網路爬蟲治理趨勢與我國法制啟示 資訊工業策進會科技法律研究所 2026年04月30日 壹、網路爬蟲治理議題背景 隨生成式人工智慧產業蓬勃發展,模型訓練對於巨量資料之依賴度與日俱增,促使網路爬蟲(Crawlers)技術運用愈發頻繁。傳統網路生態原係建立於網站經營者與網路爬蟲索引功能的導流互惠默契[1],網站容忍爬取以換取流量曝光。然而,當網路爬蟲大量爬取資料用於訓練,而非提供連結導流時,不僅造成流量分流與價值分配失衡,更損及內容產製者的廣告與訂閱收益[2]。 此經濟模式的轉變,讓技術訊號與法律意思表示長期脫節的矛盾浮上檯面。事實上,以自然語言呈現的服務條款與機器可讀的技術訊號(如 robots.txt)不一致之情形普遍存在。在搜尋引擎主導的時代,雙方多維持以資料換流量的默契,類矛盾尚能維持在技術管理層次,未釀成大規模法律對立。 如今,當爬取行為涉及訓練具備商業替代性的模型時,原本被掩蓋的技術脫節便陡然升級為法律風險。內容產製者因對傳統協定失去信任,轉向採行強硬的技術阻擋[3];而 AI開發者則因 robots.txt 結構過於簡單,難以精確辨識複雜的著作權授權意願。即便開發者主觀上有遵循意願,但在自動化爬取過程中,仍因技術工具無法即時解讀自然語言聲明,進而陷入侵害著作權或違反契約之困境。 這種從互惠轉向競爭的變化,促使全球必須正視法制層面對於技術訊號與法律意願對齊的緊迫性。目前國際主要有兩種治理路徑:一是以美國為代表,仰賴著作權法中合理使用(Fair Use)之彈性空間,透過司法個案衡酌商業替代性與轉化性利用;二是以歐盟為首,透過《數位單一市場著作權指令》(The Copyright in the Digital Single Market Directive, CDSM Directive)明文確立「文本及資料探勘(Text and Data Mining, TDM)」之法定例外[4],建立起事前規範。 相較於上述兩大主流路徑,我國目前既缺乏如歐盟般明確的法定例外制度作為避風港,在司法實務對於合理使用的解釋上也尚待更多AI相關案例累積心證,導致相關爭議高度仰賴司法事後認定,其不確定性使本土AI研發者往往須在法律風險與技術創新間艱難取捨,對產業生態系形成潛在的寒蟬效應。爰此,本文旨在爬梳歐美法規範趨勢與國內外司法實務案例,進而針對我國網路爬蟲治理路徑提出具體之政策建議。 貳、重點說明 一、網路爬蟲治理與國際趨勢 觀測全球AI治理趨勢,網路爬蟲管理議題漸受重視。相關討論已從純粹的技術攻防轉化為法律規範的核心。目前國際間主要以美國的合理使用彈性與歐盟的法定例外架構路徑為觀測重點,並輔以國際組織推動的技術標準自律。 (一)美國路徑:以合理使用為核心的事後審查 以美國為觀測對象,其著作權局(United States Copyright Office, USCO)於2025年的報告中揭示了關鍵立場:為AI訓練而建立資料集的重製行為,本質上已構成初步侵權(Prima Facie Infringement)[5],其合法性最終取決於合理使用抗辯是否成立。此見解釐清了技術上的公開可得(publicly available)並不等同於法律上的授權利用,即便內容於網際網路上可自由存取,其著作權保護並不因此消滅。 這法律定性與技術現狀的落差,直接衝擊了美國司法實務過往採取之默示授權(Implied License)理論。在早期判例(如 Parker v. Yahoo!案)[6]中,若網站未設置 robots.txt 阻擋爬蟲,法院常傾向認為權利人已默許搜尋引擎進行索引。然而,robots.txt 的初衷並非針對生成式 AI設計,其技術結構無法區分導流索引與模型內化這兩類本質迥異的行為,並導致內容產製者即便有意反對AI訓練利用,卻因缺乏精準的技術工具表達其授權意願,使法庭在個案審酌授權意圖或合理使用時,面臨證據判讀上的困境。 此外,針對大規模爬取行為,美國監理機關亦開始從著作權以外的視角強化監管。例如,聯邦貿易委員會(Federal Trade Commission, FTC)近期高度關注「普遍性擷取(Pervasive Extraction)」所涉及的隱私風險。FTC強調,即便資料經去識別化,若能透過巨量資料點反推個人敏感資訊,仍可能違反個人資料保護法規範。[7]由此可推敲,美國正透過著作權法遵與個資保護責任之雙重規範,強化對爬取行為事後責任之追究,而非單純從技術面禁止存取。 (二)歐盟路徑:以權利保留(Opt-out)為基礎的法定例外 相對於美國模式,歐盟透過《數位單一市場著作權指令》建立層次分明的TDM法定例外體系,依據利用目的之性質,區分為科學研究與一般性利用兩種目的:基於科學研究目的而進行之TDM,屬於強制性的法定例外。在此範圍內,權利人不得主張選擇退出,亦即權利人必須容忍符合公益目的之資料探勘行為;基於一般性利用目的(即科學研究目的以外),原則上允許資料爬取,但賦予權利人權利保留選擇。但權利人必須以機器可讀(Machine-readable)形式明確聲明,否則即須容忍一定程度的爬取行為。[8][9] 此制度的核心爭點在於機器可讀性與技術落實間的落差。近期歐盟實務(如荷蘭 DPG Media v. HowardsHome 案)進一步探討:若權利人僅在 robots.txt 中以自然語言註解法律聲明,該方式是否即應被認定為符合法律要求的機器可讀格式?[10]此類討論反映出歐盟司法實務正試圖釐清,在技術中立的原則下,機器可讀的判定基準是否應隨AI的辨識能力而動態調整? 亦即,若 AI 確實能辨識該聲明,則該非結構化的文字是否就已該當法律上的權利保留效力。 此外,為解決內容產製者與 AI 開發者間的價值分配失衡,歐盟亦提出引入法定衡平報酬權(Statutory Right to Equitable Remuneration)之構想,試圖透過著作權集體管理組織(Collective Management Organisations , CMOs)建立公平的利益補償模式,將商業性爬取行為由單純的侵權爭議,轉化為制度性的商業授權框架。[11] (三) 國際合作與技術標準:形塑自律框架 在法律規範之外,國際組織正積極透過軟法與技術標準化,試圖緩解內容產製者與 AI 開發者間的緊張關係。目前,觀察標竿組織重點如下: 1. OECD:探索產業自律與授權框架 在國際合作層面,經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)在報告中,探討透過資料爬取行為準則(Code of Conduct)與定型化契約等手段,形塑產業自律框架[12]的可能性,期望能透過標準化的授權條款降低雙方磋商成本,並為開發者提供更明確的法遵指引,以減輕司法事後判決不確定性所帶來的衝擊。 