歐洲藥物管理局修正發布「藥品交互作用試驗指針」提升用藥安全與效用

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 　　根據一項網路入侵案件的統計分析，約有80%的案件事來自於機關或企業內部人員，或是至少與內部人員有關。[1]然而，對於資通訊安全與機密資訊的維護，機關單位與人員把大部分的重心放在防範外來的入侵者，也就是外部威脅，反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限，也就是因為這樣，內部威脅不易被發現。這就好比擁有大門鑰匙一般，正當合法從大門出入，以及從事本來就可以做的事，而不易被發覺。美國由於維基解密（WikiLeaks）事件的爆發，使政府對於機密維護的焦點，從外在攻擊的防止，轉聚焦於內部威脅的防範。 　　在美國，內部威脅並不是一個新的概念，公務機關本具備一定的管理措施；惟在維基解密案爆發後，帶給美國政府極大的衝擊，美國也全面檢討與創制新的因應作法，並於政策面、制度面與技術面等不同面向，進行積極的研究與合作。以下將引介美國之制度設計，藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 　　有關資訊的價值，近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例，智慧財產權與企業機密，儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩，導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關，「機密」對內部人員即成為最有價值的財產與籌碼，而公務機關可能因為內部威脅將機密外洩，造成對於國家、機關或人民產生公共安全，甚至是國家安全的危機。 （一）內部威脅的定義 　　外部威脅（External threat）」[3]係與內部威脅相對應之概念；外部威脅係指該威脅非由組織內部發生，而是由組織外部之人員或其他組織，透過一般的網際網路、互聯網系統，以未經授權之方式，對該組織之資訊設備，以植入惡意程式、或以駭客入侵等方式，進行侵入式的資訊系統攻擊，其目的係在於由外部取得該組織「有價值」的資訊。 　　為因應威脅，「威脅識別（Threat Identification）」成為威脅防禦之首要任務，按形成威脅的原因加以區分，大抵可分為「外部威脅（External Threat）」與「內部威脅（Insider Threat 或Internal Threat）」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等；相對外部威脅，係指自然災害，例如火災與地震，以及來自外部的惡意攻擊，例如盜賊、駭客、惡意程式，以及網路病毒等。[4] 　　「內部威脅」雖然被認知為威脅的一個種類，但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義，通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖（「惡意（Malicious）」），對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊（Computer Emergency Readiness Team, CERT）」認為內部威脅係指一位或多位具備存取控制（Access）的個人，意圖利用弱點侵入公司、組織，或企業的系統、服務、產品或設施，對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告（Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation）」，內部威脅係指未經授權存取控制國防部資訊系統的人員，可能為軍事人員員工（Military Member）、國防部一般僱員（Civilian Employee ）、其他聯邦機構員工，以及私部門等。[6] 　　由上述定義可得知，內部威脅係來自於組織單位的「內部」，如以行為人之意圖區分，又可細分為「惡意（Malicious）」與「過失」。因人員之過失所造成之內部威脅，大部分原因為人員對於資訊系統與之使用與管理不當所造成，例如，人員使用Email或即時通訊軟體，受到社交工程之攻擊，導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅（Malicious Insider）」，係指內部人員利用合法存取權限，為超出於其授權使用之對象、時間、範圍、目的，與用途等之行為，並意圖對於單位組織或是特定人、事、物等造成傷害，或是謀取不當利益。 　　依據惡意內部威脅事件，大約可分為以下各類型：[7] 1.IT破壞（IT Sabotage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，意圖損害一個具體的個人或組織，或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改（Theft or Modification for Financial Gain） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改（Theft or Modification for Business Advantage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他（Miscellaneous） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為非基於經濟利益或業務優勢，而進行竊盜或修改機密或專有資訊。 　　