2014年6月26日歐盟執委會提出電信網路層級服務協議標準化指導原則(Cloud Service Level Agreement Standardisation Guidelines)。網路服務提供業者通常會與消費者簽訂契約,內容約定有服務之等級,稱之為電信服務層級契約(SLAs),在雲端運算服務中,通常橫跨不同的管轄領域,適用的法律要件亦產生變化,而在雲端部分所儲存的個人資料保護部分尤其重要。不同的雲端服務與模式所需要的協議約定亦不同,這些都增加訂定的複雜性。
指導原則之提出將幫助專業的雲端服務業者在契約訂定時應該注意的內容,其中主要相關項目包括:
1.雲端服務的可利用性與真實性
2.從雲端服務提供業者中可取得服務的品質
3.安全層級
4.在雲端中如何妥善管理資料
指導原則首先明定原則,以做為雲端運算服務契約之參考。並同時針對不同的名詞定義解是,亦針對不同的契約與法律議題說明,包括業者在依據所訂定的契約中處理個人資料時,應符合歐盟資料保護之規範。
在指導原則提出之後,執委會將與雲端使用者,特別是一些小型企業進行檢視,後續並朝向通過國際ISO之認證。
美國環保署(Environmental Protection Agency of the United States,以下簡稱EPA)於2011年3月16日首度對於國內發電廠有毒氣體的排放提出國家管制標準草案,並預定於2011年11月完成立法,此項立法措施被譽為近20年來美國空氣污染防治史上的重要里程碑。 美國對於發電廠所排放的有害氣體管制,最早源於美國清淨空氣法案(The Clean Air Act)在1990年要求EPA加強對於發電廠排放之汞(mercury)等有毒氣體之管制,而國會亦要求其須於2004年底以前提出國家管制標準。然而EPA於2005年正式公告「清靜空氣除汞管制規則(the Clean Air Mercury Rule,以下簡稱CAMR規則)」時,卻將燃煤電廠排放汞排除於管制名單外,引發紐澤西等14個州政府與相關環保團體的抗議,並對EPA提起聯邦訴訟。2008年2月8日聯邦上訴法院作出判決,除指出EPA對於發電廠空污之認定前後矛盾外,更認定其在未發現有新事證下擅自將發電廠所排放之空氣污染自CAMR管制名單中移除(delist),已違背反清靜空氣法案之程序要求,故推翻CAMR規則之有效性。 此後,經過密集的聽證會與討論,EPA最終於2011年3月16日正式提出「限制發電廠有毒氣體排放」的國家管制標準,對於發電廠所排放的汞、砷(arsenic)、鉻(chromium)、鎳(nickel)及其他酸性或有毒氣體加以管制,並要求電廠必須採用污染控制技術以減少製造量。 後京都議定書時代中,各國無不致力於新興能源替代方案之提出,惟於新興能源研發應用前的過渡期間仍需仰賴傳統發電技術,美國為解決傳統火力發電對於環境及人體健康所造成的傷害,提出首部國家管制標準草案,其後續對於該國能源結構可能產生何種影響,值得注意。
新加坡物聯網產品網路安全防護之初探新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網(Internet of Things,簡稱IoT)產品蓬勃發展,伴隨著資通安全之威脅卻也日益加增,新加坡為此陸續訂定國內法規,以強化保障新加坡人民資訊流通之自由,並確立了網路安全標籤機制,藉以提高消費者對於物聯網產品資安的認識。另一方面,標籤制度能於消費者使用物聯網產品時,將產品受到不同層級之網路安全防護,或有別於一般用途使用等資訊,迅速傳達給消費者。據此,本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規,供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1](CSA),陸續為新加坡建立完善之物聯網產品網路安全防護機制,且新加坡於2018年訂定《網路安全法》[2],法案的第一部分已明示將「網路安全」列為實質保障內涵[3],並明訂須透過識別與分析威脅,以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性,首先於亞太地區推出物聯網產品等級評估機制,即新加坡網路安全標籤機制[4](Cybersecurity Labelling Scheme, CLS),致力於保障新加坡的網路空間,並使消費者能夠識別符合網路安全規定之物聯網產品,以利消費者辨認選購。此外,CLS架構下設有驗證中心、通用標準以及標籤分級等措施,以強化物聯網產品資安防護為目的,也能落實《網路安全法》保障新加坡網路安全之精神。 (一)設置網路安全驗證中心[5](Cybersecurity Certification Centre, CCC):為驗證資安相關產品與服務之權責機關,透過CSA建置的驗證標準,成為新加坡企業採用資安產品之參考依據。 (二)建立通用標準(Common Criteria, CC):最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出,以國際標準ISO/IEC 15408(Common Criteria for Information Technology Security Evaluation)作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認,資訊服務業者若經過相關驗證時,較易被新加坡企業採用。 (三)建立網路安全標籤機制(Cybersecurity Labelling Scheme, CLS):CSA針對智慧裝置推出網路安全標籤機制CLS,是以《網路安全法》做為上位精神而訂,但並不具強制力,而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級,使消費者能夠識別符合較高等級網路安全規定的產品,並做出明智的決定。CLS共可分為4個等級(Level 1~4),第1級為產品滿足相關之基本要求(如密碼要求、提供軟體更新);第2級為該產品係使用安全設計原則進行開發(如進行相關之威脅評估、審驗程序);第3級為該產品經過第三方測試實驗室評估;第4級則經過第三方實驗室之滲透測試。此外,值得注意的是,新加坡亦與德國、芬蘭簽署備忘錄,以相互承認,也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度(IT-Sicherheitskennzeichen)、芬蘭的網路安全標籤制度(Finnish Cybersecurity Label),可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安,透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制,針對物聯網產品資安進行不同層次的保障。此外,採「驗證」方式保障人民生活不受網路威脅侵害,同時提高消費者對於物聯網產品資安之意識,可謂一舉數得之作法。而我國於物聯網產品發展以來,有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章,以供企業或消費者識別,物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後,核發合格證書及資安標章,並依照資安風險高低及安全技術實現複雜度,區分三個等級(L1~L3),分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下,已推出6項產品系列之驗證[7],並且採消費者導向之標章,足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識;但此認驗證機制或有優化空間,今後可以參考新加坡作法,擴增可進行驗證的產品項目,持續提升保障消費者選購物聯網產品之資訊知悉權,同時可參酌國際上其他重點國家之風險評估方式,以系統性建置物聯網產品資安之風險評估通用標準,以確保該制度未來有機會被其他國家直接或間接承認,為國際接軌做準備,作為今後精進物聯網產品資安之目標,方可促使我國與國際產業鏈、海外市場逐步銜接,提升產業競爭力。 [1]新加坡網路安全局CSA(Cyber Security Agency),隸屬於總理辦公室(Prime Minister’s Office, PMO),由新加坡通訊暨新聞部(Ministry of Communications and Information)管理,https://www.csa.gov.sg/,(最後瀏覽日:2023/6/30)。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟(Mobile Application Security Alliance),關於我們〈推動架構〉,https://www.mas.org.tw/about/background,(最後瀏覽日:2023/6/30)。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟(Mobile Application Security Alliance),IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些?〉,https://www.mas.org.tw/iot/questAndAnswer,(最後瀏覽日:2023/6/30)。
