德國公佈聯邦政府人工智慧戰略要點

英國發布第二次「衛星直連手機服務」意見徵詢 資訊工業策進會科技法律研究所 2025年06月10日 近幾年，隨著低軌衛星通訊網路的逐漸成形，衛星直連手機（satellite Direct to Device, D2D）服務之實驗與商用案例陸續出現，亦帶動各國在法制層面之推進。美國聯邦通訊委員會（Federal Communications Commission, FCC）於2024年3月通過以衛星擴充地面通訊覆蓋範圍之授權規範，建立全球首個利用行動通訊頻譜提供D2D服務之監管框架[1]；加拿大、澳洲亦有相關政策文件之發布。而英國則透過兩次之衛星直連手機服務意見徵詢，徵集公眾對D2D服務提供之需求、影響、技術條件與法規調適方案之建議。 壹、背景摘要 英國頻率主管機關通訊傳播管理局（The Office of Communications, Ofcom）於2024年7月23日發布「改善來自天空及太空之行動連接」（Improving mobile connectivity from the sky and space）文件，為第一次「衛星直連手機服務」意見徵詢。該次討論主要針對D2D可能之服務模式、D2D服務如何讓英國人民與企業受益，以及各模式將面臨之法規調適議題進行說明[2]。 根據該次意見徵集之結果，Ofcom指出D2D服務可帶來多項潛在效益，包含（1）擴充語音、簡訊與資料之傳輸服務範圍至地面網路無法觸及之區域，實現全英國戶外無所不在之連結性；（2）為受天然災害或極端氣候事件影響，發生電力中斷或網路失效導致無發運作之基地台提供備援，提升行動網路之韌性；以及（3）以上述效益為基礎，強化民眾對緊急求救電話之近用性。 因此，Ofcom於2025年3月25日發布名為「在行動頻譜頻段實現衛星直連手機服務」（Enabling satellite direct to device services in Mobile spectrum bands）之第二次公眾意見諮詢文件，進一步針對授權D2D服務於3GHz以下、大多數已許可由行動網路經營商（Mobile Network Operator, MNO）使用之頻段內應用，而需釐清之具體適用頻段、技術限制、授權路徑等事項提起討論[3]。 貳、重點說明 意見諮詢文件首先針對適用範圍進行釐清，指出所謂之D2D服務僅限於利用既有分配予行動手機／行動網路頻段之類型，而不包含使用行動衛星服務（Mobile Satellite Service, MSS）頻段者。同時，其進一步限縮頻譜管理議題之指涉對象，說明雖D2D系統由兩種雙向無線電鏈路組成，但本次文件僅就服務鏈路[4]（Service Links）部分進行討論。 其次，考量到D2D服務應僅由與取得全國範圍相關頻率使用許可的MNO合作之衛星經營商提供，以在全英國境內提供D2D服務。文件提出3GHz以下、屬於分頻雙工（Frequency Division Duplex, FDD）與補充下行鏈路（Supplementary Downlink, SDL）之頻段作為未來可能提供D2D服務之選擇頻段，此些頻段皆以全國範圍為基礎進行許可，包含700MHz、800MHz、900MHz、1400MHz、1800MHz、2.1GHz與2.6GHz。Ofcom並指出為避免地面與衛星網路間的互相干擾，衛星經營商與MNO應密切合作、協調使用頻率，且或有需要在使用相同頻率時進行地理區隔。 再者，Ofcom從技術層面說明如何避免對同頻段或相鄰頻段之其它行動網路造成干擾。文件提出兩項具體要求，分別為限制衛星在行動下行頻譜之發射功率（依適用頻段有所不同），以及要求衛星傳輸之最低仰角不得低於20度。 最後，針對目前手機與衛星間之訊號傳輸、接收非屬過往許可豁免範圍所能涵蓋之情況，Ofcom提出三種可能之解決方案如下：（1）新增相關許可豁免規定；（2）對MNO既有的基地台許可進行變更，搭配許可豁免；以及（3）建立一套新的許可制度。由於依據第二種解決方案，Ofcom能於變更許可之時，要求MNO提供擬用於D2D服務之詳細頻率資訊、證明其能符合Ofcom要求之技術條件，以及展示其已與衛星經營商簽訂包含頻率協調、遵循技術條件之協議。且若干擾發生，Ofcom將可直接對MNO採取相關監管措施，從而有效解決干擾問題，因此該方案為Ofcom較偏好之選項。 參、簡析 考量我國既有通訊基礎建設密度高，且多數地區已有良好之4G／5G覆蓋之現況，相較於幅員遼闊且部分區域地面通訊網路布建困難的國家，衛星通訊於我國在地面覆蓋擴充之角色相對有限。惟就地理條件而言，我國位處地震帶，且每年夏秋期間常受颱風侵襲，因此在緊急通訊面向上，衛星通訊之災害應變、增加通訊韌性等功能即具有相當之重要性。在2024年4月花蓮大地震發生後，數位發展部首次提供低軌衛星設備於災區建立通訊網路，透過接收OneWeb低軌衛星訊號並將其轉換為Wi-Fi網路，使救災人員能即時將現場影像和語音回傳應變中心，對救災進度起到良好的推進作用，可見其在我國之應用潛力。 然而，若欲推動衛星通訊服務於一般公眾間之普及，勢必需利用既有已分配予MNO之頻譜資源，使市面上販售之手機得與衛星建立通訊鏈路，進而提供簡訊、語音傳輸等D2D服務。惟此一應用之實現，將涉及頻譜核配、干擾處理、電臺設置與使用管理等規範調適議題。有鑑於我國既有之700MHz、900MHz 和 1800MHz等4G頻段使用執照將於119年到期，屆時或將需透過無線電供應計畫之修正，研議釋出相關頻段供行動通訊與D2D服務共享使用，並同步檢討干擾處理、釋照管理機制等制度。英國本次公布之「在行動頻譜頻段實現衛星直連手機服務」諮詢文件，已由政策層面之討論深入至具體監管規範方案之提出，涵蓋適用頻譜、限制條件，以及授權機制等面向，其相關建議與後續公眾意見之回饋，將可作為我國未來頻譜監理機制調適之重要參考。 [1]Federal Register, Single Network Future: Supplemental Coverage From Space; Space Innovation, https://www.federalregister.gov/documents/2024/04/30/2024-06669/single-network-future-supplemental-coverage-from-space-space-innovation#page-34167 (last visited Jun. 5, 2025). [2]Ofcom, Improving mobile connectivity from the sky and space, https://www.ofcom.org.uk/siteassets/resources/documents/consultations/category-2-6-weeks/call-for-input-improving-mobile-connectivity-from-the-sky-and-space/main-documents/call-for-input-improving-mobile-connectivity-from-the-sky-and-space.pdf?v=370909 (last visited Jun. 5, 2025). [3]Ofcom, Consultation: Enabling satellite direct to device services in Mobile spectrum bands, https://www.ofcom.org.uk/spectrum/space-and-satellites/consultation-enabling-satellite-direct-to-device-services-in-mobile-spectrum-bands (last visited Jun. 5, 2025). [4]衛星與使用者裝置之間的通訊鏈路。

淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 　　根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版，近年來隨著科技的進步，遠距工作在全球越來越普及，過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊，使辦公的地點、時間更具有彈性，遠距工作模式成為後疫情時代的新生活常態。 　　因應資訊化時代，企業在推動遠距工作時，除業務效率考量外，更需注意資安風險的因應對策是否完備，例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 　　本文將聚焦在遠距工作型態中，因應網路資安管控、員工管理不足，所產生的營業秘密資訊外洩風險為核心議題，研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1]，以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容，藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 　　遠距工作是指藉由資訊技術(ICT Information and Communication Technology)，達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例，依據業務執行的地點，可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種： 1.居家辦公：在居住地執行業務的工作方式。此方式因節省通勤時間，是一種有效兼顧工作與家庭生活的工作模式，適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室（Satellite Office）辦公：在居住地附近，或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時，可選擇優於居住地之環境執行業務，亦可在移動過程中完成工作，提高工作效率。 3.行動辦公：運用筆記型電腦辦公，自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 　　遠距工作時，企業內外部資訊的交換或存取都是透過網際網路執行，對於資安管理不足的企業來說，營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊，或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺（Business Email Compromise，簡稱BEC）之案例，以真實CEO之名義傳送假收購訊息，藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 　　由於員工在遠距工作時，常使用私人電腦或智慧型手機等終端機進行業務資料流通，若員工所持有的終端機資安風險有管控不佳的情況，即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼，再以此做為跳板，進入企業伺服器非法存取企業之營業秘密資訊，造成超過180家客戶受到影響[4]。 　　關於遠距工作網路資安的風險對策，在技術層面上，企業可使用防毒軟體或電子郵件系統的過濾功能，設定遠距工作之員工無法開啟含有惡意程式的檔案，或是透過雲端服務供應商代為控管存取資料之驗證機制，使遠距工作的過程中不用進入企業内網，可直接透過雲端讀取資訊。另外，建議企業將資訊依照重要程度作機密分級，並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5]，屬營業秘密、顧客個資等機密資訊者，應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上，企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況；甚至要求員工在連結企業内網或雲端資料庫時，須使用資安管理者指定的方法連結，未經許可不得變更設定。 　　除上述網路資安的風險外，員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此，企業雇主與員工在簽訂保密協議時，雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例，營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施，而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事，則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中，原告Peoplestrategy公司除了要求員工須簽屬保密協議外，同時有採取保護措施，禁止員工將公司資訊存入筆記型電腦，並且要求員工離職時返還公司所屬之機密資訊，並讀取資訊的過程中，系統會跳出顯示提醒員工有保密義務之通知，故法院認定原告有採取合理的保護措施，保護機密資訊的秘密性[9]。