英國資訊委員辦公室首次對違反資料保護案件開罰

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 　　根據一項網路入侵案件的統計分析，約有80%的案件事來自於機關或企業內部人員，或是至少與內部人員有關。[1]然而，對於資通訊安全與機密資訊的維護，機關單位與人員把大部分的重心放在防範外來的入侵者，也就是外部威脅，反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限，也就是因為這樣，內部威脅不易被發現。這就好比擁有大門鑰匙一般，正當合法從大門出入，以及從事本來就可以做的事，而不易被發覺。美國由於維基解密（WikiLeaks）事件的爆發，使政府對於機密維護的焦點，從外在攻擊的防止，轉聚焦於內部威脅的防範。 　　在美國，內部威脅並不是一個新的概念，公務機關本具備一定的管理措施；惟在維基解密案爆發後，帶給美國政府極大的衝擊，美國也全面檢討與創制新的因應作法，並於政策面、制度面與技術面等不同面向，進行積極的研究與合作。以下將引介美國之制度設計，藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 　　有關資訊的價值，近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例，智慧財產權與企業機密，儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩，導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關，「機密」對內部人員即成為最有價值的財產與籌碼，而公務機關可能因為內部威脅將機密外洩，造成對於國家、機關或人民產生公共安全，甚至是國家安全的危機。 （一）內部威脅的定義 　　外部威脅（External threat）」[3]係與內部威脅相對應之概念；外部威脅係指該威脅非由組織內部發生，而是由組織外部之人員或其他組織，透過一般的網際網路、互聯網系統，以未經授權之方式，對該組織之資訊設備，以植入惡意程式、或以駭客入侵等方式，進行侵入式的資訊系統攻擊，其目的係在於由外部取得該組織「有價值」的資訊。 　　為因應威脅，「威脅識別（Threat Identification）」成為威脅防禦之首要任務，按形成威脅的原因加以區分，大抵可分為「外部威脅（External Threat）」與「內部威脅（Insider Threat 或Internal Threat）」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等；相對外部威脅，係指自然災害，例如火災與地震，以及來自外部的惡意攻擊，例如盜賊、駭客、惡意程式，以及網路病毒等。[4] 　　「內部威脅」雖然被認知為威脅的一個種類，但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義，通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖（「惡意（Malicious）」），對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊（Computer Emergency Readiness Team, CERT）」認為內部威脅係指一位或多位具備存取控制（Access）的個人，意圖利用弱點侵入公司、組織，或企業的系統、服務、產品或設施，對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告（Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation）」，內部威脅係指未經授權存取控制國防部資訊系統的人員，可能為軍事人員員工（Military Member）、國防部一般僱員（Civilian Employee ）、其他聯邦機構員工，以及私部門等。[6] 　　由上述定義可得知，內部威脅係來自於組織單位的「內部」，如以行為人之意圖區分，又可細分為「惡意（Malicious）」與「過失」。因人員之過失所造成之內部威脅，大部分原因為人員對於資訊系統與之使用與管理不當所造成，例如，人員使用Email或即時通訊軟體，受到社交工程之攻擊，導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅（Malicious Insider）」，係指內部人員利用合法存取權限，為超出於其授權使用之對象、時間、範圍、目的，與用途等之行為，並意圖對於單位組織或是特定人、事、物等造成傷害，或是謀取不當利益。 　　