爭議多時的日本P2P軟體Winny開發者,獲無罪判決確定

  日本著名的P2P(Peer to Peer)檔案共享軟體Winny因有侵害著作權法之公開傳輸權之爭議,兩名利用該軟體的使用者於2003年11月被日本群馬地檢起訴。隔年5月Winny軟體開發者「金子勇」因涉嫌構成幫助犯,被京都地檢起訴。全案歷經2006年京都地裁一審之有罪判決、2009年大阪高裁二審判決逆轉無罪、而檢方再上訴日本最高裁判所等程序。檢方於日前撤回上訴,並於2011年12月20日經最高裁判所裁定維持大阪高裁無罪判決,全案定讞。

 

  大阪高裁認為,軟體的開發者未必能認識使用者會將軟體使用在非法目的上,難謂構成幫助之行為,因此,開發者本身對軟體的非法使用並不需要負責。不法行的情形應該是軟體開發者去鼓勵使用者利用軟體進行非法行為。

 

  金子勇在20日召開記者會表示,網路上下載未經授權著作的問題還很多,將竭力解決相關問題,對自己之前開發的軟體而引起之相關侵權訴訟感到遺憾,並呼籲使用者誤濫用Winny,以實現更好的資訊社會。

 

  而日本「電腦軟體著作權協會」(the Association of Copyright for Computer Software)向來致力於著作權之保護工作,協會對此結果表示並不否定P2P技術本身的價值中立性,但是將來會與相關著作權保護團體攜手合作,對於類似Winny的共享軟體之非法侵害,持續推動應對之策,並運用各種手段實現著作權受保護之健全環境。

相關連結
※ 爭議多時的日本P2P軟體Winny開發者,獲無罪判決確定, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=5602&no=67&tp=1 (最後瀏覽日:2026/07/16)
引註此篇文章
你可能還會想看
虛擬的永恆與往生者個人資料運用

  逝者已矣,已不再是定律。2020年2月,韓國文化廣播公司(MBC)播放了一部紀錄片,紀錄了電視台製作團隊實現一位母親以虛擬現實VR(virtual reality)與已逝女兒重逢的過程,製作團隊透過動態捕捉技術,錄下一位兒童演員的動作,用以塑造往生者的行為動態,並重現還原往生者的聲音,製作出往生者的的三維虛擬影像。葡萄牙Henrique Jorge公司建立一個名為ETER9的社交網路,將每位用戶與AI進行配對,AI會學習複製該用戶於社交網路之行為,並可代其發表回覆與評論,即使其用戶已往生,AI仍持續運行。現今許多科技新創公司正著手研究「數位來生」,使往生者於數位中重生。   牛津網際網路研究所(Oxford Internet Institute)的一項最新研究顯示,估計約50年後,Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫,曾經創建過個人資料的用戶都不復存在,但他們的數位資訊卻永存於網際網路中,但在多數國家,往生者的資料並不是個人資料保護法令所含括的保護客體,往生者個人資料之運用勢必成為道德與法律上的重要課題。   英國阿斯頓大學的Harbinja教授表示,或可由遺囑中有無處置往生者個人資料之指示作為參考,但其亦表示在某些國家存在無法保證遺囑可得完全兌現的問題,例如,在英國遺囑中決定了個人資料的處理方式,仍可能僅被視為是個人意願,類似遺囑中選擇火葬的決定仍可能被執行者和繼承人推翻,且無法強制執行。   我國個人資料保護法施行細則第2條規定:「本法所稱個人,指現生存之自然人。」,所保護的個人資料對象是指「現生存有生命」的自然人,並不包括「往生者」,而歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利,例如匈牙利規定本人可指定特定人或由直系親屬行使本人往生後之權利、西班牙則規定繼承人有權行使GDPR第15條資料查詢權、第16條更正權和第17條刪除權,而義大利則規定親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權力。ETER9便可讓用戶設置死後停止AI代替回覆的功能,也可以指定授權往生後的帳號負責人。在數位來生的議題中,我國應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式,進而探討我國對往生者個人資料運用之相關議題。

