英國上訴法院認為，法院可強制網路服務業者封鎖侵害商標權的網站

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

文創法第26條第項第4款適用疑義─ 以營利事業對國家電影中心之捐贈列支為例 科技法律研究所 法律研究員　尤騰毅 2015年02月10日 壹、事實說明 　　日前根據報載「…金馬影后、也是湯臣影業負責人徐楓，響應搶救老電影計畫，一舉捐出510萬元修復胡金銓導演、也是她自己的代表作《俠女》，作為國家電影中心的開門之喜。…」（「國家電影中心」成立 徐楓捐款510萬，經濟日報，2014.07.28）。營利事業對於財團法人國家電影中心之捐贈列支，係依所得稅法第36條，或文創法第26條第1項第4款申請？ 貳、法律評析 一、依所得稅法第36條第1款以專案核准方式辦理，得不受列支金額限制 　　營利事業針對政府捐助成立之特定財團法人，目前財政部依所得稅法第36條第1項規定，以專案核准方式作成多號函釋，其捐贈列支，不受金額限制，包括財團法人法律扶助基金會、財團法人中央廣播電台等，參附錄一。以本案例而言，若能依所得稅法第36條第1款向財政部申請以專案核准方式辦理，可享有無認列金額上限之待遇，係優於文創法的處理方式；惟本案捐贈款項有指定用途，捐贈人宜以捐贈契約明文，以確保捐贈目的的達成。 二、本案例事實亦可適用文創法第26條 　　(一)受贈對象 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。希望將企業資金導入民間之文創產業，其受捐贈目的與所得稅法第36條第2款所稱之教育、文化、公益、慈善機關或團體有別。惟其受贈對象未限於營利之民間企業，亦包括從事文創事業之非營利法人，故本案捐助對象雖為財團法人國家電影中心，因其亦為從事文創產業活動之事業，仍屬文創法第26條之適用對象。 　　(二)捐贈事由 　　文創法第26條第1項所列3款法定事由，同項第4款並授權中央主管機關可認定得列為當年度費用或損失之事項（屬概括規定）[1]。關於文創法第26條所列3款法定事由，茲先說明如下： （一）購買由國內文化創意事業原創之產品或服務，並經由學校、機關、團體捐贈學生或弱勢團體。（文創法第26條第1項第1款） 　　所稱國內文化創意事業，係指「在我國依法設立之法人、合夥或獨資事業，或具有中華民國國籍之國民，從事文化創意產業者」（營利事業捐贈文化創意相關支出認列費用或損失實施辦法第2條，下稱認列辦法）。只要是國內文化創意事業所研發創作，提供消費者消費之產品或服務，均適用捐贈認列抵稅。 　　營利事業所捐贈之原創產品或服務，須經由學校、機關或團體，核轉給適格的捐贈對象。所稱「學校」，包括所有各級依法設立、實施正規教育的公、私立學校，故不包含補習學校與社區大學（認列辦法第2條）。另為確保捐贈為弱勢團體所用，針對受贈團體之認定標準，限於依法設立或登記之非營利組織。透過符合上述資格之學校、機關或團體，將購買之原創產品或服務核轉給各級公私立學校之在學學生，以及依法設立或登記專門協助身心障礙者、原住民及其他弱勢族群之團體。 （二）偏遠地區舉辦之文化創意活動。（文創法第26條第1項第2款） 　　所稱偏遠地區係指人口密度較低、或交通較為不便、地理位置偏遠之地區，如離島（認列辦法第2條）。考量我國文化活動在城鄉的相較之下，仍多集中於城市，為兼顧文化創意產業之均衡發展，縮短城鄉差異，故以本款規定鼓勵營利事業捐贈國內文化創意事業於偏遠地區舉辦文化創意活動，以提高民眾參與文化創意活動意願及文化素養，同時達到發展國內文化創意事業之立法目標。凡屬於對公眾舉辦之展覽、表演、映演、拍賣或其他經各中央目的事業主管機關認定之活動，並應以公開且無償之方式服務偏遠地區之民眾者為限。 （三）捐贈文化創意事業成立育成中心。