新加坡交易所發布(2013)智財揭露指引鼓勵上市企業揭露智財權利資訊

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

A片也要搞創意！具原創性之A片享有著作權 科技法律研究所 2014年04月20日 壹、事件摘要 　　99年7月北市知名成人光碟店，以每片10元至20元買進盜版的無碼、有碼Ａ片，再以25元至50元轉售牟利，同年8月檢警查扣一萬一千三百片，且幾乎都是日本色情影片，引發日本Ａ片商聯合跨海提告。 　　檢方認定部分露點Ａ片屬猥褻物品，部分沒露點Ａ片侵犯日本片商著作權，分依違反《著作權法》及散布販賣猥褻物品罪起訴，但台北地院根據88年的最高法院判決要旨，認為Ａ片違反公序良俗，不受《著作權法》保護，僅依販賣猥褻物品罪判處六個月有期徒刑。 　　檢方上訴智慧財產法院後，合議庭隨機挑16部Ａ片，由台大教授黃銘傑鑑定，鑑定認為其中3部有碼Ａ片未抄襲，而係導演透過講故事來表達想法，且拍攝手法、情節設計及情慾表現，均有其構思及獨特性，已屬具原創性的著作，遂改判違反《著作權法》及販賣猥褻物品罪。 貳、重點說明 一、88年最高法院台上字第250號判決 　　本案原審法院認為A片不能享有著作權，主要是採納最高法院88年度台上字第250號刑事判決之見解，該判決指出：著作權法第3條第1款所稱著作，係指屬於文學、科學、藝術或其他學術範圍之創作，色情光碟片不屬之。蓋著作權法之立法目的除在保障個人或法人智慧之著作，使著作物為大眾公正利用外，並注重文化之健全發展，故有礙維持社會秩序或違背公共利益之著述，既無由促進國家社會發展，且與著作權法之立法目的有違，基於既得權之保障仍需受公序良俗限制之原則，是以，色情光碟片非屬著作權法所稱之著作，自不受著作權法不得製造或販賣等之保障。 　　當年這項判決的背景是因為有人向日本A片商購得台灣地區之發行權後，以刑事訴訟手段到處對錄影帶出租店取締侵害，獲取不當暴利，全國錄影帶出租店哀鴻遍野。對於業者以A片為威脅獲取暴利之工具，顯與國民情感相違，最高法院釜底抽薪之計，就是讓A片不受著作權法保護，業者就無法為惡[1]。 二、智慧財產法院101年刑智上易字第74號判決 　　103年2月20日，智慧財產法院101年刑智上易字第74號判決認為國外具原創性的色情片，應受國內著作權保障，判決理由節錄如下： （一）人民表現自由之基本權利受憲法保護 　　按人民有言論、講學、著作及出版之自由，憲法第11條定有明文。我國修正前之著作權法係採註冊保護主義，必須經登記程序，始得取得著作權，不符憲法保護言論與著作自由之本旨，修正後改採創作保護主義，避免出版品主管機關動輒依據88年1 月25日廢止之出版法第32條第3 款之規範[2]（妨害風化），禁止猥褻出版品之出版。且違反公序良俗之著作，並非著作權法第9 條規定之消極取得著作權之要件。準此，本院認不得以著作權法未規範之消極要件，禁止或剝奪有原創性之色情著作權人，應受著作權法保護之權利，否則即與憲法賦予人民表現自由之基本權利不符。 （二）我國為WTO會員應遵守TRIPS協定 　　我國為WTO 之會員，即應遵守TRIPS 協定，依據TRIPS 協定第9 條第1 項規定，會員應遵從伯恩公約第1 條至第21條及附錄之內容，應適用國民待遇原則與最低限度保護原則。伯恩公約第17條僅容許會員國以立法或行政程序行使允許、演出或展出等權利，未容許各會員國得將色情著作排除在著作權法保護客體之外。著作權之保護固具有屬地性，然著作權具有國際普及保護之性，是以，藉由國際著作權公約之締結，統一各國有關著作權法之規範內容。我國為WTO 之會員國，而著作權法亦具有國際性，我國為配合世界趨勢，期與國際規範相結合，自應符合TRIPS 協定之內容，修改與解釋著作權法之規範。我國與WTO 之全體會員間存有著作權互惠保護關係，應遵守TRIPS 及伯恩公約之國民待遇原則，是以，WTO 會員之色情著作於著作財產權存續期間內，未經著作權人授權或同意均不得擅自重製或散布。依著作權法第4 條第2 款之規定，外國著作應受我國著作權法保護。既然保護外國著作，對外國及我國色情著作亦應為平等之對待。 （三）是否取得著作權，應以有無智慧創作為判斷標準 　　色情或猥褻之定義，因時代與社會風情不同而異。