2. IETF:研議以「利用目的」為基礎之技術協定 針對現有技術訊號(如 robots.txt)無法精確承載法律意願之缺陷,網際網路工程任務組(IETF)相關工作小組正嘗試研發新一代技術協定(如 train-ai 標籤)。研究焦點在於建立以利用目的為基礎的識別機制,探討自然語言與機器語言銜接的技術路徑,使權利人未來能更精確地表達其授權意向(如:區分搜尋索引與 AI 訓練),進而試圖彌補技術訊號與法律意思表示間的落差。[13] 二、 國內外司法實務案例分析 觀測近期司法實務,各國法院對爬蟲行為邊界之判定趨向細緻化,且美、歐兩地在司法判斷標準與關注焦點上各具特色。 (一)美國實務:從默示授權轉向契約與反競爭之平衡 在美國實務方面,爭議核心從早期有關默示授權轉向近期契約效力與競爭政策間平衡發展的演進。法院雖曾於 Parker v. Yahoo! [14]等早期案件中認為,若網站未以技術手段(如 robots.txt)限制爬取,在搜尋快取情境下可能視為默示授權。然而,此見解在AI時代已難以擴張至大規模重製以訓練模型之範疇。 近期法院判斷標準更傾向於認為,單純缺乏技術設定並不等同於達成全面授權的意思合致。在此種技術訊號與授權意向脫節的現狀下,網站經營者轉而強化服務條款之規範,試圖以契約債權彌補技術控制之不足。然而,這也引發了服務條款拘束力邊界的法律論辯。具體而言,在 hiQ Labs v. LinkedIn [15]等案中,法律爭議核心在於《電腦詐欺與濫用法》(Computer Fraud and Abuse Act,CFAA)的適用邊界。針對技術上無需登入即可存取的公開資料(Public Data),平台方不得僅憑撤銷授權(如寄發停止並終止函或阻斷 IP)便主張資料爬取者構成CFAA之無權限存取。法院在裁定中展現其法律見解:若容許平台透過服務條款對未登入狀態下即可存取之公開資料建立壟斷性控制權,將損及資訊自由流通與競爭之公共利益。[16] (二) 歐盟實務:聚焦權利保留(退出權)之有效性認定 在歐盟司法實務方面,司法實務判斷的重點則由單純的存取權限轉向權利保留之有效性認定。此轉變反映司法機關試圖確認,在技術中立原則下,法律要求之機器可讀性應如何解釋。德國法院在 Kneschke v. LAION 案[17]中提出重要觀點,認為機器可讀性之判定應取決於利用行為發生時之技術發展水平。該判決傾向認定,若 AI 應用程式在技術上已能實質理解自然語言,則僅以自然語言撰寫的服務條款亦可能被視為有效的機器可讀聲明;相對地,荷蘭法院在 DPG Media v. HowardsHome案[18]中則採取較嚴格的檢視標準,認為若出版商僅以自然語言註解或針對特定機器人進行封鎖,但在技術執行上未能達成適當且明確之辨識程度,致使自動化工具無法將其識別為法律上的權利保留指令,該聲明仍可能被判定為無效。 上述案例顯示歐盟實務正處於探索期,試圖在法律規範與技術現狀間尋求對齊,以確立法定例外制度下權利人與利用人之間的權利義務邊界。 (三) 我國實務:側重對權利人財產權之保障 相較於美、歐司法實務傾向於在競爭政策或著作權例外框架下進行權衡,我國司法實務現階段對於權利人利益之保障呈現更為嚴謹的審視態度,且在法律適用上展現出獨特的刑事定性。在國內有關網路資料爬取的指標性案例(法源與七法案)[19]中,法院認定即便爬取之資料本身不具著作權(例如法規內容),但若行為人明知網站已設有禁止規範,卻仍利用自動化程式大規模爬取資訊,且該利用行為具備直接商業競爭目的、實質損及原告之潛在市場,則此種行為除可能構成著作權侵害外,亦將涉及《刑法》第359條之無故取得他人電腦電磁紀錄罪。此見解凸顯出我國實務高度側重保護內容產製者對於電磁紀錄之支配權與商業投資成果之完整性,使得網路爬蟲行為在臺灣法制環境下,不僅面臨民事侵權責任,更具備顯著的刑事責任風險。 三、 我國現況與產業環境觀察 我國目前針對網路爬蟲之治理模式主要由司法實務主導,且現行法制環境對於權利人利益之保障維持一貫保守且嚴謹的認定態度。在法律層面,由於我國尚未引進類似歐盟之TDM法定例外制度,我國 AI開發者在進行大規模語料收集時,僅能仰賴《著作權法》中關於合理使用之不確定法律概念進行個案認定。此類高度依賴司法事後認定的現狀,使研發過程籠罩在法遵風險之下,對產業創新形成明顯的寒蟬效應。 在技術與商業實務層面,robots.txt 等傳統技術協定在生成式AI 時代,已顯現出語義表達能力不足之侷限,難以在機器語言中精準區分流量引導與資料訓練內化兩類本質差異甚廣的授權意願。觀察整體產業環境,內容產製者與AI開發者間的衝突核心,在於資料利用已具備高度商業替代性競爭意涵,且開發者無償利用巨量資料行為,與內容產製者要求合理對價之間產生巨大鴻溝,而非單純的技術存取議題。此外,《刑法》第359條無故取得電磁紀錄罪於網路爬蟲案件中適用邊界之不確定性,不僅加劇AI開發者對於技術行為入罪化的恐懼,更因缺乏明確的付費授權路徑或法定例外,成為我國AI生態系發展中難以跨越的法律屏障。 參、事件評析 綜觀國際趨勢,網路爬蟲治理的爭議已跨越單純的技術存取爭議,演進為在AI時代下治理路徑的策略選擇。 美國雖以合理使用作為事後裁決標準,但觀察其司法實務發展,實質上已有仰賴私法契約與其他多重法規構築防護網之傾向;相對於此,歐盟則採法定例外搭配權利保留(退出權),將治理重心提前至事前規範。兩種路徑雖規範密度有別,但均試圖在著作權人與利用人之間建構可資依循的權利義務框架。 歸結而言,我國現行網路爬蟲治理困境,似並非單純的法規空白問題,更涉及技術訊號與法律表述之結構性落差。首先,我國未引進類似歐盟法定例外制度,僅能仰賴具高度不確定性之合理使用概念;其次,即便欲從私法契約角度建立事前約束,仍面臨傳統技術協定因語義表達之侷限性,難以精確傳達權利人對於導流索引與AI訓練利用之差異化授權意願,其結果往往導致技術訊號與法律服務條款內容產生落差。 面對此困境,我國未來治理路徑首要之務,或可思考建構足以縮短技術訊號與法律意思表示落差的緩衝空間,調和當前導流互惠轉向替代競爭所引發的價值分配矛盾。 [1] Yichen Zhang, Kneschke v LAION: Are Text and Data Mining Exceptions a “Get-Out-of-Jail-Free Card” for AI Training?