冷暖空調扇為例，若冷暖空調扇的底面和背面設計不足以對產品整體視覺效果產生影響，則不對其進行整體觀察、綜合判斷，意即對於一般消費者不關注的設計特徵，審查時可以選擇性忽視。 三、整體視覺效果之影響 　　中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條第1項規定「人民法院認定外觀設計專利是否相同或者近似時，應當根據授權外觀設計、被訴侵權設計的設計特徵，以外觀設計的整體視覺效果進行綜合判斷；對於主要由技術功能決定的設計特徵以及對整體視覺效果不產生影響的產品的材料、內部結構等特徵，應當不予考慮。」，此與審查指南之判斷標準應為一致，僅是最高人民法院採用略有不同之表述[6]。法院實務中亦透過判決說明外觀設計專利侵權認定與ㄧ般專利侵權認定之不同，如成都雄峰家具有限公司訴黃興貴案：「本案中，被控侵權產品與原告的專利產品均為鞋櫃，屬於相同產品，從二者的外觀形狀特徵比較A、B、C、E、F、G分別與a、b、c、e、f、g相同，D與d相似，H與h雖然存在較大差異，但上述差異並不會影響鞋櫃整體的設計風格和樣式，對ㄧ般消費者的整體視覺效果不產生影響，因此，普通消費者對被控侵權產品與原告的外觀設計專利容易相互混淆。」[7]，本案法院肯認設計特徵H和h存在較大差異，如依照ㄧ般專利侵權判斷方法，將無法認定專利侵權，惟依外觀設計專利所採之「整體觀察、綜合判斷」方法，在整體視覺效果無影響的情況下，依然可認定為專利侵權。 叄、本案認定 　　蘋果公司主張其產品與系爭專利存有極大差異，於六面視圖中均有體現。而北京市知產局則認為，經比對分析，蘋果公司系爭兩款手機與佰利公司推出之手機100C，雖然有一系列的差別，但其中圓形「home」鍵設計、側面按鍵形狀與布局、揚聲器孔與耳機插孔之排列方式等五個區別均為功能性設計，而從正面到背面的過度設計之區別屬一般消費者難以辨識之微小差異，應認二者無顯著區別，故iPhone6、iPhone6 plus落入佰利公司之專利權範圍。 　　北京市知產局主張外觀設計是ㄧ種美學設計，而非功能性之考慮，此原則經最高人民法院透過《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條予以肯認，即侵權判斷過程中，對於功能性技術特徵，應不予考慮。且北京市知產局之侵權判斷方法與成都雄峰家具有限公司訴黃興貴案一致，係採「整體觀察、綜合判斷」，縱被控侵權產品之設計與系爭專利間存有局部的巨大差異，惟無影響整體視覺效果時，仍可認定為侵害系爭專利，構成侵權。 肆、結語 　　我國專利法第121條第1項對設計之定義指對物品之全部或部分之形狀、花紋、色彩或其結合，透過視覺訴求之創作。另於同條第2項將電腦圖像設計納入設計專利保護範圍，而中國大陸專利法並無直接規定圖像設計，而係於2014年規定在其《專利審查指南》第1部分第3章中，此為台灣設計專利與大陸外觀設計專利之規範差異，二者雖有不同，但在設計定義之概念相似，使兩岸之設計專利制度有趨向一同之趨勢。 　　在產品外觀設計的保護上，專利法與著作權法可能發生重疊適用的雙重保護，二者區別在於外觀設計專利有著產品載體的限制，而著作權著眼於思想創作的保護，具體附著於何種產品載體在所不問。中國大陸法院在樂高玩具案[8[中表示：作品雖已申請外觀設計專利，但並不妨礙同時或繼續得到著作權保護。此對於創作者之智慧財產可謂多重保障。 　　惟目前中、台在外觀設計專利之申請審查要件仍容有差異，除產業利用性、新穎性外，中國大陸外觀設計專利採區別性，台灣設計專利則採創作性，二者標準不同。由於中國大陸政府輔導當地公司專利申請的同時，會傾向做出有利於當地供應商的決定，期望可透過本文就中國大陸之外觀專利申請要件與侵權判定進行之介紹，提供我國業者在兩岸進行專利布局時參考之用。 [1] 崔國斌，《專利法：原理與案例》，北京大學出版社，頁898（2016）。 [2] 曾陳明汝、蔡明誠，《兩岸暨歐美專利法》，新學林出版股份有限公司，頁71（2009）。 [3] 同註1，頁899。 [4] 羅霞，《外觀設計專利相近似的司法判斷》，人民司法第13期，頁9（2012）。 [5] 崔國斌，《專利法：原理與案例》，北京大學出版社，頁933（2016）。 [6] 崔國斌，《專利法：原理與案例》，北京大學出版社，頁939（2016）。 [7] 成都雄峰家具有限公司訴黃興貴案，四川成都中院（2010）成民初字第191號。 [8] 英特萊格公司訴可高（天津）玩具有限公司案，北京高院（2002）高民終字第279號。