或通常會涵蓋二種以上的類型，例如：員工先行對於IT系統進行破壞，然後再試圖敲詐僱主，以協助他們恢復系統為條件換取金錢。另曾有案例為，一名前副總裁於結束工作前，複製客戶數據庫與銷售手冊，再向其他外單位組織兜售。[8] （二）內部威脅事件的發生與所造成的損失 　　依據CERT於2011年4月對於內部威脅控制的報告指出，以報告中123件資訊科技破壞（IT Sabotage）事件進行統計，內部威脅發生的時間為26%件事件發生於上班時間，35%發生於下班時間，另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看，54%事件發生於進行遠端連線時，27%發生於公司所在地，另外19%發生於不特定之地點或場所。[9] 　　有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計，可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡，或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響，所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 　　美國傳統對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。第8381號行政令，授權政府官員保護軍事與海軍基地。爾後，歷任總統以發布行政命令的方式，建置聯邦政府的機密分級標準。不過，羅斯福總統以經特定法規授權為由，後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法，[12]設法平衡總統權利。 　　歐巴馬總統上任前歷經2001年911事件的壓力，[13]以及2010年維基解密等機密外洩事件，致使歐巴馬團隊對於資訊安全以及機密維護非常重視，除了推動開放政府（Open Government），促進政府政策更公開透明的民主治理外，對於資通訊安全（Cyber Security）、機密資訊外洩的通報機制，以及內部人員（Insider）所帶來的威脅，更是採取積極的作法。[14] 　　針對內部人員對於國家安全與機密外洩的問題，歐巴馬政權立即採取相對應的措施，於2011年發布第13587號行政命令：「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革（Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information）」，與因應第13587號行政命令所規範之「內部威脅」議題，於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」的總統備忘錄。 　　部會或機關紛紛對於內部威脅採取相關防範措施，例如國務院（Department of State）對於涉及機密的網路，採用新的審查與監控的工具，而在國防部（Department of Defense）也開始開發自動偵測內部威脅的辨識系統。在情報系統方面，商務部（Department of Commerce）國家標準與技術中心（National Institute of Standards and Technology, NIST）與司法部（Department of Justice）聯邦調查局（Federal Bureau of Investigation, FBI）也訂立內部威脅指引，提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊（Computer Emergency Readiness Team，以下簡稱CERT）內部威脅中心（CERT Insider Threat Center）進行多項內部威脅的研究。 　　至今為止，歐巴馬政權對於內部威脅的防範，於法制政策提出下列各項規範： （一）總統第13587號行政命令：「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 　　由於維基解密事件的爆發，使美國將機密的維護，從對於防止外在的攻擊，轉聚焦於機密資訊的內部威脅。事件發生後，國家安全人員馬上成立跨機關小組，檢視處理機密資訊的政策與實務作法，希望可以提出解決行政部門可共用的機制，以減少類似的事件再度發生。 　　跨機關小組歷時七個多月的檢討後，對於機密資訊的保護，與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則：加強跨機關資訊有責共享的重要性；確保政策、流程與技術的安全解決方案，與監督和組織文化的發展；強調聯邦政府對於資訊必須實施一致的作法；與確保隱私、公民權和自由的保護。[15] 　　歐巴馬團隊將上述原則落實至第13587行政命令，[16]成立監督的架構，發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任，並加強跨機關資訊的流通與保護，包括電腦網路的安全，與內部威脅的機制，以減低未來國家安全機密外洩的風險。 　　