依據惡意內部威脅事件，大約可分為以下各類型：[7] 1.IT破壞（IT Sabotage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，意圖損害一個具體的個人或組織，或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改（Theft or Modification for Financial Gain） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改（Theft or Modification for Business Advantage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他（Miscellaneous） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為非基於經濟利益或業務優勢，而進行竊盜或修改機密或專有資訊。 　　或通常會涵蓋二種以上的類型，例如：員工先行對於IT系統進行破壞，然後再試圖敲詐僱主，以協助他們恢復系統為條件換取金錢。另曾有案例為，一名前副總裁於結束工作前，複製客戶數據庫與銷售手冊，再向其他外單位組織兜售。[8] （二）內部威脅事件的發生與所造成的損失 　　依據CERT於2011年4月對於內部威脅控制的報告指出，以報告中123件資訊科技破壞（IT Sabotage）事件進行統計，內部威脅發生的時間為26%件事件發生於上班時間，35%發生於下班時間，另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看，54%事件發生於進行遠端連線時，27%發生於公司所在地，另外19%發生於不特定之地點或場所。[9] 　　有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計，可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡，或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響，所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 　　美國傳統對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。第8381號行政令，授權政府官員保護軍事與海軍基地。爾後，歷任總統以發布行政命令的方式，建置聯邦政府的機密分級標準。不過，羅斯福總統以經特定法規授權為由，後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法，[12]設法平衡總統權利。 　　歐巴馬總統上任前歷經2001年911事件的壓力，[13]以及2010年維基解密等機密外洩事件，致使歐巴馬團隊對於資訊安全以及機密維護非常重視，除了推動開放政府（Open Government），促進政府政策更公開透明的民主治理外，對於資通訊安全（Cyber Security）、機密資訊外洩的通報機制，以及內部人員（Insider）所帶來的威脅，更是採取積極的作法。[14] 　　針對內部人員對於國家安全與機密外洩的問題，歐巴馬政權立即採取相對應的措施，於2011年發布第13587號行政命令：「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革（Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information）」，與因應第13587號行政命令所規範之「內部威脅」議題，於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」的總統備忘錄。 　　部會或機關紛紛對於內部威脅採取相關防範措施，例如國務院（Department of State）對於涉及機密的網路，採用新的審查與監控的工具，而在國防部（Department of Defense）也開始開發自動偵測內部威脅的辨識系統。