猥褻一詞係不確定的法律概念，其認定標準，應依各時代、地域之道德標準、禮俗規範及生活習慣而定。以往雖認為「查泰來夫人之情人」為色情小說，然時至今日則視該著作為探討女人情慾之重要文學論著。近年知名電影著作「色戒」，不乏男女性交畫面，是以，情色著作不因僅具有色情之元素，即認為非著作。著作權法保護智慧創作之投入，不作道德風俗之審查，是否取得著作權，端賴有無智慧創作之著作，作為保護之判斷標準。至於是否敗壞風俗或有無散布權，係刑法或相關法律之規範，並非著作權法應處理之法律議題。 （四）不得任意加諸著作權法未規定之限制 　　依據創作精神智力投入之程度，作為著作權保護之要件，不得因著作有色情之素材，而遽認為非著作。申言之，色情素材並非不受著作權保護之消極要件，著作權之保護不宜過於道德化，不得貿然即以公序良俗之公益名義，不當限制色情著作權人之權利行使。否則所有涉及公序良俗之情事，動輒主觀認定重於著作權之私益，屆時恐變成濫用公序良俗之情形，淪為流氓條款，將嚴重影響法之安定性及交易安全。 （五）抽樣之部分光碟具有原創性 　　我國著作權法採創作保護主義，故色情著作係本於獨立之思維、智巧及技匠，具有原創性，依著作權法第10條規定，著作人於色情著作完成時，即享有著作權。就原始性而言，係指著作人原始獨立完成之創作，而非抄襲或剽竊所致；創作性係指著作具有之少量創意，其足以表現作者之個性。職是，創作性之程度，不必達空前未有之地步，倘依社會通念，該著作與前已存在之作品間有可資區別之變化，足以表現著作人之個性即可。反之，著作與人類之思想感情無關，未能展現作者之個性者，即無創作性可言，則非著作權法所稱之創作。 　　起訴書附表編號126、600、696等光碟，均經專業團隊企畫，先由編劇編纂、設計不同內容之劇情及文案，並撰寫劇本及臺詞，繼而經由導演指導演員演出及專業攝影人員拍攝，復經剪輯後製及廣告行銷之策劃，花費諸多成本製作，核屬具原創性之人類精神創作，足以表現製作團隊之個性與獨特性。 參、事件評析 　　A片到底有沒有著作權？智慧財產法院101年刑智上易字第74號判決以原創性的有無，作為A片能否取得著作權之判斷標準，有別於實務上向以88年台上字250號判決為圭臬的否定見解，其見解不僅呼應了主管機關經濟部智慧財產局的看法「色情片或限制級片，不論是本國或外國，是否係本法所稱之著作，應視具體個案內容是否符合上述規定而定，如具有創作性，仍得為著作權保護標的。至於其是否為猥褻物品，其陳列、散布、播送等，是否受刑法或其他法令之限制、規範，應依各該法令決定之，與著作權無涉。」[3]，同時也與德國、美國、日本、大陸地區等立法例相同，故本判決一出，即獲得各方之贊同[4]。 　　然而，在肯定該判決的同時，觀察其判決理由，未來在判斷A片著作權時，除判斷是否具備原創性外，仍需注意以下事項： 一、色情軟蕊作品始受著作權法保護 　　判決理由提到：「…釋字第617 號解釋，將猥褻物品分為硬蕊與軟蕊。前者係指對含有暴力、性虐待或人獸性交等情節，不具藝術性、醫學性或教育性價值之猥褻資訊或物品；後者係指除硬蕊之外，客觀上足以刺激或滿足性慾，而令一般人感覺不堪呈現於眾或不能忍受而排拒之猥褻資訊或物品。因硬蕊著作之性質，非屬文學、科學、藝術或其他學術價值，顯無促進國家文化發展之功能，即無保護之必要性，故探討色情著作是否受著作權法之保護，著重於軟蕊之範疇。…」換言之，硬蕊作品並無著作權之保護，必須是屬於非含有暴力、性虐待或人獸性交等情節的軟蕊作品，始為該判決討論的範疇而受著作權保護。 二、是否需有馬賽克遮蔽始受著作權法保護？ 　　色情影片是否因「有碼片」或「無碼片」致受著作權法之保護有異？判決書中亦肯認此為本案爭點之一，對此，判決結論認為「具有原創性之色情軟蕊著作應受著作權法保護」。據此，色情影片受著作權保護需具備二個要件：（一）軟蕊著作（二）原創性。 　　然而，此項結論似無法解決馬賽克遮蔽的爭點，按判決理由中除詳細分析軟蕊、硬蕊的差異，並詳細介紹了16部抽樣鑑定影片的其中3部劇情內容、拍攝手法等而具有原創性，但卻未說明馬賽克遮蔽在著作權保護的差別，而僅以一句「…參諸該等影片性交畫面均使用馬賽克遮蔽，亦無任何人獸交、裸露性器官之畫面，其為具有原創性之視聽著作，自應受我國著作權法之保護。…」輕輕帶過，不免使人有所錯亂。