第13587號行政命令大抵分為下列各大項，除此之外，聯邦政府同時已經採行增進機密資訊網路與人員的控管，例如拆卸式媒體、網路身分管理、內部威脅方案（Insider Threat Program）、存取控制的管控（Access Control）、機密網路的審核，[17]項目分為： 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任； 2.設置「資深資訊分享與安全維護推動小組（Senior Information Sharing and Safeguarding Steering Office）」； 3.成立「機密資訊流通與保護局（Classified Information Sharing and Safeguarding Office, CISSO）」； 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks)；與 5.設置「內部威脅專責小組（Insider Threat Task Force）」。 　　其中有關「內部威脅專責小組」的部分，跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕，包括利用、損害，或其他未經授權揭露機密資訊的內部威脅，並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標，建立和整合機關內部的安全與反間諜，用戶審查和監控等優先事項，以及其它機關的實作發展和保護能力。[18]除此之外，內部威脅專責小組還必須與相關單位合作，以促成政策的草擬與可行。[19] 　　專責小組的職責應包括下列： 1.制定並與行政機關協調，阻止、檢測和減輕內部威脅的政策，並提交至督導委員會檢閱； 2.與適當的機關合作，制定行政機關內部威脅方案的政策指引和最低標準，並於一年內發布，該相關指引和最低標準對於行政部門具拘束力； 3.如果有足夠的經費或經授權，繼續與適當單位合作，於一年之後，增修相關指引與最低標準； 4.如果沒有獲得足夠的經費或授權，建議由預算辦公室（Office of Management and Budget）或國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISSO）於一年之後頒布相關指引與最低標準的增修版本； 5.如仍有任何未解決的問題，以致於延宕最低標準的公布，應將問題提交給督導委員會（Steering Committee）； 6.按照專責小組所制定之方案，獨立評估相關機關單位是否適當的落實既定的政策和最低標準，並將評估結果向督導委員會提報； 7.提供機關單位援助，包括提供最佳實作案例以供參考；與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 　　由上可見，第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策，機關亦必須依照指示時程，落實內部威脅政策的偵測方案，以及監控其運作是否符合政策的目標。 （二）「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 　　雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組，負責偵測與避免內部威脅，以增進對於機密資訊的保護，以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而，機關應該如何施行的細項尚未有細緻規範，仍需等待歐巴馬團隊進一步制定，以落實於聯邦政府所屬的公務機關。 　　緣此，美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」，主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護，並加強危及國家安全的敵對勢力或內部威脅的防禦。 　　這些威脅包括潛在的間諜活動，對國家或機關單位的暴力行為，以及未經授權揭露機密資訊，包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 　　目前標準的詳細內容尚未發布，不過，依據備忘錄大約可分為下列各項： 1.蒐集、整合、集中分析和應變主要威脅相關的資訊； 2.監控人員對於機密網路的使用； 3.提供人員對於內部威脅意識的培訓； 4.保護人員的公民、自由和隱私權。 參、事件評析 　　觀察美國一連串的改革，顯見維基解密事件對於美國政府產生非常大的衝擊，更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制，對機密資訊的管理與「內部威脅」的防範進行全面檢討，並對於配套標準及措施進行增修。 　　除對於傳統以人員監督威脅的存在外，應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據，再進一步因應與確認內部威脅的存在。 　　最重要的是，該制度與措施要求全國公務機關一起合作落實，以及分享潛在內部威脅的異常警訊，才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會，張維平，日晷第4期認識公務機關資訊安全問題，取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf（最後瀏覽日：2012年11月30日）。