(2025),15, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=5439454 (last visited Nov. 22, 2025). [2] Inbar Cohen, From Headlines to Al: Narrowing the Bargaining Gaps between News and AI Companies(2024), 9, https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4878254 (last visited Nov. 22, 2025). [3] UK Dep’t for Sci., Innovation & Tech., International AI Safety Report 2025 (2025), 2.3.6. Risks of copyright infringement, https://www.gov.uk/government/publications/international-ai-safety-report-2025/international-ai-safety-report-2025 (last visited Sept. 29, 2025). [4] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 32-33,https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [5] United States Copyright Office, Copyright and Artificial Intelligence Part 3: Generative AI Training pre-publication version(2025) , 26-31,https://www.copyright.gov/ai/Copyright-and-Artificial-Intelligence-Part-3-Generative-AI-Training-Report-Pre-Publication-Version.pdf (last visited Nov. 24, 2025). [6] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [7] Federal Trade Commission, “FTC Cracks Down on Mass Data Collectors: A Closer Look at Avast x-Mode,” Technology Blog, Mar. 15, 2024, https://www.ftc.gov/policy/advocacy-research/tech-at-ftc/2024/03/ftc-cracks-down-mass-data-collectors-closer-look-avast-x-mode-inmarket (last visited Nov. 24, 2025). [8] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 35-36, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [9] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 120, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [10] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [11] European Parliament, Generative AI and Copyright: Training, Creation, Regulation (2025), Policy Department for Justice, Civil Liberties and Institutional Affairs, PE 774.095, 128-129, https://www.europarl.europa.eu/RegData/etudes/STUD/2025/774095/IUST_STU(2025)774095_EN.pdf (last visited Oct. 14, 2025). [12] Organisation for Economic Co-operation and Development (OECD). Intellectual Property Issues in Artificial Intelligence Trained on Scraped Data. OECD Artificial Intelligence Papers No. 33, February 2025, 10, https://www.oecd.org/content/dam/oecd/en/publications/reports/2025/02/intellectual-property-issues-in-artificial-intelligence-trained-on-scraped-data_a07f010b/d5241a23-en.pdf (last visited Nov. 19, 2025). [13] IETF, Progress on AI Preferences(2025), https://www.ietf.org/blog/ai-pref-progress/ (last visited Nov. 26, 2025). [14] Parker v. Yahoo!, Inc., No. 07-2757, 2008 WL 4410095 (E.D. Pa. Sept. 25, 2008). [15] hiQ Labs, Inc. v. LinkedIn Corp., 31 F.4th 1180 (9th Cir. 2022). [16] Meta Platforms, Inc. v. Bright Data Ltd., 661 F. Supp. 3d 1086 (N.D. Cal. 2023). [17] Kneschke v. LAION, e.V., Case No. 310 O 227/23, Hamburg Regional Court (Landgericht Hamburg), Sept. 27 2024. Available at: https://www.wipo.int/wipolex/en/judgments/details/2381 (last visited Oct. 7, 2025). [18] DPG Media et al. v. HowardsHome, C/13/737170 / HA ZA 23-690, ECLI:NL:RBAMS:2024:6563 (Amsterdam District Court, 30 Oct. 2024). Available at: https://www.nlp.legal/xms/files/Between_labs_and_algorithms__…pdf (last visited Oct. 7, 2025). [19] 臺灣新北地方法院 114 年 6 月 24 日 111 年度智訴字第 8 號刑事判決。
