日本提出未來車聯網社會之三大威脅及促進實現車聯網社會策略

由於美國與歐洲國家消費者保護政策以及對定型化契約條款的解讀不同，在美國電子商務應用中所常見的線上契約定型化條款內容，很可能在歐洲被解釋為對消費者不公平 (unfair) 而無效。 　　一位在法國巴黎執業的律師表示，在 AOL Bertelsmann Online France v. Que Choisir 案件中，許多美國律師常用的定型化契約條款，例如：網際網路服務提供者擁有單方變更契約內容之權；消費者之繼續使用服務等同於默示同意新的付費條款內容；網際網路服務提供者對於網路中斷造成的損害不負任何責任；限制消費者只能依循 AOL 的服務使用約款進行損害賠償之求償；及網際網路服務提供者保有中止服務等權利之條款等，在法國法院都被解釋為不合法而無效。雖然 AOL 這個案子還在進行上訴程序，法國巴黎法院在審理另一個案件時，也將類似的條款視為無效，而該案涉案主角則是義大利網際網路服務提供者。 　　由於法國對於消費者保護的法規係源自於歐盟指令，而歐盟所有會員國皆須在一定期間內將指令內容納入內國法規範，一位在英國執業的律師表示， AOL 在法國法院所得到的判決，如果發生在英國甚或其他歐盟會員國，也可能得到同樣的結果。

　　為落實美國食品安全現代化法有關食品追溯與風險控管安全認證規定，美國食品藥物管理局（U.S. Food and Drug Administration, FDA）於2015年11月13日公布「農產品安全規則」（The Produce Safety rule）、「第三方審核機構進行食品安全認證規則」（The Accredited Third-Party Certification rule）與「外國供應商審核規則」（The Foreign Supplier Verification Programs, FSVP）等三項實行細則。其中，「農產品安全規則」首次針對美國境內生產農場建立強制性安全標準，為種植、收獲、包裝和保存農產品建立基於科學的標準（包括水質、員工健康和衛生、野生和家養動物、動物源生物土壤改良劑以及設備、工具和建築物等各種要求）。 　　而在「第三方審核機構進行食品安全認證規則」與「外國供應商審核規則」主要係確保進口食品符合美國境內生產食品相同之安全認證標準，確保與美國食品追溯制度構聯。食品藥品管理局採用多管齊下的策略，包括與外地監管機關建立夥伴合作關係、檢查出口國的設施、要求進口商就進口食品安全負責，以及對進口食品進行針對性的檢測。