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來，隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗，世界各地傳出多起嚴重的資料外洩事件，當然台灣也不能倖免。外洩的資料包羅萬象，而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊，另外還有最令機關防不勝防的內賊。只要有心，要在機關內部竊取資料很容易，從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟，都可當作工具，如果機關（各單位）沒有危機意識，採取防範措施，資料外洩在所難免。鑑此，籲請各單位安全連絡員，加強單位自主管理，協助單位主管加強責任區安全檢查，共同維護機關公務機密與安全。 [2]中廣新聞網．海軍共諜案，國防部：才在發展階段，影響有限，（2012年10月29日），取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html（最後瀏覽日：2012年11月30日）。 國防部軍事發言人羅紹和表示，涉案的海軍大氣海洋局前政戰處長張祉鑫，在退役後透過友人介紹，認識中共官方人員，然後再透過軍中舊識，「謀取不法利益」，保防安全部門在今年三月間接獲檢舉，依法由反情報單位展開調查行動，並移請檢調單位協助調查，順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊，資訊安全概論與實務，取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf（最後瀏覽日：2012年11月30日）。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」，「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」，與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件，以年度區分，截至2012年11月30日止，包括下列：1.2009年：「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」，與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」；2.2010年：「第13549號行政命令-國家、地方、部落，和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」；3.2011年：「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」；4.2012年：「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長（Attorney General）與國家情報局主任（Director of National Intelligence）或指定人共同擔任主席。內部威脅專責小組成員應該由國務院（Department of State）、國防部（Department of Defense）、司法部（Department of Justice）、能源部（Department of Energy）、國土安全部（Department of Homeland Security）部長所指定的人員，以及國家情報局主任（Director of National Intelligence）、中央情報局（Central Intelligence Agency），和國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISOO）等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官（Office of the National Counterintelligence Executive, ONCIX）和其他機構，於法律所允許的範圍內配置。這些人員必須是官員，或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所，以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件（Document），文件的種類根據事務類型之不同分為三大類：Executive orders（有連續編碼的行政命令）、Proclamation（公告）、Administration orders（無編號的行政命令），其下尚有不同的子分類，備忘錄則屬Administration orders下的子分類之一，總統所發布的文件效力相同，並無位階之分，http://www.archives.gov/presidential-libraries/research/guide.html（最後瀏覽日：2013年1月12日）。

