從匯流看我國電信與廣播電視產業之法律規範

歐盟智慧財產服務台（European IP Helpdesk）於2023年7月10日提供中小企業「掌握智慧財產權五步驟」的建議，以協助中小企業最大化IP價值。五步驟如下： （1）盤點企業擁有的IP數量及排定優先順位：企業應盤點其擁有的專利、商標、設計、著作權、營業秘密等的數量，並根據IP對企業成功的重要性進行排序。 （2）進行IP查核：企業應就其所擁有的智慧財產組合（IP Portfolio）進行詳盡的檢視，以評估其優、劣勢；企業應辨別出目前其智慧財產組合所可能遭受危險的地方，並評估其目前擁有的智慧財產組合，若其中有改以其他IP保護者，則風險可能為何。 （3）制定IP保護計畫：根據上述（2）的查核結果，企業應發展出一套IP保護政策，此並應包含「可監控及執行其IP，藉以排除他人侵權行為」的情形。同時，企業也應檢視自己的IP有無侵犯到他人的權益，例如透過「自由運營分析」（Freedom-to-Operate analysis）的方式，來進行專利侵權風險排查。 （4）將保護計畫付諸行動：企業應執行上述計畫，並確保其員工係對此等政策及措施有所認知。除此之外，亦應對員工施以教育訓練，以使其知道「IP保護的重要性」及「辨別潛在侵權行為的最佳方法」。 （5）保護計畫之檢視及更新：企業應時時檢視其IP保護計畫及進行更新，以確保其整體IP策略係與企業發展目標一致。

美國目前沒有聯邦的隱私法，由各州訂定州隱私法、產業隱私法，要求企業應揭露資訊以提升資訊透明度，然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法（My Health My Data Act）》的州隱私法，其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料，可用於識別消費者過去、現在或未來的物理或心理健康狀況」，例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」，如零售業者蒐集消費者近期採購的訂單內容（非健康資訊），並透過AI機器學習分析得出消費者可能懷孕的比例及預產期，藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下，導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密，建議企業可先採取：　 1.使公司的智財部門與資料保護部門合作，確保公司人員對公司營業秘密標的及範圍的認知一致，並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前，先與消費者簽訂保密契約，並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施，建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

歐盟執委會（European Commission）於2024年7月2日發布第二份「數位十年狀況報告」（State of the Digital Decade Report）（下稱該報告），全面檢視「2030年數位十年政策計畫」（Digital Decade Policy Programme 2030, DDPP）之施行現況。特別的是，該報告今年首次新增歐盟成員國提出之「數位十年國家戰略路線圖」（National Digital Decade Strategic Roadmaps），說明預計投入數位轉型之措施、行動及資金。 為了呼籲歐盟成員國加強行動，進而促進經濟繁榮並提升社會凝聚力，歐盟執委會於該報告提出兩大面向之建議。首先，於數位基礎設施及企業之部分，該報告指出，目前高品質之5G網路覆蓋率僅有歐盟領土之50%。對此，各成員國與執委會應共同努力創建真正之數位單一市場（Digital Single Market）。此外，歐洲公司對於人工智慧、雲端、巨量資料之採用率遠低於DDPP欲達成之75%目標。若欲實踐商業部門數位化，應鼓勵中小企業採用創新之數位工具，且應積極投資具有高度發展可能性之新創企業。 其次，於數位技能與公共服務之層面，該報告提及，社會經濟相關之數位轉型過程中，以人為本係一貫之核心理念。然而，目前僅55.6%之歐盟人口具備基本數位技能，各成員國應採取多元方法於各級學校推動培養教育。又，為提升公共服務數位化，各成員國應致力於線上提供重要公共服務、電子健康紀錄，以利民間及企業方便運用。 最後，歐盟成員國須於2024年12月2日前審視、調整「數位十年國家戰略路線圖」，以符合DDPP闡述之目標。此外，歐盟執委會將監督、評估報告中建議之實施情形，並於2025年發布之「數位十年狀況報告」追蹤改善進度。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).