2024年7月1日，美國實務界律師撰文針對使用生成式AI（Generative AI）工具可能導致的營業秘密外洩風險提出營業秘密保護管理的強化建議，其表示有研究指出約56%的工作者已經嘗試將生成式AI工具用於工作中，而員工輸入該工具的資訊中約有11%可能包含公司具有競爭力的敏感性資訊或客戶的敏感資訊，以Chat GPT為例，原始碼（Source Code）可能是第二多被提供給Chat GPT的機密資訊類型。系爭機密資訊可能被生成式AI工具提供者（AI Provider）用於訓練生成式AI模型等，進而導致洩漏；或生成式AI工具提供者可能會監控和存取公司輸入之資訊以檢查是否有不當使用，此時營業秘密可能在人工審查階段洩漏。 該篇文章提到，以法律要件而論，生成式AI有產生營業秘密之可能，因為營業秘密與著作權和專利不同之處在於「發明者不必是人類」；因此，由生成式 AI 工具協助產出的內容可能被視為營業秘密，其範圍可能包括：公司的內部 AI 平台、基礎的訓練算法和模型、輸入參數和輸出結果等。惟基於目前實務上尚未有相關案例，故生成式AI輸出結果在法律上受保護的範圍與條件仍需待後續的判例來加以明確。 實務專家提出，即使訴訟上尚未明確，企業仍可透過事前的管理措施來保護或避免營業秘密洩露，以下綜整成「人員」與「技術」兩個面向分述之： 一、人員面： 1.員工（教育訓練、合約） 在員工管理上，建議透過教育訓練使員工了解到營業秘密之定義及保護措施，並告知向生成式AI工具提供敏感資訊的風險與潛在後果；培訓後，亦可進一步限制能夠使用AI工具的員工範圍，如只有經過培訓及授權之員工才能夠存取這些AI工具。 在合約方面，建議公司可與員工簽訂或更新保密契約，納入使用生成式AI的指導方針，例如：明確規定禁止向生成式AI工具輸入公司營業秘密、客戶數據、財務信息、未公開的產品計劃等機密資訊；亦可增加相關限制或聲明條款，如「在生成式AI工具中揭露之資訊只屬於公司」、「限制公司資訊僅能存儲於公司的私有雲上」等條款。 2.生成式AI工具提供者（合約） 針對外部管理時，公司亦可透過「終端使用者授權合約（End User License Agreement，簡稱EULA）」來限制生成式AI工具提供者對於公司在該工具上「輸入內容」之使用，如輸入內容不可以被用於訓練基礎模型，或者該訓練之模型只能用在資訊提供的公司。 二、技術方面： 建議公司購買或開發自有的生成式AI工具，並將一切使用行為限縮在公司的私有雲或私有伺服器中；或透過加密、防火牆或多種編碼指令（Programmed）來避免揭露特定類型的資訊或限制上傳文件的大小或類型，防止機密資訊被誤輸入，其舉出三星公司（Samsung）公司為例，三星已限制使用Chat GPT的用戶的上傳容量為1024位元組（Bytes），以防止輸入大型文件。 綜上所述，實務界對於使用生成式AI工具可能的營業秘密風險，相對於尚未可知的訴訟攻防，律師更推薦企業透過訴訟前積極的管理來避免風險。本文建議企業可將前述建議之作法融入資策會科法所創意智財中心於2023年發布「營業秘密保護管理規範」中，換言之，企業可透過「營業秘密保護管理規範」十個單元（包括從最高管理階層角色開始的整體規劃建議、營業秘密範圍確定、營業秘密使用行為管理、員工管理、網路與環境設備管理、外部活動管理，甚至是後端的爭議處理機制，如何監督與改善等）的PDCA管理循環建立基礎的營業秘密管理，更可以透過上述建議的做法（對單元5.