二次創作影片是否侵害著作權以谷阿莫二次創作影片為例 資策會科技法律研究所 法律研究員　陳依婷 104年12月29日 　　2015年Google公布台灣Youtube的各類熱門項目中，「這群人」、「谷阿莫」、「蔡阿嘎」等影音創作者的影片特別受到歡迎[1]，這些熱門Youtube創作者都是利用他人著作素材進行二次創作，由於二次創作人利用的素材是他人的著作，二次創作人如果沒有獲得素材著作權利人同意而逕自進行修改，有可能面臨到著作侵權的問題。而Google著作權法律總監 Fred von Lohmann說明，YouTube平台其中有許多影片是利用現有的音樂、短片來改編，創造出來的改編影片甚至比原始影片還要更多的社會價值，透過 YouTube 提供保障，避免扼殺工作者的創意發展空間，與創造出「更棒的社群」[2]。 　　由此可知，目前影音平台的創意內容，以利用他人著作進行二次創作為大宗，同時也帶來更多人收看的效果，Youtube為了要讓這些二次創作得以存續在影音平台上，針對合理使用他人著作而進行二次創作的創作者，以協助支付智慧財產權相關訴訟費用的方式[3]，避免二次創作者因為原著作人要求下架的通知，就移除影音平台上二次創作的影片。 　　二次創作者利用他人著作進行創作應取得他人同意，若未取得他人同意，有可能有侵害他人著作權之可能，除非主張利用他人著作是屬於合理使用範圍，若利用他人著作的行為屬於合理使用，則原著作之著作權利人就無法主張著作侵權，意即二次創作者並不侵害著作權利。 壹、著作權合理使用之規定 　　著作權合理使用係限縮原著作人主張著作權利的範疇，所以必須在一定的條件下才能主張適用，也就是說利用人並非再任何情況下都可以主張著作權合理使用，必須符合一定的條件規定。著作的利用是否符合著作權法的合理使用，除了需要符合著作權法第44條至第63條[4]規定或其他合理使用之情形，應該審酌一切情狀並依據第65條[5]規定作為判斷的基準。又第65條屬於獨立之合理使用概括條款[6]，意即可單獨就第65條之規定進行合理使用的判斷。著作權法第65條規定判斷合理使用的基準包含1.利用之目的及性質，包括係為商業目的或非營利教育目的。2.著作之性質。3.所利用之質量及其在整個著作所占之比例。4.利用結果對著作潛在市場與現在價值之影響。 貳、著作權合理使用之判斷要件 　　著作權合理使用以著作權法第65條第2項作為判斷基準，著作權法第65條第2項共有四款要件，而四款必須綜合判斷，也就是說著作利用並非符合其中一款要件就屬於合理使用，也非符合四款要件才屬於合理使用，並須綜合四款要件作整體性利用情形的評估，而該四款要件說明如下： 一、利用之目的及性質，包括係為商業目的或非營利教育目的： 　　審酌著作利用目的與性質主要是要確認著作的利用是否有助於社會公共利益或國家文化發展，一般人通常誤解法條規定中敘述的商業目的或非營利教育目的，以為本項的判斷基準就是以是否有營利作為區分，也就是誤以為只要非營利的利用行為就一定符合本項要件，然最高法院判決指明，本款要件並非區分商業及非營利(或教育目的)，著作的利用雖然是非營利但是對於社會公共利益或國家文化發展並無助益仍不符合本款要件，反之，著作的利用雖然是以營利為目的，但是有助於社會公共利益或國家文化發展，則亦屬於本款要件[7]。 二、著作之性質。 　　著作之性質所指為被利用的著作的類型種類，由於著作類型眾多，在不同類型著作的創作目的與著作性質差異甚大，也會影響著作內容，合理使用的判斷自然會因為著作性質的不同而有不同的審酌標準。 三、所利用之質量及其在整個著作所占之比例。 　　本款係指利用他人的著作的質與量占利用人的著作的比例，也就是說要分兩部分綜合評估，一是利用他人著作的範圍是否是他人著作最精華之處或數量很多，二是看被利用著作占利用人著作內容的比例。意即雖然使用他人著作的全部或是最精華之處，仍要就利用人著作內容來看他人著作占整體內容的比例進行判斷，如果占利用人著作的比例很低，仍有可能符合本款的要件[8]。 四、利用結果對著作潛在市場與現在價值之影響。 　　本款係指利用結果對於被利用著作的權利人是否有市場價值上的影響，考量利用後原著作經濟市場是否因此產生「市場替代」之效果，而使得原著作的商業利益受到影響，若對原著作商業利益影響越大，則可主張合理使用之空間越小[9]。 参、谷阿莫二次創作是否符合著作權合理使用之範圍？ 　　從今年快速竄起的晉升熱門 YouTube 創作者「谷阿莫」，以 X 分鐘看完電影的系列創作來看，谷阿莫用簡潔的方式搭配影片畫面說明劇情，讓人可以快速了解一部影片，同時谷阿莫也利用諧趣的方式將影片感想穿插在說故事的內容中，也因為清楚易懂又有令人會心一笑的說故事方式，讓谷阿莫的youtube訂閱人數達到了73萬[10]。 　　谷阿莫是利用他人著作進行二次創作，是否屬於合理使用他人著作而進行創作，其著作侵權之判斷仍需以法院個案判定為依準，但本文期先以目前的法律規定來進行初步評析，以提供二次創作者之參考。 　　谷阿莫二次創作影片大多以電影為主，搭配上自己簡化劇情的旁白與字幕說明，完成大約10分鐘內的故事情節與畫面。由於谷阿莫使用的是電影影片，若未經影片著作權利人同意或授權，谷阿莫進行影片的下載、剪輯配音與配上字幕、上傳網路的行為，則會有可能侵害影片著作權利人的重製權、改作權與公開傳輸權[11]。 　　谷阿莫使用他人電影影片是否屬於合理使用，以下就著作權法第65條第2項各款要件進行評析： 一、利用之目的及性質，包括係為商業目的或非營利教育目的： 　　從youtube影音平台中谷阿莫的說明來看[12]，主要是分享並說一個他喜歡的故事，從說明文字來看並無涉及賺錢營利之商業目的，而實際上是否有收益或營利，例如參與youtube影音平台進行廣告分潤而收益[13]，從網路中的公開資料中無法得知。然谷阿莫利用他人著作是否對於公共利益或國家文化發展有所助益，從只是分享一個他喜歡的故事而用到他人的影片來探討，若是讓大眾能夠瞭解影片要傳達的教育內容以及提供摘要歸納的學習方式，必須從谷阿莫二次創作影片的旁白內容來進行個案認定，目前從諸多的谷阿莫二次創作的影片觀之，較多屬於詼諧有趣的內容但每部影片都提供了歸納摘要故事劇情表現方式，而其是否具有教育性質有助於調和公共利益仍有灰色地帶，難直接被認定對於促進公共利益與國家文化發展是有所助益。 