英國無線電頻譜管理改革政策（上）－政策源起與目標

　　美國國家航空暨太空總署(National Aeronautics and Space Administration，NASA)向企業購買月球Regolith(岩屑層)與岩石物質，並於2020年9月提出《月球Regolith採購工作績效聲明》(Lunar Regolith Purchase Request Performance Work Statement)。惟月球的物質，是否可以開採？ 　　依據《各國探索與應用外太空、月球暨其他天體之活動管理原則條約》(Treaty on Principles Governing the Activities of States in the Exploration and Use of Outer Space, Including the Moon and Other Celestial Bodies)第2條，外太空、月球與其他星體，非任何國家可藉由使用、占領與其他方式，或應用國家經費，而宣稱擁有主權。針對NASA的月球物質採購計畫，是否合乎該條約？NASA署長Jim Bridenstine指出，Artemis計畫增加商業參與，要求企業蒐集小型的月球「塵埃」(dirt)，或月球表面的岩石。Jim Bridenstine並認為此項提案，充分遵守該條約與其他國際義務。申言之，NASA認為月球之物質，具有私有化之可能性。 　　為採購企業蒐集之月球物質，NASA擬定《月球Regolith採購工作績效聲明》，規範企業的義務為：1、自月球表面蒐集50克至500克的Regolith或岩石物質；2、提供NASA蒐集與物質的影像，該資料足以識別蒐集地點為月球表面；3、就地(in-place)移轉NASA蒐集物質的所有權，此些物質並將成為NASA得以使用的私有財產(sole property)。企業得以決定在月球表面的任何地點蒐集，且無須評估蒐集的材料；NASA係採購蒐集狀態(“as-collected” condition)，並有權利獨立確認企業蒐集物質的聲明。亦即企業的任務為採購物質，並提出證明；對月球物質的評估，則由NASA為之。 　　企業對NASA採購月球物質之履行，須於2024年以前完成；NASA對契約的獎勵，並不以月球物質蒐集的數量為基準。NASA對企業採購月球物質的支付依據：10%來自於企業完成NASA概念審查的提案；10%係企業為此蒐集任務，而由企業系統發射航空器至太空；80%為達成移轉NASA太空物質的所有權。另外，機器人登陸器(robotic lander)的設計與建構，並非屬NASA向企業徵集太空物質之內容。換言之，NASA之採購計畫並非強調太空物質之蒐集數量，而係著重於太空物質所有權之移轉。 　　綜上所論，NASA向企業採購月球Regolith與岩石物質，並以所有權之移轉為主，開啟太空物質私有化的可能性。

解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 　　2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1]，新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構，獲頒「2013雲端安全耀星獎」（2013 Cloud Security STAR Award），該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業，今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外，首度將獎項頒發給政府組織。究竟何謂雲端認證，其背景、精神與機制運作為何？本文以雲端運算相關資訊安全標準的推動為主題，並介紹幾個具有指標性的驗證機制，以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 　　資訊安全向來是雲端運算服務中最重要的議題之一，各國推展雲端運算產業之際，會以提出指引或指導原則方式作為參考基準，讓產業有相關的資訊安全依循標準。另一方面，相關的產業團體也會進行促成資訊安全標準形成的活動，直至資訊安全相關作法或基準的討論成熟之後，則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 　　雲端運算的資訊安全風險，可從政策與組織、技術與法律層面來觀察[2]，涉及層面相當廣泛，包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應（Lock-in）、以及雲端服務提供者內部控管不善…等，都是可能發生的實質資安問題 。 　　在雲端運算產業甫推動之初，各先進國以提出指引的方式，作為產業輔導的基礎，並強化使用者對雲端運算的基本認知，並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 　　歐盟網路與資訊安全機關（European Network and Information Security Agency, ENISA）於2009年提出「資訊安全確保架構」，以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準，參考之依據主要是與雲端運算服務提供者及受委託第三方（Third party outsourcers）有關之控制項。其後也會再參考其他的標準如SP800-53，試圖提出更完善的資訊安全確保架構。 　　值得注意的是，其對於雲端服務提供者與使用者之間的法律上的責任分配（Division of Liability）有詳細說明：在資訊內容合法性部分，尤其是在資訊內容有無取得合法授權，應由載入或輸入資訊的使用者全權負責；而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時，例如個人資料保護相關規範，基本上應由使用者與服務提供者分別對其可得控制部分，進行適當的謹慎性調查（Due Diligence, DD）[4]。 　　雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層，則決定了各自應負責的範圍與界限。 　　在IaaS（Infrastructure as a Service）模式中，就雲端環境中服務提供者與使用者雙方應負責之項目，服務提供者無從知悉在使用者虛擬實體（Virtual Instance）中運作的應用程式（Application）。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器，概由使用者所完全主控，因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 　　在PaaS（Platform as a Service）模式中，通常由雲端服務提供者負責平台軟體層（Platform Software Stack）的資訊安全，相對而言，便使得使用者難以知悉其所採行的資訊安全措施。 　　在SaaS（Software as a Service）模式中，雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式（Entire Suite of Application），因此該等應用程式之資訊安全通常由服務提供者所負責。