在情報系統方面，商務部（Department of Commerce）國家標準與技術中心（National Institute of Standards and Technology, NIST）與司法部（Department of Justice）聯邦調查局（Federal Bureau of Investigation, FBI）也訂立內部威脅指引，提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊（Computer Emergency Readiness Team，以下簡稱CERT）內部威脅中心（CERT Insider Threat Center）進行多項內部威脅的研究。 　　至今為止，歐巴馬政權對於內部威脅的防範，於法制政策提出下列各項規範： （一）總統第13587號行政命令：「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 　　由於維基解密事件的爆發，使美國將機密的維護，從對於防止外在的攻擊，轉聚焦於機密資訊的內部威脅。事件發生後，國家安全人員馬上成立跨機關小組，檢視處理機密資訊的政策與實務作法，希望可以提出解決行政部門可共用的機制，以減少類似的事件再度發生。 　　跨機關小組歷時七個多月的檢討後，對於機密資訊的保護，與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則：加強跨機關資訊有責共享的重要性；確保政策、流程與技術的安全解決方案，與監督和組織文化的發展；強調聯邦政府對於資訊必須實施一致的作法；與確保隱私、公民權和自由的保護。[15] 　　歐巴馬團隊將上述原則落實至第13587行政命令，[16]成立監督的架構，發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任，並加強跨機關資訊的流通與保護，包括電腦網路的安全，與內部威脅的機制，以減低未來國家安全機密外洩的風險。 　　第13587號行政命令大抵分為下列各大項，除此之外，聯邦政府同時已經採行增進機密資訊網路與人員的控管，例如拆卸式媒體、網路身分管理、內部威脅方案（Insider Threat Program）、存取控制的管控（Access Control）、機密網路的審核，[17]項目分為： 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任； 2.設置「資深資訊分享與安全維護推動小組（Senior Information Sharing and Safeguarding Steering Office）」； 3.成立「機密資訊流通與保護局（Classified Information Sharing and Safeguarding Office, CISSO）」； 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks)；與 5.設置「內部威脅專責小組（Insider Threat Task Force）」。 　　其中有關「內部威脅專責小組」的部分，跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕，包括利用、損害，或其他未經授權揭露機密資訊的內部威脅，並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標，建立和整合機關內部的安全與反間諜，用戶審查和監控等優先事項，以及其它機關的實作發展和保護能力。[18]除此之外，內部威脅專責小組還必須與相關單位合作，以促成政策的草擬與可行。[19] 　　專責小組的職責應包括下列： 1.制定並與行政機關協調，阻止、檢測和減輕內部威脅的政策，並提交至督導委員會檢閱； 2.與適當的機關合作，制定行政機關內部威脅方案的政策指引和最低標準，並於一年內發布，該相關指引和最低標準對於行政部門具拘束力； 3.如果有足夠的經費或經授權，繼續與適當單位合作，於一年之後，增修相關指引與最低標準； 4.如果沒有獲得足夠的經費或授權，建議由預算辦公室（Office of Management and Budget）或國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISSO）於一年之後頒布相關指引與最低標準的增修版本； 5.如仍有任何未解決的問題，以致於延宕最低標準的公布，應將問題提交給督導委員會（Steering Committee）； 6.按照專責小組所制定之方案，獨立評估相關機關單位是否適當的落實既定的政策和最低標準，並將評估結果向督導委員會提報； 7.提供機關單位援助，包括提供最佳實作案例以供參考；與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 　　由上可見，第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策，機關亦必須依照指示時程，落實內部威脅政策的偵測方案，以及監控其運作是否符合政策的目標。 （二）「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 　　雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組，負責偵測與避免內部威脅，以增進對於機密資訊的保護，以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而，機關應該如何施行的細項尚未有細緻規範，仍需等待歐巴馬團隊進一步制定，以落實於聯邦政府所屬的公務機關。 　　緣此，美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」，主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護，並加強危及國家安全的敵對勢力或內部威脅的防禦。 　　這些威脅包括潛在的間諜活動，對國家或機關單位的暴力行為，以及未經授權揭露機密資訊，包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 　　目前標準的詳細內容尚未發布，不過，依據備忘錄大約可分為下列各項： 1.蒐集、整合、集中分析和應變主要威脅相關的資訊； 2.監控人員對於機密網路的使用； 3.提供人員對於內部威脅意識的培訓； 4.保護人員的公民、自由和隱私權。 參、事件評析 　　觀察美國一連串的改革，顯見維基解密事件對於美國政府產生非常大的衝擊，更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制，對機密資訊的管理與「內部威脅」的防範進行全面檢討，並對於配套標準及措施進行增修。 　　除對於傳統以人員監督威脅的存在外，應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據，再進一步因應與確認內部威脅的存在。 　　最重要的是，該制度與措施要求全國公務機關一起合作落實，以及分享潛在內部威脅的異常警訊，才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會，張維平，日晷第4期認識公務機關資訊安全問題，取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf（最後瀏覽日：2012年11月30日）。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來，隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗，世界各地傳出多起嚴重的資料外洩事件，當然台灣也不能倖免。外洩的資料包羅萬象，而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊，另外還有最令機關防不勝防的內賊。只要有心，要在機關內部竊取資料很容易，從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟，都可當作工具，如果機關（各單位）沒有危機意識，採取防範措施，資料外洩在所難免。鑑此，籲請各單位安全連絡員，加強單位自主管理，協助單位主管加強責任區安全檢查，共同維護機關公務機密與安全。 [2]中廣新聞網．海軍共諜案，國防部：才在發展階段，影響有限，（2012年10月29日），取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html（最後瀏覽日：2012年11月30日）。 國防部軍事發言人羅紹和表示，涉案的海軍大氣海洋局前政戰處長張祉鑫，在退役後透過友人介紹，認識中共官方人員，然後再透過軍中舊識，「謀取不法利益」，保防安全部門在今年三月間接獲檢舉，依法由反情報單位展開調查行動，並移請檢調單位協助調查，順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊，資訊安全概論與實務，取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf（最後瀏覽日：2012年11月30日）。