（文創法第26條第1項第3款） 　　雖然文創法第26條第1項第3款規定捐贈於「成立」的費用或損失才可認列，但避免育成中心設置過於浮濫，「營利事業捐贈文化創意相關支出認列費用或損失實施辦法」第5條規定設計育成中心應以設立後已有營運經營活動為限，且針對經營團隊管理階層人員之專業及其相關工作年資、育成空間之坪數空間，均有所規範，俾利徵納雙方遵循，以免流弊。 　　由於本案捐贈目的在於搶救老電影的修復費用，並不符合上述明列的事由，須由中央主管機關認定系爭事實是否得適用前述第4款規定。本文認為例舉之三款法定認列事由可歸納出以下三個構成要件，本件案例事實是否得適用文創法第26條第1項第4款之規定，中央主管機關得以下述要件檢視之： 　　1.應符合鼓勵民間企業參與文創事業活動，帶動產業發展之立法意旨 　　文創法第26條之立法意旨在於鼓勵民間企業參與，帶動文創產業發展，達到以短期租稅減收換取未來長期經濟發展之目的。因此，營利事業之捐贈、購買行為，應透過參與文創事業活動，而達到帶動文創產業發展之效。 　　2.為捐贈、購買或其他可促進文創產品創作、或舉辦文創活動所支出之費用 　　營利事業之捐贈、購買標的，包括文創產品或服務，以及可促進文創產品創作之行為（例如成立育成中心），以及舉辦文創活動（如對公眾公眾舉辦之展覽、表演、映演）等。 　　3.捐贈或購買對象應為文化創意事業 　　營利事業所捐贈或購買的對象應限定為文化創意事業，其範圍依照文化創意產業發展法第4條規定，係指從事文化創意產業之法人、合夥、獨資或個人。 　　因此，本案捐助對象為財團法人國家電影中心，亦為從事文創產業活動之事業，其費用雖非為購買特定產品、服務或捐贈特定活動，惟具備促進文創產品創作之效用，與文創法第26條鼓勵企業資源挹注文創產業之立法意旨相符，應有同條第1項第4款之適用。 參、結語 　　為善用民間企業挹注文化創意產業發展，文化創意產業發展法26條以認列損失或費用之方式，鼓勵民間營利事業購買文化創意事業之原創產品與服務，或贊助偏遠地區舉辦之文化創意活動，以及捐贈文化創意事業成立育成中心。其捐贈總額在新台幣1千萬元或所得額10%之額度內，以額度較高者為準，得列為當年度費用或損失，以租稅優惠作為營利企業團體支持文化創意產業之誘因。本案的捐贈金額並未超出文創法第26條的限額，若經主管機關認定為可認列之費用，其稅賦優惠其實與適用所得稅法第36條第1款以專案核准方式辦理相同，惟捐贈人所需考量者，在於上述二個租稅優惠途徑的申請程序繁簡與獲准機會。 　　台灣正面臨產業轉型階段，文化創意產業若干的活動（如設計、廣告、出版、文化等），可以提供製造業周邊服務並提高其附加價值，將是台灣未來升級轉型的希望所冀。從我國科技產業發展歷程觀之，運用租稅獎勵政策工具以發展特定產業，其成效卓著已獲得印證。為動文創產業發展，文創主管機關勢必會妥善利用租稅獎勵政策工具，因此以簡便且較容易獲租稅優惠角度來看，只要金額未超過限制，對於財團法人的文創活動捐贈，建議優先嘗試適用文創法第26條規定。 附錄一：財政部依所得稅法第36條第1款專案核准之函釋 【財政部 103.2.06. 臺財稅字第10304516880號函】 營利事業對財團法人法律扶助基金會之捐贈，可依所得稅法第36條第1款規定，列為當年度費用或損失，不受金額之限制。 【財政部 92.06.16. 台財稅字第 0920454411 號函】 營利事業對財團法人中央廣播電台之捐贈，准依所得稅法第三十六條第一款規定列為當年度費用或損失，不受金額之限制。 【財政部 92.04.09. 台財稅字第 0920452425 號】 設立財團法人證券人及期貨交易人保護中心之捐助款，准列為當年費用或損失，不受金額限制。 【財政部 90.11.09. 台財稅字第 0900457122 號】 金融機構對財團法人中小企業信用保證基金之捐助准列為當年度費用或損失，不受金額限制。 【財政部 85.12.19. 台財稅字第 851172920 號】 營利事業或個人對財團法人中央通訊社之捐贈，可依所得稅法規定認列費用或列報扣除額。 【財政部 80.10.21. 台稅一發字第 800739322 號】 對海華文教基金會之捐款得限額列為費用。 [1]大法官釋字第508號解釋理由書（節錄）：「…從立法技術而言，立法常有例示規定與概括規定並存，乃因一規範概念所得涵攝之事物類型不夠明確或範圍廣泛，立法者以例示規定表現此類型之典型社會事實，並輔以概括性規定以免繁複或掛一漏萬。對概括性規定之解釋適用，即必須從相關例示規定中探尋事物之共同特徵，以確認所欲規範的事物類型究竟為何？然後，再行判斷系爭事實是否具備這些共同特徵而為所欲規範之事物類型所涵蓋，如此方有引用概括規定之餘地。」

