美國資訊安全分析新挑戰:巨量資料(Big Data)之應用

  在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。

 

  資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。

 

  不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。

 

  由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。

 

  美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。

 

  「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。

 

  不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。

相關連結
※ 美國資訊安全分析新挑戰:巨量資料(Big Data)之應用, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6036&no=55&tp=1 (最後瀏覽日:2026/07/10)
引註此篇文章
你可能還會想看
可專利性(Patentability)與專利適格(Patent-Eligibility)有何不同?

  可專利性(Patentability)與專利適格(Patent-Eligibility)常被混用,但實際上兩者並不可以畫上等號。   具專利適格不等於可專利一事,在指標判例In re Bilski可窺知端倪:「新穎性(Novelty)、進步性(Non-obviousness,或稱非顯而易見性)的分析,和35 U.S.C. §101(專利適格的法源)無關,而是分別以35 U.S.C. §102、35 U.S.C. §103作為法源。」顯示專利適格、實用性(Utility,或稱「產業利用性」)、新穎性、進步性,互不隸屬。梳理美國專利法教課書(Casebook)和判決內容,可知:「專利適格」是取得專利的基礎門檻、資格,具專利適格,並不必然可專利,還須符合實用性、新穎性、可進步性,才是一個「可專利」的發明。另應強調,「專利適格」除了需要滿足§101法條文字外,還需要滿足美國專利與商標局(USPTO)的兩階段標準(Two-Step Test)審查。   綜上,可整理出這個公式: 可專利性=專利適格(§101+兩階段標準)+實用性(§101)+新穎性(§102)+進步性(§103)   觀察美國專利法教科書的編排方式,亦可了解思考脈絡:先介紹專利適格,再依序介紹實用性、新穎性、進步性。另,「實用性」在作為名詞時是採“Utility”一字,而非“Usefulness”,這兩個詞微妙的差異是前者具「有價值的(Beneficial)」之意涵,也呼應Justice Story在 Bedford v. Hunt對「實用」(Useful)經常被援引的解釋:「要能在社會中做出有價值的(Beneficial)應用,不可以是對道德、健康、社會秩序有害(Injurious)的發明,也不可以是瑣碎(Frivolous)或不重要的(Insignificant)。」

英國實行個人健康和社會照護資訊連結服務(care.data)

  隨著英國國家健康服務(National Health Service, NHS)的改革,英國於去(2012)年3月27日通過衛生和社會照護法(The Health and Social Care Act 2012)。當中一項主要的變革即是成立衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為醫療健康資料的專責機構。而這樣的變革,也影響過去病歷資料的蒐集、分享和分析方式。依據衛生和社會照護法的規定,HSCIC若受到衛生部長(Secretary of State for Health)指示、或來自照護品質委員會(Care Quality Commission, CQC)、英國國家健康與臨床卓越研究院(National Institute for Health and Clinical Excellence, NICE)、醫院監管機構Monitor的命令要求時,在這類特定情況之下,可以無需尋求病患同意,而從家庭醫師(GP Practice)處獲得病患的個人機密資料(Personal Confidential Data, PCD)。   今(2013)年3月獲NHS授權, 由HSCIC於6月開始執行的care.data服務,即是依據前述立法所擬定之方案。care.data藉由定期蒐集醫療照護過程中的相關資料,對病患於國內所為的各項健康和社會照護資訊(例如病患的住院、門診、意外事故和緊急救護記錄)進行具延續性之連結。以提供即時、正確的NHS治療和照護資訊給民眾、門診醫師和相關部門之官員,進而達到care.data所設定的六項目標,支援病患進行治療的選擇、加強顧客服務、促進資訊透明性、優化成果產出、增加問責性,並驅動經濟成長。   然而,由於care.data是以英國民眾就醫行為中,屬於基礎醫療的家庭醫師(General Practitioner, GP)系統為基礎,所提取的資料包括家族歷史、接種疫苗、醫師診斷、轉診記錄、生理指標,以及所有NHS處方。其次,care.data在進行初級和次級資料連結時,將會透過NHS號碼、生日、性別和郵遞區號,這四項可識別資料的比對。因此雖然care.data在涉及敏感性資料時會加以排除,但此項服務仍引起社會上相當大的爭議。包括部分醫師、隱私專家和的社會團體皆提出質疑,質疑care.data是否有充分告知病人、HSCIC所宣稱的匿名性是否足夠、此項服務對醫病關係的衝擊、該服務所宣稱的資料分享退出機制(opt-out)並未妥善等。   care.data是NHS所推出的創新資料現代化服務,但同時也涉及病患隱私權保護之議題。反觀我國近來所推動的醫療健康資訊加值再利用政策,英國的案例值得我們持續觀察其發展。

