美國Six Strikes系統成為打擊音樂、影視網路盜版的利器?!

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　韓國著作權法施行令於今年(2012)4月12日修正，10月13日施行，其中值得注意的地方就是簡化「孤兒著作法定授權程序」，目的就是要改善孤兒著作授權，耗時過長的問題。在韓國，一般來說，取得孤兒著作授權要花2個月以上時間，而且對申請人而言，最困難的地方在於要證明已盡一切努力搜尋權利人未果，所以過去10年(2001~2011)內，只有37件孤兒著作獲得授權。 　　韓國孤兒著作法定授權程序之簡化內容為：除申請人可自行證明已盡相當努力外，政府可代為證明已盡相當努力，亦即只要符合「查詢著作權登記簿」、「查詢著作權集體管理團體之權利資訊目錄」、「著作在『尋找權利人資訊系統』公告3個月以上」等法定要件，即可認定已盡相當努力，直接准予授權使用孤兒著作。其目的主要就是要增進使用孤兒著作的便利性。 　　前述之「尋找權利人網站」：www.findcopyright.or.kr，係由韓國著作權委員會建置，申請人亦可在網站上申請孤兒著作授權。手續費每件1萬韓圜(相當於新台幣287.9元)。

　　美國司法部（United States Department of Justice）、美國專利商標局（The United States Patent and Trademark Office）、美國國家標準與技術研究院（National Institute of Standards and Technology）於2021年12月6日共同發布「修改『標準必要專利』授權協議及司法救濟方法之政策宣言草案」（Draft Policy Statement On Licensing Negotiations And Remedies For Standards-Essential Patents Subject To Voluntary FRAND Commitments，下稱2021政策宣言草案），並徵集公眾意見，截止時間為2022年2月4日。2021政策宣言草案係在回應2021年7月9日「促進美國經濟體競爭性行政命令」（Executive Order on Promoting Competition in the American Economy）關於檢討2019年「有關『標準必要專利』司法救濟方法之政策宣言」（Policy Statement On Remedies For Standards-Essential Patents Subject To Voluntary FRAND Commitments，下稱2019政策宣言）之要求。 　　2021政策宣言草案揭示了兩大重點： （一）改變SEP被侵害時，對禁制令（injunction）之核發態度 　　2021政策宣言草案對於「SEP被侵害時，是否核發禁制令」一事，擬回歸適用聯邦最高法院自eBay Inc. v. MercExchange, L.L.C., 547 U.S. 388 (2006)案以來，就禁制令之核發所設立之原則—（1）原告（專利權人）會因專利侵權而遭受無法填補（irreparable）的損害；（2）目前法律上之其他救濟方法，是不足以賠償專利權人所受的損害；（3）衡量專利權人及被授權人可能遭遇之困難，足認有必要進行衡平法上的救濟；（4）核發禁制令不會傷害到任何公共利益。 （二）揭示何謂符合「誠信原則」（good-faith）授權協議的指導原則 （1）雙方應以合宜態度推進授權協議： 　　以SEP專利權人而言，其應向潛在被授權人告知可能侵害該SEP的行為態樣；其並以「公平、合理及無歧視」（fair, reasonable, and non-discriminatory, FRAND）原則進行授權。 　　以SEP被授權人而言，其應於知悉以上資訊後，於商業上得被認為合理的時間內，以合宜態度推進該協議，或逕自接受該授權協議，或拒絕原要約而反向提出一合於FRAND原則之新要約（counteroffer）。其他合宜態度例如：就SEP專利權人提出進一步探詢（例如：詢問該SEP目前之專利有效性及有無侵權情形）或請求提供更具體的資訊，或建議目前雙方所遇到的授權上爭議可透過公正第三方解決。 　　茲有附言者，SEP專利權人在收到以上回應後，亦應「於合理的時間以合宜態度」推進授權協議，例如接受被授權人反向提出之新要約，或為使原授權協議較可被接受，再行提出一合於FRAND原則之授權條款，或回應被授權人想得知更多資訊之請求，或亦提出「可透過公正第三方解決雙方所遇到之授權紛爭」的方案等。 （2）雙方應合宜妥善解決紛爭： 　　如雙方因授權而生紛爭，建議尋求替代爭議解決方式（alternative dispute resolution）；如仍欲透過司法解決，建議雙方就管轄法院達成合意，而非單方面擇定法院而提起訴訟。 　　此次徵求公眾意見的主要議題如下： （1）2021政策宣言草案是否較可適當平衡SEP專利權人及被授權人之利益？ （2）「可申請核發禁制令」一事是否為SEP專利權人願意遵守FRAND原則的重要因素？ （3）如何提升SEP授權協議之效率及透明度？ （4）2021政策宣言草案所揭示對於SEP授權時之「誠信原則」之指導原則，可否為SEP授權協議建構良好架構？ （5）是否有潛在SEP被授權人願意及不願意接受FRAND授權協議之情形？ （6）有關單位是否曾經或應就SEP授權協議提供其他參考資訊？