歐洲區塊鏈數位基礎設施聯盟預計於2024年正式開始運作,將進一步擴大推動區塊鏈的公共應用服務

歐洲區塊鏈夥伴關係(European Blockchain Partnership, EBP)的成員於2023年6月正式向歐盟執委會(European Commission, EC)申請成立區塊鏈的「歐洲數位基礎設施聯盟」(European Digital Infrastructure Consortium, EDIC),若審核通過,未來歐盟將有一個正式的機構負責推動區塊鏈的發展與應用。 歐盟執委會於2023年1月發布了「2030年數位十年政策計畫」(Digital Decade Policy Programme 2030, DDPP),為促進歐盟數位轉型的大規模部署及能力建構,達到DDPP所設定的具體目標,執委會提出跨(多)國專案(Multi-Country Projects, MCPs)的概念,期待整合歐盟、各成員國、私部門的資源,以實現單一成員國無法獨立部署的數位化基礎設施。 執委會參考2009年開始陸續成立的「歐洲研究基礎設施聯盟」(European Research Infrastructure Consortium, ERIC),提出了「歐洲數位基礎設施聯盟」(EDIC)的規劃。EDIC並非由歐盟的資助計畫支持,而是由成員國申請(至少要包含3個成員國)成立以執行MCPs,EDIC具有法人格,並有獨立的財務來源;此外,EDIC成立後開放私部門參加。 2023年3月執委會發布的「數位歐洲2023~2024年工作計畫」(Digital Europe Work Programme 2023-2024)中,即將「區塊鏈」列為MCPs的重要發展項目之一。2023年6月15日於瑞典舉辦的歐盟數位大會(Digital Assembly 2023)上,執委會表示EBP及歐洲區塊鏈服務基礎設施(European Blockchain Services Infrastructure, EBSI)的相關成員國已遞交EDIC的申請。 斯洛維尼亞共和國(Republic of Slovenia)的區塊鏈小組負責人Nena Dokuzov是成立聯盟的主要推動者之一,其受訪時表示,EBSI從2018年以來,主要是由執委會以專案方式支持,未來聯盟成立以後,將能集結更充足的資源,強化歐洲區塊鏈的治理和穩定性,進一步地擴大推動歐洲區塊鏈的公共應用服務。我國「司法聯盟鏈」於2022年成立,為我國第一個跨部會、大規模的區塊鏈應用案例,並制定了跨組織協作標準規範(簡稱b-JADE),未來可持續觀測歐盟區塊鏈聯盟的發展,作為我國的參照。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

