日本經產省公布產業版資料契約指引和資安手冊
日本經濟產業省於2017年起提倡「Connected Industries」,其中一項重點任務為「平台、基礎設施安全」。為達成上述任務,經產省召開「平台資料活用促進會議」(プラントデータ活用促進会議),於2018年4月26日制定公布「資料契約指引產業保安版」(データの利用に関する契約ガイドライン産業保安版)及「物聯網安全對應手冊產業保安版」(IoTセキュリティ対応マニュアル産業保安版),以因應資料經濟時代資訊外洩及網路攻擊等風險。
日本經產省為促進業界資料流通與利用,已陸續於2015年、2017年和2018年制定「推動現有資料交易為目的之契約指引」(既存のデータに関する取引の推進を目的とした契約ガイドライン)、「資料利用權限契約指引」(データ利用権限に関するガイドラインVer.1.0)。本次「資料契約指引產業保安版」則進一步整理資料權利歸屬判斷方式,提供模範條款及說明各條款內容,並羅列作為資料提供者可能具備之優點。此外,隨著物聯網等資訊科技發展,資安風險逐漸受到重視,為提升物聯網產品安全防護,經產省亦以平台管理者為對象,制定「物聯網安全對應手冊產業保安版」,提供適當安全對策及案例。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。 依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。 在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。 在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。 依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。
肯塔基州上訴法院認為,未經當事人同意即使用臉書上之tag功能標示出該當事人,並無違法美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到:法院所據以決定監護權之證據之一,乃是未經她同意即被其他人標示出該女子姓名,並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法,其在判決中指出:目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相,並上傳至臉書或其他網站;此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 暫撇開其他法律不談,此一案件引人思考之與個人資料保護相關之處至少有二:首先,是關於法律適用的部分,亦即,如本案發生在日後個人資料保護法開始施行後的台灣,則該法第51條第1項(註1)之排除規定是否適用的問題;其二則是法律政策的部分,究竟在這個資訊數位化且易於搜尋的網路時代,為個人或家庭活動目的而毫無設限(例如本案之供不特定人瀏覽)的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要?(在肯塔基州這個案子裡,此一「無規範」的結果或許是正面的,但在其他的許多狀況,可能並非如此。) 註1:個人資料保護法第51條第1項:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」
何謂防禦型聯盟(Defensive Patent Aggregator)?其是否為NPE的重要類型?防禦型專利聯盟係為NPE之一種重要類型,主要以抵制NPE侵擾為出發點,防禦型聯盟儘可能搶先攻擊型如NPE者去進行專利的授權或購買,加入防禦型聯盟者則可付出比與NPE進行和解所支付費用較少的金錢,成員其會員以取得不被NPE侵擾的地位。 NPE中屬於防禦型聯盟(Defensive Patent Aggregator)者,RPX(Rational Patent)之運作模式常可作為主要類型化參考對象之一。RPX為上市公司,其主要核心業務在於「緩和其會員被訴之可能」。RPX取得專利之資金主要來自會員年費,而各會員可取得RPX所有專利之「授權」,而收費結構不當然等於獲取專利之成本之分攤,以使會員已低於一般訴訟和解、或取得爭議專利等更為低的代價來防止被訴。在此同時,RPX本身也不會對他人起訴。 RPX所提供的防禦性聯盟策略,先行於其他NPE取得前那些潛在「危險性」的目標專利,甚至有可能向NPE取得專利,必要時,直接於訴訟仍在進行之時去取得專利。而在防禦以外,如其他非會員向會員起訴,會員也可以以RPX所有之專利進行反訴。 目前RPX會費在6萬5千美元至6900萬美元之間,依照會員本身營運規模之不同定之,但「會費等級」(rate card)會自加入之初鎖定不再更動,實際每年繳交費用則可能依據RPX所取得的所有專利價值增加而上昇 。而除此主要運作模式外,RPX也運用其廣泛取得專利之經驗,提供個別企業服務服務,得以較低的躉售價格取得專利(Syndicated Acquisitions),反之企業自行購買專利可能需要付出較高的「零售」價格 RPX的運作模式對於加入成為其「會員」者有兩項優勢:第一,減少「專利蟑螂」可取得的專利數量;其次,因可理解為全體會員合力進行防禦型專利取得故能減低這些專利取得之成本。
2007年9月25日專利判決:Sprint v. VonageSprint,美國第三大電話公司,於2005年向Kanas聯邦法院提起Vonage侵害其七件有關通訊科技的專利。2007.9.25聯邦法院判決:有關Sprint 控告 Vonage通訊專利侵害案,本案陪審團認為,Vonage為?意侵害Sprint專利權,即本案法官若同意陪審團意見,將可判決三倍的賠償金額。而本案判決,網路電話公司—Vonage Holdings Co. 應賠償Sprint Nextel 6千9百50萬美元,及未來盈收百分之五之權利金。 Vorgae 以書面聲明將對聯邦法院此次判決提出上訴;並將變更產品設計以避免使用本案爭議技術。Vonage法務長說明“對於陪審團不認同’Vonage的技術與Sprint的技術是有差異的’甚感失望;而Vonage首要目標是提供給客戶高品質、高穩定的數位電話服務”。 Sprint發言人—Matt Sulivan 說明,Sprint擬向地方法院申請禁制令,禁止Vonage使用Sprint之專利技術。 本件判決為2007年第四大專利案件判決。 此判決為今年度第二個不利於Vonage的判決。今年三月Virginia法院認定Vonage之網路電話系統侵害Verizon三項專利。此判決判定之賠償金為5千8百萬美元及未來盈收百分之5.5之授權金。 分析師認為,VoIP已成為主流話題,Vonage以網路電話為主要業務的公司,未來將面對更多的問題及付出更多的金錢。