行動通信事業提供視訊服務之法律議題研究

　　日本首相安倍晉三於2017年5月16日在官邸舉行智慧財產戰略本部（知的財産戦略本部）會議，並正式頒布「2017智慧財產推動計畫（知的財産推進計画２０１７）」。為因應大數據（ビッグデータ）、人工智慧（人工知能）等相關先進科技議題，透過調整產官學資源，培育地方中小企業智慧財產基礎認知，保護高附加價值農產品品種，振興觀光及影視等文化產業，提昇國家綜合競爭力，構築第4次產業革命（society5.0）之基礎。該會議中，所發表「2017智慧財產推動計畫」之三大基礎政策面向分別為： 一、建構第4次產業革命之智慧財產系統 (一) 充分利用、活用資訊及人工智慧以強化產業競爭力： 制訂資訊利用契約指引（ガイドライン）。 修正不正競爭防止法（資料不當取得禁止等）。 著作權法之修正（對於權利柔軟性限制之規定）。 AI學習模型（AI学習済モデル）專利。 (二)智慧財產系統基礎之準備： 強化證據蒐集程序。 創設ADR制度（Alternative Dispute Resolution、日文：標準必須特許裁定）。 (三)推動引領全球之智慧財產制度及相關標準化： 推動全面化的智慧財產管理制度（賦予智慧財產權之資料及標準等）。 活用國立研究開發法人之標準及其人才之培育。 二、活用智慧財產之潛力，推動區域活絡與發展 (一)積極活用強化農林漁業、食品業等智慧財產： 充實地理標示（GI）或植物品種，於國內外之保護及輔導體系。 制訂國家農林漁業優勢的標準（JAS）。 推動活用資訊之智慧農業。 (二)活用地方中小企業智慧財產，並推廣產學及產業間之互助： 啟發中小企業智慧財產意識，支援智慧財產海外之推廣。 產學攜手之橋接，並支援事業化。 (三)每一位國民都是智慧財產人才，推動智財教育： 充實智慧財產教育之新指導要領。 智慧財產教育振興聯盟課程與教材之開發。 建立地方性聯盟。 三、2020年大放異彩之日本 (一)海外推廣和產業基地之加強： 「酷JAPON官民共同營造平台」、「地方版酷JAP」之基礎建設及相互合作。 人才之育成、教育機構的合作。 (二)振興電影產業： 強化中小企業公司製作之支援及資金調動多樣化，及其海外之發展。 成s立公私部門改善攝影環境之聯絡會議。 (三)構築資料庫：設立跨部門之窗口，在產官學共同協助下活用研究成果、及商業化。 　　這個推動計畫乃是與「總合科學技術革新會議（総合科学技術・イノベーション会議）」及「IT總合戰略總部（ＩＴ総合戦略本部）」等共同合作，並結合「資訊利用促進基本計畫（官民データ活用推進基本計画）」（以「科學技術基本計畫」、「科技創新綜合戰略（科学技術イノベーション総合戦略）」、「資訊利用促進基本法（2016第103號法律）」等為基礎所發展的新計畫），在智慧財產戰略總部的主導下進行推動，積極穩健的落實智慧財產價值之保護、智財潛力活用及地方革新推動、日本文化之集結及向世界傳達日本的新文化價值等三大目標，以達到國家的發展戰略中，智慧財產戰略政策之最大使命。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

紐西蘭內政部於2024年7月25日發布新版洗錢防制與打擊資助恐怖主義（Anti-Money Laundering and Countering Financing of Terrorism, 以下均簡稱AML/ CFT）指引（下稱指引），指導虛擬資產服務提供者（virtual asset service providers, 下稱VASPs）遵循虛擬資產交易行為準則與注意事項。該國有關AML/ CFT之規定係以多項規則與行為指引構成，且應技術、產業與國際標準之變革持續調整既有框架。本次指引更新係為配合AML/ CFT法（AML/ CFT Act 2009）及其規則之修正與生效，重新規範VASPs對於虛擬資產轉帳再定義後義務。以下針對法規變革脈絡簡要說明： AML/ CFT規則（AML/ CFT (Definitions) Regulations 2011）將虛擬資產定義為具有價值的數位貨幣，可用於交易、達成支付或投資目的；雖其不等同於債券、股票與衍生性金融產品或數位法定貨幣，VASPs仍為AML/ CFT法定義之報告實體，負有對客戶進行盡職調查、報告特定業務活動與交易的義務。 自2024年6月起，AML/ CFT規則全面納管虛擬資產轉帳，範圍由法定貨幣與虛擬資產間的流動，擴及虛擬資產間的交易，包含以VASPs作為中介機構之交易情形。此外，基於虛擬資產跨境的特性，所有轉帳皆被推定為國際轉帳，除非VASPs確定該筆交易發生紐西蘭境內。AML/ CFT規則對虛擬資產平臺交易之監管密度係以1,000紐幣為閾值，VASPs須對超過此金額的國際轉帳，向金融情報中心（Financial Intelligence Unit, FIU）提送交易報告；而對於臨時性交易則應盡職調查客戶。 為降低虛擬資產被用於非法活動之風險，防制洗錢金融行動工作組織（FATF）倡議於國際施行一致之監管標準，避免因各國法規監管差異造成防堵漏洞。紐西蘭政府藉改造現行金融法規將相關產業逐步納入監管，並提供指引說明及闡釋法規內容，調適金融科技發展與現有制度規範落差。此次AML/ CFT規則與VASPs指引之修正，將有助於紐西蘭更符合國際組織建議之洗錢防制與反資助恐怖活動監管標準。

　　日本內閣於2018年6月15日決議組成跨部會之統合創新戰略推進會議，並於2019年3月29日發布AI戰略，其中的倫理面向為以人為本之AI社會原則(下稱AI社會原則)，希冀藉有效安全的活用AI，推動「AI-Ready 社會」，以實現兼顧經濟發展與解決社會課題的「Society5.0」為最終目標。 　　為構築妥善應用人工智慧的社會，AI社會原則主張應尊重之價值理念如下： (一) 尊重人類尊嚴的社會：AI應作為能激發人類發揮多樣能力和創造力的工具。 (二) 多元性和包容性的社會（Diversity & Inclusion）：開發運用AI以共創多元幸福社會。 (三) 永續性的社會（Sustainability）：透過AI強化科技，以創造能持續解決社會差距與環境問題的社會。 　　而AI社會原則核心內容為： (一) 以人為本：AI使用不得違反憲法或國際保障之基本人權。 (二) AI知識（literacy）教育：提供必要的教育機會。 (三) 保護隱私：個人資料的流通及應用應妥適處理。 (四) 安全確保：把握風險與利益間之平衡，從整體提高社會安全性。 (五) 公平競爭確保：防止AI資源過度集中。 (六) 公平性、說明責任及透明性任。 (七) 創新：人才與研究皆須國際多樣化，並且建構產官學研AI合作平台。