亦即，對於被認定無著作權保護的13部影片，我們可能會推論其原因可能是（一）因無馬賽克遮蔽，故不屬於軟蕊著作。或（二）因無馬賽克遮蔽，故不具備原創性。抑或（三）軟蕊、具原創性，但無馬賽克遮蔽。 　　對於第一項推論，係將馬賽克遮蔽作為判斷軟蕊、硬蕊之標準，可能與大法官釋字第617號解釋所稱「係指對含有暴力、性虐待或人獸性交等情節，不具藝術性、醫學性或教育性價值之猥褻資訊或物品」之判斷基準有所出入；第二項推論，係將馬賽克遮蔽作為原創性之判斷標準，此時可能與該作品是否「本於獨立之思維、智巧及技匠，具有原始姓與創作性」之認定有所扞格；而第三項推論，則是將馬賽克遮蔽作為除軟蕊著作及原創性以外之第三個要件，然而對於此要件，卻未如前二項要件般於判決理由中詳細說明，故色情影片是否因「有碼片」或「無碼片」致受著作權法保護有異之訴訟爭點，恐怕仍有待釐清。 [1]章忠信，「A片可以享有著作權」，著作權筆記網站，http://www.copyrightnote.org/crnote/bbs.php?board=6&act=read&id=98（最後瀏覽日：103年3月4日） [2]出版法第32條（已廢止）：出版品不得為左列各款之記載： 一、觸犯或煽動他人觸犯內亂罪、外患罪者。 二、觸犯或煽動他人觸犯妨害公務罪、妨害投票罪或妨害秩序罪者。 三、觸犯或煽動他人觸犯褻瀆祀典罪或妨害風化罪者。 [3]經濟部智慧財產局中華民國92年09月10日智著字第0921600729-0號函 [4]同註1。

　　世界智慧財產權組織（World Intellectual Property Organization，簡稱WIPO）宣布中國大陸於2022年2月5日提交了加入《海牙協定》1999 年日內瓦文本的文件，加入國際工業設計註冊的海牙體系（Hague System），該協定將於2022年5月5日在中國大陸生效。隨著中國大陸的加入，海牙體系涵蓋的國家總數將達到 94 個，其中包含根據世界銀行排名十大經濟市場中的九個。 　　工業設計形成物品的裝飾，其可由三維特徵（例如物品的形狀）或二維特徵（例如圖案、線條或顏色）組成，圖形用戶界面或虛擬世界物品則成為最近流行的設計形式。海牙體系為工業設計提供國際保護的解決方案，申請人不需要在各個國家或地區分別提交多次申請，只要透過海牙體系提交一份國際申請，就可在90多個國家/地區註冊多達100項設計。 　　據統計，2020 年中國大陸居民共提交了795,504件設計，約佔全球總數的 55%。中國大陸加入海牙體系將使其居民可更容易地在海外取得工業設計保護並推廣市場，外國設計師也將能夠更容易地進入中國大陸市場。 　　我國企業或設計師如有工業設計保護需求，亦可評估運用海牙體系提交國際工業設計申請，在多個國家取得設計註冊。

　　美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到：法院所據以決定監護權之證據之一，乃是未經她同意即被其他人標示出該女子姓名，並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法，其在判決中指出：目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相，並上傳至臉書或其他網站；此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 　　暫撇開其他法律不談，此一案件引人思考之與個人資料保護相關之處至少有二：首先，是關於法律適用的部分，亦即，如本案發生在日後個人資料保護法開始施行後的台灣，則該法第51條第1項(註1)之排除規定是否適用的問題；其二則是法律政策的部分，究竟在這個資訊數位化且易於搜尋的網路時代，為個人或家庭活動目的而毫無設限（例如本案之供不特定人瀏覽）的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要？（在肯塔基州這個案子裡，此一「無規範」的結果或許是正面的，但在其他的許多狀況，可能並非如此。） 　　註1：個人資料保護法第51條第1項：「有下列情形之一者，不適用本法規定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」