什麼是「瑞典創新夥伴計畫」？

　　美國專利商標局（USPTO）在2005年11月，與歐洲專利局（EPO）及日本專利局（JPO）之三邊會前會上，提出了一個簡稱為「三路」（Triway）的檢索共享計畫，該計畫希望能使三局的檢索技術發揮槓桿效果，進而能使專利申請者及各該專利管理當局受惠。 　　三局其後在2007年11月的三邊會前會上同意先期進行有限的試驗計畫。 　　「三路」的基本構想乃希望透過縮短時效來推廣資源分享，同時能使申請者及各該管理當局在很短的一定時間內取得三局的檢索結果，進而使申請者及各該局有機會能分享及考量所有的檢索結果，同一協助改善各該局對同一專利申請者專利審定之品質。 　　在「三路」試行計畫下，各該局對於在巴黎公約下之同一專利申請將適時提早進行檢索，且各該局的檢索結果將由三局共同分享以減少各該局的檢索及審查工作量。 　　三局同意「三路」試行計畫之試行對象限於在美國專利商標局首次提出申請者，並限於一百個試行專利申請案，試行計畫將在明年的同一時間結束，或在接受一百個試行專利申請案後提前結束。

　　美商藝電EA(Electronic Arts)於今年八月初在舊金山地方法院控告以社群遊戲著稱的Zynga於六月在Facebook所推出的遊戲《The Ville》抄襲EA於2011年八月推出的「模擬市民(The Sims Social)」，侵犯EA的著作權。EA表示，The Ville中的設計選項、動畫、畫面處理、角色的活動及動作都原封不動地抄襲自EA的「模擬市民(The Sims Social)」。EA聲稱，Zynga抄襲了「模擬市民(The Sims Social)」原始並特殊的表達要素(original and distinctive expressive elements)，明顯違反美國的著作權法。EA並表示，Zynga任用了三位自EA離職的員工而獲取了「模擬市民(The Sims Social)」的商業機密。Zynga則反譏EA欠缺對於著作權原則的了解，並表示《The Ville》是Zynga小鎮遊戲(Ville-game)系列的延續，過去曾推出的系列遊戲包含《YoVille》、《CityVille》以及《Castile Ville》，EA的指控毫無根據。   　　雖然《The Ville》與「模擬市民(The Sims Social)」兩者在遊戲的角色設定以及角色圖樣跟背景有諸多相似，但是Zynga在細節上做了許多與EA不同的設定。本案如果有效成立，將對於遊戲產業造成顯著影響。   　　美國法下，遊戲產業的智慧財產權議題中，一個重要的法律關鍵在於「思想/表達二分法(idea/expression dichotomy) ，「思想(idea)」並非著作權的保護客體，僅想法的表達方式(expression)是著作權的保護客體。舉例而言，你可以再寫一本有關於魔法學校的書，但是你不可以把書中的主要角色命名為哈利波特。   　　 1994年時，快打旋風二(Street Fighter II)的發行商嘉富康(Capcom)控告DECO(Data East Corporation)的格鬥列傳(Fighter’s History)抄襲，但是法院認為嘉富康遊戲的角色是植基於既存典型角色以及武術原則，DECO的相似性並不侵犯快打旋風的著作權。   　　九月中，Zynga對EA提出反訴，控訴EA採取不正競爭(anticompetitive)以及不法(unlawfully)商業行為，違反反托拉斯法(anti-trust law)。Zynga指出，EA試圖以法律訴訟以及恐嚇離職員工的方式，非法阻止Zynga雇用EA的離職員工。Zynga指稱EA威脅Zynga將提出訴訟，要求Zynga與之簽訂「不任用協議(no-hire agreement)」，依照該協議EA將不對Zynga提出關於雇用員工的告訴以做為簽約對價。但是EA在今年八月對Zynga的著作權告訴已經打破該協議。事實上依照加州法，禁止離職員工去競爭公司任職是違法的。矽谷這類因為員工到競爭對手任職而引發的法律案件還有蘋果(Apple)以及谷歌(Google)一案，這兩家公司過去曾因為簽訂不挖角協議而遭美國司法部起訴，後來與美國司法部達成和解。EA則表示離職員工抄襲其它EA設計師，Zynga此舉意圖轉移社會及法庭注意力。除了否認EA抄襲的指控，Zynga更表示，沒有任何根據可以說明EA是虛擬人生遊戲的創始者，Zynga的《YoVille》推出時間甚至早於EA的「模擬市民(The Sims Social)」三年。   　　本案因為矽谷遊戲產業人才的流動性而增加了案件的複雜性，跳脫一般的著作權侵權訴訟，既然離職後到競爭對手任職是可被允許的，那麼產出類似的遊戲產品就更加難以避免，不論是基於自身的創意或者模仿過去共事同仁的創意，「學習」以及「抄襲」之間的界線總是難以劃分，如果本案成立著作權侵權，矽谷遊戲人才在開發設計遊戲時必然需要更加小心謹慎。 圖片來源: Tech Crunch

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　工業局預計明年和財政部研商修改海關進口稅則，給予廠商進口國內無產製的半導體、面板設備的關鍵零組件時，免課關稅的優惠，以提升國內兩兆產業自給率，在2008年分別提升至25%和50%的水準。包括奇美、彩晶、華映等面板廠都對提高設備自給率很有興趣。工業局指出，全球面板業市場，已成為我國和韓國互相較勁的局面，韓國目前設備自給率已達40%，並計畫在2008年達到80%水準，但我國面板設備自給率目前只有12%，不但主控權掌握在外國設備廠手裡，利潤也被賺走。如果國內面板廠可以提高設備自給率，可以節省成本30%至50%，獲利將可以大幅提高。 　　工業局表示，由於我國半導體與平面顯示器兩兆產業在晶圓代工帶動下及筆記型電腦與LCD顯示器的大量需求下持續成長，除產值大幅成長外，在設備需求上，台灣將分別占有15%及40%以上的全球市場，國內每年設備投資總額也將高達2,000億元以上，但是卻有九成以上仰賴進口。除了以租稅減免，提高國內面板及設備業者投入設備研發、生產的誘因外，工業局明年起每年也將投入近億元的經費，以科專計畫、主導性新產品研發補助等，協助國內設備業者提升研發及生產能力。 　　由於我國已成為全球半導體及面板的重要生產廠商，每年進口設備金額十分龐大，工業局也將運用此優勢，吸引國外大廠來台設立研發中心或與國內設備業者合作，投資生產製程設備。為鼓勵兩兆產業中心廠使用國產設備，對使用國產設備達一定比例之廠商，工業局也將研議相關的獎勵措施。