日本推動數位出版產業之方式與觀察日本推動數位出版產業之方式與觀察 科技法律研究所 法律研究員 尤騰毅 2014年12月31日 壹、前言 鄰國日本的出版產業,向來以質跟量著稱於世,不過於進入數位匯流時代後,其出版產業也遭遇同樣的問題,市場上電子書數量不足以至於無法帶動日本電子書閱讀的人口,另外,加上美商Amazon大舉進入日本市場,日本出版業界與政府都認知到若不採取措施,將使日本出版產業失去利基[1]。 本文擬就日本政府在2012年提出了三個主要的電子書產業振興政策,包括前述成立「數位出版機構」、以及「內容緊急電子化事業」(コンテンツ緊急電子化事業)、文化廳(文化庁)eBook計畫等進行分析,說明日本政府如何透過計畫政策在短期內增加市場上電子書的數量,以達到經濟規模,提振電子書產業,以便我國政府在未來制定數位出版產業相關政策時之參考。 貳、重點說明 一、紙本書籍數位化之推手:出版數位機構 2011年9月,由出版業者共同成立「株式會社出版數位機構準備會」(出版デジタル機構準備会),於同年4月,透過「產業革新機構」(Innovation Network Corporation of Japan, INCJ)以及日本大型之出版社、印刷公司等共同出資成立「株式會社出版數位機構」(株式会社出版デジタル機構,英文全稱為Digital Publishing Initiatives Japan Co., Ltd,下稱Pubridge),欲藉此一個機構來加速日本電子書產業的整合,並以擴大電子出版商務市場為目標,支援出版品數位化(儲存)、電子書店和電子書仲介等傳輸業務、圖書館窗口相關業務,期能透過整備電子書基礎建設,提供讀者更理想的讀書環境 。 出版數位機構之業務分為四大領域,包括電子書仲介事業、電子書製作、數位文獻系統、讀者平台等。其中,電子書仲介事業的服務名稱為「Pubridge (publish+bridge)」[2],其所提供的服務內容,即是所謂的書籍電子化之單一窗口服務(ワンストップ,英文為One-Stop Service),提供整合服務以降低傳統出版業界進入電子書市場的門檻。所謂的單一窗口服務,即由出版數位機構擔任產業鏈的核心整合角色,將上游端的出版社紙本書籍的數位化,並提供銷售的收益分配等,並且由其提供數位化後的電子書給予電子書店等通路。主要細部的服務包括:制作(協助電子化格式製作)、發行(代為協助發行)、行銷、管理(收益分配計算)等四個面相[3]。亦即出版數位機構的定位係要成為傳統出版社進入電子書市場的中介者或經紀人。其商業模式是由出版社對出版數位機構委託業務、再由該公司傳輸給電子書商店,由電子書商店銷售給讀者;金流則由電子書商店將收取的書籍費用以獲益分享方式(Revenue share)支付費用給出版數位機構,而出版數位機構也以獲益分享方式對出版社支付收益。 二、內容緊急電子化事業 「內容緊急電子化事業」(コンテンツ緊急電子化事業)[4],係指日本經濟產業省在2012年所規劃的一項書籍電子化計畫,預計在一年的期間內(2012年)將6萬冊書籍全數電子化。該計畫之成立背景與目的,係因2011年311東日本大地震後,對東北災區之經濟活動造成嚴重影響,經濟產業省希望透過日本中小出版社所持有與東北相關書籍的電子化,由政府負擔部份電子化費用的形式,在活化萌芽期電子書市場的同時,以促進東北地區資訊向外傳遞、提高該災區知識檢索頻率,並基於鼓勵災區創造新產業,以復興災區及振興日本國內經濟[5]。就本文的觀察,該計畫的另一個目的其實在短期內大量的增加電子書數量,亦可達到活絡電子書市場之效益。 三、日本文化廳eBooks計畫 「eBooks計畫」屬於實證測試性質,主要係從國立國會圖書的館藏數位文獻中選出資料,經過著作權處理手續,從製作電子書到傳送給使用者的實驗,以釐清數位文獻商用化的課題和有效對策,並將結果將提供民間業者和公家機關作為參考。 該實驗結果發現,電子書的總下載次數總計92,517次,以初次透過網路公開電子書而言,已是不錯的成果。根據對讀者調查發現(樣本數126位),使用者特徵上男女比例相當,年齡層20、30、40歲各約1/3,上班族占67%,過去使用過電子書占半數,使用過eBooks服務後近60%會想再次使用,有61%認為能讀到珍貴的資料是這項服務最大的優點,也有30%希望能夠增加文獻數量。而讀者也認為在下載(或購買)書籍時,「摘要」充實的程度是影響下載意願的重要判斷依據,eBooks計畫公開電子書時的詳細說明對提升下載數量也有相當助益。目前國立國會圖書館可透過線點閱的文獻數約45萬件,限館內閱讀的文獻約233萬件。未來公開數位文獻的計畫仍會持續,並實驗付費方式下載的可行性,期能讓稀有資料能更容易被需要者取得,同時該計畫也建議應將國會圖書館等公部門機關,對於其所典藏書籍之著作權處理方式做成指導手冊,以確認著作權處理的標準程序[6]。 參、事件評析 日本從2010年以來為了輔導其國內傳統出版業者進入數位出版領域,所採取相關具體政策措施,本文歸納出以下三點結論與建議,供政府擬定相關政策時參考: 一、數位出版產業之推動應整合各機關共同合作 日本的出版產業其主管機關為中央文化主管部門,即文部科學省的文化廳,不過由於數位出版領域所涉及的不僅僅是文化部門,更牽涉到經濟部門以及電信基礎建設的相關部門。因此日本政府在推動數位出版時,係透過每年的智財推進計畫[7](由直屬首相的智慧財產戰略本部所制定)規劃具體方向,並依據各省廳的業務職掌進行分工,從而各省廳分頭執行發展數位出版等的相關工作。我國出版產業與日本相同,係由文化部主管,然數位出版係分屬經濟部,在推動數位出版方向上,若無統一的戰略主軸,可能會落入多頭馬車或疊床架屋的情況,又出版產業為文創產業與數位內容之源頭,建議政府應將數位出版產業的規劃提至我國每年的智財綱領中,統籌規劃未來我國數位出版產業之方向,交由相關部門執行,以避免部門之間的重工或缺漏。 二、建議透過特定機構間接協助傳統出版業者 日本的出版產業型態以中小型出版社為多,其數位出版程度與網路通路等等,皆不如大型連鎖書,惟透過「出版數位機構」的成立,整合並協助中小型出版業者,可使其更快速的進入電子書市場。