使用管理、單元6.1保密約定、單元6.4教育訓練、單元7.網路與環境設備管理等單元）加強針對生成式AI工具之管理。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　德國聯邦內閣2020年6月24日通過「數位家庭給付法」草案（Entwurf eines Gesetzes zur Digitalisierung von Familienleistungen），該草案由德國聯邦內政、建設及家園部（Bundesministeriums des Innern, für Bau und Heimat, BMI）及德國聯邦家庭、老年、婦女與青年部（Bundesministeriums für Familie, Senioren, Frauen und Jugend, BMFSFJ）共同提出。草案目的在使多項家庭津貼與補助可以透過網路科技整併至單一申請窗口；利用數位科技的電子治理模式，簡化繁複的紙本申請流程，使用「一鍵式」（ein Klick）服務讓民眾可透過電腦或廣為普及的智慧型手機直接申請。 　　「數位家庭給付法」草案主要規範內容下列3個面向： 整合與家庭相關之津貼或補助項目：為減輕新生兒父母或監護人（Erziehungsberechtigte）的照顧負擔，BMI及BMFSFJ欲將姓名登記、出生通報、父母津貼（Elterngeld）、育兒津貼（Kindergeld）及兒童補助（Kinderzuschlag）等5項服務合併申請（Kombiantrag），匯整至單一申請窗口。 提供機關間個資合法傳輸基礎：由於申請前述的津貼或補助項目時，申請人須向聯邦政府、各邦政府、法定健康保險機構或雇用人申請相關證明文件，未來處理公共服務之機關經申請人同意合法授權下，得跨部門調閱申請服務相關之資料。 符合資訊安全及個資保護的基礎：該法要求應建立可受信賴的數位授權控管措施，且得驗證數位身分之安全層級，相關措施應符合德國「網路近用法」（Onlinezugangsgesetz, OZG）第8條及歐盟「一般個人資料保護規則」（General Data Protection Regulation, GDPR）的規範要求。 　　聯邦內閣目前已將該草案提交予聯邦議會審查，預計最快自2022年1月1日分階段實施。然而，德國聯邦政府考量新冠肺炎疫情期間，懷孕婦女或年輕父母採用書面申請，將大幅提高感染COVID-19病毒的風險。因此，該法允許合併申請出生證明、補助或津貼，在今年（2020年）於不來梅邦（Bremen）啟動試辦計畫，另預計明年（2021年）將於其他邦展開相關電子化的申請服務。

資通安全管理法之簡介與因應 資訊工業策進會科技法律研究所 2019年6月25日 壹、事件摘要 　　隨著網路科技的進步，伴隨著資安風險的提升，世界各國對於資安防護的意識逐漸升高，紛紛訂定相關之資安防護或因應措施。為提升國內整體之資通安全防護能量，我國於107年5月經立法院三讀通過「資通安全管理法」（以下簡稱資安法），並於同年6月6日經總統公布，期望藉由資通安全管理法制化，有效管理資通安全風險，以建構安全完善的數位環境。觀諸資通安全管理法共計23條條文外，另授權主管機關訂定「資通安全管理法施行細則」、「資通安全責任等級分級辦法」、「資通安全事件通報及應變辦法、「特定非公務機關資通安全維護計畫實施情形稽核辦法」、「資通安全情資分享辦法」及「公務機關所屬人員資通安全事項獎懲辦法」等六部子法，建置了我國資通安全管理之法制框架。然而，資安法及相關子法於108年1月1日實施後，各機關於適用上不免產生諸多疑義，故本文擬就我國資通安全管理法之規範重點為扼要說明，作為各機關遵法之參考建議。 貳、重點說明 一、規範對象 　　資安法所規範之對象，主要可分為公務機關及特定非公務機關。公務機關依資安法第3條第5款之定義，指依法行使公權力之中央、地方機關（構）或公法人，但不包含軍事機關及情報機關。