紐西蘭IT專家組織2012年5月發布雲端運算實務準則
紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。
依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。
在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。
在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。
依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。
本文為「經濟部產業技術司科技專案成果」
張乃文
主任 編譯整理
New Zealand Computing Society,New Zealand Cloud Computing Code of Practice May 2012,http://www.nzcloudcode.org.nz/wp-content/uploads/2012/05/NZCloudCode.pdf(last visited June 29, 2012)
近年日本中小企業與大型企業合作研發、進行交易合作的商業型態日益增加,故日本中小企業廳自2017年1月至2020年3月為止(約三年間),針對日本的中小企業進行了訪談,調查了中小企業與大型企業間約12,000筆合作研發等商業行為,從中發現了許多問題,如大型企業常藉由合作研發,參觀中小企業工廠的名義,實際上是竊取中小企業技術、know how;其他還有以共同研發為名,擅自將研發成果使用在其他領域的案例等。 由於中小企業常在商業合作上處與弱勢,故日本政府為促使中小企業與大型企業的合作能符合公平交易原則、以及保護中小企業的智慧財產、技術,防止中小企業的智慧財產、技術、Know how等無形資產被商業合作夥伴(大型企業)不當使用或以非法的方式取得、使用,故日本政府計劃於今年秋天發布「中小企業智慧財產、技術保護指針」。 為改善中小企業與大型企業合作時,可能遭遇的智財、技術歸屬等問題,除透過「中小企業智慧財產、技術保護指針」提供具體的對策與措施,日本中小企業廳將於2021年編列相關預算,以智慧財產權的角度協助中小企業解決智財相關問題,並強化中小企業保護智慧財產權之意識,另外還會提供中小企業智財諮詢等相關支援。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
中國電子簽名法將於四月一日正式生效去年八月甫通過的中國電子簽名法在今年四月一日正式生效,而中國首家對外提供電子簽章服務的憑證機構(電子印章中心)在三月三十日成立。 中國電子簽名法對於電子簽名的定義指出,電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身分並表明簽名人認可其中內容的數據。而電子簽名的適用範圍,除了在涉及婚姻、收養、繼承等人身關係、土地房屋等不動產權益轉讓、停止供水、供熱、供氣、供電等公用事業服務或法律、行政法規規定不適用電子文書的其他情形外,均可使用電子簽名。
韓國金融服務委員會發佈防止金融機構再度發生個人資料外洩之要求韓國於今年1月份爆發史上規模最大的個資外洩案,國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人,亦因此請辭以示負責。 為防止將來金融機構再次發生個人資料外洩等事件,韓國金融服務委員會(Financial Services Commission, FSC)與相關部會於3月份發佈一連串要求,以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段,包括蒐集、保存、使用和銷毀客戶資料時,都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利,包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任,包括提升首席資訊安全官(Chief Information Security Officer, CISO)獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制,以確保面對未來可能的資料外洩事故時,可迅速有效的應對。 韓國政府於於3月底已對不需修改法律之部分開始執行,而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。
美國聯邦最高法院認定多方複審程序並不違憲美國聯邦最高法院於2018年4月24日針對OIL STATES ENERGY SERVICES, LLC v. GREENE’S ENERGY GROUP, LLC, ET AL.ㄧ案作成判決。大法官以 7-2 投票表決通過,認定美國專利商標局(United States Patent and Trademark Office,USPTO)所屬專利審查暨上訴委員會(Patent Trial and Appeal Board,PTAB)進行內部專利審查「多方複審 (Inter Partes Review,IPR)」程序並未違憲。多方複審程序係國會在制度設計上針對專利獲證許可後,授權行政機關可經由實質利害關係人提出申請後,得有機會再次檢視其原先核發專利獲證許可的權限。因此被告經由行政機關專利審查獲得之權利,與被告在美國憲法下只能經由聯邦法院和陪審團裁決所保障權利不同。 本案自去年聯邦最高法院受理後,即成為美國發明法(Leahy-Smith America Invents Act)施行後備受矚目的重大案例之一。主要因為本案凸顯出各產業對多方複審程序實質影響的反應。若多方複審程序被判無效的話,將導致大部分專利紛爭從專利審查暨上訴委員會移回聯邦法院。導致美國發明法欲藉由行政審查改善並減輕司法體系負擔之目的難以達成,且導致專利訴訟更為耗時且昂貴,恐造成「非實施專利事業體」(Non-Practicing Entity, NPE)更加猖獗。因此,資通訊產業等普遍受到專利侵權訴訟困擾的企業大多贊同多方複審程序的合憲性。然而,大法官 John Roberts 和 Neil Gorsuch 對此一保守的決定表示異議,認為辛苦研發之專利僅因為第三人提起申請就受到行政機關撤銷,而非經由司法體系裁決仍有其疑義之處。仔細檢視多方複審程序的進行,似有違背於司法審查中要求獨立性的種種目的和精神。從歷史上來看,縱使行政機關具有核發專利獲證許可的權限,但不代表這可以導出行政機關就有撤銷專利的權限。因此,不同意見之大法官認為藉由行政機關的審議程序取代司法審查對專利可以做出撤銷的決定並不合憲。