App Store是否得申請作為商標---Apple與Microsoft開啟戰火

英國交通部（Department for Transportation, DfT）於2023年8月30日提出「交通行動服務（MaaS）實務準則（Mobility as a Service: code of practice）」，內容針對MaaS之提供商，提出產品及服務建議。MaaS實務準則涵蓋包含以下五個面向，以提供MaaS廠商具體明確的產品設計及營運建議： 1. 交通包容性與近用性（accessibility），例如應盡力避免產品之AI演算法產生偏見、確保AI學習資料無偏差；產品介面應提供視覺、聽覺輔助功能；針對身障民眾應提供適當之交通路線建議，以及應提供偏鄉、無網路區域非線上（offline）服務管道； 2. 低碳運輸之推廣，如納入更多步行、單車等環保交通選項； 3. 友善之多元支付方式，如現金、數位支付、定期套票，並整合火車、地鐵、客運、公車之支付系統； 4. 資料分享與資料安全並重，保障使用者隱私，如採用公認之資料安全標準以及與同業簽訂資料共享契約； 5. 重視消費者權益保障，鼓勵平台間公平競爭，如釐清各參與者間之責任，避免消費者投訴無門，以及提供線上及非線上聯絡窗口，及時處理消費者需求等。

韓國2013年智財施行計畫檢討評估作法介紹 科技法律研究所 法律研究員　陳聖薇 2014年12月23日 壹、事件摘要 　　依據韓國智慧財產基本法第10條，韓國針對國家智慧財產施行計畫之執行成果，應定期進行整體檢討評估，以作為往後計畫之參考指標。為此，韓國於2014年8月11日公布「2013年度國家智財施行計畫之檢討評估結果」[1](以下簡稱2013檢討評估結果)。本文以下將簡要說明之。 　　如同「2012年度國家智財施行計畫之檢討評估結果」(以下簡稱：2012檢討評估結果)，2013檢討評估結果針對2013年度國家智財施行計畫(以下簡稱2013年施行計畫)之5大政策面向：創造、保護、運用、基礎環境、新智慧財產，以及地方自治團體等六個面向挑選出重點推動之35課題，由民間專家組成「政策評估團」，以確保評估之專業性及客觀性。而具體評估方式與指標以下分別說明之。 貳、評估方式與指標 一、評估方式 　　韓國考量到智財施行計畫之特殊性，再者，評估國家層級智財政策之成效，不僅需要評估政策成果，同時也要對政策形成、執行等政策基礎環境之確保等相關要素進行評估，以作為下一年度計畫政策之參考。 　　為確保評估之專業性及客觀性，由韓國智財委員會之民間委員、及下設之創造、保護、運用、基礎環境、新智慧財產等專門委員會之專門委員，以及地方自治團體代表等30位成員組成政策評估團。每位評估委員就各機關提出之實績報告書內容為判斷依據，再依照不同指標之特性，進行定量和定性評估。政策評估團第1次評估完畢後，就會召開調整會議，決定各推動課題之評估等級(分成優秀、普通、需要改善3個等級)為何。最後，本智財施行計畫之最終評估結果會告知相關機關，供其制定、執行政策之參考，並且運用於智慧財產財政分配方向及下年度施行計畫之制定上。 二、評估指標 　　在評估指標設計上，韓國一大特色在於其不以行政機關別為政策評估，而是以創造、保護、運用、基礎環境、新智慧財產等五大政策領域以及加上地方自治團體面向作為評估框架[2]。進一步之細部評估指標則運用國務總理室之政府業務評估(特定評估[3])基本架構，針對「政策形成–執行–成果」整個過程，分階段進行評估。此外，2013檢討評估結果是以2012檢討評估結果為基礎，將既有之指標統合、刪減後，再依據地方政策特殊性，增加地方自治團體之評估指標。指標變更事項有：依據各地方特殊性需要有針對地方量身訂作之「地方自治團體政策差別性」指標；針對識別性較弱之「推動日程之適當性」與「監督與情況變化之對應性」之指標整合。配分變更事項有：因應政策是否實際有感於民的比重日亦加重，「政策效果」之指標也加重配分；就新的指標針對中央與地方分別進行評估。詳細指標內容如下表所示 : 表1：2013年智財施行計畫之中央(地方)機關政策評估指標 區分 評估項目 評估基準 政策形成(30%/35%) 1.計畫確立之適切性(15%) 1-1.事前分析、意見蒐集之充實性(5%) 1-2.成果指標及目標值之適當性(10%) 2.政策基礎環境之確保水準(15%/20%) 2-1.推動體系之充實性(5%/10%) 2-2.資源分配之適當性(10%) 政策執行(30%) 3.推動過程之效率性(20%) 3-1. 與有關機關、政策之連結性(10%) 3-2.監督與情況變化之對應性(10%) 4.政策擴散之努力水準(10%) 4-1.政策溝通、宣傳、教育之充實性(10%) 政策成果(40%/35%) 5.政策成果及效果(40%/35%) 5-1.成果目標達成度(20%/15%) 5-2.政策效果(20%) 資料來源：韓國國家智財委員會，http://www.ipkorea.go.kr/index.do。 參、代結論 　　在前述評估機制運作下，2013檢討評估結果共列出8個優秀課題與4個待改善之課題。後續針對待改進課題，該主管機關在接受評估委員之改善意見後，會提出補充之改善計畫，表示其要如何解決政策推動之障礙因素，而國家智財委員會則會隨時檢視其執行狀況，並且適時給予政策支援。至於優秀課題部分，韓國將會提供細節資訊與相關機關共享，讓機關之間互相學習，樹立一個學習標準(benchmarking)。 　　從施行計畫、檢討評估到提供量身訂做之改善建議，顯示韓國對於建構智慧財產強國的企圖。而2012、2013檢討評估結果之經驗，也將持續提供為2014年檢討評估之參考，使智慧財產施行計畫之檢討評估能更具效率。 [1]韓國國家智慧財產委員會，2014年8月11日公布之第11回國家智財委員會決議〈13년 시행계획 점검평가결과〉。 [2]依據政策領域評估的課題計有 :創造(2)、保護(4)、活用(5)、基礎(3)、新智慧財產(4)以及地方自治課題(17)。 [3]韓國政府業務評估基本法第2條第4款，所謂特定評估，指國務總理以中央行政機關為對象，為統合管理國政，對必要之政策進行評估。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).