英國公布「智慧聯網挑戰與機會」政策報告及制訂「智慧聯網科際研究路徑圖」
對於智慧聯網(IoT)推動政策,英國主要係以科技策略委員會(Technology & Strategy Board)下設智慧聯網特別關注研究小組(IoT Special Interest Group, IoT SIG)為平台,討論智慧聯網(IoT)相關資訊及規劃推動政策。英國智慧聯網特別關注研究小組2013年5月公布「智慧聯網的挑戰與機會」(IoT Challenges and Opportunities - Final Report)報告,對於智慧聯網(IoT)服務的創新發展提出建議,包括應推動:(1)建立操作互通性(interoperability)的框架(2)以人為本的設計(People-centred design)(3)創造強健的智慧聯網(IoT)平台(4)頻譜使用模式的無線電技術等相關政策。
再者,英國智慧聯網特別關注研究小組在2月15日也發表「智慧聯網科際研究路徑圖」(A Roadmap for Interdisciplinary Research on the Internet of Things) 最後報告,內容包含四個子報告,分別對科技、文化創意及設計、經濟及商業、社會科學討論智慧聯網(IoT)未來研究的方向。在「社會、法律及道德子報告」(A Roadmap for Interdisciplinary Research on the Internet of Things: Social Science)中提及應注意的研究問題,包括:隱私及資料保護、自主選擇性(choice)、控制(control)、智慧型個人隨身裝置的社會議題、安全(security)
、所有權及智慧財產權、公眾安全及保護、資料保留(data retention)、行動的停止、過時資料的處理、以及巨量資料、納入公眾意見、服務品質等等。
並且,英國「社會、法律及道德子報告」中透過情境分析的方式,試圖將所提及之相關社會、法制及道德議題盧列出來,希望能在此基礎下進行更系統性的研究探討,以更廣泛含攝模式,嘗試從社會、法律及道德各層面,探究智慧聯網(IoT)相關重要議題。
本文為「經濟部產業技術司科技專案成果」
李科逸
副主任 編譯整理
Iot SIG, IoT Challenges and Opportunities - Final Report (2013), https://connect.innovateuk.org/c/document_library/get_file?p_l_id=2140879&folderId=8283616&name=DLFE-143052.pdf (last visited, Dec. 12, 2013)
A roadmap for interdisciplinary research on the Internet of Things, _CONNECT, https://connect.innovateuk.org/web/internet-of-things/articles/-/blogs/a-roadmap-for-interdisciplinary-research-on-the-internet-of-things;jsessionid=004CE03123852A65CC8ABFF60AF0C03C.2dd13a02eab (last visited, Dec. 12, 2013)
IoT SIG, A Roadmap for Interdisciplinary Research on the Internet of Things: Social Science (2013), https://connect.innovateuk.org/c/document_library/get_file?p_l_id=2140879&folderId=10756171&name=DLFE-126061.pdf (last visited, Dec. 12, 2013)
高達十億美元的著作權訴訟案件大大挑戰YouTube,YouTube之母公司Google的律師向美國曼哈頓地方法院(U.S. District Court in Manhattan)提交文件對Viacom最新提出的訴訟作出以下回應: 『對受著作權保護的資訊無法出現在該網站上的指控,將威脅兩億用戶在網路上交換資訊的權益』。 自從Viacom於2007年提出訴訟以來,這兩家公司之間的交鋒戰況日益激烈。Viacom聲稱,由於用戶能夠不經允許地看到該公司的傳播內容,YouTube反而一貫縱容未經授權的流行電視劇和電影在其網站上放置,並被瀏覽數萬次,並稱Google對此視而不見,已使該公司遭受嚴重損失。 Google在上周五提交給法官的文件中宣稱,『YouTube在幫助著作內容擁有者保護其著作權方面做的已遠遠超過法律應承擔的義務』。同時,Google表示:『為了尋求上傳者和網路服務業者的合法性,Viacom反而威脅了兩億網路用戶合法交換資訊、新聞、娛樂、政治和藝術表達的方式與自由』。 Google稱所屬的YouTube乃忠實執行1998年『千禧年著作權法』(1998 Digital Millennium Copyright Act) 的要求,認為聯邦法會保護YouTube等對著作權擁有者的要求做出適當回應。但Viacom卻認為YouTube開啟了一個不良示範。
歐盟通過「資料保存指令」「資料保存指令」( Directive on the retention of data ,下稱本指令)已於 2006 年 2 月 21 日 經歐盟部長理事會( European Council of Minister )批可而正式生效。但部分歐盟國家,如愛爾蘭( Irish )與斯洛伐克( Slovak )仍認為,由於資料保存對於歐盟民眾權益影響甚鉅,故應透過更嚴格的立法程序,如由歐盟部長理事會( European Council of Minister )全體一致通過「決定」( Decision ),而不應透過議會表決後再交由理事會批可指令( Directive )的方式生效。 本指令要求網路服務業者( Internet service providers, ISPs )與固定( fixed-line )及行動 (Mobile) 網路業者必須要保存客戶通聯之通聯日期、地點、通話時間等通聯資料等,保存期限從 6 個月到 2 年不等。而除了保存之責任以外,上述業者還必須要確保其保存之資料可隨時配合執法單位之調查,提供執法單位進行嚴重犯罪之調查與恐怖分子調查之參考與利用。 國際隱私權組織( Privacy International )表示,本指令的通過將對歐盟地區民眾之人權造成不可磨滅之影響。此外,歐盟地區之電信公司與 ISPs 則表示,本指令實施後,若政府單位未給予任何的補助,將大量增加業者在資料儲存之費用,進而影響市場競爭。 本指令最遲將於公布後隔年開始實施。
歐盟最高法院宣佈2006歐盟資料保留指令無效歐盟最高法院認為,2006歐盟資料保留指令(EU data retention directive)授權各會員國以法律要求電信業或網際網路服務供應商保留人民通信及網路活動數據資料長達兩年、並允許提供給執法或安全服務部門(police and security service)的規定,係屬重大侵害隱私生活及個人資料保護兩大基本人權,因此宣告該規定無效。該判決起因於澳洲及愛爾蘭民間團體向歐盟法院提出申訴,目前28名歐盟會員國正共同起草新的資料保護法案。 2006歐盟資料保留指令允許電信公司保留個人的ID、通信時間、通信地點及通信頻率。歐盟最高法院判決中表示,雖然肯定該規定對於偵查、追溯重大犯罪有其必要性及正當性,但對保留期間(6個月至2年)欠缺明確的保留標準,而過度侵犯個人隱私生活及未提供適當的個人資料保護措施,並不符合比例原則。 針對此一歐盟最高法院判決的宣示意涵,英國政府發言人表示通信數據的保留對執法部門偵查犯罪及確保國家安全是絕對必要的,若電信公司無法保留並提供給執法部門,很可能危及國安。 無論如何,歐盟最高法院的決定,重新宣告了人民隱私權及個人資料的保護不容國家任意侵犯,國家沒有權力任意的、不加區別的蒐集、保留一般人民的通信資料和網路行動,這是無視且扭曲基本人權的行為。該則判決為歐盟各成員國的資料保留法制開啟了新的里程碑。