故公務機關包含各級中央政府、直轄市、縣（市）政府機關、依公法設立之法人（如農田水利會[1]、行政法人[2]）、公立學校、公立醫院等，均屬公務機關之範疇。惟考量軍事及情報機關之任務性質特殊，故資安法排除軍事及情報機關之適用[3]。 　　特定非公務機關依資安法第3條第6款之規定，指關鍵基礎設施提供者、公營事業及政府捐助之財團法人。關鍵基礎設施提供者另依該法第16條第1項規定，須經中央目的事業主管機關於徵詢相關公務機關、民間團體、專家學者之意見後指定，報請行政院核定，並以書面通知受核定者。須注意者為該指定行為具行政處分之性質，如受指定之特定非公務機關對此不服，則可循行政救濟程序救濟之。目前各關鍵基礎設施領域，預計將於108年下半年陸續完成關鍵基礎設施提供者之指定程序[4]。 　　此外，政府捐助之財團法人，依該法第3條第9項之規定，指其營運及資金運用計畫應依預算法第41條第3項規定送立法院，及其年度預算書應依同條第4項規定送立法院審議之財團法人。故如為地方政府捐助之財團法人，則非屬資安法所稱特定非公務機關之範圍。公營事業之認定，則可參考公營事業移轉民營條例第3條之規定，指（一）各級政府獨資或合營者；（二）政府與人民合資經營，且政府資本超過百分之五十者；（三）政府與前二款公營事業或前二款公營事業投資於其他事業，其投資之資本合計超過該投資事業資本百分之五十者。目前公營事業如臺灣電力股份有限公司、中華郵政股份有限公司、臺灣自來水股份有限公司等均屬之。 二、責任內容 　　資安法之責任架構，可區分為「事前規劃」、「事中維運」及「事後改善」等三個階段，分述如下： （一）事前規劃 　　就事前規劃部分，資安法要求各公務機關及特定非公務機關均應先規劃及訂定「資通安全維護計畫」及「資通安全事件通報應變機制」，使各機關得據此落實相關之資安防護措施，各機關並應依據資通安全責任等級分級辦法之規定，依其重要性進行責任等級之分級，辦理分級辦法中所要求之應辦事項[5]，並將應辦事項納入安全維護計畫中。 　　此外，在機關所擁有之資通系統[6]部分，各機關如有自行或委外開發資通系統，尚應依據分級辦法就資通系統進行分級（分為高、中、普三級），並就系統之等級採取相應之防護基準措施，以高級為例，從7大構面中，共須採取75項控制措施。 （二）事中維運 　　事中維運部分，資安法要求各機關應定期提出資通安全維護計畫之實施情形，上級或中央目的事業主管機關並應定期進行各機關之實地稽核及資通安全演練作業。各機關如有發生資通安全事件，應於機關知悉資通安全事件發生時，於規定時間內[7]，依機關訂定之通報應變機制採取資通安全事件之通報及損害控制或復原措施，以避免資通安全事件之擴大。 （三）事後改善 　　在事後改善部分，如各機關發生資通安全事件或於稽核時發現缺失，則均應進行相關缺失之改善，提出改善報告，並應針對缺失進行追蹤評估，以確認缺失改善之情形。 三、情資分享 　　為使資通安全情資流通，並考量網路威脅可能來自於全球各地，資安法第8條規定主管機關應建立情資分享機制，進行情資之國際合作。情資分享義務原則於公務機關間，就特定非公務機關部分，為鼓勵公私間之協力合作，故規定特定非公務機關得與中央目的事業主管機關進行情資分享。 　　我國已於107年1月將政府資安資訊分享與分析中心（G-ISAC）調整提升至國家層級並更名為「國家資安資訊分享與分析中心」（National Information Sharing and Analysis Center, N-ISAC）。透過情資格式標準化與系統自動化之分享機制，提升情資分享之即時性、正確性及完整性，建立縱向與橫向跨領域之資安威脅與訊息交流，以達到情資迅速整合、即時分享及有效應用之目的[8]。 四、罰則 　　為使資安法之相關規範得以落實，資安法就公務機關部分，訂有公務機關所屬人員資通安全事項獎懲辦法以資適用。