我國出版產業與日本近似,以中小型出版社為多,在數位出版程度與網路通路上面臨同樣的困境。除此之外,中小型出版社有許多書籍在著作權也需要專業的法律團隊協助釐清(尤其是授權部分),建議政府可借鏡日本模式,成立特定機構或委由民間具有法律授權與資訊經驗的團隊,協助中小型出版社將既有的紙本書籍數位化,並輔導流通,跨出建立正體中文電子書市場的第一步。我國產業發展主管機關除了著重數位出版的技術層面與硬體設備外,亦可透過部分政策工作,協助傳統紙本書籍,轉成電子版,以建立電子書市場的經濟規模,已達成以軟帶硬、以硬帶軟的正向循環。 三、短期內應儘速增加電子書數量以活絡市場 由於2011年日本東北大地震,為協助民眾可以便利取的東北相關的書籍資料,經濟產業省透過「內容緊急電子化事業」計畫,在一年內完成的8萬本的數位化作業,在短時間內為日本電子書市場注入大筆的品項,除了幫助災區重建外,同時也在極短的時間內擴大日本電子書市場的經濟規模。我國電子書市場尚未成熟,很大的原因係在於傳統紙本電子化的程度不高,造成市場上的電子書數量不足。儘管「內容緊急電子化事業」主要是在協助災區資料數位化,不過其帶動的是短時間內日本電子書的數量,就短期內增加電子書數量的措施與方法,我國不妨可參考之。建議政府可以從透過計畫短期內將政府出版品或政府所擁有的著作權之作品,進行數位化作業,再將其釋放電子書市場,以提高其規模。 [1] 永田豊志,〈「電子書籍の衝撃」の衝撃――出版社の生きる道を「強み」「弱み」「機会」「脅威」で分析してみる〉,Business Media 誠,http://bizmakoto.jp/bizid/articles/1006/07/news023.html(最後瀏覽日:2013/10/20)。 [2] 該公司對外服務的名稱為「pubridge(パブリッジ)」,為pulish與bridge的複合語,參照:〈会社概要〉,株式会社出版デジタル機構,http://www.pubridge.jp/about/(最後瀏覽日:2013/09/17)。 [3] 〈電子書籍取次事業〉,株式会社出版デジタル機構,http://www.pubridge.jp/agency/(最後瀏覽日:2013/10/17)。 [4] 緊デジ:コンテンツ緊急電子化事業特設サイト,http://www.kindigi.jp(最後瀏覽日:2013/05/09)。 [5] 〈緊デジとは〉,緊デジ:コンテンツ緊急電子化事業特設サイト,http://www.kindigi.jp/about/,(最後瀏覽日:2013/05/09)。 [6] 株式会社野村総合研究所,〈電子書籍の流通と利用の円滑化に関する実証実験報告書〉,頁85(2013),http://www.bunka.go.jp/chosakuken/jikken/pdf/h24_hokokusyo.pdf(最後瀏覽日:2013/09/14)。 [7] 根據日本內閣府的網站,目前最新的智財推進計畫已經於2013年6月出爐,相關內容可參考:知的財産戦略本部,〈知的財産推進計画2013〉http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku2013.pdf(最後瀏覽日:2013/09/14)
美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 根據一項網路入侵案件的統計分析,約有80%的案件事來自於機關或企業內部人員,或是至少與內部人員有關。[1]然而,對於資通訊安全與機密資訊的維護,機關單位與人員把大部分的重心放在防範外來的入侵者,也就是外部威脅,反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限,也就是因為這樣,內部威脅不易被發現。這就好比擁有大門鑰匙一般,正當合法從大門出入,以及從事本來就可以做的事,而不易被發覺。美國由於維基解密(WikiLeaks)事件的爆發,使政府對於機密維護的焦點,從外在攻擊的防止,轉聚焦於內部威脅的防範。 在美國,內部威脅並不是一個新的概念,公務機關本具備一定的管理措施;惟在維基解密案爆發後,帶給美國政府極大的衝擊,美國也全面檢討與創制新的因應作法,並於政策面、制度面與技術面等不同面向,進行積極的研究與合作。以下將引介美國之制度設計,藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 有關資訊的價值,近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例,智慧財產權與企業機密,儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩,導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關,「機密」對內部人員即成為最有價值的財產與籌碼,而公務機關可能因為內部威脅將機密外洩,造成對於國家、機關或人民產生公共安全,甚至是國家安全的危機。 (一)內部威脅的定義 外部威脅(External threat)」[3]係與內部威脅相對應之概念;外部威脅係指該威脅非由組織內部發生,而是由組織外部之人員或其他組織,透過一般的網際網路、互聯網系統,以未經授權之方式,對該組織之資訊設備,以植入惡意程式、或以駭客入侵等方式,進行侵入式的資訊系統攻擊,其目的係在於由外部取得該組織「有價值」的資訊。 為因應威脅,「威脅識別(Threat Identification)」成為威脅防禦之首要任務,按形成威脅的原因加以區分,大抵可分為「外部威脅(External Threat)」與「內部威脅(Insider Threat 或Internal Threat)」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等;相對外部威脅,係指自然災害,例如火災與地震,以及來自外部的惡意攻擊,例如盜賊、駭客、惡意程式,以及網路病毒等。