美國聯邦上訴法院認定,美國政府不得強取境外伺服器資料
微軟在美國政府索要用戶郵件的一起官司中獲得勝訴。美國政府第二巡迴上訴法院裁決,如果資料是儲存在美國境外伺服器,則不為美國聯邦政府的令狀效力所及。
這件訴訟案源於2013年的一起涉外毒品案件中,紐約區法院發布了一項搜查令,要求微軟提供公司一名用戶的郵件和相關訊息。然而因為有些資料是存放在微軟公司在愛爾蘭的伺服器,因此微軟爭辯說郵件本身是儲存在愛爾蘭的,因此不應受到美國政府令狀效力所及。2014年聯邦地方法院再次要求微軟提供郵件內容——但微軟上訴到了聯邦第二巡迴法院。
美國聯邦第二巡迴法院在判決中,認定基於《儲存通訊記錄法》(Stored Communications Act:SCA/下稱SCA)規定美國政府得以令狀要求連結網路使用者資料的規定並不適用於境外。法院所持理由為:
1. SCA規定搜索票/扣押票之核發應符合美國聯邦刑事訴訟法之相關規定,而美國聯邦刑事訴訟法第41條即規定搜索票/扣押票應由搜索/扣押標的物所在地之法院核發並交由該地或國內他地執法人員執行。
2. 法院曾於2010年之MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.案判決理由中指明,如國會立法時認為某法規可能或必須有域外效力,應以明文定之,而SCA條文中並無任何規定寫明該法可於境外適用之。
3. SCA在第2703條所使用之搜索票/扣押票(warrant)一字,源自美國憲法增修條文第四條,即規定美國政府對其國內人民為搜索扣押時應以搜索票/扣押票(warrant)為之,且SCA更刻意以不同條款及不同強度區分搜索票/扣押票(warrant)與傳票(Subpoena),立法者之用意顯然是希望能以前者提供使用者更高度的隱私保護。 這是美國首例企業對獲取境外資料的政府搜查令提起上訴的案件,審判結果影響著美國法律界對於執法機關是否能就存放在世界上其他國家的美國用戶資料,進行合法調查。
吳柏凭
法律研究員 編譯整理
The New York Times, Nick Wingfield and Cecilia Kang, Microsoft Wins Appeal on Overseas Data Searches(2016年7月14日), http://www.nytimes.com/2016/07/15/technology/microsoft-wins-appeal-on-overseas-data-searches.html?_r=0(最後瀏覽日:2016年10月18日)
The Wall Street Journal, Devlin Barrett and Jay Greene, Microsoft Wins Appeals Ruling on Data Searches(2016年7月14日),http://www.wsj.com/articles/microsoft-wins-appeals-ruling-on-data-searches-1468511551(最後瀏覽日:2016年10月18日)
美國聯邦通訊委員會(Federal Communication Commission, FCC)於今年1月15日頒佈一項新命令,禁止進一步經銷或出售使用700MHz頻段(698-806MHz)的無線麥克風等設備。700MHz頻段在2009年6月12日數位電視轉換完成後,已不再供電視台廣播使用。FCC表示此項命令的頒佈,目的在清空700MHz頻段,以避免上述設備對目前使用此一頻段的公共安全通訊(如警察、消防及緊急服務)與商用無線通訊服務,產生妨害性干擾。上述設備所使用之頻段,先前已由主要無線通訊業者以約200億美元標得執照。 FCC頒佈此項新命令,將影響百老匯劇院、運動聯盟及其他公眾娛樂團體目前利用700MHz頻段經營的無線麥克風系統。在新命令頒佈前,上述團體曾表示希望維持繼續使用部份700MHz頻段,並表示其使用將不會對新的使用者造成干擾,惟FCC並未採納其意見。 為確保目前使用700MHz頻段免執照設備的個人或團體,能有充分時間轉換至適當之替代頻段,FCC將允許其繼續使用至今年6月12日止。同時,對於先前已購買使用700MHz頻段設備之消費者,亦提出相關計畫以提供協助。