此時，使用者應瞭解服務提供者提供哪些管理控制功能、存取權限，且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] 　　CSA於2010年提出「雲端資訊安全控制架構」（Cloud Controls Matrix, CCM），目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」，係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域（Domain）而來，著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照，例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前，CSA提出的CCM，十分完整而具備豐富的參考價值。 　　舉例而言，資訊治理（Data Governance）控制目標中，就資訊之委託關係（Stewardship），即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力（Resiliency）控制目標中，要求服務提供者與使用者雙方皆應備置管理計畫（Management Program），應有與業務繼續性與災害復原相關的政策、方法與流程，以將損害發生所造成的危害控制在可接受的範圍內，且回復力管理計畫亦應使相關的組織知悉，以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 　　日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」，此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督，來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍，主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形，其資訊安全的管理議題；其指導原則之依據是以JISQ27002（日本的國家標準）作為基礎，再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 　　舉例而言，在JISQ27002中關於資訊備份（Backup）之規定，為資訊以及軟體（Software）應遵循ㄧ定的備份方針，並能定期取得與進行演練；意即備份之目的在於讓重要的資料與軟體，能在災害或設備故障發生之後確實復原，因此應有適當可資備份之設施，並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境，使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性；而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 　　CSA所推出的「雲端安全知識認證」（Certificate of Cloud Security Knowledge, CCSK），是全球第一張雲端安全知識認證，用以表示通過測驗的人員對於雲端運算具備特定領域的知識，並不代表該人員通過專業資格驗證（Accreditation）；此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展，因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版（英文版）」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式，供讀者得以認知如何評估雲端運算可能產生的資訊安全風險，並採取可能的因應措施。 二、CSA雲端安全登錄機制 　　由CSA所推出的「雲端安全登錄」機制（CSA Security, Trust & Assurance Registry, STAR），設置一開放網站平台，採取鼓勵雲端服務提供者自主自願登錄的方式，就其提供雲端服務之資訊安全措施進行自我評估（Self Assessment），並宣示已遵循CSA的最佳實務（Best Practices）；登錄的雲端服務提供者可透過下述兩種方式提出報告，以表示其遵循狀態。 　　(一)認知評價計畫（Consensus Assessments Initiative）[12]：此計畫以產業實務可接受的方式模擬使用者可能之提問，再由服務提供者針對這些模擬提問來回答（提問內容在IaaS、PaaS與SaaS服務模式中有所不同），藉此，由服務提供者完整揭示使用者所關心的資訊安全議題。 　　(二)雲端資訊安全控制架構（CCM）：由服務提供者依循CCM的資訊安全控制項目及其指導，實踐相關的政策、措施或程序，再揭示其遵循報告。 　　資安事故的確實可能使政府機關蒙受莫大損失，美國南卡羅萊納州稅務局（South Carolina Department of Revenue）2012年發生駭客攻擊事件，州政府花費約2000萬美元收拾殘局，其中1200萬美元用來作為市民身份被竊後的信用活動監控，其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 　　另一方面，使用者也可以到此平台審閱服務提供者的資訊安全措施，促進使用者實施謹慎性調查（Due Diligence）的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 　　由日本一般財團法人多媒體振興協會（一般財団法人マルチメディア振興センター）所建置的資訊公開驗證制度[13]（安全・信頼性に係る情報開示認定制度），提出一套有關服務提供者從事雲端服務應公開之資訊的標準，要求有意申請驗證的業者需依標準揭示特定項目資訊，並由認證機關審查其揭示資訊真偽與否，若審查結果通過，將發予「證書」與「驗證標章」。 　　此機制始於2008年，主要針對ASP與SaaS業者，至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 　　現國際標準化組織（International Organization for Standardization, ISO）目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017（草案）[14]係針對雲端運算之資訊安全要素的指導規範，而ISO/IEC 27018（草案）[15]則特別針對雲端運算的隱私議題，尤其是個人資料保護；兩者皆根基於ISO/IEC 27002的標準之上，再依據雲端運算的特色加入相應的控制目標（Control Objectives）。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省，クラウドサービスの利用のための情報セキュリティマネジメントガイドライン（2011），http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html，（最後瀏覽日：2013/11/20）。 [10]日本経済産業省，〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉，頁36（2011）年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/（最後瀏覽日：2013/11/20）。 [12]https://cloudsecurityalliance.org/research/cai/ （最後瀏覽日：2013/11/20）。 [13]http://www.fmmc.or.jp/asp-nintei/index.html （最後瀏覽日：2013/11/20）。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).