與之相反，Maxpower Corp. v. Abraham案例中，原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼)，且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序，故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 　　藉由前述兩件判決案例，企業在與員工簽屬保密協議時，應向員工揭露企業的營業秘密保密政策，並說明希望員工如何適當處理企業所屬的資訊，透過定期的教育訓練宣導機制，以及員工離職時再次提醒應盡之保密義務。理想上，企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整，例如員工因為遠距工作使工作時間、地點的自由度增加，是否會發生員工接觸或進一步與競爭對手合作的情形。對此，企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 　　以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展，企業在推動遠距工作普及化的過程中，同時也面臨到營業秘密管控的問題，以下以四個面向給予企業建議的管控對策供參。 （一）教育宣導：企業可定期安排遠距工作資安教育訓練，教導員工如何識別釣魚網站、BEC等網路攻擊類型，並以企業電子報、公告提醒資安新聞。另外，規劃宣導企業營業秘密保密政策，使員工清楚應盡的保密義務，以及如何適當處理企業的資訊。 （二）營業秘密資訊管理：企業應依照資訊重要程度作機密分級，例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級，對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施，以及對應其相關資料應審慎管理對應之權限、存取審核。 （三）員工管理：企業在最理想的狀況下，應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施)，並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時，使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時，在未經許可之情況下持有企業的營業秘密資訊。 （四）環境設備管理：遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊，避免直接進入到企業內部網站為原則。同時，需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈遠距工作資安指引〉第5版，總務省，https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日：2022/04/27）。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1，頁99。 [4]同前揭註1，頁103。 [5]同前揭註1，頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).

美國及其他參與國際反勒索軟體倡議（International Counter Ransomware Initiative, CRI）之50個成員（含國家及國際組織），於2023年10月31日至11月1日召開第三次大會，並且發布聲明表示：應積極建立對抗勒索軟體之集體韌性（collective resilience）、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。 CRI於2023年之關鍵成果主要可分以下三個面向： 一、加強資安管理能力 對CRI新成員提供指導及戰術培訓，例如由以色列督導約旦，以確保新成員之資通安全。此外，亦發起利用人工智慧打擊勒索軟體之計畫。 二、促進資訊共享 設立可即時更新之資訊共享平台，使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫（Malware Information Sharing Project, MISP）、以色列及阿拉伯聯合大公國之水晶球平台（Crystal Ball platforms）。 三、反制勒索軟體使用人 CRI發布前所未有之共同政策聲明，闡明成員不應支付贖金，且創設成員間共享之加密貨幣錢包黑名單（blacklist of wallets），以便揭露勒索軟體使用人之非法帳戶，並公開與犯罪組織之金流紀錄。另，CRI於2024年起將持續致力發展前述聲明提及之目標，並優先向潛在成員進行宣導，透過提供量身訂做之資安應變能力培訓，滿足潛在成員之需求。

　　2009年05月06日歐盟議會對於大幅度改革之電信法審議並未通過，議會各會員對於創設一強而有力的電信管制體有共識，惟包裹立法中有一條款對「公民之接近網路權」干涉甚鉅，而引發疑慮。 　　歐盟電信法改革法案乃採取「包裹式立法」，該改革法案主要著重在科技的進步與高速網路接取的迅速成長。歐盟議會支持其他的改革，包括創設一歐盟電信管制體，賦予其權力以監督電信單一市場；分配電信頻譜予新興行動科技以及促進公民線上資訊保護的隱私權。 　　然而，針對人民接近使用網路權的限制範圍，卻無法達成協議，導致整個電信包裹立法仍在捷克的議會主席與議會代表之間繼續尋求妥協之道。 　　如果人民被發現正下載非法的著作物時，法國與英國代表則主張欲擁有較大的權限，以限制人民的接近網路使用權（此乃因其內國法已有針對下載盜版著作的處罰性規定）。其他會員國則採取較為寬容的態度，認為此涉及人民隱私範圍之保護、行為自由、表意自由與資訊接近權，應更審慎為之。 　　縱使該包裹立法並未被全部支持，一些觀察家認為大部分的改革條款應會通過。然而議會代表與電信委員會對此則未表達肯定之意。有意者認為：若此改革法案繼續維持包裹立法架構，恐將導致整個法案因此延宕，若能針對共識部份先行通過，似乎較能達成有效率的管制措施。