資訊安全與電子商務－談資訊安全通報機制

　　美國布希政府最近向國會正式提出一個以打擊恐怖主義及大規模毀滅性武器為目的的法案—出口執行法（The Export Enforcement Act of 2007），以期為執法者—美國商務部產業安全局（Bureau of Industry and Security, BIS）提供更有效的工具，防止最具有敏感性的技術或產品落入危險份子手中。 　　長久以來，美國用以管理敏感性技術與產品的法源是1979年制定的出口管理法（Export Administration Act），該法對軍民兩用的技術與產品，施以出口管制。出口法在2001年失效，同年發生911攻擊事件，因此，布希政府除希望獲得國會重新就出口管理法予以授權外，也希望可以有更強而有力的出口管理權限。不過行政部門迄今未得到國會就出口管理法予以重新授權。 　　自2001年以來，BIS係依國際緊急情形經濟權力法（International Emergency Economic Powers Act, IEEPA）行使出口管理權限，不過根據IEEPA，美國總統必須每年發布行政令（Executive Order）始能動用出口管理權限，而IEEPA對於違反出口管制規定的處罰也不若出口管理法重，因此，IEEPA除了對執法者造成出口管理的不便的困擾外，寬鬆的處罰也使得美國過去幾年非法技術外移的事件頻傳。 　　本次布希政府再次提出2007年出口執行法，其內容除了請求國會同意在未來五年再度授權行政部門行使1979年的出口管理法之權限外，其他重要內容尚有：（1）修正1979年的出口管理法之執行與違法規定：除增列構成犯罪之違法出口行為態樣外，並對違法者大幅加重其民刑事處罰。根據修正草案，企業之出口行為若被認定為違法，最高可科處500萬美元或違法出口技術或產品價值之十倍罰金；（2）強化了執法者打擊軍民兩用技術與產品非法出口的職權，明訂商務部特派員擁有海外調查以及秘密調查的權限；（3）對企業所提出之秘密資訊負有保護義務。 　　整體而言，本法案除了重新授權美國商務部管理軍民兩用技術與產品實施出口管制體系外，同時也代表美國政府於二十一世紀為維護國家安全與處理所面臨之經濟挑戰的長期與根本性改革。目前法案仍須國會討論通過後，始能生效適用。

　　隨著英國國家健康服務（National Health Service, NHS）的改革，衛生和社會照護法（The Health and Social Care Act 2012）第九部分第二章，規範成立英國衛生與社會照護資訊中心（The Health and Social Care Information Centre, HSCIC）作為政府醫療資訊公開、整合與管理單位，此項規定於今（2013）年4月1日生效。 　　HSCIC並非正式的政府部會，而屬於執行行政法人（Executive Non Departmental Public Bodies），向衛生部長（Secretary of State for Health）負責，其職責除了蒐集、分析和傳播國家資料暨統計資訊以外，同時亦進行國家各層級的醫療資訊基礎設施的整合，作為醫療資訊數據公開的門戶；此外，HSCIC利用其行政法人的特性，將醫療組織視為客戶，提供不同的服務和產品，以協助其達到所需的資訊管理需求。透過HSCIS對於資訊的整合再公開，有助於在增進政府資訊透明性的同時，亦保障了資訊流動的效率和安全性。 　　其中HSCIC對於敏感性資料之應用，特別設立資料近用諮詢小組（Data Access Advisory Group, DAAG）予以處理。資料諮詢小組是每月定期由HSCIC所主持的獨立運作團體，須向HSCIC委員會負責。當HSCIC面臨敏感性資料或可識別個人資料之應用（包括是為了研究目的，和為了促進病人的醫療照護所需之應用）時，即交由資料近用諮詢小組會議來討論，以確保揭露該項資訊的風險降到最低。 　　從HSCIC的組織任務能輕易地發現其具有強大整合醫療資訊之功能，其未來發展勢必與過往飽受爭議的醫療資訊應用息息相關，因此相當值得我們持續觀察HSCIC的後續動態。

　　電子遊戲龍頭ZeniMax於2014年起訴虛擬實境公司Oculus VR，稱Oculus創辦人Palmer Luckey為改善初代虛擬實境體驗機「Rift」提供原型予在ZeniMax任職的John Carmack，嗣Carmack在該機器增加ZeniMax所有之虛擬實境專用關鍵軟體，ZeniMax就Luckey取得該公司軟體之內容與Luckey簽立保密協定。其後Luckey為募集Oculus資金，未經ZeniMax授權及參與，開始展示含有ZeniMax專有軟體之「Rift」，最後Facebook收購Oculus。 　　ZeniMax以Oculus、Luckey、Brendan Iribe（Oculus另一創辦人）、Carmack為被告，主張其等盜用營業秘密、侵害著作權、違反保密協定、不公平競爭、不當得利、商標侵權（包括未經許可使用以及錯誤指示商品來源），並列Facebook為共同被告主張其於收購Oculus即知情，連帶給付20億美元之損害賠償及40億美元之懲罰性賠償。本訴訟於2017年2月1日經陪審團認定Oculus違反保密協定、侵害著作權、錯誤指示商品來源侵害商標等共計賠償3億美元，Luckey及Iribe因錯誤指示侵害商標共計賠償2億美元。 　　以本案來看，Oculus及其創辦人最主要是未經ZeniMax同意而公開使用ZeniMax的程式碼且宣稱為其公司產出，關於這個部分公司未來在有運用他人公司技術之情形宜透過協商，以共同發表之方式避免侵害創作公司之權利；另創作公司雖未公開技術，然可透過保密協定使營業秘密獲得完善的保障；至於Facebook的部分更凸顯公司於併購前尤應強化盡職查核（Due Diligence），以免訟累。 本文同步刊登於TIPS網站（https://www.tips.org.tw）」