　　英國於2016年11月底通過「調查權力法案」（Investigatory Powers Act 2016），該法案的部分內容已於同年12月30日生效，主要係將目前執法機關和情資單位之通信及相關資料蒐集的權力整併，並訂定了通信監察書（Interception Warrants）授權及監督之方式，以及要求業者保留網路連結記錄以供執法機構識別網路使用者。法案共分為九個章節，分別為： 1.一般隱私保護 2.合法監聽通信 3.取得通信資料之授權 4.通信資料之保留 5.設備干擾 6.大量授權 7.大量個人資料之授權 8.監督措施 9.其他及一般規定 　　調查權力法案通過後，使英國政府得以合法的監控人民許多行為，包括蒐集、查看民眾的網絡瀏覽記錄、通訊資料、通聯紀錄及相關個人資料等，而監控範圍不再限於個體，並擴大至全體民眾。此外，必要時警方及安全部門亦得破解或遠端遙控人民之電腦或手機。法案並要求通信服務提供商（Communication Service Providers, CSPs）將民眾之網路使用紀錄相關資料保存至少12個月，而近50個不同之機關都能夠查看該些資料，如警察局、國防部、司法局、金融行為監管局，甚至與國家安全較無關連的食品標準局及勞動和退休金部等部門，均有查看之權限。 　　法案目前生效的部分包括政府蒐集和保留民眾資料之權力，以及得強迫握有民眾資料的科技公司或相關單位，將所掌握關於民眾的資料交給情報機構。 　　英國政府認為，在面臨現今高度安全威脅之情況下，網路已成為恐怖份子用來犯罪的新工具，故有必要讓執法與情資單位擁有維護人民安全的權力，確保政府具備對抗該挑戰的能力，使情資單位得以阻止新型態之犯罪並追訴參與犯罪之相關人員。 　　然而，該法案已遭數萬人民連署反對，要求廢除該法案，因人民於網路上進行的各樣活動，均將遭受國家的監視，而負責機關也將面臨負荷龐大的資訊處理量，且一般人民之個人資訊亦將暴露在巨大的風險下。 　　目前法案部分內容尚未生效，如網路連線紀錄（Internet Connection Records）的蒐集，因相關安全機制尚未建立完成。但可想而知，該法案所造成的爭議，已成為英國民眾所關注之焦點，而未來全面生效後，英國政府該如何面對這些反對的衝擊，則可繼續觀察。

　　鑑於社會態度轉變與經濟面的需求，特別是隨著稅法和智慧財產權問題日益複雜，日本企業領袖紛紛延攬龐大的律師團，以借助其專長規劃並解決相關問題，以至法律專業人才需求更甚於以往。為此，日本改變壓低律師人數以及不鼓勵興訟的政策，大刀闊斧推動二次世界大戰以來最大的司法制度改革。本次司法制度大改革廣開職業考試大門，以便有足夠的律師、檢察官與法官，能在日益好訟的日本社會處理龐大民、刑事案件。 　　為填補需求缺口，日本政府決定將包括律師、檢察官和法官在內的法律專業人士的人數提高一倍以上，在 2018 年以前增至五萬人。同時，重大刑案將在 2009 年引進陪審團制度，以減輕法官負擔。在政府鼓勵下，日本第一所美式法學院於 2004 年成立，現在全國已有七十二所類似的法學院。過去日本大學法律系通常著重法律的學術或理論面，而新式法學院的重心則以實務訓練為主。這些法學院的畢業生不必考舊律師考試，只考專為他們設計的筆試。 　　我國法學教育改革研議已有幾十年，總統府人權諮詢小組在討論人權問題時，亦有專題涉及法律人養成與司法制度改革，因而研議全盤改革相關制度；行政院經建會在重要人才培育與運用的政策中，亦研擬自去（ 94 ）年開始推動法律專業學院制度。