資訊揭露與市場競爭評估– 研析英國水平協議指引中之資訊交換 資訊工業策進會科技法律研究所 2023年09月23日 英國競爭與市場管理局（Competition and Markets Authority，CMA）於2023年8月16日發布《1988年競爭法第一章禁令適用於水平協議之指引》（Guidance on the application of the Chapter I prohibition in the Competition Act 1998 to horizontal agreements，以下簡稱CMA水平協議指引），以規範實際或潛在競爭者間之協議[1]。CMA水平協議指引提供事業擬定協議內容的參考，事業間於業務合作的同時，亦能符合法遵之要求，以維護市場公平競爭。 壹、事件摘要 英國CMA水平協議指引解釋競爭法之適用，尤其是《1998年競爭法》（Competition Act 1998，CA98）第1章禁止水平協議。2023年1月1日，《1998年競爭法（專業協議集體豁免）2022年指令》（SABEO）與《1998年競爭法（研發協議集體豁免）2022年指令》（R&D BEO）生效，於2023年8月16日發布之CMA水平協議指引，協助事業評估特定類型的水平協議是否受益於SABEO和R&D BEO，和遵守競爭法之相關規範[2]。申言之，CMA水平協議指引協助事業評估其所簽訂之協議內容，是否屬於法規範豁免之類型，且合乎競爭法之規定。 CMA水平協議指引說明研發協議[3]、生產協議[4]、採購協議[5]、商業化協議[6]和標準化協議[7]之適用與範例。鑒於大數據分析與機器學習需使用大量的資料；而大數據分析的結果，或機器學習的應用，將影響決策的形成，資訊交換因而更顯重要[8]，CMA水平協議指引亦引導事業為合理的資訊交換。 資訊交換不僅為競爭市場的共同特徵，在一般的情形亦有利於消費者；例如資訊交換有助於解決資訊不對等而提升市場效率，事業能藉由比較最佳實踐方案，以提高內部效率；能減少庫存以節省成本，並處理不穩定的需求；或藉由演算法以開發新的產品或服務；[9]或減少搜尋成本，以提供消費者利益[10]。依據實際情況，資訊交換可以是有利於競爭，競爭中立或限制競爭[11]。換言之，競爭市場中適當的資訊交換，有助於事業降低成本，提升效率。 貳、重點說明 CMA水平協議指引第8章為資訊交換（Information Exchange），目的即在指導事業為資訊交換的競爭評估[12]。資訊交換是否會引發限制競爭之效應，取決於市場的特性，包含[13]： （1）市場透明度：越透明的市場，競爭之不確定性越小[14]。 （2）市場集中度：若市場中僅有少數事業，則易於達成共識，與控制市場偏差。若市場高度集中，則訊息的交換，將有助於事業了解競爭者的市場地位和策略，而扭曲競爭，甚而增加共謀（collusion）的風險；若市場分散，則競爭者間資訊的傳播與交換，對市場而言，可能為競爭中立或有利於競爭[15]。 （3）參進障礙：此使外部競爭者無法破壞市場中的共謀結果（collusive outcome）[16]。 （4）市場穩定度：在供需穩定的市場，亦可能有共謀的結果；而需求的波動、市場中事業內部的大幅成長、新事業的參進、顛覆性創新（disruptive innovation），均可能顯示市場的穩定度不足，需提升交流，以促進競爭[17]。 競爭對手間的資訊交換，依據共享資訊的內容、目的、法律與經濟背景，可能為侵權而應受限制。包含與競爭對手交換事業目前或未來的訂價方向、生產能力、商業策略、針對需求的規劃，對未來銷售的預測，和在特定市場上的財務狀況與經營策略[18]，提供價格資料而能預測事業未來的行為，和與競爭對手交換潛在參進者所提出之計畫要點[19]。申言之，事業應避免資訊所生之侵權行為；並需考量市場的特性，以評估資訊交換對競爭之限制。 參、事件評析 CMA水平協議指引第8章，提供事業間交換資訊的相關建議。為提升資訊交換對市場的效益，以資訊內容而言，事業須考量資訊交換的目的，以及藉由收集資訊、確認資訊交換的參與者係使用其具有所有權的原始資料、使用歷史資訊、僅交換與達到目標相符且必要的資訊，而能減少具有商業敏感性質的內容[20]。換言之，事業須避免機敏資料的流通，並具有使用資料的權限。 以資訊應用的角度，事業應採取措施，以控制資訊的交換與使用，包含減少頻繁的交換，以特定團隊（clean team）或信託方式進行資訊交換，或使用資料池（data pool）以確認近用資料之所有權[21]。亦即事業須確認資料的來源，與交換資料的相對人，並能管理資料流通的過程。 綜上所論，足夠的資料量，使大數據分析的結果能充分反映市場的實際需求，事業的決策和布局亦更為準確，適當的資訊交換有助於提升事業的市場競爭力。