美國產學合作利益衝突管理機制

美國產學合作利益衝突管理機制 資策會科技法律研究所 法律研究員 朱啟文 104年11月27日   自從1980年美國拜度法案(Bayh-Dole Act[1])通過後,智慧財產權下放至大學與研究機構,大學有權自主把智慧財產授權予廠商甚至成立新創公司[2],從而衍生出拜度法案潛藏副作用之ㄧ:「鼓勵學術機構與私人企業將研發成果商品化,將使學術機構產生利益衝突[3]」。因此「利益衝突」問題逐漸引起各界關注,特別是大學如何兼顧好教學、研究及公共服務[4];以及研究人員、大學教授在技術移轉或研發成果商品化過程中,應該扮演的角色及獲取何種利益,常因為法律或大學政策規定的不周全、認知的不一致,而造成教研人員的困惑[5]。   產學合作的利益衝突,容易發生於顧問服務、技術移轉、贊助研究、臨床試驗、科研採購、師生指導關係、機構關係與特定贈禮等活動中,因此利益衝突管理為產學合作中不可忽視的重要措施。以往「揭露利益衝突」被視為是管理利益衝突之主要方法[6],但此種管理利益衝突措施應該加以改進,且須建立處理學研機構內利益衝突之新思維,為了健全國內產學合作發展,政府有必要率先提出更新、更有效率之利益衝突管理方式,才能達到預防、監督、控管效果。本文擬藉由美國產學合作利益衝突法制規範,及美國大學因應解決產學合作利益衝突方式,提出對於本國法制調整之建議。 壹、美國利益衝突管制類型   美國利益衝突管制規範分成兩大類型[7],一是針對政府所屬的研究機構,像美國國家衛生院NIH;另一是一般研究機構或大學(包含公、私立),當它們申請聯邦政府經費的時候所受規範。如果是對於政府所屬的研究機構,它的利益衝突規範是比後者更為嚴格,因為研究人員直接領取國家薪水和使用國家經費,負有更多「公」的任務。舉例而言:一名美國國家衛生院研究員,亦是研究阿茲海默症的知名科學家,因其研究與藥廠間的利益衝突,於2006年12月被聯邦法院判決有罪,隨後被迫從NIH 離職。三名哈佛大學醫學院教授,2009年3月由檢察官、聯邦衛生福利部進行調查,他們擔任某藥廠顧問,但同時發表研究論文,支持醫界增加使用該藥廠生產之特定藥物,被質疑有利益衝突問題[8]。 貳、美國利益衝突管制規範   美國聯邦法律規定(18 US Code §208-Acts affecting a personal financial interest[9]),凡是向聯邦政府申請研究經費的各個學術機構,無論公立或是私立,其研究人員都必須向所屬機構「申報揭露」自己及家人與產業界的的財務上利益,並接受機構的審查監督,以避免科學研究的誠實正確性被個人利益影響,確保病人或受試者的安全與權益,並且維護社會大眾對於科學研究的信賴[10]。   1995年10月公布的美國國家科學基金會(以下簡稱「NSF」)《研究員財務揭露政策[11]》,與食品藥物管理局(以下簡稱「FDA[12]」)《研究規範中的客觀性[13]》規範中,提出了相當近似的概念,均要求學研機構須訂有「書面記載利益衝突的政策,並對利益衝突的政策應落實執行」;利益衝突政策內容至少要包含(1)限定且具指標性的財務報告,(2)任命特定人檢閱此等報告,(3)管理機制實施,且當發現無法解決的問題時,應向出資機構報告等[14]。   其中NSF的《研究員財務揭露政策》規定:「當能合理地認為有顯著的利益,能直接或顯著的影響此項研究或教育活動的報告、行為、設計時,即認可在此存在利益衝突。『顯著的財產上利益』,指任何有價的物品,不限於薪水或其他服務提供對價(如諮詢費或報酬)、股本利益(如股票、股票選擇權,或其他財產利益),和智慧財產權(如專利、著作權,和其他權利的授權利潤)[15]」。 參、學研機構自主管理機制   美國對於產學利益衝突的管制,主要是透過政府、學術組織、大學等方面加以控管。就大學而言,以麻省理工學院為例,教職員雖可擔任企業顧問,但不可擔任企業的正式職員,對於個人的企業持股,必須受到各系所委員會的監督審查,在校內的研究方向亦須和其所持股公司之職責有所區別[16]。另外,哈佛大學在1993年即制訂利益衝突的行為規範,其中包括授權對象係由技轉辦公室整體評估,當教研人員與授權相關的研究成果發表時,必須公開財務利益關係及其內容[17]。而史丹佛大學關於技術授權,則有完整的標準作業流程(Research Policy Handbook)及利益衝突政策[18],可供校內教研人員依循參考。   許多美國學研機構都列有利益衝突的規範,甚至是管理利益衝突的專屬委員會,當研究人員就其研究結果牽涉個人或家人的商業利益時,原則上就不得參與該研究計畫。這也正是「美國全國醫學院聯盟[19]」(American Association of Medical Colleges,簡稱「AAMC」) 及「美國全國大學協會[20]」(Association of American Universities,簡稱「AAU」) 所建議的利益衝突規範標準;「美國大學技術經理人協會[21]」(The Association of University Technology Managers,簡稱「AUTM」)的技術移轉實務指南,對利益衝突部份也著墨甚多[22]。當學研機構明確管理標準,就能避免掉許多爭議,而能在產學合作與維持科學信任間取得平衡。 肆、結論與建議 一、美國利益衝突規範越趨嚴格   美國自1995年起便將利益衝突規範入法,早期政策比較寬鬆但隨著法令修改後逐漸趨於嚴格。2011年8月美國國家衛生主管機關[23](HHS),亦修正公布有關「公共衛生經費贊助之研究案,申請人有義務促進科學研究之客觀性」(42 C.F.R. Part 94)及「應負責的潛在契約主體」(45 C.F.R. Part 94)此二部分相關規定[24],要求接受國家衛生主管機關贊助款項或與國家衛生主管機關合作機構,必須符合上開二部分監管規定[25]。首先,除申報門檻降低外,凡與研究者在所屬機關內之工作義務或責任有關的所有利益,均須申報,不再限於1995年規定的財務上利益方須申報。其次,新規定也從原僅須向研究計劃主持人所屬機關申報的「內部揭露」,改成須向大眾公開的「外部揭露[26]」,並強制要求所有執行聯邦政府資金補助計劃之研究者,定期接受包括利益衝突相關規範在內的研究倫理訓練[27]。