從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

　　美國國家標準技術局（National Institute of Standards and Technology, NIST）於近日（2013年7月）更新電子簽章的技術標準「FIPS (Federal Information Processing Standard) 186-4數位簽章標準」，並經商務部部長核可。NIST於1994年首次提出電子簽章標準，旨在提供工具可資促進數位時代的信賴性，後續也隨著技術進步與革新，而有多次修訂。此次修訂，主要是調合該標準，使之與NIST其他加密相關指引（如金鑰加密標準）一致，以避免將來可能產生的矛盾。 　　此次增訂，亦明列出三種可保護資料的簽章產製與確認技術：數位簽章演算法（Digital Signature Algorithm, DSA）、橢圓曲線簽章演算法（Elliptic Curve Digital Signature Algorithm, ECDSA）、以及RSA公眾金鑰演算法（Rivest-Shamir-Adleman Algorithm, RSA）。 　　其他修訂的部分，還包括語彙的明晰化，以及降低對於隨機號碼產生器的利用限制…等。

　　現年八十六歲的奧地利老人 Nikolai Borg ，決定對德國著名汽車公司 --- 福斯汽車提起訴訟，請求該公司對外正式發表聲明，宣示其才是該公司 VW 商標真正的設計者。該項訴訟費用已經獲得奧地利貿易協會的資助。 　　Volkswagen 的原意為「國民車」，起源於納粹德國的國民車計畫，是當時納粹政府「由歡愉獲得力量計畫」（ the Nazi Kraft durch Freude propaganda scheme ）中的一部份，當時政府一方面奴役勞工，但一方面也希望建立一個世界上最完善的社會福利制度，故也希望建造出每個勞工都開得起的汽車。 　　從 1950 年起 Borg 便為 VW 商標而戰，但從未成功。其非難福斯公司因為不敢面對納粹難堪的過去，因此也不承認對其應負的責任。 Borg 指出，當時納粹時期的德國交通部長 Fritz Todt 委任他設計商標，當時有三個計畫需要設計標誌，不過由於國民車的計畫是一個新的計畫，因此 Todt 希望他可以設計國民車的標誌。由於當時為公部門工作所得之創意產物是不可能申請智慧財產權的，因此 Borg 在設計出該標誌後，並未獲得任何權利，儘管戰後其多次與福斯公司交涉，希望該公司承認其才是真正的商標設計者，但截至目前為止，福斯公司都聲稱該公司的標誌到底是誰設計的，目前已經無法得知。（科法中心 劉憶成編譯）

　　美國國家標準與技術研究院（NIST）於2020年1月16日發布「隱私框架1.0版」（NIST Privacy Framework Version 1.0），為促進資料的有效利用並兼顧對隱私權的保障，以風險管理（risk management）的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」（Framework for Improving Critical Infrastructure Cybersecurity Version 1.1）架構，包含框架核心（Core）、狀態評估（Profile）與實施層級（Implementation Tier），以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制，透過狀態評估來判斷當前與設定目標的實施層級，進而完成組織在隱私保護上的具體流程與資源配置。 　　NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架，用以促進開發者導入隱私設計思維（privacy by design），以及協助組織保護個人隱私，其目標包含透過支持產品或服務設計中的倫理決策（ethical decision-making）及最小化對隱私的侵害來建立客戶的信任；在當前與未來的產品或服務中，因應持續變化的技術與政策環境遵守對隱私的保護義務；以及促進個人、企業夥伴、稽核者（assessor）與監管者（regulator）在隱私權保護實踐上的溝通與合作。 　　本隱私框架並非法律或法規，亦不具備法律效果，而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具，企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求，掌握其產品或服務所隱含的隱私權侵害風險，並識別隱私權相關法律規範，包含加州消費者隱私法（California Consumer Privacy Act）與歐盟一般資料保護規則（General Data Protection Regulation, GDPR）等，提出更具創新性與有效性的解決方案，並有效因應AI與物聯網技術的發展趨勢。