淺談中國網絡文化內容自審制於手機遊戲管理之影響淺談中國網絡文化內容自審制於手機遊戲管理之影響 科技法律研究所 2013年12月31日 壹、前言 中國大陸文化部日前依據互聯網文化管理暫行規定第19條規定,頒布施行「網絡文化經營單位內容自審管理辦法」(簡稱自審管理辦法)。要求以營利爲目的提供「網絡文化產品及服務」之單位(即所謂的「網絡文化經營單位」),應進行自我審核,以確保內容之合法性。所謂「網絡文化產品及服務」依據互聯網文化管理暫行規定,包括網絡音樂、動漫、遊戲等文化產品及以此所為之製作、複製、進口、發行、播放等活動。據中國大陸文化部表示,制定本辦法是為了落實其國務院轉變政府職能、簡政放權的政策方向,特別是網絡遊戲中的手機遊戲部分,期待能透過企業自律機制,達到市場的有效管理。 貳、自審管理辦法重點說明 在具體做法上,自審管理辦法規範「網絡文化經營單位」必須符合四項具體要求,包括:(1)內容管理制度與部門:企業須建立內容管理制度與審核部門,明定內容審核之工作劃分、標準、流程及責任追究辦法;(2)內容審核人員:企業內部設置之內容審核部門須配置至少3名以上領有「內容審核人員證書」之審核人員,並指定其中1名審核人員為內容管理負責人,負責簽核其餘審核人員之審查意見;(3)踐行備案程序:企業內部於建立上述之審核程序後,應向所在地省級文化行政部門申報備案;(4)持續參與審核訓練:針對內容審核人員,省級文化行政部門將負責相關培訓考核及檢查監督工作,其中對於經考核合格者發給證書者,每年至少應參加1次後續培訓,以持續掌握內容審核的政策法規和相關知識。 針對未依該辦法實施自審制度之「網絡文化經營單位」,依據自審管理辦法第14條規定,則得由縣級以上文化行政部門或者文化市場綜合執法機構依照「互聯網文化管理暫行規定」第29條規定責令改正,並可根據情節輕重處20000元以下罰款。此外,依據自審管理辦法第13條規定,倘若內容審核人員出現重大審核失誤時,發證部門得注銷其「內容審核人員證書」。 最後,依照自審管理辦法第15條規定,相關「網絡文化產品及服務」在自審管理辦法施行前,如應踐行備案或批准程序,在施行後仍須按相關規定辦理,不會因企業自審制度建立而得以免除。 參、規範簡評 依照自審管理辦法規定,自審制度適用範圍涵蓋了所有應依法取得「網絡文化經營許可證」的網絡文化經營單位。據中國大陸文化部新聞稿指出,此舉將有助於端正手機遊戲市場亂象。其具體理由,本文簡要歸納如下,並附帶說明此措施對於台灣手機遊戲業者進入中國大陸市場將帶來之影響。 過去中國大陸文化部管理「網絡遊戲」,主要是透過「網絡遊戲管理暫行辦法」(簡稱暫行辦法)。當中針對「國產網絡遊戲」採取備案制,要求於營運日起30日內向其文化行政部門進行備案(暫行辦法第13條參照);「進口網絡遊戲」則採審查制,須事前獲得其文化行政部門審查批准,方可上線營運(暫行辦法第11條參照)。且解釋上所謂「網絡遊戲」並未排除「手機遊戲」,故外國業者在提供手機遊戲服務予中國大陸時,皆應授權當地具備「網絡文化經營許可證」之「網絡遊戲運營企業」進口並履行相關申報作業。 但現實上,基於手機遊戲開發成本低、週期短之特性,手機遊戲業者存在為數不少小規模企業,所開發遊戲數量自2011年以來呈現爆炸性成長。因而暫行辦法之相關管理要求,實際執行通常難以落實,便常見有手機遊戲規避上述申報作業,使得整體手機遊戲管理呈現真空狀態。 但此一管理困境,在施行自審管理辦法後,預期將有所改善。根據中國大陸文化部新聞稿指出,目前中國大陸手機遊戲市場主導權,已逐漸由遊戲開發商轉移至平台商。因此透過自審管理辦法下放內容審查權於大型平台上,再強化對大型平台的監管,可集中政府資源、擺脫過去針對個別遊戲業者的查緝困難。 同時,由於自審管理辦法要求企業應賦予內容審核人員獨立審核職權,官方新聞稿亦進一步指出內容管理負責人層級應提升至副總經理以上。一旦內容審核人員發生重大失職時,最重得注銷其審核權限。因而運作上將可間接影響企業人事權限分配,對於企業高層業務執行帶來一定程度箝制,進而達到有效管理之目的。 對於台灣業者而言,由於按照暫行辦法第12條規定,申報進口網絡遊戲內容審查者,必須為取得獨占授權之「網絡遊戲運營企業」。因此,台灣遊戲業者未來在授權遊戲於大陸業者營運時,應留意其合作之大陸「網絡文化經營單位」,是否有建立上述自審制度,以避免對其產品拓展產生不利影響。