公務機關應依據獎懲辦法之內容，配合機關內部之人事考評規定訂定獎懲基準，而獎懲辦法適用之人員，除公務人員外，尚包含機關內部之約聘僱人員。就特定非公務機關部分，資安法則另訂有相關之罰則，針對未依資安法及相關規定辦理應辦事項之特定非公務機關，中央目的事業主管機關得令限期改正，並按情節處10萬至100萬元之罰鍰。惟就資通安全事件通報部分，因考量其影響範圍層面較廣，故規定特定非公務機關如未依規定進行通報，則可處以30萬元至500萬元之罰鍰。 參、事件評析 　　公務機關及特定非公務機關為落實資安法之相關規範，勢必投入相關之資源及人力，以符合資安法之要求。考量公務機關或特定非公務機關之資源有限，故建議可從目前組織內部所採用之個人資料保護或資訊安全管理措施進行盤點與接軌，以避免資源或相關措施重複建置，以下則列舉幾點建議： 一、風險評估與安全措施 　　資安法施行細則第6條要求安全維護計畫訂定風險評估、安全防護及控制措施機制，與個人資料保護法施行細則第12條要求建立個人資料風險評估及管理機制之規定相似，故各機關於適用上可協調內部之資安與隱私保護機制，共同擬訂單位內部之風險評估方式與管理措施規範。 二、通報應變措施 　　資安法第18條要求機關應訂定資通安全事件通報應變機制，而個人資料保護法第12條亦規定有向當事人通知之義務，兩者規定雖不盡相同，惟各機關於訂定通報應變機制上，可將兩者通報應變程序進行整合，以簡化通報流程。 三、委外管理監督 　　資安法第9條要求機關負有對於委外廠商之監管義務，個人資料保護法施行細則第8條亦訂有委託機關應對受託者為適當監督之規範。兩者規範監督之內容雖不同，惟均著重對於資料安全及隱私之保護，故各機關可從資料保護層面著手，訂定資安與個人資料保護共同之檢核項目，來進行委外廠商資格之檢視，並將資安法及個人資料保護法之相關要求分別納入委外合約中。 四、資料盤點及文件保存 　　資安法施行細則第6條要求於建置安全維護計畫時，須先進行內部之資產盤點及分級，而個人資料保護法施行細則第12條中，則要求機關須訂有使用記錄、軌跡資料及證據保存之安全措施。故各機關於資產盤點時，可建立內部共同之資料盤點清單及資料管理措施，並增加資料使用軌跡紀錄，建置符合資安與個人資料之資產盤點及文件軌跡保存機制。 [1] 參水利法第12條。 [2] 參中央行政機關組織基準法第37條。 [3] 軍事及情報機關依資通安全管理法施行細則第2條規定，軍事機關指國防部及其所屬機關（構）、部隊、學校；情報機關指國家情報工作法第3條第1項第1款（包含國家安全局、國防部軍事情報局、國防部電訊發展室、國防部軍事安全總隊）及第2項規定之機關。另須注意依國家情報工作法第3條第2項規定，行政院海岸巡防署、國防部政治作戰局、國防部憲兵指揮部、內政部警政署、內政部移民署及法務部調查局等機關（構），於其主管之有關國家情報事項範圍內，視同情報機關。 [4] 羅正漢，〈臺灣資通安全管理法上路一個月，行政院資安處公布實施現況〉，iThome, 2019/02/15，https://www.ithome.com.tw/news/128789 （最後瀏覽日：2019/5/13）。 [5] 公務機關及特定非公務機關之責任等級目前分為A、B、C、D、E等五級，各機關應依據其責任等級應從管理面、技術面及認知與訓練面向，辦理相應之事項。 [6] 資通系統之定義，依資通安全管理法第3條第1款之規定，指用以蒐集、控制、傳輸、儲存、流通、刪除資訊或對資訊為其他處理、使用或分享之系統。 [7] 公務機關及特定非公務機關於知悉資通安全事件後，應於1小時內依規定進行資通安全事件之通報；如為第一、二級資通安全事件，並應於知悉事件後72小時內完成損害控制或復原作業，第三、四級資通安全事件，則應於知悉事件後36小時內完成損害控制或復原作業。 [8] 〈國家資安資訊分享與分析中心(N-ISAC)〉，行政院國家資通安全會報技術服務中心，https://www.nccst.nat.gov.tw/NISAC（最後瀏覽日：2019/5/14）。