淺談美國與日本遠距工作型態之營業秘密資訊管理淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版,近年來隨著科技的進步,遠距工作在全球越來越普及,過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊,使辦公的地點、時間更具有彈性,遠距工作模式成為後疫情時代的新生活常態。 因應資訊化時代,企業在推動遠距工作時,除業務效率考量外,更需注意資安風險的因應對策是否完備,例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 本文將聚焦在遠距工作型態中,因應網路資安管控、員工管理不足,所產生的營業秘密資訊外洩風險為核心議題,研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1],以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容,藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 遠距工作是指藉由資訊技術(ICT Information and Communication Technology),達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例,依據業務執行的地點,可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種: 1.居家辦公:在居住地執行業務的工作方式。此方式因節省通勤時間,是一種有效兼顧工作與家庭生活的工作模式,適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室(Satellite Office)辦公:在居住地附近,或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時,可選擇優於居住地之環境執行業務,亦可在移動過程中完成工作,提高工作效率。 3.行動辦公:運用筆記型電腦辦公,自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 遠距工作時,企業內外部資訊的交換或存取都是透過網際網路執行,對於資安管理不足的企業來說,營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊,或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺(Business Email Compromise,簡稱BEC)之案例,以真實CEO之名義傳送假收購訊息,藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 由於員工在遠距工作時,常使用私人電腦或智慧型手機等終端機進行業務資料流通,若員工所持有的終端機資安風險有管控不佳的情況,即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼,再以此做為跳板,進入企業伺服器非法存取企業之營業秘密資訊,造成超過180家客戶受到影響[4]。 關於遠距工作網路資安的風險對策,在技術層面上,企業可使用防毒軟體或電子郵件系統的過濾功能,設定遠距工作之員工無法開啟含有惡意程式的檔案,或是透過雲端服務供應商代為控管存取資料之驗證機制,使遠距工作的過程中不用進入企業内網,可直接透過雲端讀取資訊。另外,建議企業將資訊依照重要程度作機密分級,並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5],屬營業秘密、顧客個資等機密資訊者,應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上,企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況;甚至要求員工在連結企業内網或雲端資料庫時,須使用資安管理者指定的方法連結,未經許可不得變更設定。 除上述網路資安的風險外,員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此,企業雇主與員工在簽訂保密協議時,雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例,營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施,而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事,則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中,原告Peoplestrategy公司除了要求員工須簽屬保密協議外,同時有採取保護措施,禁止員工將公司資訊存入筆記型電腦,並且要求員工離職時返還公司所屬之機密資訊,並讀取資訊的過程中,系統會跳出顯示提醒員工有保密義務之通知,故法院認定原告有採取合理的保護措施,保護機密資訊的秘密性[9]。與之相反,Maxpower Corp. v. Abraham案例中,原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼),且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序,故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 藉由前述兩件判決案例,企業在與員工簽屬保密協議時,應向員工揭露企業的營業秘密保密政策,並說明希望員工如何適當處理企業所屬的資訊,透過定期的教育訓練宣導機制,以及員工離職時再次提醒應盡之保密義務。理想上,企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整,例如員工因為遠距工作使工作時間、地點的自由度增加,是否會發生員工接觸或進一步與競爭對手合作的情形。對此,企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展,企業在推動遠距工作普及化的過程中,同時也面臨到營業秘密管控的問題,以下以四個面向給予企業建議的管控對策供參。 (一)教育宣導:企業可定期安排遠距工作資安教育訓練,教導員工如何識別釣魚網站、BEC等網路攻擊類型,並以企業電子報、公告提醒資安新聞。另外,規劃宣導企業營業秘密保密政策,使員工清楚應盡的保密義務,以及如何適當處理企業的資訊。 (二)營業秘密資訊管理:企業應依照資訊重要程度作機密分級,例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級,對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施,以及對應其相關資料應審慎管理對應之權限、存取審核。 (三)員工管理:企業在最理想的狀況下,應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施),並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時,使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時,在未經許可之情況下持有企業的營業秘密資訊。 (四)環境設備管理:遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊,避免直接進入到企業內部網站為原則。同時,需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈遠距工作資安指引〉第5版,總務省,https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日:2022/04/27)。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1,頁99。 [4]同前揭註1,頁103。 [5]同前揭註1,頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).