韓國產學合作技術控股公司制度說明

韓國產學合作技術控股公司制度說明 科技法律研究所 法律研究員 曾文怡 101年7月24日 壹、事件摘要   韓國於於2012年5月14日修正其「技術控股公司成立申請程序規定」最新修正係,將共同成立技術控股公司之主體擴大到「研究機構」。韓國技術控股公司 (technology holding company) 制度係於2007年8月3日「產業教育振興及產學研合作促進法(以下簡稱產學研合作促進法)」修法所新增之制度。為落實產學研合作促進法,韓國教育科學技術部於2008年6月組成「產學研合作技術控股公司成立許可諮詢委員會」,同年8月,並依據「產業教育振興及產學研合作促進法施行規則」第3條第5項,制訂公告「技術控股公司成立申請程序規定」。截至2012年5月止,韓國已成立技術控股公司之大學共有17間,其所成立之子公司計有58間。 貳、重點說明 一、韓國技術控股公司成立條件及流程 (一)技術控股公司成立主體及條件   依韓國產學研合作促進法第2條第8款規定,所謂「技術控股公司」,係指大學之產學合作團 ( 類似我國大學技術移轉中心 ) 或研究機構,擁有總統令所規定之技術[1],並以技術事業化為目的而成立公司,並持有其它公司之股份,以支配該公司。依韓國產學研合作促進法第36條之2,成立技術控股公司之主體得為大學之產學合作團本身,或由各大學之產學合作團、學校法人[2]、研究機構共同成立。且技術控股公司應符合下列4項要件: 1.股份公司 2.公司幹部須未符合「國家公務員法」第33條第1項各款[3]規定之喪失資格事由 3.產學合作團 ( 包含共同成立技術控股公司之其它機關 ( 構 )) 以技術出資須超過資本額之30%,且擁有超過發行股份總數之50% 4.其它由總統令規定須具備之標準 ( 即全職專業人力1名以上及擁有專用空間 ) 具備上述條件後,應取得韓國教育科學技術部長之許可,始得成立。 (二)技術控股公司成立流程   欲成立技術控股公司之產學合作團,應向教育科學技術部提出「技術控股公司設立許可申請書」,若是兩個以上機關 ( 構 ) 共同成立技術控股公司之情形,則應選定一個代表機關 ( 構 ) 提出申請。除了提出申請書外,亦須提出「技術控股公司成立計畫書」以及「公司幹部之履歷」各1份,其中技術控股公司成立計畫書內應包含成立目的、出資內容及比例、事業計畫書 ( 包含技術控股公司擁有之人力及設施等相關事項 ) 。   教育科學技術部受理許可申請書後,須在30日內處理,並將結果通知申請人。若許可該技術控股公司之成立,則應發予申請人1份「技術控股公司成立許可書」;反之,則應告知申請人不予許可之事由。而 技術控股公司成立後,仍可另外成立子公司,但必須持有該子公司之20%以上股份;子公司得為「股份公司」或「有限公司」。 (三)技術控股公司業務範圍   技術控股公司除了負責公司營運業務外,亦包括其子公司之經營管理及其相關業務,此外亦可從事「產業教育振興及產學研合作促進法施行令」第43條規定之下列業務: 1.對子公司之技術及經營諮詢 2.支援子公司之企業公開 3.子公司和其它公司間之合併、子公司股份之全部或一部之賣出、子公司營業之全部或一部讓與、子公司之分割等相關業務 4.支援子公司之資金籌措 5.將技術控股公司本身擁有之技術移轉或事業化後給子公司,及協助子公司將其技術移轉、事業化 6.子公司之宣傳、教育訓練、行銷 7.與創業育成中心、實驗室、產學研合作促進法第37條第1項之合作研究所、產業技術園區或校區內設置營運之企業及研究所之相互合作 8.技術控股公司將其擁有之技術移轉予企業 9.為將技術控股公司擁有之技術或出資予子公司之技術事業化,組成投資基金 10.中介該產業教育機構或研究機構擁有之技術移轉至企業並事業化 11.對該產業教育機構和子公司以外之其它產業教育機構及其它公司之技術經營及教育訓練之支援 (四)利潤分配之使用限制   大學之產學合作團應將從技術控股公司接受之利潤或其他收入,使用在其固有業務以及大學研究活動上;又,若技術控股公司係大學之產學合作團與研究機構共同成立的話,研究機構自技術控股公司接受之利潤或其他收入,應再投資於其研究開發活動或技術控股公司等與研究開發相關用途上。 二、韓國技術控股公司成立現況   截至2012年5月止,韓國已成立技術控股公司之大學共有17間[4],其所成立之子公司計有58間。據了解,目前尚有成均館大學、韓國科學技術院 (Korea Advanced Institute of Science & Technology, KAIST) 、加圖立大學、首爾市立大學等大學正著手進行設立技術控股公司的申請準備。 參、事件評析 一、技術控股公司制度目的在於促進技術移轉及商品化,以控股收益再投資大學研發活動   韓國於2007年修訂產學研合作促進法,新增「技術控股公司」制度,賦予大學直接成立技術控股公司的法律依據。相較於大學之產學合作團,主要係將其研發之技術移轉至企業,從企業獲得單純之收益 ( 技轉費用及權利金 ) ,有所差別。