[4] 「內部威脅」雖然被認知為威脅的一個種類,但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義,通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖(「惡意(Malicious)」),對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊(Computer Emergency Readiness Team, CERT)」認為內部威脅係指一位或多位具備存取控制(Access)的個人,意圖利用弱點侵入公司、組織,或企業的系統、服務、產品或設施,對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告(Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation)」,內部威脅係指未經授權存取控制國防部資訊系統的人員,可能為軍事人員員工(Military Member)、國防部一般僱員(Civilian Employee )、其他聯邦機構員工,以及私部門等。[6] 由上述定義可得知,內部威脅係來自於組織單位的「內部」,如以行為人之意圖區分,又可細分為「惡意(Malicious)」與「過失」。因人員之過失所造成之內部威脅,大部分原因為人員對於資訊系統與之使用與管理不當所造成,例如,人員使用Email或即時通訊軟體,受到社交工程之攻擊,導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅(Malicious Insider)」,係指內部人員利用合法存取權限,為超出於其授權使用之對象、時間、範圍、目的,與用途等之行為,並意圖對於單位組織或是特定人、事、物等造成傷害,或是謀取不當利益。 依據惡意內部威脅事件,大約可分為以下各類型:[7] 1.IT破壞(IT Sabotage) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,意圖損害一個具體的個人或組織,或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改(Theft or Modification for Financial Gain) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改(Theft or Modification for Business Advantage) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他(Miscellaneous) 現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為非基於經濟利益或業務優勢,而進行竊盜或修改機密或專有資訊。 或通常會涵蓋二種以上的類型,例如:員工先行對於IT系統進行破壞,然後再試圖敲詐僱主,以協助他們恢復系統為條件換取金錢。另曾有案例為,一名前副總裁於結束工作前,複製客戶數據庫與銷售手冊,再向其他外單位組織兜售。[8] (二)內部威脅事件的發生與所造成的損失 依據CERT於2011年4月對於內部威脅控制的報告指出,以報告中123件資訊科技破壞(IT Sabotage)事件進行統計,內部威脅發生的時間為26%件事件發生於上班時間,35%發生於下班時間,另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看,54%事件發生於進行遠端連線時,27%發生於公司所在地,另外19%發生於不特定之地點或場所。[9] 有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計,可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡,或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響,所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 美國傳統對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。第8381號行政令,授權政府官員保護軍事與海軍基地。爾後,歷任總統以發布行政命令的方式,建置聯邦政府的機密分級標準。不過,羅斯福總統以經特定法規授權為由,後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法,[12]設法平衡總統權利。 歐巴馬總統上任前歷經2001年911事件的壓力,[13]以及2010年維基解密等機密外洩事件,致使歐巴馬團隊對於資訊安全以及機密維護非常重視,除了推動開放政府(Open Government),促進政府政策更公開透明的民主治理外,對於資通訊安全(Cyber Security)、機密資訊外洩的通報機制,以及內部人員(Insider)所帶來的威脅,更是採取積極的作法。[14] 針對內部人員對於國家安全與機密外洩的問題,歐巴馬政權立即採取相對應的措施,於2011年發布第13587號行政命令:「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革(Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information)」,與因應第13587號行政命令所規範之「內部威脅」議題,於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」的總統備忘錄。 部會或機關紛紛對於內部威脅採取相關防範措施,例如國務院(Department of State)對於涉及機密的網路,採用新的審查與監控的工具,而在國防部(Department of Defense)也開始開發自動偵測內部威脅的辨識系統。在情報系統方面,商務部(Department of Commerce)國家標準與技術中心(National Institute of Standards and Technology, NIST)與司法部(Department of Justice)聯邦調查局(Federal Bureau of Investigation, FBI)也訂立內部威脅指引,提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊(Computer Emergency Readiness Team,以下簡稱CERT)內部威脅中心(CERT Insider Threat Center)進行多項內部威脅的研究。 至今為止,歐巴馬政權對於內部威脅的防範,於法制政策提出下列各項規範: (一)總統第13587號行政命令:「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 由於維基解密事件的爆發,使美國將機密的維護,從對於防止外在的攻擊,轉聚焦於機密資訊的內部威脅。