微軟與中興通訊（ZTE）簽定Android和Chrome專利授權

　　為因應2016年正式上路實施之社會保障與納稅人識別號碼制度(社会保障・税番号制度)對於個人資料保護所產生之影響，日本政府內閣於2015年3月10日於國會提出個人情報保護法之修正案。 　　此次修正案主要分有六大重點，包含個資定義擴充與明確化、確保個資文件內容之正確性、強化個資保護規範內容、設立個人情報保護委員會、個資情報處理全球化，以及其他修正事項如未得當事人同意之第三人使用個資條件嚴格化等。 　　其中主要有兩項係與社會保障與納稅人識別號碼制度相關。首先是強化個資保護規範內容部分，由於社會保障與納稅人識別號碼制度將遇有個資資料庫使用情況，故新增個資資料庫之相關規範與罰則，行為人於未經授權或不當使用個資資料庫時，將可處1年以下拘役併科日幣50萬元以下之罰金，亦即當行為人違反個資法有關個資資料庫規定時，不但須支付罰金也須負刑事責任。 　　其次，擬設立直屬內閣總理大臣所轄之個人情報保護委員會，其委員組成人選須經參眾兩議院同意後，由內閣總理大臣任命之。委員會主要任務在於專責監督與監測政府各機關以及民間個資處理事業對於個資的傳遞、處理，並適時提出指導意見或建言。

　　Twitpic公司為提供圖像分享服務軟體服務的公司，於2008年成立，2009年起，提供Twitter(微博)社群網站平台使用者，透過運用Twitpic的即時圖像分享功能，將照片及影像同時上傳至微博的服務；截至2014年6月已提供使用者此項微博平台的分享服務至少6年。Twitpic於2013年10月3日，以公司名稱「TWITPIC」為名稱，向USPTO(美國專利商標局)提出國際分類第42類之電腦服務之商標註冊案，並於2014年6月24日核准公告。 　　微博公司於知悉Twitpic商標申請資訊後，除了以Twitpic商標近似於先前註冊商標Twitter而提出商標異議外，並威脅Twitpic公司放棄商標申請，否則將切割Twitpic可直接連結照片至Twitter平台的服務。 　　同時，微博公司發言人表示，為了確保公司品牌及商譽不被侵害及淡化，故除了對於Twitpic公司提出商標異議外，並為了確保使用者能持續使用將照片及影像即時上傳至微博的服務，將由微博平台自行提供相關功能，以減少使用者無法運用Twitpic服務之不便。 　　因此，Twitpic公司負責人 Noah Everett於2014年9月初宣布，在無足夠的資源對抗大公司如微博的脅迫下，被迫於9月底關閉Twitpic服務。 　　依據Twitpic於微博上發布之最新消息顯示，Twitpic已被其他買家收購，將持續經營，但有關商標爭議案之後續發展，將持續觀察。

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　德國聯邦資訊技術，電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則（GDPR）內容為基礎，調整德國聯邦資料保護法（BDSG）之修法動向。 　　德國政府正在緊鑼密鼓地調整德國的資料保護立法，使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿，但修正方向略有以下幾點： 　　首先，德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防，調查，偵查等訴追刑事犯罪或執行刑事處罰目的，處理個人資料時的保護以及對資訊自由流通指令。 　　其次，新法將遵循GDPR的結構，並利用一些除外規定，如：在資料處理時企業應指派九人以上資料保護官（DPO）的義務。某些如通知當事人的義務規定，亦有可能在存有更高的利益前提下，限縮其履行範圍。此意味某些通知義務有可能得不適用，例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。 　　第三，聯邦法律將保留一些規定，如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款，以及在公眾開放地區使用電子光學裝置監視的條款等。 　　最後，立法修正動向值得注意的重點尚有，(1)未來德國立法者將如何應對新的歐洲資料保護委員會（EDPB）中德國代表的地位（represe。由於EDPB將發布具有約束力的決定，針對爭議內容的決定意見，德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官（17個）經常提出不同的見解。此外，(2)還應該觀察聯邦資料保護監察官是否應該賦予權限，向法院提出對歐盟爭議決定或法律救濟，使案件進入德國法院，以爭執歐盟執委會所為之決定是否具備充足理由。前此，德國聯邦參議院（代表十六邦）2016年5月已要求聯邦政府引進新規定，使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論，將來有可能提供德國資料保護監察官，挑戰隱私盾協議的可能性。但新法案是否會解決這一問題，這還有待觀察。 　　可預見在2017年9月下一屆德國聯邦議會選舉前，將通過法案。