標準必要專利與反托拉斯之成果運用法制-以高通案為例 A片也要搞創意!具原創性之A片享有著作權A片也要搞創意!具原創性之A片享有著作權 科技法律研究所 2014年04月20日 壹、事件摘要 99年7月北市知名成人光碟店,以每片10元至20元買進盜版的無碼、有碼A片,再以25元至50元轉售牟利,同年8月檢警查扣一萬一千三百片,且幾乎都是日本色情影片,引發日本A片商聯合跨海提告。 檢方認定部分露點A片屬猥褻物品,部分沒露點A片侵犯日本片商著作權,分依違反《著作權法》及散布販賣猥褻物品罪起訴,但台北地院根據88年的最高法院判決要旨,認為A片違反公序良俗,不受《著作權法》保護,僅依販賣猥褻物品罪判處六個月有期徒刑。 檢方上訴智慧財產法院後,合議庭隨機挑16部A片,由台大教授黃銘傑鑑定,鑑定認為其中3部有碼A片未抄襲,而係導演透過講故事來表達想法,且拍攝手法、情節設計及情慾表現,均有其構思及獨特性,已屬具原創性的著作,遂改判違反《著作權法》及販賣猥褻物品罪。 貳、重點說明 一、88年最高法院台上字第250號判決 本案原審法院認為A片不能享有著作權,主要是採納最高法院88年度台上字第250號刑事判決之見解,該判決指出:著作權法第3條第1款所稱著作,係指屬於文學、科學、藝術或其他學術範圍之創作,色情光碟片不屬之。蓋著作權法之立法目的除在保障個人或法人智慧之著作,使著作物為大眾公正利用外,並注重文化之健全發展,故有礙維持社會秩序或違背公共利益之著述,既無由促進國家社會發展,且與著作權法之立法目的有違,基於既得權之保障仍需受公序良俗限制之原則,是以,色情光碟片非屬著作權法所稱之著作,自不受著作權法不得製造或販賣等之保障。 當年這項判決的背景是因為有人向日本A片商購得台灣地區之發行權後,以刑事訴訟手段到處對錄影帶出租店取締侵害,獲取不當暴利,全國錄影帶出租店哀鴻遍野。對於業者以A片為威脅獲取暴利之工具,顯與國民情感相違,最高法院釜底抽薪之計,就是讓A片不受著作權法保護,業者就無法為惡[1]。 二、智慧財產法院101年刑智上易字第74號判決 103年2月20日,智慧財產法院101年刑智上易字第74號判決認為國外具原創性的色情片,應受國內著作權保障,判決理由節錄如下: (一)人民表現自由之基本權利受憲法保護 按人民有言論、講學、著作及出版之自由,憲法第11條定有明文。我國修正前之著作權法係採註冊保護主義,必須經登記程序,始得取得著作權,不符憲法保護言論與著作自由之本旨,修正後改採創作保護主義,避免出版品主管機關動輒依據88年1 月25日廢止之出版法第32條第3 款之規範[2](妨害風化),禁止猥褻出版品之出版。且違反公序良俗之著作,並非著作權法第9 條規定之消極取得著作權之要件。準此,本院認不得以著作權法未規範之消極要件,禁止或剝奪有原創性之色情著作權人,應受著作權法保護之權利,否則即與憲法賦予人民表現自由之基本權利不符。 (二)我國為WTO會員應遵守TRIPS協定 我國為WTO 之會員,即應遵守TRIPS 協定,依據TRIPS 協定第9 條第1 項規定,會員應遵從伯恩公約第1 條至第21條及附錄之內容,應適用國民待遇原則與最低限度保護原則。伯恩公約第17條僅容許會員國以立法或行政程序行使允許、演出或展出等權利,未容許各會員國得將色情著作排除在著作權法保護客體之外。著作權之保護固具有屬地性,然著作權具有國際普及保護之性,是以,藉由國際著作權公約之締結,統一各國有關著作權法之規範內容。我國為WTO 之會員國,而著作權法亦具有國際性,我國為配合世界趨勢,期與國際規範相結合,自應符合TRIPS 協定之內容,修改與解釋著作權法之規範。我國與WTO 之全體會員間存有著作權互惠保護關係,應遵守TRIPS 及伯恩公約之國民待遇原則,是以,WTO 會員之色情著作於著作財產權存續期間內,未經著作權人授權或同意均不得擅自重製或散布。依著作權法第4 條第2 款之規定,外國著作應受我國著作權法保護。既然保護外國著作,對外國及我國色情著作亦應為平等之對待。 (三)是否取得著作權,應以有無智慧創作為判斷標準 色情或猥褻之定義,因時代與社會風情不同而異。猥褻一詞係不確定的法律概念,其認定標準,應依各時代、地域之道德標準、禮俗規範及生活習慣而定。以往雖認為「查泰來夫人之情人」為色情小說,然時至今日則視該著作為探討女人情慾之重要文學論著。近年知名電影著作「色戒」,不乏男女性交畫面,是以,情色著作不因僅具有色情之元素,即認為非著作。著作權法保護智慧創作之投入,不作道德風俗之審查,是否取得著作權,端賴有無智慧創作之著作,作為保護之判斷標準。至於是否敗壞風俗或有無散布權,係刑法或相關法律之規範,並非著作權法應處理之法律議題。 (四)不得任意加諸著作權法未規定之限制 依據創作精神智力投入之程度,作為著作權保護之要件,不得因著作有色情之素材,而遽認為非著作。申言之,色情素材並非不受著作權保護之消極要件,著作權之保護不宜過於道德化,不得貿然即以公序良俗之公益名義,不當限制色情著作權人之權利行使。