從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

　　美國食品暨藥物管理局(U.S. Food and Drug Administration，以下簡稱FDA)向來負有保障境內國民健康與人身安全之義務，於今(2010)年1月底，美國參議員Mark Pryor提出「2010奈米科技安全法案」(The Nanotechnology Safety Act of 2010， S.2942)，擬授權FDA對使用奈米科技的醫藥與健康產品(medical and health products)進行管理規範。 　　「2010奈米科技安全法案」規劃將在聯邦食品、藥物與化妝品管理法(Federal Food, Drug and Cosmetic Act)的第十章中加入第1101節「奈米科技研究計畫」 (Nanotechnology Program)，透過設置研究計畫對FDA管轄範圍內的產品展開調查，藉由研究進一步了解奈米材料對於生物體的作用與影響，經由對奈米材料毒性的認識，歸納出原則性規範，並將奈米材料依照等級劃分，建立以科學證據為基礎的資料庫，同時於內部單位設置奈米材料專家以供諮詢，故為利於日後收集相關科學證據資料作為資料庫之用，協助管理規範上可供參考與遵循之依據，FDA將研究與分析奈米材料係如何被人體吸收，以及如何設計奈米材料使其得以運載對抗癌症之藥物以消除腫瘤，抑或是植入骨骼的奈米級組織是如何強化關節並減少不必要的感染等，未來本法案若順利通過，FDA將對於使用奈米材料之醫藥品、醫療器材與食品添加劑進行規範。 　　美國參議員Pryor再度重申，FDA需要相當之資源與經費建立以科學證據為基礎的規範體系架構，確保以奈米材料為成分的醫藥健康產品係安全有效，若無相關研究提供完善證據資料，將無從檢驗含有奈米材料的醫藥健康產品，也將無從保障國民之健康安全，故未來期望此一法案之通過將授權FDA投入管理規範體系之建置，亦將有助於實踐以奈米科技改善人類健康與降低醫療成本之理想。

　　Google 在2007年4月買下DoubleClick之後，競標落敗的微軟連同其他Google對手，控告Google和DoubleClick的結合，恐怕有壟斷之嫌，因此引來FTC和歐盟執委會的調查。 　　Google此前已經於去年12月首先取得美國聯邦貿易委員會的併購核準。歐盟執行委員會(EUropean Commission；EC)則於日前宣布通過無條件批准Google以31億美元收購線上廣告業者DoubleClick的購併案。 　　另據CNN Money網站報導，歐盟執委會通過雙方合併，主要基於沒有重大證據顯示，雙方的結合將會削弱微軟(Microsoft)、雅虎(Yahoo!)、美國線上(AOL)等競爭對手的生存空間；其次，Google和DoubleClick彼此並不存在競爭關係，雙方合併對線上廣告市場的競爭，不至於帶來負面的衝擊。 　　不過，提倡保護個人隱私的組織反對該收購交易，他們認為Google與DoubleClick合併之後，使兩家公司更容易獲取消費者個人資訊。但是歐盟執委會表示個人隱私權問題並非是否同意兩家公司合併的考量事項。 　　在得到歐盟方面正式核準之後，Google將會正式採取行動併購DoubleClick，將其線上廣告的經營，從文字廣告拓展至顯示廣告(display advertisement)領域。但在這塊線上廣告市場的步步進逼，勢必會刺激微軟加速買下雅虎的決心。

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）（舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security）於2020年2月4日發布資通安全驗證標準化建議（Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act），以因應2019/881歐盟資通安全局與資通安全驗證規則（簡稱資通安全法）（Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act）所建立之資通安全驗證框架（Cybersecurity Certification Framework）。 　　受到全球化之影響，數位產品和服務供應鏈關係複雜，前端元件製造商難以預見其技術對終端產品的衝擊；而原廠委託製造代工（OEM）亦難知悉所有零件的製造來源。資通安全要求與驗證方案（certification scheme）的標準化，能增進供應鏈中利害關係人間之信賴，降低貿易障礙，促進單一市場下產品和服務之流通。需經標準化的範圍包括：資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 　　ENISA認為標準化發展組織或業界標準化機構，在歐盟資通安全之協調整合上扮演重要角色，彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎： ISO/IEC 15408/18045–共通準則與評估方法：由ISO/IEC第1共同技術委員會（JTC1）及第27小組委員會（SC27）進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分：作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全：由歐洲電信標準協會（ETSI）所建立，並與歐洲標準委員會（CEN）、歐洲電工標準化委員會（CENELEC）協議共同管理。 　　然而，資通訊產品、流程與服務種類繁多，實際需通過哪些標準檢驗才足以證明符合一定程度的安全性，則有賴驗證方案的規劃。為此，ENISA亦提出資通安全驗證方案之核心構成要件（core components）及建構方法論，以幫助創建歐盟境內有效的驗證方案。

