數百萬計個人資料遭竊取 引起美國重視資料保護

　　今（2021）年一月中旬在美國總統就職典禮中，由法新社（Agence France-Presse, AFP）攝影記者Brendan Smialowski捕捉到參議員桑德斯（Senator Bernie Sanders）戴著連指手套、雙手環胸在場邊靜候的攝影作品，意外受到網友關注並製作成各式梗圖迷因（meme） 而爆紅。然而，在這些成千上萬的梗圖創作中，除非獲得原創作者的允許或落在著作權法的合理使用範圍，否則皆潛在隱藏了著作權侵權之可能性。 　　檢視本事件，將該攝影著作去背以取得「寧靜而坐的桑德斯圖像」，而將該去背圖像合成於各式情境場景，甚至架設梗圖產生器網站供其他網友上傳照片以製作更多衍生梗圖。多數在網路上分享之創意梗圖為博取網友一笑為目的，尚屬於著作權合理使用之範圍，然而當藉由該去背圖像或衍生梗圖進行廣告或促銷之用途，如將該去背圖像或衍生梗圖成為商品行銷元素、多次使用於廠商的社群媒體貼文中，將可能落入商業使用之爭議。桑德斯本人便將該去背圖像製作成運動衫進行慈善募款，儘管所得為慈善用途，但仍屬於商業使用；此外，該去背圖像未將原創進行任何轉化而直接轉印在衣服上，亦無法主張合理使用。儘管存有侵權疑慮，現階段攝影師似乎樂見其攝影作品成為各式梗圖而瘋傳，不過當開始有人藉由其攝影著作賺取金錢，情境可能就有所不同，攝影師將可能進行追究。 　　回顧過去類似將網路梗圖迷因進行商業使用，而產生著作權侵權爭議之案件。早如2009年美聯社（Associated Press）記者所拍攝前美國總統歐巴馬競選活動之肖像特寫，遭到前衛街頭塗鴉藝術家費爾雷（Shepard Fairey）在未經授權使用之前提下，將該攝影著作改作名為《希望（Hope）》之海報與各式商品並進行販售，美聯社因而對費爾雷提出侵權訴訟，儘管最後雙方和解，但兩者在過程中皆投入不少訴訟資源。其他案例如2019年體育流行文化媒體Barstool Sports與社群媒體Jerry Media等，皆因藉由擷取網路梗圖吸引網路社群觸及以進行消費等商業行為，遭到原創者檢舉而被迫刪除歷年貼文。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　英國文化、媒體暨體育部（Department for Culture, Media & Sport）於2016年12月21日發佈「網路安全規範與誘因評論」（Cyber Security Regulation and Incentives Review）（下稱本評論），本評論旨在評估新增規範或誘因對於強化整體經濟活動中之網路風險管理的必要性。 本評論的主要結論與建議為： 1.保護公民免於受到犯罪或其它形式的傷害具備明確的公益性，保護個人資料的相關規範亦具有強烈的正當性基礎。 2.有鑑於此，英國政府將藉由施行歐盟「一般資料保護規則」（General Data Protection Regulation,下稱GDPR）來增進整體經濟活動中的網路安全風險管理。英國政府藉由GDPR所課與企業在合理時間內向主管機關通報資料外洩事件之法律義務，以及GDPR在企業違反個資保護義務之罰鍰機制，要求產業界對網路安全的風險管理積極採取行動。 3.英國政府將採取若干措施來增加資料保護與網路安全之間的連結，以強化網路風險的管理。這些措施包括加強資訊委員辦公室（Information Commissioner’s Office），以及國家網路安全中心（National Cyber Security Center）之業務上合作關係、與投資人社群合作來制定網路安全規範，以及經由新的管理者論壇（Regulators’ Forum）與管理者合作，並且彼此分享良好的做法以及網路威脅的資訊等。 4.目前英國政府暫不在GDPR以外訂定其他的一般網路安全規範。