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」，「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」，與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件，以年度區分，截至2012年11月30日止，包括下列：1.2009年：「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」，與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」；2.2010年：「第13549號行政命令-國家、地方、部落，和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」；3.2011年：「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」；4.2012年：「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長（Attorney General）與國家情報局主任（Director of National Intelligence）或指定人共同擔任主席。內部威脅專責小組成員應該由國務院（Department of State）、國防部（Department of Defense）、司法部（Department of Justice）、能源部（Department of Energy）、國土安全部（Department of Homeland Security）部長所指定的人員，以及國家情報局主任（Director of National Intelligence）、中央情報局（Central Intelligence Agency），和國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISOO）等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官（Office of the National Counterintelligence Executive, ONCIX）和其他機構，於法律所允許的範圍內配置。這些人員必須是官員，或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所，以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件（Document），文件的種類根據事務類型之不同分為三大類：Executive orders（有連續編碼的行政命令）、Proclamation（公告）、Administration orders（無編號的行政命令），其下尚有不同的子分類，備忘錄則屬Administration orders下的子分類之一，總統所發布的文件效力相同，並無位階之分，http://www.archives.gov/presidential-libraries/research/guide.html（最後瀏覽日：2013年1月12日）。

　　專利蟑螂（Paten Troll）與非專利實施實體（Non-Practicing Entity, NPE）乃係本身不進行任何生產製造或產品銷售，藉由購買專利權（少數亦自行研發），以專利授權或專利訴訟為主要手段，對其他公司啟動專利攻擊，進而收取授權金或賠償金為營利目標之公司總稱。NPE約自2001年開始出現迅速成長，2011年因NPE專利訴訟與授權所造成的花費高達290億美金，較2005年的70億美金成長400%，而其中僅有不到25%是用於研發創新，超過25%用於訴訟。 　　美國國會智庫機構，國會研究處（Congressional Research Service, CRS）於今年（2012）8月20日發表「專利蟑螂爭議概要」（An Overview of the "Patent Trolls" Debate）研究報告，分析專利蟑螂的行為及其影響，並提出改善方法及建議： 　　一、建議限制資訊科技的專利保護，然而此舉可能違反WTO下TRIPS之規定（Agreement on Trade-Related Aspects of Intellectual Property Rights）。 　　二、許多專利蟑螂與NPE利用專利申請得提出延續案（Continuation），延長專利審查的保密期間。使得他公司可能在不知情下使用該專利而造成侵權。因此建議取消申請中專利提出延續案，並適度公開申請中專利案資訊。 　　三、限制專利蟑螂與NPE申請美國ITC（International Trade Commission）的禁制令，取消專利推定效力，或改變專利授權金計算方式等。 　　四、縮短專利權期間或增加專利之維持費。 　　五、仿效商標法上放棄（abandonment）／怠於行使（laches）商標權之抗辯，對於長期未實施之專利，原告需負舉證責任，證明其有進行該專利之研發、商品化或授權。 　　六、建議專利轉讓或授權皆應強制公開，以促進市場效率。

