世界智財組織尋求保護來自傳統知識與遺傳資源的產品

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　「先申請不一定先贏」，經濟部智慧財產局完成「專利程序審查基準」草案，明定專利申請案若有不合程序者，就算是先提出申請的專利案件，可能面臨須重新審查，進而影響專利生效日，或者喪失優先權。 　　依新完成的專利程序審查基準規定，未來，申請人如果未補正，或補正仍不齊備者，則視其應補正的申請文件種類，分別為申請案不受理或產生一定法律效果。例如，申請人可能因此喪失優先權，或被視為未寄放，或者依現有資料重新審查等。先到先嬴的專利申請原則，將因新制施行而改變。 我國專利法內容，既為實體法，也為程序法，除規定准予專利權、撤銷專利權的程序、形式及實體條件外，也規定專利權及專利權管理事項，依「先程序後實體」原則，合於程序審查者，才能進入形式、實體審查，因此，無論是專利的初審、再審查或舉發等申請案，均與專利的程序審查，有密切關聯。由於我國專利法對於專利的申請採取「先申請原則」，申請日的認定，會影響到實體審查對專利要件判斷的時點，因此，申請日的認定，也是專利程序審查的主要重點。 　　程序審查內容及範圍，在各國審查實務上，雖有所不同，但是，包括審查各種書表是否採用主管機關公告訂定的統一格式；各種申請的撰寫、表格的填寫或圖式的製法，是否符合專利法令的規定；應該檢送的證明文件是否齊備，是否具備法律效力；申請日的認定；發明人或創作人及申請人的資格及程序是否符合規定；代理人是否具備代理的資格及權限；有無依法繳納規費等。 　　智慧局對於受理申請與文件審查，將分開進行，因此，專利申請人親自送件或郵寄案件，不論申請文件是否齊備，智慧局均會先行受理申請，待審查時，發現申請文件欠缺或不符合法定程式，而得補正者，再通知申請人限期補正。

　　過去一年相關的VOIP服務以及對VOIP的需求大大的升高，產業也預估在今年底，英國將有超過三百萬的使用者。因此，Ofcom在2007年3月29日宣布了一項管制VOIP服務業者之新規範。該法將確保消費者取得使用VOIP服務該有的重要資訊，所有的服務業者也應從2007年6月起遵守相關對於消費者保護的相關要求。 　　這些規定包括業者應對消費者清楚解釋：一、服務內容是否包含緊急服務；二、該服務倚賴家用電源的程度；三、服務內容是否包含電話黃頁；四、如果消費者欲移轉業者，原有號碼是否可攜。如果消費者選擇的是沒有提供緊急電話或者倚賴外接電源的VOIP服務，該法也要求業者確保消費者在消費時，能確實瞭解選購VOIP服務之該項限制（例如在包裝盒外標記號）；透過在設備上貼實體標籤、抑或在電腦螢幕上顯示該項資訊；並在消費者每次嘗試撥打緊急電話時，宣告不提供緊急電話服務之聲明。 　　隨著VOIP使用者以及市場的不斷成長，Ofcom也將持續不斷檢視VOIP服務的相關規範，以期符合消費者的最大利益。

　　德國聯邦內閣2020年6月24日通過「數位家庭給付法」草案（Entwurf eines Gesetzes zur Digitalisierung von Familienleistungen），該草案由德國聯邦內政、建設及家園部（Bundesministeriums des Innern, für Bau und Heimat, BMI）及德國聯邦家庭、老年、婦女與青年部（Bundesministeriums für Familie, Senioren, Frauen und Jugend, BMFSFJ）共同提出。草案目的在使多項家庭津貼與補助可以透過網路科技整併至單一申請窗口；利用數位科技的電子治理模式，簡化繁複的紙本申請流程，使用「一鍵式」（ein Klick）服務讓民眾可透過電腦或廣為普及的智慧型手機直接申請。 　　「數位家庭給付法」草案主要規範內容下列3個面向： 整合與家庭相關之津貼或補助項目：為減輕新生兒父母或監護人（Erziehungsberechtigte）的照顧負擔，BMI及BMFSFJ欲將姓名登記、出生通報、父母津貼（Elterngeld）、育兒津貼（Kindergeld）及兒童補助（Kinderzuschlag）等5項服務合併申請（Kombiantrag），匯整至單一申請窗口。 提供機關間個資合法傳輸基礎：由於申請前述的津貼或補助項目時，申請人須向聯邦政府、各邦政府、法定健康保險機構或雇用人申請相關證明文件，未來處理公共服務之機關經申請人同意合法授權下，得跨部門調閱申請服務相關之資料。 符合資訊安全及個資保護的基礎：該法要求應建立可受信賴的數位授權控管措施，且得驗證數位身分之安全層級，相關措施應符合德國「網路近用法」（Onlinezugangsgesetz, OZG）第8條及歐盟「一般個人資料保護規則」（General Data Protection Regulation, GDPR）的規範要求。 　　聯邦內閣目前已將該草案提交予聯邦議會審查，預計最快自2022年1月1日分階段實施。然而，德國聯邦政府考量新冠肺炎疫情期間，懷孕婦女或年輕父母採用書面申請，將大幅提高感染COVID-19病毒的風險。因此，該法允許合併申請出生證明、補助或津貼，在今年（2020年）於不來梅邦（Bremen）啟動試辦計畫，另預計明年（2021年）將於其他邦展開相關電子化的申請服務。