二、著作之性質。 　　谷阿莫利用電影影片進行二次創作，利用的電影影片是視聽著作，該電影影片之創作目的在於提供人們娛樂欣賞，與以報導為目的攝影著作相較起來[14]，具有較高的商業價值，合理使用的審酌標準自應較高。 三、所利用之質量及其在整個著作所占之比例。 　　雖然所利用之質量及其在整個著作所占之比例，仍要據以個案內容進行判斷被利用的著作的量與質，但從谷阿莫二次創作的理念，以簡化摘要重點的方式來訴說故事來評估，由於精簡的說故事手法通常都會以劇情重點來表示，呈現電影劇情最高潮最精華的片段是可預期的，但是並不會使用到整部電影影片，所以使用被利用著作之質是可預期，但是可能使用被利用著作的量較不會太多。再來，所利用的質量占二次創作內容的比例來看，谷阿莫的二次創作影片除了旁白配音，都是使用電影影片，所利用的視聽著作在二次創作的著作內容比例是高的，雖然並非使用到原視聽著作的所有內容，但原視聽著作的內容占二次創作的視聽著作內容比例是高的。 四、利用結果對著作潛在市場與現在價值之影響。 　　谷阿莫的二次創作影片是否有影響原著作的現在價值與潛在市場，從谷阿莫二次創作影片是否具有市場替代的效果、影響原著作的商業利益的角度思考，從網友們對於谷阿莫的影片的回應如「可以省下電影票的錢」、「被谷阿莫一說就沒有想看的慾望啦」[15]，從文字上來看是有可能致使大家看了谷阿莫二次創作的影片就不會想要花錢進電影院看原著作電影，進而使原著作的商業利益受損，但進一步探究網友不想花錢進電影院看原著電影(現在價值)或是付費購買原著電影下檔後的影碟(潛在市場)，有可能因為原著作電影的劇情內容本身無法提高網友付費意願，加上谷阿莫二次創作的影片，使網友更加確認不想看原著作電影的想法，而針對本有意願付費觀賞原著作電影的網友，反而有可能因為谷阿莫的二次創作呈現出原著作電影的劇情內容，進而強化了網友付費欣賞原著影片的想法達到了廣告效果並促進原著作電影的商業利益。因此，難謂谷阿莫的二次創作有造成市場替代之效果。 　　谷阿莫二次創作是否造成著作潛在市場與現在價值的影響，亦不能只以網友的回覆為準，仍需要有具體價值影響的證據或是著作潛在市場影響的證明等才能作為判斷的依據。 　　綜上所述，目前就網路上公開的資料來看，谷阿莫二次創作的目的較難直接認定有調和公共利益或促進國家文化發展，而所利用的著作性質為視聽著作有較高的商業價值，而利用的著作較容易使用到視聽著作精華的畫面，且谷阿莫的二次創作影片畫面全部都是使用原著作的影片畫面，占谷阿莫二次創作視聽著作的比例甚高，利用的結果若照網友的回應「省了電影票的錢」，尚須進一步確認是否有市場替代效果而影響原著作現在價值或是潛在市場，就著作權法第65條第2項的規定各款要件進行審視，谷阿莫利用他人著作被認定為合理使用的可能性難謂過高，故亦有被認定著作權侵權之風險。 　　從谷阿莫二次創作影片探討是否屬於合理使用的範圍，雖然其判斷仍需由法院個案判定，但創作人在進行二次創作時能從著作權法合理使用的要件來先行評估，從利用他人著作的目的、他人著作的性質、使用他人著作質量占二次創作著作內容的比例以及是否會影響他人著作的價值與潛在市場，在二次創作的內容上可考量原著作人的商業利益，或進一步取得同意而進行二次創作，則可以降低著作侵權的風險。 [1]譚偉晟，<柯P、谷阿莫皆入榜！ YouTube 2015 年台灣熱門排行公布?>，自由時報，2015/12/09，http://3c.ltn.com.tw/news/21907(最後瀏覽日2015/12/29)。 [2]劉季清，<影片沒侵權卻被檢舉？別擔心，YouTube 出錢幫你打官司！>，自由時報，2015/11/23，http://3c.ltn.com.tw/news/21592 (最後瀏覽日2015/12/29)。 [3]顧濟韋，<合理使用卻被下架？ Youtube幫你出錢打官司>，數位時代，2015/11/20，http://www.bnext.com.tw/article/view/id/38019 (最後瀏覽日2015/12/29)。 [4]著作權法第44條　中央或地方機關，因立法或行政目的所需，認有必要將他人著作列為內部參考資料時，在合理範圍內，得重製他人之著作。但依該著作之種類、用途及其重製物之數量、方法，有害於著作財產權人之利益者，不在此限。 第 45 條　專為司法程序使用之必要，在合理範圍內，得重製他人之著作。前條但書規定，於前項情形準用之。 第 46 條　依法設立之各級學校及其擔任教學之人，為學校授課需要，在合理範圍內，得重製他人已公開發表之著作。第四十四條但書規定，於前項情形準用之。 第 47 條　為編製依法令應經教育行政機關審定之教科用書，或教育行政機關編製教科用書者，在合理範圍內，得重製、改作或編輯他人已公開發表之著作。前項規定，於編製附隨於該教科用書且專供教學之人教學用之輔助用品，準用之。但以由該教科用書編製者編製為限。依法設立之各級學校或教育機構，為教育目的之必要，在合理範圍內，得公開播送他人已公開發表之著作。前三項情形，利用人應將利用情形通知著作財產權人並支付使用報酬。使用報酬率，由主管機關定之。 第 48 條　供公眾使用之圖書館、博物館、歷史館、科學館、藝術館或其他文教機構，於下列情形之一，得就其收藏之著作重製之︰一、應閱覽人供個人研究之要求，重製已公開發表著作之一部分，或期刊或已公開發表之研討會論文集之單篇著作，每人以一份為限。二、基於保存資料之必要者。三、就絕版或難以購得之著作，應同性質機構之要求者。 第 48-1 條　中央或地方機關、依法設立之教育機構或供公眾使用之圖書館，得重製下列已公開發表之著作所附之摘要︰一、依學位授予法撰寫之碩士、博士論文，著作人已取得學位者。