中國大陸知識產權海關保護措施與因應對策 資策會科技法律研究所 法律研究員　林宜臻 104年12月30日 　　中國大陸是仿冒品的產銷大國，仿冒品除了於中國大陸盛行之外，更有可能於中國大陸製造後出口至海外銷售。若仿冒品不慎從中國大陸市場擴散至海外市場，將增加企業監控打擊仿冒品的成本。中國大陸為因應仿冒品的進出口，設置了知識產權(台灣稱為智慧財產權，以下同)海關保護規範和配套措施。企業可透過海關保護的行政力量，達到監控、扣留(台灣稱為查扣，以下同)仿冒品進出口的效果。甚至當仿冒品案件的損害達到一定金額時，海關會主動將案件移送刑事公安部門，權利人可利用公安部門介入調查仿冒案件的契機，找出整個仿冒製假鏈，進而從製假源頭開始打擊仿冒品。建議企業可妥善利用知識產權海關保護措施，以達成降低仿冒品擴散海外的風險。 壹、事件摘要 　　企業啟動知識產權海關保護措施有兩種方式，其一為事先將欲受保護之知識產權於「知識產權海關保護系統」中備案，其二為由企業自行監控仿冒品進出口情形，針對個案提出扣留申請。 　　第一種方式，權利人將知識產權在海關備案系統中登錄後，海關在日常監控進出口貨物時會依照權利人的備案內容檢查進出口貨物。當海關發現有疑似侵權的產品欲通關時，會主動將貨物扣留並通報權利人，權利人可立即知悉有仿冒品欲進出口並派員處理。若確認貨物的確有侵權疑慮，再向海關申請扣留該批貨物。扣留後海關即會調查貨物是否構成侵權，若發現案件侵害情節重大，即會將案件移送公安部門進行刑事立案。 　　第二種方式，若企業未事先於知識產權海關保護系統中備案，則可於發現仿冒貨品進出口的資訊後，個案向海關提出扣留申請[1]。權利人申請海關扣留，應繳納與貨物等值的擔保金[2]，提出申請書、證明文件[3]及足以證明侵權事實明顯存在的證據，證明貨物即將進出口且未經許可使用了其知識產權，始可向海關申請扣留貨物。海關依權利人的申請而扣留貨物後，不會調查該批貨品究竟侵權與否，而是留待權利人自行調查並該批仿冒品的相關業者起訴。若權利人在一定期限內沒有在法院起訴，則海關將放行貨物。 　　對企業而言，自行花時間成本監控是否有仿冒貨物進出口是較為困難且成效有限的。中國大陸各地關口甚多，可能因無法確切掌握仿冒品進出口的口岸和貨物進出口資訊而錯失申請查處的良機。根據中國海關總署的統計，查獲仿冒品的方式中，經權利人登錄備案而海關依職權扣留仿冒品的比例為99%，大幅超過依申請扣留的1%[4]。由此可知，有備案而海關主動依職權查緝扣留仿冒品的成效，遠超過企業自行查緝仿冒品進出口後申請扣留的成效。而若為海關依職權扣留，更有可能由海關移送公安部門而啟動刑事調查，降低企業自行蒐證調查的困難。 　　建議企業可積極執行知識產權海關備案，讓海關主動依職權查扣仿冒品，為企業減少日常監控所花費的人力資源等成本，並有效提升查扣成效。另外，即使於系統中完成備案，亦應於企業內部建立備案的相關因應機制，避免因未及達成海關扣留程序上的要求，而讓海關放行仿冒品，無法達成海關備案的目的。本文以下介紹企業執行備案採取知識產權海關保護措施時，企業內部應注意的事項及應建立的因應流程。 貳、重點說明 一、備案啟動海關知識產保護 　　在中國大陸註冊取得的商標權、專利權或符合著作權法中的著作權皆可登錄備案，有權登錄備案者為知識產權權利人。目前海關總署不接受知識產權的被許可人(台灣稱為被授權人，以下同)提出的備案申請，但是被許可人可以作為代理人代表權利人申請備案。中國大陸地區以外的權利人，則必須委託境內的自然人、法人或者其他組織（例如境外權利人在境內設立的辦事機構）向海關總署申請備案。備案系統為線上申請，於系統註冊成功後根據欄位填入對應資料[5]並隨附權利證明[6]，填寫並上傳完成相關證明文件後，系統即會提交至海關總署審核。海關總署將在收到申請後的30個工作日內作出准駁決定。備案申請費用一案為人民幣800元[7]，備案有效期為十年，於知識產權權利有效期限內可續展備案，每次續展十年。知識產權失效者或無續展者，海關備案失效。 　　因海關查緝仿冒品係依據備案內容審核進出口貨物，故備案時提供的資料與仿冒品查緝成效有相當程度的關聯，例如若備案時未詳細填寫合法授權人名單，將可能會導致合法經銷授權人進出口貨物遭海關扣留，延誤通關時間，或可能遭仿冒業者假冒為經銷授權人的名義進出口貨物，使海關誤認而放行。