CMA水平協議指引協助事業評估資訊交換對競爭之影響，事業之資訊管理，除內部資訊之維護外，亦包含外部資訊之交換，如資訊交換之必要性，與資訊近用之權限、方式等，或可提供臺灣事業參考。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]Guidance on Horizontal Agreements, GOV. UK, Competition and Markets Authority, https://www.gov.uk/government/publications/guidance-on-horizontal-agreements (last visited Aug. 23, 2023). [2]CMA COMPETITION & MARKETS AUTHORITY, Guidance on the application of the Chapter I prohibition in the Competition Act 1998 to horizontal agreements, CMA184 (Aug. 2023), 6, at 6, https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/1178791/Horizontal_Guidance_FINAL.pdf (last visited Sept. 01, 2023). [3]Id., at 35 below. [4]Id., at 83 below. [5]Id., at 124 below. [6]Id., at 145 below. [7]Id., at 203 below. [8]Id., at 165. [9]Id. [10]Id., at 166. [11]CMA Competition & Markets Authority, supra note 8. [12]Id. [13]Id., at 188. [14]Id. [15]Id., at 188-189. [16]Id., at 189. [17]Id. [18]Id., at 190. [19]Id., at 191. [20]Id., at 201. [21]Id.

歐盟智慧財產局（EUIPO）為打擊仿冒，保護歐盟消費者及智慧財產權人，於2023年5月31日宣布正式啟動產品的區塊鏈物流認證計畫（European Blockchain Services Infrastructure - European Logistics Services Authentication, 簡稱EBSI-ELSA）。 根據EUIPO與經濟合作暨發展組織（OECD）於2021年發布的研究指出，全球仿冒產品的貿易額高達4120億歐元，占全球貿易總額的2.5%；每年輸入歐盟的產品約有6%是仿冒產品，嚴重影響歐盟的經濟發展、消費者的健康及安全、智慧財產權人（歐盟品牌企業）的權益。 從2019年至今，EUIPO一直努力研擬透過區塊鏈技術保護智慧財產的具體方案。2022年底，EUIPO與4個不同產業的品牌企業（包含汽車業、電子業、醫藥業、服飾業）、物流業者、荷蘭海關進行一個合作的試驗計畫，內容為透過區塊鏈技術追蹤產品於海外製造後，運送至歐盟銷售的歷程軌跡，以達到認證產品為智慧財產權人生產的目標。該試驗計畫於2023年5月完成概念驗證（proof of concept）。 本計畫結合區塊鏈服務基礎設施（European Blockchain Services Infrastructure, EBSI）及數位分身（digital twins）的概念，於生產、運送、海關查驗、配送至消費者的各階段中，在產品上嵌入一個含有序列化代碼（serialization code）的標籤，該代碼必須經產品所屬智慧財產權人的可驗證憑證（Verifiable Credentials, VCs）認證，結合歐盟智慧財產權相關資料庫的資料，以確認產品與其數位分身的連結。 EUIPO將於2023年底前，正式建置一個開源的區塊鏈認證平台，介接執法機構的風險分析系統，以及商標資料庫（TM View）、設計資料庫（Design View）、歐盟執法入口網（IP Enforcement Portal, IPEP）、歐盟區塊鏈智慧財產註冊系統（IP Register in Blockchain），鼓勵供應鏈、物流鏈中的參與者於此平台上交換資料，以更有效率的方式達到認證產品來源真實性的目標。 EUIPO積極運用區塊鏈科技強化歐盟智慧財產的保護，本計畫除可避免消費者買到仿冒產品外，歐盟的品牌企業未來可於相關智財侵權訴訟中，提出區塊鏈紀錄作為證據，有效主張權益。 本文同步刊登於TIPS網站（https://www.tips.org.tw）