另外自2013年起,美國的醫材與藥品製造者,每年須定期透過電子申報方式,提供所資助學研機構與金額資料,低至10美元以上都得通報;美國聯邦衛生福利部與國民健康有關的政府資助計畫(PHS funding),針對財務利益衝突也詳加規範認定、申報及處理之措施[28]。 二、我國利益衝突政府規範不足   我國針對「科研機構及其人員利益衝突」問題,於民國100年通過修正的《科學技術基本法》第6條第3項規定,凡由政府出資的科技研究其所獲得之智慧財產及成果,關於其歸屬及運用,針對「迴避及其相關資訊之揭露事項」,授權行政院統籌及各主管機關訂定相關子法,即修訂《政府科學技術研究發展成果歸屬及運用辦法》第5條;《科學技術基本法》第17條針對「技術作價投資比例及兼任職務與數額」事項,授權行政院會同考試院訂定相關辦法,即增訂《從事研究人員兼職與技術作價投資事業管理辦法》第4至8條。目前各主管機關已陸續完成相關子法修正,要求學研機構制定內部管理機制及利益衝突規範。   雖然在《科學技術基本法》修訂後,對於產學合作利益衝突問題已有初步規範,但由我國產學合作利益衝突子法可得知,目前政府主管機關並未有ㄧ套完整、具體之產學合作利益衝突監管政策,且各主管機關標準寬鬆不ㄧ,欠缺實質完整監管機制,無法切實維持政府所資助研究計畫之客觀性。其中針對政府補助計畫所涉利益衝突的申報揭露範圍事項和具體數額,及申報揭露後之審核與糾正等,相關子法條款並未如同美國主管機關建立具體管制措施,及「向社會大眾公開揭露」之管制模式,以有效達到預防、監督、控管效果。 三、配套法令機制具體修正建議   為有效達到預防、監督、控管效果,本文建議政府參考美國衛生主管機構HHS所制定之利益衝突監管規定,制定資助機構利益衝突基本原則並提供指引協助、將研究人員含配偶及未成年子女於特定定期間內獲得超過一定金額以上報酬或股權利益、智慧財產權等重大財務利益收益列為揭露事項、要求研究人員應定期接受教育訓練、由學研機構於申請補助時及發現利益衝突時向資助機關提出報告、要求學研機構明訂解決利益衝突方式例如請該研究人員退出計畫、修改計畫、減少或消除持股等,並對未被即時查覺或管理的利益衝突事件於限期內回顧審查並向資助機關報告。透過上述內部/外部監控,蒐集學研機構之利益衝突政策及相關資訊(透明化機制),助益資助機關進行調查評估違反利益衝突情形並酌量是否必須暫停補助款之發放,如此將可進一步建立更完整、具體之產學合作利益衝突監管法令制度。 [1] Bayh-Dole Act,Landmark Law Helped Universities Lead the Way http://www.autm.net/advocacy-topics/government-issues/advocacy-public-policy/legislative-issues/bayh-dole-act/ (最後瀏覽日:2015/11/26)。 [2] 南佐民,<《拜杜法案》與美國高校的科技商業化>,《比較教育研究》,第25卷第8期,頁75-78(2004)。 [3] 王偉霖,<產學合作引發利益衝突及知識近用限制之研究>,第二屆科技發展與法律規範學術研討會,頁1-2(2008)。 [4] 新台灣國策智庫網站,<由陳垣崇事件省思台灣的國家創新系統>,http://www.braintrust.tw/article_detail/251(最後瀏覽日:2015/11/26)。 [5] 2011年6月22日檢調懷疑中研院生醫所所長陳垣崇,將兩種人體專利試劑轉移給與其親屬相關的世基公司,再轉賣回中研院,因此約談陳垣崇夫婦及其助理,以及搜索陳垣崇辦公室。陳垣崇最後以六十萬元交保。這是台灣最高學術桂冠的中研院,第一次遭檢調搜索,若遭起訴,也將是第一位院士遭到起訴。陳垣崇案,引發最大的爭議就是技轉後,科學家能否與這家公司繼續合作以及合作模式為何,此為檢調偵辦的重點。 [6] 王偉霖,<產學合作引發利益衝突及知識近用限制之研究>,第二屆科技發展與法律規範學術研討會,頁2-3(2008)。 [7] 王偉霖,<美國產學合作制度利弊之檢討-台灣科學技術基本法之借鏡>,《世新法學》,第3期,頁1-41(2006)。 [8]陳志剛,<論生物醫學產學合作中利益衝突之規範>,中原大學財經法律系碩士論文,頁23-24(2013) [9] 刑法利益衝突及除外規定:嚴格禁止國家機關行政人員(含官員與受雇主)之決定涉及其知識上、本身、配偶、未成年子女、合夥人、或其服務組織之財務利益;事先向指派其任務的長官諮詢過,完全揭露此利益;服務之需要性遠超過其潛在利益衝突;原則公開揭露,不公開為例外。https://www.law.cornell.edu/uscode/text/18/208(最後瀏覽日:2015/11/26) [10]5 C.F.R. Part 2640: Interpretation, Exemptions, Waiver Guidance Concerning 18 U.S.C. 208 (Acts Affecting a Personal Financial Interest)。http://www.oge.gov/Laws-and-Regulations/OGE-Regulations/5-C-F-R--Part-2640--Interpretation,-Exemptions,-Waiver-Guidance-Concerning-18-U-S-C--208-(Acts-Affecting-a-Personal-Financial-Interest)/(最後瀏覽日:2015/11/26)。 [11] NSF 510 CONFLICT OF INTEREST POLICIES(July 2005),http://www.nsf.gov/pubs/manuals/gpm05_131/gpm5.jsp#510(最後瀏覽日:2015/11/26)。 [12] 對於美國生技產業而言舉足輕重的管制機關食品藥物管理局(FDA),自1999年起也要求申請產品上市的藥廠和醫材公司於提出申請時,必須揭露其當做申請基礎的臨床試驗研究者,和該公司之間的財物給付和財務利益關係,以便FDA進行審查時評估上述關係是否影響研究設計及數據可信度。 [13] FDA CONFLICT OF INTEREST POLICIES,http://www.fda.gov/iceci/compliancemanuals/regulatoryproceduresmanual/ucm176718.htm#SUB3-5-1(最後瀏覽日:2015/11/26)。 [14] 劉江彬,<借鏡美國利益衝突管理>,高教技職簡訊:高教論壇,2012年10月12日,http://tekezgo.com/index.php?do=news&act=detail&id=103(最後瀏覽日:2015/11/20)。 [15] 曾瑞鈴,<院資本主義下的美國生技醫藥產業:兼論台灣現況>,《社會科學論叢》,第3卷第2期,頁119-154(2009)。 [16] 麻省理工學院:MIT Policies and Procedures-4.4 Conflict of Interest,http://web.mit.edu/policies/4/4.4.html(最後瀏覽日:2015/11/26)。 [17] 哈佛大學:Policy on Conflicts of Interest and Commitment,http://hms.harvard.edu/about-hms/integrity-academic-medicine/hms-policy/faculty-policies-integrity-science/interim-policy-statement-conflicts-interest-and-commitment(最後瀏覽日:2015/11/26)。 [18] 史丹福大學:Research Policy Handbook https://doresearch.stanford.edu/policies/research-policy-handbook,Faculty Policy on Conflict of Commitment and Interest (RPH 4.1),https://doresearch.stanford.edu/policies/research-policy-handbook/conflicts-commitment-and-interest/faculty-policy-conflict-commitment-and-interest(最後瀏覽日:2015/11/26)。 [19] American Association of Medical Colleges (AAMC), Task Force on Financial Conflicts of Interest in Clinical Research, 78 ACADEMIC MEDICINE 225 (2003), https://www.aamc.org/download/75302/data/firstreport.pdf (last visited Nov. 26, 2015) [20] Association of American Universities (AAU), Framework Document on Managing Financial Conflicts of Interest, Elements of a Conflict-of-Interest Policy 1-13 (1993), http://www.aau.edu/WorkArea/DownloadAsset.aspx?id=2690 (last visited Nov. 26, 2015) [21] The Association of University Technology Managers (AUTM), Conflicts of Interest Policies, http://www.autm.net/resources-surveys/technology-transfer-practice-manual/ttp-manual-2nd-edition/volume-1-pr-test/1/pertinent-policies/strong-conflict-of-interest-policies-strong/ (last visited Nov. 26, 2015) [22] 李素華,<美國技術移轉相關立法與機制之簡介>,《技術尖兵》,第55期,頁17(1999)。 [23]5 CFR Part 5501 - Supplemental Standards Of Ethical Conduct For Employees Of The Department Of Health And Human Services美國衛生主管機構補充標準。1995放寬取消院外活動的時間數、報酬與持股等限制,一年最高總酬勞可超過5萬美元,但是必須填寫利益衝突揭露表,目的留住高水準科學家。2005年趨嚴禁止所有的科學家從事院外的諮詢、演講等活動,賣掉所持有的生技藥物公司股份,非生技的股票必須低於1.5萬美元。https://www.law.cornell.edu/cfr/text/5/part-5501(最後瀏覽日:2015/11/26) [24] 2011 Public Health Service (PHS) Regulations: Responsibility of Applicants for Promoting Objectivity in Research for which PHS Funding is Sought (42 C.F.R. Part 50, Subpart F); Responsible Prospective Contractors (45 C.F.R. Part 94),http://grants.nih.gov/grants/policy/coi/(最後瀏覽日:2015/11/26) [25] 李毓華,<從美國生醫研究利益衝突新規範檢視我國相關法制>,《醫事法學》第19卷第2期,頁22-24(2012)。 [26] 財務揭露報告義務:填寫實質受影響組織財務利益表格-HHS Form 716 (共14頁;公開),https://ethics.od.nih.gov/forms/hhs-716f.pdf;HHS From 717-1 (共14頁;不公開),https://ethics.od.nih.gov/procedures/HHS-717-1-Employee-Instructions.pdf(最後瀏覽日:2015/11/26);美國國會2010年通過的健康保險改革立法裡,規定生醫廠商必須定期向政府申報其給付醫師及教學醫院的顧問費、研究經費、差旅費、餐費等酬勞和補助,以及其在各該公司的投資及股份,並必須對外公開揭露,一般大眾均可查詢。 [27] 劉靜怡,<透明治理與公共課責>,蘋果日報即時新聞,2014年07月11日,http://www.appledaily.com.tw/realtimenews/article/new/20140711/431221/(最後瀏覽日:2015/11/26)。 [28] 陳志剛,<論生物醫學產學合作中利益衝突之規範>,中原大學財經法律系碩士論文,頁78-84(2013)

美國網路安全相關法規與立法政策走向之概覽

美國網路安全相關法規與立法政策走向之概覽 科技法律研究所 法律研究員 沈怡伶 104年08月11日   網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。 壹、美國聯邦政府相關網路安全規範、標準及措施 一、金融業相關管制規範   對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。   另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]。 二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)   該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]。 三、醫療健康資訊相關管制規範   「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]。 貳、立法焦點新況:網路安全及網路威脅資訊共享   美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]。   針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。 現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之: 一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。 二、能破解安全控制或利用安全漏洞的方法。 三、安全漏洞。包括能指出安全漏洞存在的異常活動。 四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。 五、惡意網路命令和控制。 六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。 七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。 八、任何結合上開措施之行動。   防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。   就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。   美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。 參、小結   網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]。   就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。 [1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015). [2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015). [3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015). [4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015). [5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015). [6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015). [7] https://www.congress.gov/bill/114th-congress/senate-bill/754 [8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015). [9] Sec.2(15). [10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015). [11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015). [12] Sec.2(6). [13] Sec.2(7). [14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。 [15]Paul et al., supra note 2, at 2.

TOP