事件發生後,國家安全人員馬上成立跨機關小組,檢視處理機密資訊的政策與實務作法,希望可以提出解決行政部門可共用的機制,以減少類似的事件再度發生。 跨機關小組歷時七個多月的檢討後,對於機密資訊的保護,與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則:加強跨機關資訊有責共享的重要性;確保政策、流程與技術的安全解決方案,與監督和組織文化的發展;強調聯邦政府對於資訊必須實施一致的作法;與確保隱私、公民權和自由的保護。[15] 歐巴馬團隊將上述原則落實至第13587行政命令,[16]成立監督的架構,發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任,並加強跨機關資訊的流通與保護,包括電腦網路的安全,與內部威脅的機制,以減低未來國家安全機密外洩的風險。 第13587號行政命令大抵分為下列各大項,除此之外,聯邦政府同時已經採行增進機密資訊網路與人員的控管,例如拆卸式媒體、網路身分管理、內部威脅方案(Insider Threat Program)、存取控制的管控(Access Control)、機密網路的審核,[17]項目分為: 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任; 2.設置「資深資訊分享與安全維護推動小組(Senior Information Sharing and Safeguarding Steering Office)」; 3.成立「機密資訊流通與保護局(Classified Information Sharing and Safeguarding Office, CISSO)」; 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks);與 5.設置「內部威脅專責小組(Insider Threat Task Force)」。 其中有關「內部威脅專責小組」的部分,跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕,包括利用、損害,或其他未經授權揭露機密資訊的內部威脅,並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標,建立和整合機關內部的安全與反間諜,用戶審查和監控等優先事項,以及其它機關的實作發展和保護能力。[18]除此之外,內部威脅專責小組還必須與相關單位合作,以促成政策的草擬與可行。[19] 專責小組的職責應包括下列: 1.制定並與行政機關協調,阻止、檢測和減輕內部威脅的政策,並提交至督導委員會檢閱; 2.與適當的機關合作,制定行政機關內部威脅方案的政策指引和最低標準,並於一年內發布,該相關指引和最低標準對於行政部門具拘束力; 3.如果有足夠的經費或經授權,繼續與適當單位合作,於一年之後,增修相關指引與最低標準; 4.如果沒有獲得足夠的經費或授權,建議由預算辦公室(Office of Management and Budget)或國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISSO)於一年之後頒布相關指引與最低標準的增修版本; 5.如仍有任何未解決的問題,以致於延宕最低標準的公布,應將問題提交給督導委員會(Steering Committee); 6.按照專責小組所制定之方案,獨立評估相關機關單位是否適當的落實既定的政策和最低標準,並將評估結果向督導委員會提報; 7.提供機關單位援助,包括提供最佳實作案例以供參考;與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 由上可見,第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策,機關亦必須依照指示時程,落實內部威脅政策的偵測方案,以及監控其運作是否符合政策的目標。 (二)「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組,負責偵測與避免內部威脅,以增進對於機密資訊的保護,以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而,機關應該如何施行的細項尚未有細緻規範,仍需等待歐巴馬團隊進一步制定,以落實於聯邦政府所屬的公務機關。 緣此,美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」,主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護,並加強危及國家安全的敵對勢力或內部威脅的防禦。 這些威脅包括潛在的間諜活動,對國家或機關單位的暴力行為,以及未經授權揭露機密資訊,包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 目前標準的詳細內容尚未發布,不過,依據備忘錄大約可分為下列各項: 1.蒐集、整合、集中分析和應變主要威脅相關的資訊; 2.監控人員對於機密網路的使用; 3.提供人員對於內部威脅意識的培訓; 4.保護人員的公民、自由和隱私權。 參、事件評析 觀察美國一連串的改革,顯見維基解密事件對於美國政府產生非常大的衝擊,更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制,對機密資訊的管理與「內部威脅」的防範進行全面檢討,並對於配套標準及措施進行增修。 除對於傳統以人員監督威脅的存在外,應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據,再進一步因應與確認內部威脅的存在。 最重要的是,該制度與措施要求全國公務機關一起合作落實,以及分享潛在內部威脅的異常警訊,才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會,張維平,日晷第4期認識公務機關資訊安全問題,取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf(最後瀏覽日:2012年11月30日)。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來,隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗,世界各地傳出多起嚴重的資料外洩事件,當然台灣也不能倖免。