日本智慧財產推進計畫2015分析（下） 資策會科技法律研究所 法律研究員　蘇彥彰 104年10月28日 　　日本智慧財產戰略本部於今年6月19日所公布的「智慧財產推進計畫2015」[1]，係以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨，並以少子高齡化與地方經濟衰退、智財糾紛處理機制的使用狀況和便利性、以及內容產業海外拓展的潛力及對智財戰略之重要性為背景，提出三項核心議題並分別剖析其現狀課題及主管部會應努力之方向，本文以下針對第三項議題「推動內容產業及週邊產業整體性的海外拓展」介紹如下： 三、推動內容產業及週邊產業整體性的海外拓展 （一）現狀與課題 　　動畫、漫畫、電影、音樂、遊戲、電視節目等內容產業的海外發展，不僅可以增加內容產業本身的海外銷售數字，同時可以藉由吸引更多日本內容產業迷群（ファン），活用內容產業所形塑之整體風格及日本國家形象，透過拓展其他各類業種的海外市場並提升訪日觀光客的數量等，期待內容產業帶動經濟及文化間的相乘效果。然而今年度推進計畫中亦指出，目前日本的內容產品海外銷售市場規模並未十分穩固，即使是與日本文化、經濟關係較深厚的亞洲諸國，除了動漫畫等部分領域外，市場調查的結果都落於歐美、韓國之後。 　　遊戲產業方面，雖然和其他日本內容產業相比有較大的海外市場規模，但以全球高達數兆日幣的遊戲市場而言，仍然持續面臨中國、美國等之激烈競爭，市場地位尚未見穩固；從另一個角度觀察，日本國內內容產業規模雖然近年來未見成長，仍具備每年12兆日幣的水準[2]，相比之下目前日本內容產業的海外收入及輸出額均屬微小，應可認為尚有充分的成長空間。 （二）今後施政方向 　　日本智財戰略本部為求能使內容產業（特別是影視產業）更進一步打入海外市場，提高影響力並帶動周邊產業及觀光人數之提升，提出以下施策方向供主管部會遵循； 1、「配合海外當地市場喜好進行內容產品的製作」：與當地的文化、需求結合，製作使海外市場容易接受的數位內容，例如與熟知當地需求的在地電視台等進行合作，從製作階段就先行瞭解海外市場的視聽型態與動向，而對於目前已既存的電視、電影、音樂、動畫、遊戲等內容產品，則持續透過翻譯、配音、字幕製作等方式進行在地化，針對電視節目於海外其他國家播送所牽涉到的相關法律上權利處理，也需要提出更加迅速而有效率的對應作法； 2、「內容產業海外市場的持續拓展」：由於各地海外市場與日本間的物價差別，內容產品若透過單純的銷售方式不易取得滿意的銷售成績，有必要持續與熟知當地宣傳模式的業者建立合作關係，透過廣電頻道和現場活動的辦理，持續進行市場的拓展並增加曝光度； 3、「內容產業與相關產業間的合作」：目前透過J-LOP（「ジャパン・コンテンツ ローカライズ＆プロモーション支援助成金」）[3]支援辦理的海外市場宣傳活動多為單次性而缺乏整體規劃，必須透過各同類、異類產業間的合作，提出能吸引更高注目度的宣傳手法並促成彼此間的相乘效果。 （三）小結 　　近年來文化創意產業的成長力受到各界廣泛的矚目，而為開拓文創市場商機，政府除陸續舉辦國際級文創產業博覽會外，並且協助業者參與各種國際型會展活動以進行國際拓展，包括「文化創意產業國際拓展計畫」及「國際及兩岸文化創意產業組織搭橋計畫」等，均有效深化與國際通路間合作關係，後續採購金額均達數億元[4]。 　　然而若從內外銷角度來看，我國文化創意產業營業額主要仍來自於內銷收入，以2013年為例，內銷收入占總營業額的90.8%，較2012年增加1.16%，近六年之內銷收入更持續呈現擴大趨勢，2013年之成長率達4.14%[5]，顯見我國文創產業仍高度偏重內銷，外銷市場不僅嚴重偏低且呈下滑走勢。 　　我國文創產業政府及民間業者多年努力下雖已逐漸成熟茁壯，但眼前仍需主管機關在產業發展上提出相關獎勵措施和補助辦法，掃除不利文創出口外銷的障礙，並協助業者大力開拓海外市場以改變目前高度仰賴內銷市場之情況。就此，前揭日本智財推進計畫中所提出現況檢討和施政方針作法，應可作為我國之借鏡和參考。 四、結語 　　日本自2003年7月由「智慧財產戰略本部」[6]發布第一份「關於智慧財產創造、保護、活用推進計畫」[7]後，每年均依智慧財產基本法第23條[8]之規定就計畫內容進行檢討與更新，而今年度的「智慧財產推進計畫2015」除仍以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨外，日本內閣總理大臣安倍晉三並於今年4月14日主持智慧財產戰略本部會議時明確指出[9]，包括各先進國及新興國家在內，就智財領域的競爭正日漸增強，日本為強化國際競爭力，有必要持續進行智財戰略構策，將日本高度的技術實力和豐富的文化資產進行結合以開創新的商業契機。 　　我國行政院於2012年核定通過「智財戰略綱領」[10]，期望透過經濟部、文化部、農委會及科技部規劃與推動六項行動計畫，積極引領產學研各界提升智財創造的品質，其中「戰略重點2：強化文化內容利用」項下「強化流通運用及防止非法利用」、「戰略重點4：活化流通學界智財」項下「提高學界成果產業化環境」及「戰略重點5：落實智財流通及保護體制」項下「強化智財訴訟支援與因應能力」、「佈建具多元彈性及戰略性的智財營運組織」等宗旨及內容，均與前述日本之「推動地方智財的活用」、「活化智財紛爭處理機制」、「推動內容產業及週邊產業整體性的海外拓展」三項核心議題相仿，其規劃方向和政策內容可供主管機關分析研究之。 [1] 〈知的財産推進計画2015〉，知的財産戦略本部，http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku20150619.pdf（最後瀏覽日：2015/08/14） [2] 経済産業省，〈コンテンツ産業の現状と今後の発展の方向性〉，頁2（2015）http://www.meti.go.jp/policy/mono_info_service/contents/downloadfiles/1507shokanjiko.pdf（最後瀏覽日：2015/10/16） [3] 全名為「日本內容產業在地化和行銷協力輔導金」，總額約155億日幣，申請期間自2013年3月19日起自2015年2月28日止，是日本為求內容產業的海外拓展，針對「在地化」和「行銷」進行協助，透過對海外傳播日本內容產品提供輔導，以創造「哈日風潮」、促進觀光並擴大相關產業的海外市場為目的的輔導金，詳情可參http://j-lop.jp/about/（最後瀏覽日：2015/08/13） [4] 文化部，〈2014臺灣文化創意產業發展年報〉，頁30（2014）。 [5] 同前註，頁17。 [6] 日本「知的財産戦略本部」網站，http://www.kantei.go.jp/jp/singi/titeki2/（最後瀏覽日：2015/08/14）。 [7] 《知的財産の創造、保護及び活用に関する推進計画》，知的財産戦略本部，http://www.kantei.go.jp/jp/singi/titeki2/kettei/030708f.html（最後瀏覽日：2015/08/14）。 [8] 知的財産基本法（平成十四年十二月四日法律第百二十二号）第二十三条：「知的財産戦略本部は、この章の定めるところにより、知的財産の創造、保護及び活用に関する推進計画（以下「推進計画」という。）を作成しなければならない。……」 [9] 〈安倍総理の御発言（知的財産戦略本部）【平成27年4月1 4日】〉，知的財産戦略本部，http://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kensho_hyoka_kikaku/2015/dai11/sankou1.pdf（最後瀏覽日：2015/10/28） [10] 〈智財戰略綱領〉，經濟部技術處，https://www.moea.gov.tw/MNS/doit/content/Content.aspx?menu_id=13453（最後瀏覽日：2015/10/29）

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).