德國針對企業資訊安全及資料保護相關法律提出建議文件

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　2015年7月30日美國專利商標局大幅更新其於2014年12月所公布的專利標的適格性（patent subject matter eligibility）暫行準則。這次的更新主要是將各界對於2014年12月版暫行準則的意見納入，並包括了幾項新的適格性與不具適格性申請專利範圍的舉例。儘管有評論指出，美國專利商標局也正研議針對生物技術舉例，但此次所舉之例主要針對抽象概念而非生物技術發明。 　　這些舉例係對各種技術提供其他適格的申請專利範圍，以及適用最高法院與聯邦巡迴法院判斷具有其他元件的申請專利範圍是否與法定不予專利標的顯著不同的示例分析。這些例子與在審查人員的教育訓練資料中所載的判例法之判決先例，都將用於協助審查人員在評估申請專利範圍元件（claim element）的專利適格性上能夠彼此一致。 　　在更新的暫行準則的第三部份中，美國專利商標局為認定抽象概念提供了進一步資訊，其係有關最高法院及聯邦巡迴上訴法院對於抽象概念適格性判定的司法見解，包括人類活動的特定方法、基本經濟行為、概念本身及數學關係式/公式。 　　在更新的暫行準則的第五部分中，美國專利商標局解釋說，適格性的初步證據要求審查人員明確清楚地解釋為什麼無法對所提出的專利申請專利範圍授予專利（unpatentable），以便專利申請人獲得足夠的通知並可以有效地作出回應。 　　對於專利適格性，審查人有義務清楚地闡明所提出的專利申請不具有適格性的理由或原因，例如藉由提供判定申請專利範圍中所敘述的法定不予專利（judicial exception）與為什麼它被認定為例外的理由，以及在申請專利範圍中識別其他元件（additional element）的理由（若有的話），及解釋為何未與法定不予專利標的顯著不同。這裡由可以依據在該技術領域之人一般可得之知識、判例法之先例、申請人所揭露之資訊或證據。 　　美國專利商標辦公室表示，本次暫行準則歡迎各界給予意見，並至2015年10月28日止。

　　本週西班牙法官判決，認為行為人為私人用途而下載音樂，其行為並非藉以從中獲利，應認其為無罪。 即便，檢察官辦公室及音樂工會呼籲應對此下載音樂並且在郵件及聊天室提供音樂之被告，處以兩年有期徒刑，然而，在此案當中，卻無直接證據證明被告於銷售音樂之過程中獲利。 　　此判決震驚了音樂工會，如此一來，西班牙一千六百萬的網路使用者將可透過網路交換音樂而不會受到處罰。西班牙唱片工會聯盟 Promusicae 表示，他將對此項判決提起上訴。 　　由於歐洲不同的法律規定，關於分享檔案的訴訟也會因不同國家而有極大的差異。然而，大多數的歐洲國家傾向對此處以較高的刑罰。就同為歐盟成員的芬蘭而言，上週便有 22 人因為非法分享電影、音樂遊戲及軟體而被處以 427,000 歐元。 　　至於西班牙此項為個人用途而下載音樂之行為，據其司法院院長指出，則有待立法修正解決。

　　或許因為一般人對於文創就是有品味不俗的印象，因此許多東西都掛上「文創」，像是文創的蛋糕、肥皂、餐廳，甚至是文創夜市。以致於從文創法立法施行以來，什麼是文創、文創事業、文創產業的爭議從無間斷。每一陣子就有中央與地方、立委與主管機關為文化創意產業園區是不是過度向營利與娛樂傾斜、誰可以進駐文創園區的問題爭執不下。根據我國文化創意產業發展法的定義，文化創意產業指源自創意或文化積累，透過智慧財產之形成及運用，具有創造財富與就業機會之潛力，並促進全民美學素養，使國民生活環境提升產業。該法除了例示視覺藝術、音樂及表演藝術產業、文化資產應用及展演設施等十五項產業別外，同時加上可由中央主管機關指定納入特定產業。既然文創法已經定義並列出文創產業，為何需要再賦予中央主管機關可指定的彈性？ 　　其實我國目前與文化相關的法規主要有「文化資產保存法」、「文化藝術獎助條例」及「文化創意產業發展法」，前二者的重點在於文化藝術的保存和發展，至於文創法則很明顯的不同於前二者，其主要區別在於發展「產業」。文化當然是它必要元素，但文化的保存與發展應由前二者來承擔，文創法並非不必考量文化發展，因為文化是它的基石，但它的立法初衷並非發揚、促進文化，而是透過文化的創意運用產生獲利，透過營收挹注提供再次文化創造的正向循環。觀諸我國於108年6月5日公布、揭示文化政策最高指導原則的文化基本法，該法第15條明定──「國家應促進文化經濟之振興，致力「以文化厚實經濟發展」之基礎…」，其實已忠實反映政府的文化經濟推動理念，映證文化創意產業發展法目的是運用文化創造經濟效益。不論是產業的文化化與文化的產業化，所有產業只要能運用文化創意創造或提升價值，就是它的標的。因此，文化創意產業在既有文化、又是產業，廣泛跨界且有無限可能的情況下，必須在適用對象上保有政策扶植的彈性。 　　既然文創法的立法目的在於透過文化的創意運用產生獲利，則文創法所要扶植的對象、標的，就是有以文創產品或服務獲利潛力的相關事業，它的宗旨「錦上添花」而非「雪中送炭」，標的是有獲利潛力的文創產品或服務，對象是相關生產提供的事業。那什麼是生產提供文創產品或服務的文創產業？從文創產業的字面意義，可知道它必須有文化、創意、產業三個元素，但它是文化產業、創意產業、文化與創意產業，亦或是文化創意產業？這三個元素是交集、還是聯集？這個問題，有人從本質或其他國家的定義來討論，但文創產業的定義，涉及的並非只是是否符合社會認知、邏輯性、合理性，而是政府的產業扶助資源的分配對象，它決定了誰「有機會」獲得政府的獎補助、甚至租稅優惠（當然資源有限，即使已認定是文創事業，也不是不一定就會有，申請資格要件本即可再做限制）。 　　那麼什麼是文化創意產業，答案就呼之欲出了。不管是產業文化化或文化產業化，不論是蛋糕、肥皂、餐廳，甚至是夜市，只要其產品或服務係能運用文化元素來創造或提昇附加價值，它就是屬於文化創意產業。或者我們應該更精確的說，並沒有所謂的文化創意產業，政府要推動、發展的是文創經濟而非特定產業。所以對文創產業的定義與範圍界定應該是原則性、建立認定要件、盡可能開放彈性的，而非採取逐一條列的形式且可配合政策需求涵括其支援或相關連的產業。所以，是否不應什麼東西都可以掛上「文創」、文化創意產業園區不應向營利與娛樂傾斜、不應有「其他」經指定文創產業、創意生活不應是文創產業？在下定論之前，我們應該要思考的並非是否符合文創產業定義這種形式上的爭論，而是我們為什麼要發展文創產業？發展什麼文創產業？