本文整理截至2025年3月底，美國聯邦貿易委員會（Federal Trade Commission，下稱FTC）與全國勞工關係委員會（National Labor Relations Board，下稱NLRB）對於競業禁止的態度轉變，並整理因應政策趨勢之產業機密管理建議，提供企業參考。 一、FTC與NLRB對競業禁止的態度 1. FTC對競業禁止的態度：由「訂定規定以統一禁止競業禁止」轉為「針對不合理的競業禁止進行個案調查」 （1）由Lina Khan（前FTC主席）主導的FTC，於2024年4月通過「禁止企業簽訂競業禁止契約」最終版本的規定（以下稱「最終規定」）。最終規定要求大部分情況下，禁止企業與員工簽訂競業禁止契約。 其後，美國有3案挑戰FTC最終規定： 在ATS Tree Services, LLC v. FTC案，賓州法院於2024年7月同意FTC有權禁止其認為屬於不公平競爭的行為（競業禁止）；而在另外兩案結果則相反，在Properties of the Villages, Inc. v. FTC案，佛州法院於2024年8月認定訴訟原告（房地產開發商）不受FTC最終規定的影響；而Ryan LLC v. FTC案，2024年7月德州法院更以FTC之立法範圍逾越其職權為由，於全國範圍認定撤銷最終規定。FTC不服兩案最終規定的結果並上訴。 關於最終規定的最新進展為，由Andrew Ferguson（現任FTC主席）主導的FTC，於2025年3月6日分別向第5、第11巡迴上訴法院提出動議，主張「擱置上訴審理120天（appeal in abeyance for 120 days）」。動議均已獲法院批准。 （2）此外，FTC現任主席於2025年2月26日宣布成立「聯合勞動力工作小組（Joint Labor Task Force）」，並發布備忘錄說明FTC將繼續關注反競爭行為，例如：公司與員工間的競業禁止契約、公司間互不招攬（人才）契約等。 即，可見FTC態度由「原則上禁止簽訂競業禁止契約」，轉為「依個案起訴其認為不合理的競業禁止契約」。 2. NLRB對競業禁止的態度：由「針對要求員工簽訂競業禁止的個案進行調查」轉為「將競業禁止行為排除調查範圍」 （1）NLRB為獨立的聯邦政府機構，由主任檢查官負責調查、起訴勞資案件。NLRB前主任檢查官Jennifer Abruzzo於2024年10月7日發布不具拘束力的GC 25-01備忘錄，其依循自己在2023年5月所發布的GC 23–08備忘錄中強調「過於寬泛的競業禁止契約，限制員工流動性，違反《國家勞工關係法》」，本次備忘錄進一步指出某些類型的『留任或付款（stay-or-pay）條款』侵害員工依NLRA所享有的權利」。並說明Jennifer Abruzzo欲自2024年12月6日起，調查該些「要求員工簽訂競業禁止、『留任或付款』條款的雇主」。 （2）現任的NLRB代理主任檢察官William B. Cowen於2025年2月14日發布GC 25-05備忘錄，該備忘錄以「NLRB積壓的案件量過多、需要全面審查過往備忘錄以符合當前需求」為由，針對過往NLRB發布的備忘錄，採取撤銷、撤銷後有待進一步提供指導等作法，其中包含「撤銷前述的GC 23–08、GC 25-01備忘錄」。 二、因應政策趨勢之產業機密管理建議 綜上，可得出競業禁止契約仍為FTC納管的範圍，本文彙整產業的建議，提供企業應及早採取的機密管理作法： 1. 針對政策面 應制定政策定義營業秘密，以鑑別營業秘密的範圍。 2. 針對人員面 （1）盤點企業內部既有的競業禁止契約，以確保契約條款中競業禁止的期限、地理範圍及業務範圍的限制不會過於廣泛，以致於無法執行；與員工簽訂其他類型契約，例如：保密契約、花園假條款、禁止僱傭關係終止後招攬（員工/客戶）的契約等。 （2）宣導企業的機密管理政策。 （3）提醒離職員工對企業的保密義務。 資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」已涵蓋前述管理作法，我國企業如欲落實系統化的營業秘密管理作法，可以參考此規範。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw）