美國白宮公布巨量資料追蹤報告與政策建議

　　總部位於亞特蘭大的ZapMedia媒體服務公司於2008年3月12日向美國德州東區地方法院控告Apple的iTunes線上音樂店與iPod音播放器侵害ZapMedia專利技術，其申請的兩項專利，先後於2006年3月(專利號7,020,704)與ZapMedia提申訴訟前一日2008年3月11日(專利號7,343,414)獲取美國專利權。 　　就ZapMedia提出爭議技術，主要透過伺服器向多媒體播放器傳送音樂和其他數位電子內容，其專利主要包含一媒體程式庫資料庫伺服器，使用者可經由一或多個通訊網路存取伺服器中主要程式庫內多媒體資料。其伺服器中包含複數個多媒體播放器，以供存取多媒體資料之用。每個多媒體播放器包含一處理器以執行客戶端應用程式，使用者可經授權許可運用其多媒體資料。ZapMedia技術開發後陸續向全球多家科技和媒體公司推銷，其中亦包括Apple。ZapMedia指出，Apple沒有徵求ZapMedia同意，分別於2001年10月推出iPod MP3和iTunes連結的播放器，以及2003年4月推出iTunes線上音樂店。就市場研究單位「NPD集團」分析指出，iTunes的成功，促使Apple在美國僅次沃爾瑪百貨(Wal-Mart)成為第二音樂零售業者。故ZapMedia要求Apple應依去年iTunes和iPod銷售額約110億美元補付ZapMedia權利金。 　　ZapMedia指出從2006年6月至2007年秋天已試圖多次與Apple協商，並請Apple購買許可證，以授權方式有效使用ZapMedia的專利技術。然而Apple對此無表達任何意見，使得Zap採取提申訴訟動作。

　　加州聯邦中區地方法院於2014年6月在Jancik v. Redbox Automated Retail, LLC (No. SACV 13-1387-DOC, 2014 WL 1920751 (C.D. Cal. May 14, 2014))一案中，判決影片自動出租機公司Redbox勝訴。法院認為，雖然Redbox在其經營的線上影視串流服務中未提供隱藏字幕(closed captioning)，導致聽障者無法藉由閱讀影片字幕來了解劇情，但「網站」非美國身心障礙者法(Americans with Disabilities Act，下稱ADA)第三章「民間事業體所營運之公共設施與服務」中所稱「公共設施」(public accommodation)，即無障礙建置範疇不包含提供公眾商品與服務的「網站」，因此業者不須提供具可及性之商品，例如：附字幕影片。法院認為第三章並未就公共設施中商品特色和內容有所規範，因此業者無義務改善其他影片存貨規格，使其能為身障者所觀看；又Redbox線上影視串流服務僅有網路通路，依ADA文義解釋，網站亦非屬於公共設施，無提供無障礙建置之必要。 　　本案與第一巡迴上訴法院在NAD v. Netflix案見解大相逕庭，該案以「美國國家聽障人士協會」(National Association of the Deaf, NAD)為首之公協會，集體對美國知名線上串流影視節目網站Netflix提起訴訟，控告其線上影視節目未提供隱藏字幕，使得聽障人士無法觀看該影片內容，法院判決該平臺網站屬於「公共設施」，依ADA第302條規範，身心障礙者有權利享受公共設施之設備，不得因殘障而受差別對待。有關網站是否屬於ADA第三章所稱公共設施，而使得私法人有改善網頁無障礙技術義務，仍有待觀察。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　巴拿馬避稅文件被揭露後，引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection)，避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 　　執委會2013年11月正式提出歐盟營業秘密指令草案，目的為調合歐洲內部市場營業秘密規範，以建立保護創新者的環境，並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商，對於歐盟營業秘密指令內容達成共識，準備進入立法表決。 　　巴拿馬事件發生後，公民團體Corporate Europe Observatory之代表Martin Pigeon認為，歐盟營業秘密指令可能成為企業對付揭弊人的工具，以掩蓋不當或違法行為，而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示，營業秘密指令會明確地將記者及揭弊人除罪化。 　　事實上，為了保障公共利益所為之揭露行為，執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定，會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity)，不會觸犯(entitle)營業秘密法之任何罪名。換句話說，即便取得企業機密之方式違法，揭弊人為了公共利益之行為不會違反營業秘密指令。 　　歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準，若歐盟營業秘密指令順利通過，仍待會員國依據該指令各自立法，訂立境內營業秘密相關規範，以落實營業秘密之保護。