亞太經濟合作組織（ＡＰＥＣ）糧食安全政策夥伴關係機制（ＰＰＦＳ）2014年8月14日在北京召開成員會議

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

歐洲人權法院（European Court of Human Rights，簡稱ECtHR）於2026年1月8日就Ferrieri and Bonassisa v. Italy一案作成判決，認定義大利稅務機關儘管為稅務稽查目的享有查閱當事人銀行資料，但相關授權規定賦予了政府查閱措施之範圍與條件的絕對裁量權，缺乏避免恣意裁量之程序保障，違反歐洲人權公約（European Convention on Human Rights, ECHR）對隱私權之保障。 本案起源於申訴人接獲其銀行通知，表示接獲稅務機關要求，須提供特定時間段內與申訴人相關或可追溯至申訴人之銀行帳戶、交易紀錄及其他金融活動之資料。銀行並表示將配合稅務機關之要求。 申訴人不服，主張法律及相關規定未就請求銀行提供資料的情形或條件進行足夠細緻的規定，亦未就稅務機關行使調閱權設計有效的事前及事後控制程序，從而賦予稅務機關不受約束的裁量空間。 義大利稅務機關則回應，為履行其「核查納稅人提交的申報資料及繳納款項，偵測任何遺漏事項，並據此進行應繳稅款的核定與徵收」職權，法律賦予其要求銀行提供納稅人的相關資料之權限。 法院強調，凡涉及人權的政府措施，均必須保障個人免受任意干預，並接受在獨立機構進行前進行的某種對抗性程序審查，以適時審核決策依據及相關證據，始符合法治之要求。在本案中，法院認為，若義大利稅務機關發布行政規則，能補充並進一步界定了銀行資料之調閱事由及權限，且對執行單位具有拘束力，相關規定應能符合法治之要求。 但法院發現，在事前的內部授權流程中，執行單位可以不附理由地提出調閱申請，不須就前述行政規則例示之調閱事由，如「稅務申報存在異常」等情形提供證據。 法院也發現，申訴人也無法在事後針對調閱決定透過法院獲得有效救濟。一方面，若申訴人依附於稅務評定書（tax assessment notice）向稅務法庭就調閱行為進行爭執，由於根據義大利判決先例，調閱缺乏授權或授權理由不足，不足以構成撤銷稅務評定書的正當理由，調閱行為之合法性本身可能因此被視為訴訟上不相關的爭議，在訴訟過程中並不受到審查。另一方面，即便直接針對向民事法院請求救濟，在調閱決定可不附理由之情形下，也難以想像法院如何進行審查。 因此，法院判決最後認為，義大利法律框架賦予了稅務機關不受約束的調閱裁量權，違反ECHR第8條對隱私權之保障。

　　美國在2019年12月20日建立一支新的軍種—太空軍(Space Force)。這代表以往存在於科幻的宇宙部隊將躍然於現實，但美國太空軍可能會在商標戰爭中，輸給Netflix的喜劇影集「Space Force」。Netflix早於美國政府在歐洲、澳洲、墨西哥等地取得「Space Force」商標，但其並非為搶先美國政府進行註冊，而係為能銷售相關商品。 　　美國商標法採取先使用主義，即使後使用者先進行註冊，先使用者還是可以取得商標。Netflix自2019年初即開始即在全球廣泛採用「Space Force」做為商標，基本上「Space Force」之商標權應歸屬於Netflix。美國空軍則是在同年3月以「Space Force」申請商標做為一般的使用。然而，美國政府長期以來也有諸多關於軍事資產涉及商標保護之案例，例如派拉蒙影業（Paramount Pictures）在1995年至2005年間六次申請註冊「JAG」（Judge Advocate General）商標，但政府立場並未特別反對。 　　美國國防部(簡稱：DOD)針對商標授權使用，於商標許可指南（DOD Trademark Licensing Guide）中，說明對於美國軍隊徽章及標緻之使用方式，並於2007年推出了國防部品牌和商標許可計畫（DoD Branding and Trademark Licensing Program）。在此之後，美國海軍陸戰隊開始向大部分銷售標示有「USMC」T恤之電商，請求不得再銷售標示有相關文字之T恤。回到本事件，美國太空軍發言人表示，對於與Netflix可能存有商標爭議並不知悉，但希望Netflix能延續該節目，以做為良好的宣傳。

　　纏訟四年後，臺灣積體電路製造股份有限公司及其北美子公司（臺積電），在與美國Ziptronix公司之專利訴訟中獲得勝訴判決。 　　同為半導體公司的Ziptronix於2010年起訴主張臺積電所製造，主要用於智慧型手機相機的背照式CMOS影像感測器晶片，侵害該公司9項專利及超過500項申請專利範圍。 　　依據美國專利法第271條（a）項，除該法另有規定外，於專利權存續期間，未經許可於美國境內製造、使用、要約銷售，或銷售已獲准專利之發明產品，或將該專利產品由外國輸入至美國境內，方屬侵害專利權。因此本案中，臺積電即以美國專利法不適用於美國境外之製造、銷售為由，向法院聲請駁回原告Ziptronix公司之訴。承審法官同意臺積電簡易判決（summary judgment）的聲請，並於10月底作出判決。 　　臺積電於訴訟中成功主張涉訟晶片的製造及銷售交貨行為皆在臺灣完成。承審法官更指出，縱使如原告Ziptronix公司所言，臺積電相關契約皆於美國境內協商及簽訂，但因為該等契約本來就計畫於海外履行，因此臺積電的涉訟晶片仍非於美國境內銷售。