外洩的資料包羅萬象,而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊,另外還有最令機關防不勝防的內賊。只要有心,要在機關內部竊取資料很容易,從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟,都可當作工具,如果機關(各單位)沒有危機意識,採取防範措施,資料外洩在所難免。鑑此,籲請各單位安全連絡員,加強單位自主管理,協助單位主管加強責任區安全檢查,共同維護機關公務機密與安全。 [2]中廣新聞網.海軍共諜案,國防部:才在發展階段,影響有限,(2012年10月29日),取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html(最後瀏覽日:2012年11月30日)。 國防部軍事發言人羅紹和表示,涉案的海軍大氣海洋局前政戰處長張祉鑫,在退役後透過友人介紹,認識中共官方人員,然後再透過軍中舊識,「謀取不法利益」,保防安全部門在今年三月間接獲檢舉,依法由反情報單位展開調查行動,並移請檢調單位協助調查,順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊,資訊安全概論與實務,取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf(最後瀏覽日:2012年11月30日)。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」,「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」,與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件,以年度區分,截至2012年11月30日止,包括下列:1.2009年:「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」,與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」;2.2010年:「第13549號行政命令-國家、地方、部落,和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」;3.2011年:「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」;4.2012年:「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長(Attorney General)與國家情報局主任(Director of National Intelligence)或指定人共同擔任主席。內部威脅專責小組成員應該由國務院(Department of State)、國防部(Department of Defense)、司法部(Department of Justice)、能源部(Department of Energy)、國土安全部(Department of Homeland Security)部長所指定的人員,以及國家情報局主任(Director of National Intelligence)、中央情報局(Central Intelligence Agency),和國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISOO)等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官(Office of the National Counterintelligence Executive, ONCIX)和其他機構,於法律所允許的範圍內配置。這些人員必須是官員,或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所,以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件(Document),文件的種類根據事務類型之不同分為三大類:Executive orders(有連續編碼的行政命令)、Proclamation(公告)、Administration orders(無編號的行政命令),其下尚有不同的子分類,備忘錄則屬Administration orders下的子分類之一,總統所發布的文件效力相同,並無位階之分,http://www.archives.gov/presidential-libraries/research/guide.html(最後瀏覽日:2013年1月12日)。
2005年我國對美專利申請件數落居外國申請人第4名在獲准件數方面,2005年我國人民向美國專利商標局申請獲准專利案件計5,993件,較上年減少16.84%,維持第3名,次於日本(31,834件)及德國(9,575件);向日本特許廳申請專利獲准案計2,305件,較上年增加24.33%,居所有外國人專利核准案件數第2名,次於美國;向歐洲專利局申請專利獲准案件計133件,較上年成長17.70%。 專利可反映一個國家或區域的創新活動,同時可展現該國或區域發揮知識力量,並將其轉換為有潛力的經濟產出的能力。專利獲准的條件是必須具新穎性、進步性及產業利用性,因此,專利的數量及其相關指標可說是衡量研究及發展(R&D)投入所獲產值的最佳工具。 根據智慧財產局最近發布之「2005年我國與美日歐專利申請暨核准概況分析」, 2005年我國向美國專利商標局、日本特許廳及歐洲專利局之申請與核准專利件數較往年雖有成長,但我國向美國申請專利件數已由2004年的居所有外國申請人之第3名下降為第4名,被南韓所超越,南韓的大幅成長值得關注。 美國依然是我國人民提出專利申請的主要國家,2005年我國人民向美國專利商標局申請專利案計16,617件,較上年增加10.36﹪,居所有外國人新申請案第4名。而南韓向美國專利商標局提出專利申請案自2003年之10,411件,成長至2004年之13,646件,2005年更以17,217件超越我國,攀至第3名。在日本方面,我國人民向日本特許廳申請專利每年超過3,000件,2005年排名第3,次於美國(9,177件)、韓國(5,990件);而在歐洲專利局方面,2005年我國人民共申請679件,有逐年增加趨勢,在亞洲國家中次於日本(21,461件)、南韓(3,853件)。