否則所有涉及公序良俗之情事,動輒主觀認定重於著作權之私益,屆時恐變成濫用公序良俗之情形,淪為流氓條款,將嚴重影響法之安定性及交易安全。 (五)抽樣之部分光碟具有原創性 我國著作權法採創作保護主義,故色情著作係本於獨立之思維、智巧及技匠,具有原創性,依著作權法第10條規定,著作人於色情著作完成時,即享有著作權。就原始性而言,係指著作人原始獨立完成之創作,而非抄襲或剽竊所致;創作性係指著作具有之少量創意,其足以表現作者之個性。職是,創作性之程度,不必達空前未有之地步,倘依社會通念,該著作與前已存在之作品間有可資區別之變化,足以表現著作人之個性即可。反之,著作與人類之思想感情無關,未能展現作者之個性者,即無創作性可言,則非著作權法所稱之創作。 起訴書附表編號126、600、696等光碟,均經專業團隊企畫,先由編劇編纂、設計不同內容之劇情及文案,並撰寫劇本及臺詞,繼而經由導演指導演員演出及專業攝影人員拍攝,復經剪輯後製及廣告行銷之策劃,花費諸多成本製作,核屬具原創性之人類精神創作,足以表現製作團隊之個性與獨特性。 參、事件評析 A片到底有沒有著作權?智慧財產法院101年刑智上易字第74號判決以原創性的有無,作為A片能否取得著作權之判斷標準,有別於實務上向以88年台上字250號判決為圭臬的否定見解,其見解不僅呼應了主管機關經濟部智慧財產局的看法「色情片或限制級片,不論是本國或外國,是否係本法所稱之著作,應視具體個案內容是否符合上述規定而定,如具有創作性,仍得為著作權保護標的。至於其是否為猥褻物品,其陳列、散布、播送等,是否受刑法或其他法令之限制、規範,應依各該法令決定之,與著作權無涉。」[3],同時也與德國、美國、日本、大陸地區等立法例相同,故本判決一出,即獲得各方之贊同[4]。 然而,在肯定該判決的同時,觀察其判決理由,未來在判斷A片著作權時,除判斷是否具備原創性外,仍需注意以下事項: 一、色情軟蕊作品始受著作權法保護 判決理由提到:「…釋字第617 號解釋,將猥褻物品分為硬蕊與軟蕊。前者係指對含有暴力、性虐待或人獸性交等情節,不具藝術性、醫學性或教育性價值之猥褻資訊或物品;後者係指除硬蕊之外,客觀上足以刺激或滿足性慾,而令一般人感覺不堪呈現於眾或不能忍受而排拒之猥褻資訊或物品。因硬蕊著作之性質,非屬文學、科學、藝術或其他學術價值,顯無促進國家文化發展之功能,即無保護之必要性,故探討色情著作是否受著作權法之保護,著重於軟蕊之範疇。…」換言之,硬蕊作品並無著作權之保護,必須是屬於非含有暴力、性虐待或人獸性交等情節的軟蕊作品,始為該判決討論的範疇而受著作權保護。 二、是否需有馬賽克遮蔽始受著作權法保護? 色情影片是否因「有碼片」或「無碼片」致受著作權法之保護有異?判決書中亦肯認此為本案爭點之一,對此,判決結論認為「具有原創性之色情軟蕊著作應受著作權法保護」。據此,色情影片受著作權保護需具備二個要件:(一)軟蕊著作(二)原創性。 然而,此項結論似無法解決馬賽克遮蔽的爭點,按判決理由中除詳細分析軟蕊、硬蕊的差異,並詳細介紹了16部抽樣鑑定影片的其中3部劇情內容、拍攝手法等而具有原創性,但卻未說明馬賽克遮蔽在著作權保護的差別,而僅以一句「…參諸該等影片性交畫面均使用馬賽克遮蔽,亦無任何人獸交、裸露性器官之畫面,其為具有原創性之視聽著作,自應受我國著作權法之保護。…」輕輕帶過,不免使人有所錯亂。亦即,對於被認定無著作權保護的13部影片,我們可能會推論其原因可能是(一)因無馬賽克遮蔽,故不屬於軟蕊著作。或(二)因無馬賽克遮蔽,故不具備原創性。抑或(三)軟蕊、具原創性,但無馬賽克遮蔽。 對於第一項推論,係將馬賽克遮蔽作為判斷軟蕊、硬蕊之標準,可能與大法官釋字第617號解釋所稱「係指對含有暴力、性虐待或人獸性交等情節,不具藝術性、醫學性或教育性價值之猥褻資訊或物品」之判斷基準有所出入;第二項推論,係將馬賽克遮蔽作為原創性之判斷標準,此時可能與該作品是否「本於獨立之思維、智巧及技匠,具有原始姓與創作性」之認定有所扞格;而第三項推論,則是將馬賽克遮蔽作為除軟蕊著作及原創性以外之第三個要件,然而對於此要件,卻未如前二項要件般於判決理由中詳細說明,故色情影片是否因「有碼片」或「無碼片」致受著作權法保護有異之訴訟爭點,恐怕仍有待釐清。 [1]章忠信,「A片可以享有著作權」,著作權筆記網站,http://www.copyrightnote.org/crnote/bbs.php?board=6&act=read&id=98(最後瀏覽日:103年3月4日) [2]出版法第32條(已廢止):出版品不得為左列各款之記載: 一、觸犯或煽動他人觸犯內亂罪、外患罪者。 二、觸犯或煽動他人觸犯妨害公務罪、妨害投票罪或妨害秩序罪者。 三、觸犯或煽動他人觸犯褻瀆祀典罪或妨害風化罪者。 [3]經濟部智慧財產局中華民國92年09月10日智著字第0921600729-0號函 [4]同註1。