日本經濟產業省（下稱經產省）於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》（サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書），主張共享資安攻擊受害資訊，掌握資安攻擊全貌，防止損害範圍擴大。經產省提出具體建議如下： 1.促進各專門組織間之資訊共享：藉由專門組織間的資訊共享，及早採取適當因應措施，避免損害持續擴大，並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商，與依法令成立從事資安事件諮詢與分析之非營利組織，例如：一般社團法人日本電腦網路危機處理暨協調中心（一般社団法人JPCERTコーディネーションセンター），以及一般財團法人日本網路犯罪對策中心（一般財団法人日本サイバー犯罪対策センター）等。 2.共享無從識別受害組織之資訊：為加快資訊共享，經產省建議將資料去識別化至無從識別受害組織之程度，即可不經受害組織同意而共享資訊。 3.提出《攻擊技術資訊處理與活用指引草案》（攻撃技術情報の取扱い・活用手引き（案））：為提升專門組織共享資訊成效，經產省於指引中彙整受害組織資料去識別化作法，以及各專門組織間共享攻擊技術資訊之具體策略。 4.於保密協議中加入免責條款：經產省建議於受害組織與專門組織簽訂之保密協議中，加入專門組織免責條款，使專門組織具有利用或揭露攻擊技術資訊裁量權，對於利用或揭露資訊，致生受害組織被識別等損害時，非因故意或重大過失不須負擔法律責任，以利推動資訊共享。

新加坡智慧財產局（Intellectual Property Office of Singapore, IPOS）於2023年9月4日發布《2023年智慧財產調查》（Singapore IP Survey 2023），調查結果顯示，企業最重視的智慧財產為品牌、技術/製程、機密資訊。 為瞭解企業對無形資產（Intangible Assets, 以下簡稱IA）和智慧財產權（Intellectual Property, 以下簡稱IP）的看法和運用現況，以制定強化企業競爭力之智財政策，新加坡政府自2021年發布《2030年智慧財產戰略》（Singapore IP Strategy 2030, SIPS 2030）起，每2年發布一次智財調查。本次調查於2023年2月至3月間進行，對象為新加坡500多家企業，調查結果顯示，企業最重視的前三種IP類型依序為： 1. 有35%的企業表示擁有強大品牌（strong brand）相當重要。 2. 有32%的企業認為擁有新技術及/或新製程（new technology and/or process）相當重要。 3. 有31%的企業認為擁有機密資訊（confidential information）相當重要。 此外，有15%的企業表示，其商業價值的主要收益來自於其IA/IP；且所有受訪企業中有不少企業表示IA/IP有助於提升公司績效，包含： 1. 有17%的企業認為有助於「吸引更多商業合作夥伴」； 2. 有17%的企業認為有助於「提升商業競爭力」； 3. 有15%的企業認為有助於「拓展國際市場」； 4. 有14%的企業認為有助於「增加獲利」。 再者，有80%的企業期待有更多機會運用IA/IP獲得融資。同時，有92%企業在進行相關智財活動（IP activities）時未申請任何政府補助，如新加坡企業發展局（Enterprise Singapore, ESG）的企業發展補助（Enterprise Development Grant, EDG），其中有50%以上的企業表示是因為不清楚相關補助資訊。 最後，僅有15%的企業對其IA/IP進行單獨評價（standalone valuation），而未與其他資產合併評價，但其中僅不到一半是委託評價分析師（Certified Valuation Analyst, CVA）進行。 根據調查結果，新加坡政府認為企業雖擁有大量的IA/IP，但尚未瞭解其價值，導致無法有效地將其IA/IP商業化。因此，新加坡政府於2023年9月4日同時發布《無形資產揭露框架》（Intangibles Disclosure Framework, IDF），鼓勵企業以系統化方式主動對外揭露所持有之IA/IP，藉此協助企業創造更高的價值。我國資策會科法所亦從2013年開始，每2年針對國內上市上櫃公司調查智財管理需求及現況；2021年調查報告顯示，86%的企業已進行智財布局、84%企業有配置智財人員、94%企業有編列智財經費等，顯示我國企業對於智財管理及策略愈來愈重視。 本文同步刊登於TIPS網站（https://www.tips.org.tw）