因為技術控股公司設立目的在於促使其積極利用所有之技術,不僅從事技術移轉業務,更得將技術予以商品化,以創造控股收益並再投資於研發活動,使既有技術得予以追加開發。如此一來,技術控股公司不僅提高大學的研發能力,亦增加大學資金來源,藉以促進創新技術之研發,提升研究人員之創新意願。 二、韓國大學之產學合作團具有獨立法人格,得成立技術控股公司   依韓國產學研合作促進法規定,得設立技術控股公司之主體為大學之「產學合作團」,且被賦予法人資格。所稱產學合作團,依韓國產學研合作促進法規定,主要負責促進技術移轉及商品化、智慧財產權取得與管理、與企業簽訂授權契約等業務,業務範圍與我國大學之技術移轉中心相當。   依我國公司法第128條第3項第2款規定,法人以其自行研發之專門技術或智慧財產權作價投資時,得為發起人。但我國國立大學目前法律定位仍屬三級行政機關,且性質上屬於公營造物,未若私立大學屬於財團法人,並無獨立法人人格,遑論大學所設之技術移轉中心,僅為學校內部專責單位,因此國立大學不符合公司法第128條第3項規定之以其自行研發之專門技術或智慧財產權作價投資之法人之條件,國立大學無法透過公司法第128條第3項規定為發起人,設立技術控股公司。故若未協助其突破法令限制,仍無法仿效韓國大學具備法人格之產學合作團,依法得成立技術控股公司。 資料來源: 1.韓國教育科學技術部,http://www.mest.go.kr/,最後瀏覽日:2012年5月25日 2.〈2010大學產學合作白皮書 (2011年版本) 〉,韓國教育科學技術部,2012年4月4日,http://www.mest.go.kr/web/1011/ko/board/view.do?bbsId=87&boardSeq=28984,最後瀏覽日:2012年6月13日 3.iusm每日新聞,2012年5月24日,http://www.iusm.co.kr/news/articleView.html?idxno=248734,最後瀏覽日:2012年6月13日 [1]依產業教育振興及產學研合作促進法施行令第3條規定,作為事業化對象的技術範圍,係指符合下列其中一款者。 1.依「專利法」、「新型專利法」、「設計保護法」登記或申請中之發明專利、新型專利、設計專利及其它智慧財產 2.第1款技術累積之資本財 3.第1款或第2款之技術資訊 4.具移轉、商品化可能性之技術性、科學性或產業性Know how [2]此處限於該學校無產學合作團之情形。 [3]韓國國家公務員法第33條:「符合下列其中一款者,不得任用為公務員。 1.禁治產者或限制治產者 2.受破產宣告且未恢復權利者 3.接受拘役以上徒刑之宣告且執行完畢,或確定後尚未執行,不超過5年者 4.接受拘役以上徒刑之宣告,刑之執行猶豫期間結束之日起,不超過2年者 5.接受拘役以上徒刑之宣告猶豫,尚在宣告猶豫期間者 6.依法院判決或其它法律規定喪失或中止權利者 6之2公務員在職期間,與其職務相關,犯『刑法』第355條及第356條之罪,受300萬元以上之罰金刑,且其刑確定不超過2年者 7.因懲戒受到罷免處分時起,不超過5年者 8.因懲戒受到解職處分時起,不超過3年者」。 [4]依技術控股公司成立時間順序分別為:漢陽大學、首爾大學、三育大學、西江大學、江原地區大學聯合、慶熙大學、高麗大學、仁川大學、釜山大學、東國大學、檀國大學、東新大學、朝鮮大學、全南大學、延世大學、全北地區大學聯合、東亞大學。

肯塔基州上訴法院認為,未經當事人同意即使用臉書上之tag功能標示出該當事人,並無違法

  美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到:法院所據以決定監護權之證據之一,乃是未經她同意即被其他人標示出該女子姓名,並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法,其在判決中指出:目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相,並上傳至臉書或其他網站;此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。   暫撇開其他法律不談,此一案件引人思考之與個人資料保護相關之處至少有二:首先,是關於法律適用的部分,亦即,如本案發生在日後個人資料保護法開始施行後的台灣,則該法第51條第1項(註1)之排除規定是否適用的問題;其二則是法律政策的部分,究竟在這個資訊數位化且易於搜尋的網路時代,為個人或家庭活動目的而毫無設限(例如本案之供不特定人瀏覽)的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要?(在肯塔基州這個案子裡,此一「無規範」的結果或許是正面的,但在其他的許多狀況,可能並非如此。)   註1:個人資料保護法第51條第1項:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」

TOP