二、刊載於期刊中之學術論文。三、已公開發表之研討會論文集或研究報告。 第 49 條　以廣播、攝影、錄影、新聞紙、網路或其他方法為時事報導者，在報導之必要範圍內，得利用其報導過程中所接觸之著作。 第 50 條　以中央或地方機關或公法人之名義公開發表之著作，在合理範圍內，得重製、公開播送或公開傳輸。 第 51 條　供個人或家庭為非營利之目的，在合理範圍內，得利用圖書館及非供公眾使用之機器重製已公開發表之著作。 第 52 條　為報導、評論、教學、研究或其他正當目的之必要，在合理範圍內，得引用已公開發表之著作。 第 53 條　中央或地方政府機關、非營利機構或團體、依法立案之各級學校，為專供視覺障礙者、學習障礙者、聽覺障礙者或其他感知著作有困難之障礙者使用之目的，得以翻譯、點字、錄音、數位轉換、口述影像、附加手語或其他方式利用已公開發表之著作。前項所定障礙者或其代理人為供該障礙者個人非營利使用，準用前項規定。依前二項規定製作之著作重製物，得於前二項所定障礙者、中央或地方政府機關、非營利機構或團體、依法立案之各級學校間散布或公開傳輸。 第 54 條　中央或地方機關、依法設立之各級學校或教育機構辦理之各種考試，得重製已公開發表之著作，供為試題之用。但已公開發表之著作如為試題者，不適用之。 第 55 條　非以營利為目的，未對觀眾或聽眾直接或間接收取任何費用，且未對表演人支付報酬者，得於活動中公開口述、公開播送、公開上映或公開演出他人已公開發表之著作。 第 56 條　廣播或電視，為公開播送之目的，得以自己之設備錄音或錄影該著作。但以其公開播送業經著作財產權人之授權或合於本法規定者為限。前項錄製物除經著作權專責機關核准保存於指定之處所外，應於錄音或錄影後六個月內銷燬之。 第 56-1 條　為加強收視效能，得以依法令設立之社區共同天線同時轉播依法設立無線電視臺播送之著作，不得變更其形式或內容。 第 57 條　美術著作或攝影著作原件或合法重製物之所有人或經其同意之人，得公開展示該著作原件或合法重製物。前項公開展示之人，為向參觀人解說著作，得於說明書內重製該著作。 第 58 條　於街道、公園、建築物之外壁或其他向公眾開放之戶外場所長期展示之美術著作或建築著作，除下列情形外，得以任何方法利用之︰一、以建築方式重製建築物。二、以雕塑方式重製雕塑物。三、為於本條規定之場所長期展示目的所為之重製。四、專門以販賣美術著作重製物為目的所為之重製。 第 59 條　合法電腦程式著作重製物之所有人得因配合其所使用機器之需要，修改其程式，或因備用存檔之需要重製其程式。但限於該所有人自行使用。前項所有人因滅失以外之事由，喪失原重製物之所有權，除經著作財產權人同意外，應將其修改或重製之程式銷燬之。 第 59-1 條　在中華民國管轄區域內取得著作原件或其合法重製物所有權之人，得以移轉所有權之方式散布之。 第 60 條　著作原件或其合法著作重製物之所有人，得出租該原件或重製物。但錄音及電腦程式著作，不適用之。附含於貨物、機或設備之電腦程式著作重製物，隨同貨物、機器或設備合法出租且非該項出租之主要標的物者，不適用前項但書之規定。 第 61 條　揭載於新聞紙、雜誌或網路上有關政治、經濟或社會上時事問題之論述，得由其他新聞紙、雜誌轉載或由廣播或電視公開播送，或於網路上公開傳輸。但經註明不許轉載、公開播送或公開傳輸者，不在此限。 第 62 條　政治或宗教上之公開演說、裁判程序及中央或地方機關之公開陳述，任何人得利用之。但專就特定人之演說或陳述，編輯成編輯著作者，應經著作財產權人之同意。 第 63 條　依第四十四條、第四十五條、第四十八條第一款、第四十八條之一至第五十條、第五十二條至第五十五條、第六十一條及第六十二條規定得利用他人著作者，得翻譯該著作。依第四十六條及第五十一條規定得利用他人著作者，得改作該著作。依第四十六條至第五十條、第五十二條至第五十四條、第五十七條第二項、第五十八條、第六十一條及第六十二條規定利用他人著作者，得散布該著作。 [5]著作權法第65條著作之合理使用，不構成著作財產權之侵害。著作之利用是否合於第四十四條至第六十三條所定之合理範圍或其他合理使用之情形，應審酌一切情狀，尤應注意下列事項，以為判斷之基準：一、利用之目的及性質，包括係為商業目的或非營利教育目的。二、著作之性質。三、所利用之質量及其在整個著作所占之比例。四、利用結果對著作潛在市場與現在價值之影響。著作權人團體與利用人團體就著作之合理使用範圍達成協議者，得為前項判斷之參考。前項協議過程中，得諮詢著作權專責機關之意見。 [6]智慧財產法院102年度民著上字第1號民事判決。第65條第1 項、第2 項亦有明文。本條規定乃獨立之合理使用概括條款，法院得單獨審酌第65條第2項之判斷標準而認定構成合理使用，並明文例示4 項判斷標準，並可考量非第65條第2 項所例示之判斷標準。 [7]最高法院94年度臺上字第7127號刑事判決認為：「著作權法第65條第2 項第1 款所 謂『利用之目的及性質，包括係為商業目的或非營利教育目的』，應以著作權法第一條所規定之立法精神解析其使用目的，而非單純二分為商業及非營利（或教育目的），以符合著作權之立法宗旨。申言之，如果使用者之使用目的及性質係有助於調和社會公共利益或國家文化發展，則即使其使用目的非屬於教育目的，亦應予以正面之評價；反之，若其使用目的及性質，對於社會公益或國家文化發展毫無助益，即使使用者並未以之作為營利之手段，亦因該重製行為並未有利於其他更重要之利益，以致於必須犧牲著作財產權人之利益去容許該重製行為，而應給予負面之評價。」 [8]智慧財產法院102年度民著上字第1號民事判決。被上訴人蘋果日報臺灣分公司係將系爭照片刊登在其所發行之99年8 月25日蘋果日報A9「政治」版左下方，固係利用整張系爭照片，惟系爭照片在系爭報紙A9版所佔篇幅之比例低，較諸該文字報導所佔版面為小。 [9] 智慧財產法院103年度民著上更(一)字第2號民事判決， [10] 谷阿莫youtube創作頻道，https://www.youtube.com/user/AMOGOOD，(最後瀏覽日2015/12/29)。 [11]著作財產權有重製權、改作權、編輯權、出租權、散布權、公開播送權、公開傳輸權、公開口述權、公開上映權、公開演出權、公開展示權。 [12]谷阿莫youtube創作頻道，https://www.youtube.com/user/AMOGOOD，我是谷阿莫，very good的阿莫，科科，來這邊只是聽我說一個我喜歡的故事，我不­評論原始故事背後的含意或導演拍攝的用意，因為那些東西每個人都­有不同的看法，有空還是要自己去看原創故事喔，謝謝。 [13]陳怡如，<透過YouTube影片賺錢！台灣超過3萬名創作者加入廣告分潤計畫>，數位時代，2013/03/23，http://www.bnext.com.tw/article/view/id/27051 (最後瀏覽日2015/12/29)。 [14]智慧財產法院102年度民著上字第1號民事判決，被使用的照片性質上而言，乃屬攝影著作，系爭攝影著作之目的在於輔助公眾對該新聞事件之理解，而非在於該照片本身有何獨特之處，顯然並無特殊商業價值，是以，就系爭照片著作性質而言，應屬與新聞事件高度相關之攝影著作，脫離新聞事件，縱使該照片具有原創性，其價值亦不高。 [15]Now娛樂，<影／谷阿莫5分鐘看《侏羅紀》　網友反吐槽>，Nownews，2015/07/13，http://www.nownews.com/n/2015/07/13/1746862(最後瀏覽日2015/12/29)。

　　紐約市議員Justin Brannan於2019年7月23日向紐約市議會提交一項內容為禁止電信公司和手機應用程式開發商與第三方共享客戶位置資訊（location data）的法案（Int 1632-2019, Prohibition on sharing location data with third parties.）。 　　該法案原則上，禁止電信公司和手機應用程式開發商與第三方（例如：行銷人員）共享客戶的位置資訊，主要原因在於一般客戶並不清楚自己的位置資訊被共享給第三人，且對於第三人取得其位置資訊後的利用行為存有疑慮。又，位置資訊應屬個人隱私的一部分，故未取得客戶本人同意，即共享其位置資訊無疑是對客戶個人隱私的侵犯。如公司違反法案規定，執法機關對該公司之罰款，以「行為次數」作為計算單位，每次課予1,000美元，惟就同一名受害者，如一天內有數個違法行為，則當天罰款上限為10,000美元。同時，該法案賦予位置資訊被違法共享的當事人，得就其權利被侵害之事實，向法院提訴訟，以為救濟。 　　不過，該法案並非「絕對」禁止位置資訊的共享，如屬下列情形，例外可共享： 為配合執法機關執行法定職務之所需，如：法律調查等程序，而提供客戶之位置資訊。 為911緊急服務之所需提供，或為免除本人之生命或財產上之急迫危險，提供其位置資訊。 聯邦法律、州法或地方法明文要求應提供。 客戶授權電信公司或手機應用程式開發商得與第三方共享其位置資訊。 　　這部法案主要目的在於，保障行動裝置使用者的位置資訊，不會在當事人不知情的情形下被提供給第三方。雖然目前該法案尚在審議中，但未來如果通過，紐約市將成為禁止出售個人行動裝置位置資訊的先鋒，同時其執行結果勢必也將成為關注焦點。

　　人工智慧及機器人分為以下4種類型：首先是工廠裡的作業機器人，可自主性重複執行相同任務，例如拾取、放置、運輸物品，它們在侷限的環境中執行具體事務，而且通常是在周圍無人的圍籬區內作業，然而目前趨勢已有越來越多機器人可安全執行人機協作的任務。第二種係用在傳統製造外的專業機器人，例如：擠奶機器人、醫院手術機器人。第三種是生活中常見的消費產品機器人，常用於私人目的，例如：吸塵器機器人、割草機器人。最後是人工智慧軟體，此軟體可應用於醫療診斷輔助系統、語音助理系統中，目前越來越多人工智慧軟體結合復雜的感測器和聯網裝置，可執行較複雜之任務，例如：自動駕駛車。 　　德國人工智慧研究中心(Deutsche Forschungszentrum für Künstliche Intelligenz，DFKI)為非營利性公私合作夥伴(PPP)之研究機構，與歐盟，聯邦教育及研究部（BMBF）、德國聯邦經濟及能源部（BMWi），各邦和德國研究基金會（DFG）等共同致力於人工智慧之研究發展，轄下之機器人創新中心（Robotics Innovation Center，RIC)亦投入水下、太空、搜救、物流、製造業等各領域機器人之研究，未來將著重於研究成果的實際運用，以提升各領域之生產力。2016年6月，各界專家於德國聯邦議院的數位議程委員會中，呼籲立法者應注意機器人技術對經濟，勞動和社會的影響，包括技術及產品的安全標準、機器人應用之法律歸責問題、智慧財產權的歸屬與侵權問題，隱私權問題、及是否對機器人課稅等，進行相關修法監管準備。 　　解決台灣人口結構老化、勞動力短缺與產業競爭力等問題已是當務之急，政府為促進台灣產業轉型，欲透過智慧機械創新與物聯網技術，促使產業朝智慧化生產目標邁進。未來除需持續精進技術研發與導入產業業升級轉型外，應將人工智慧納入政策方針，並持續完備法制環境建構及提升軟實力，以確保我國技術發展得以跟上世界潮流。