是故企業於備案系統中填寫資料時應力求詳盡完備，備案完成後若相關資料有所變更(例如經銷/代理商等授權名單變動)，應及時於備案系統中更新。 二、扣留流程中的注意事項 　　海關在監控進出口貨物時，若發現貨物有侵犯備案知識產權疑慮者，將書面通知備案權利人。權利人自通知送達日起3個工作日內需提出確認扣留申請並繳納擔保金，始可扣留該批貨物。申請扣留需出具扣留申請書、侵權鑑定書，並繳納擔保金。易言之，自收到海關扣留通知起只有3個工作天的時間可準備申請書、鑑定書和籌措擔保金，假設企業內部事先未建立相關處理流程，很容易因時間延誤而無法提出扣留申請，平白喪失扣留仿冒品的機會。建議企業在收到海關通知後，盡快派員前往海關現場處理侵權鑑定事宜，並應事先作成鑑定侵權貨物時的侵權檢視要點，避免人員特地到現場鑑定卻無功而返，反而浪費寶貴的時間。有備案的情形下，扣留所需的擔保金上限為十萬元[8]，建議企業可事先編列經費支付申請海關扣留擔保金的來源，避免無法在期限內籌措擔保金而錯過扣留機會。權利人逾期未提出申請或未提供擔保者，海關不得扣留貨物[9]。 　　海關扣留貨物後，自扣留之日起30個工作日內完成貨物侵權調查認定，不能認定是否侵權者亦會書面通知權利人[10]。海關調查時，若認定仿冒案件侵害情節重大[11]，會將案件移送公安部門刑事立案，立案成功後公安即介入以刑事案件調查仿冒貨物。若仿冒貨物可藉由海關刑事移送而轉以刑事案件調查，將可藉由公安部門的刑事力量降低企業自行蒐證上的困難。故在海關調查的階段，建議企業可積極提供侵權事證給海關，並確認海關核算的侵害金額是否合理，以確保可達刑事移送的標準。海關扣留的同時，權利人應積極向法院起訴，否則若海關調查完畢認定不侵權或無法認定是否侵權，且又未收到法院發出的協助執行通知，即會放行該批貨物[12]。另外，待案件結束後可向海關請求返還擔保金，返還的金額應為繳納的擔保金金額扣除處理仿冒貨物所發生的倉儲或侵權貨物銷毀等費用。但因擔保金返還的時程並未明文規定於知識產權海關保護相關條文中，故建議企業在案件結束後可積極向海關跟催擔保金返還進度，以免因延宕過久而不了了之。 參、小結 　　企業妥善利用知識產權海關保護措施，可更及時地阻止仿冒品進出口，避免仿冒侵權損失進一步擴大至其他市場。啟動知識產權海關保護措施可分為事先備案，和企業自行監控發現仿冒品欲進出口後向海關個案申請扣留兩種方式。若企業有執行海關備案，不需自行監控仿冒品的進出口，海關即會根據備案資料針對進出口貨物進行侵權與否的比對，發現有疑似侵權的貨品欲通關，即會扣留該批貨品並通知權利人處理，確認扣留後海關更會主動調查貨物的侵權情形。而透過知識產權海關保護措施的執行，企業更有機會藉由海關行政查處或移送刑事部門立案後的調查，取得更多仿冒品的相關資訊和證據，進而有效且徹底的打擊整個仿冒產業鏈，降低仿冒再發的風險。 　　除了事先於海關備案系統登錄備案外，企業亦應於企業內部建立海關扣留仿冒品的因應流程，以確保知識產權海關保護措施可發揮最大的效益。權利人在海關備案系統登錄欲受保護的知識產權後，海關即會於日常審閱報關單時依據權利人在備案系統中登錄的資料扣留有侵權疑慮的貨品。建議企業應盡可能詳盡填寫備案系統中的欄位並提供相關佐證資料，若備案完成後資料有任何更動也應即時在系統中更新，以提升海關查緝扣留仿冒品的機率。收到海關扣留通知後因提出確認扣留申請的時間很短，建議應事先做成侵權檢視要點清單，提高現場人員的鑑定效率，並預先編列支付擔保金的預算，以免超過支付期限而無法扣留。海關調查期間則應積極提供仿冒貨物的侵權證據給海關，並確保仿冒貨品的侵害金額計算無誤，以促成海關將案件移送刑事公安部門立案。同時建議企業應盡快向法院提起訴訟，避免海關因誤判貨物未侵權而放行。案件結束後應注意積極跟催擔保金返還進度，以免擔保金石沉大海。除此之外，因從收到海關通知到企業提出扣留申請的期限很短，建議企業應提早在企業內部建立海關扣留應對處理流程(包含權責主管及人員、處理時限、經費來源、外部合作顧問單位等)，以及時因應侵權案件的處理，使知識產權海關保護措施發揮最大效益，盡可能降低仿冒品擴散到海外市場的風險。 [1]中華人民共和國知識產權海關保護條例第12條：「知識產權權利人發現侵權嫌疑貨物即將進出口的，可以向貨物進出境地海關提出扣留侵權嫌疑貨物的申請。」 [2]中華人民共和國知識產權海關保護條例第14條：「知識產權權利人請求海關扣留侵權嫌疑貨物的，應當向海關提供不超過貨物等值的擔保，用於賠償可能因申請不當給收貨人、發貨人造成的損失，以及支付貨物由海關扣留後的倉儲、保管和處置等費用。」 未備案而依申請扣押的情形中，企業需負擔與貨物等值的擔保金金額，亦即擔保金金額無上限。而若有備案而依職權扣押，則擔保金支付最高上限為十萬元，大幅限縮了企業的負擔，是故此亦為建議企業事先備案的原因之一。 [3]中華人民共和國知識產權海關保護條例第13條：「知識產權權利人請求海關扣留侵權嫌疑貨物的，應當提交申請書及相關證明文件，並提供足以證明侵權事實明顯存在的證據。 申請書應當包括下列主要內容： （一）知識產權權利人的名稱或者姓名、註冊地或者國籍等； （二）知識產權的名稱、內容及其相關資訊； （三）侵權嫌疑貨物收貨人和發貨人的名稱； （四）侵權嫌疑貨物名稱、規格等； （五）侵權嫌疑貨物可能進出境的口岸、時間、運輸工具等。」 [4]海關總署政策法規司(2013)，《中國海關知識產權保護狀況及備案名錄(2013)》，北京：中國海關出版社 [5]中華人民共和國知識產權海關保護條例實施辦法第6條：「知識產權權利人向海關總署申請知識產權海關保護備案的，應當向海關總署提交申請書。申請書應當包括以下內容： （一） 知識產權權利人的名稱或者姓名、註冊地或者國籍、通信地址、連絡人姓名、電話和傳真號碼、電子郵箱位址等。 （二） 註冊商標的名稱、核定使用商品的類別和商品名稱、商標圖形、註冊有效期、註冊商標的轉讓、變更、續展情況等；作品的名稱、創作完成的時間、作品的類別、作品圖片、作品轉讓、變更情況等；專利權的名稱、類型、申請日期、專利權轉讓、變更情況等。 （三）被許可人的名稱、許可使用商品、許可期限等。 （四）知識產權權利人合法行使知識產權的貨物的名稱、產地、進出境地海關、進出口商、主要特徵、價格等。 （五）已知的侵犯知識產權貨物的製造商、進出口商、進出境地海關、主要特徵、價格等。 知識產權權利人應當就其申請備案的每一項知識產權單獨提交一份申請書。知識產權權利人申請國際註冊商標備案的，應當就其申請的每一類商品單獨提交一份申請書。」 [6] 權利證明文件如商標註冊證、著作權自願登記證明或可證明為著作權人的資料、專利證書等。其他文件如授權他人使用的合約、權利人合法行使知識產權的貨物及包裝照片、已知侵權貨物進出口資訊等。 [7]費用以「權利」計案。例如，五個專利使用在一個商品上，需提出五件備案申請；一個專利用在五種商品上，只需提出一件備案申請。 [8]中華人民共和國知識產權海關保護條例實施辦法第23條：「有事先備案之知識產權權利人請求海關扣留侵權嫌疑貨物的，應當按照以下規定向海關提供擔保： （一）貨物價值不足人民幣2萬元的，提供相當於貨物價值的擔保； （二）貨物價值為人民幣2萬至20萬元的，提供相當於貨物價值50％的擔保，但擔保金額不得少於人民幣2萬元； （三）貨物價值超過人民幣20萬元的，提供人民幣10萬元的擔保。」 [9]中華人民共和國知識產權海關保護條例第16條 [10]中華人民共和國知識產權海關保護條例第20條 [11] 例如侵害金額達十五萬元以上、著作權盜版光碟達五百片以上者。 [12]中華人民共和國知識產權海關保護條例第24條：「有下列情形之一的，海關應當放行被扣留的侵權嫌疑貨物： （一）海關依照本條例第十五條的規定扣留侵權嫌疑貨物，自扣留之日起20個工作日內未收到人民法院協助執行通知的； （二）海關依照本條例第十六條的規定扣留侵權嫌疑貨物，自扣留之日起50個工作日內未收到人民法院協助執行通知，並且經調查不能認定被扣留的侵權嫌疑貨物侵犯知識產權的； （三）涉嫌侵犯專利權貨物的收貨人或者發貨人在向海關提供與貨物等值的擔保金後，請求海關放行其貨物的； （四）海關認為收貨人或者發貨人有充分的證據證明其貨物未侵犯知識產權權利人的知識產權的； （五）在海關認定被扣留的侵權嫌疑貨物為侵權貨物之前，知識產權權利人撤回扣留侵權嫌疑貨物的申請的。」

　　中國大陸於2017年8月在杭州設立網路法院（Internet court），專責處理網路購物、線上著作侵權等涉及網路爭議之案件。該法院網站設有「線上訴訟平台」，當事人在該平台使用手機號碼註冊帳號後，可遞交起訴狀和相應的證據材料，勾選所需依據的法律條文，系統將自動讀取該當事人之相關身分資訊、線上交易過程及各類表單資料。 　　近日該網路法院針對一線上著作權侵權案件，於審判過程中採用區塊鏈電子數據作為證據，等同認可區塊鏈電子存證之法律效力。由於區塊鏈作為去中心化的數據庫，每筆網路交易訊息皆同步於整個區塊鏈網路，因此區塊鏈有著難以竄改、刪除的特性。杭州網路法院將從第三方存證平台的資格、侵權網頁取證技術可信度及區塊鏈電子數據保存完整性進行審查，對本案電子數據之證據效力作出認定。 　　杭州網路法院認為，對於採用區塊鏈等技術進行存證之電子數據，應秉承開放、中立的態度進行個案分析認定，不得因為區塊鏈等技術本身屬於新型且複雜之技術而排斥或提高其認定標準。本案認可區塊鏈技術存證之法律效力，將對區塊鏈未來應用發展有很大的影響，隨著技術發展逐步成熟，產業應用的實際效果也愈發顯著。