同時,應留意其是否有踐行相關進口網絡遊戲內容審查申報,以避免觸法。 資料來源: 《文化部關于實施〈網絡文化經營單位內容自審管理辦法〉的通知》(文市發〔2013〕39號),http://big5.gov.cn/gate/big5/www.gov.cn/zwgk/2013-08/22/content_2471896.htm (最後瀏覽日:2013/12/25)。 新华网,〈文化部放权网络文化企业内容自审 网游网络音乐先行试点〉,2013/08/20,http://news.xinhuanet.com/politics/2013-08/20/c_117021657.htm(最後瀏覽日:2013/12/25)。 中华人民共和国文化部文化市场司,〈庹祖海同志在贯彻落实《网络文化经营单位内容自审管理办法》视频会议上的讲话〉,2013/11/29,http://www.ccnt.gov.cn/sjzz/whscs_sjzz/whscs_zhxw/201312/t20131202_424345.htm(最後瀏覽日:2013/12/25)。
美國公布實施零信任架構相關資安實務指引美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景 此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。 有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要 考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft)) 主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)) 主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft)) 主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)) 此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析 美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。 此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).
歐盟智慧財產局公布2020年智財侵權狀況報告歐盟智慧財產局(European Union Intellectual Property Office)於今(2020)年第三季公布最新智財侵權狀況報告,研究報告為其智庫「歐盟智慧財產權侵權觀察平台(The European Union Observatory on Infringements of Intellectual Property Rights)」所執行,並結合經濟合作暨發展組織(Organization for Economic Cooperation and Development)之數據資料,每年以不同主題呈現當年世界智財侵權狀況。今年以「智財權為何重要、智財侵權與打擊仿冒之戰爭」為主題,重點如下: 智財密集產業對歐盟經濟貢獻占整體GDP的45%、就業人數占歐盟就業人口的29%、出口貨物量占96%。 企業對智財的重視比例增高,重視智財的企業雇員平均收入較不重視智財權者高出32%;運用智財於營運策略的中小企業成長潛力高於無智財權者,如依權利運用類型區分,其成長率分別是10%(商標)、16%(商標結合專利)、27%(商標與設計權),以及33%(三種權利組合)。 全球仿冒品占其貿易總量約3.3%,市值高達1,210億歐元。 除日常藥品,抗生素、癌症或心臟疾病藥物仿冒情形均趨於嚴重;2019年爆發新冠肺炎後,偽造商更是將仿冒移轉至檢測試劑與個人防護用品。 尤其進入AI與5G時代後,智財密集產業對世界經濟貢獻度可望逐年上升,但侵權狀況恐怕亦同,咎因於該產業之興盛與背後龐大的潛在利益。因此持續推動建立企業的智財意識與防護能力,有其必要性,以助於提升產業發展潛力與整體營運獲利。