美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案
美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準(Core Cybersecurity Feature Baseline for Securable IoT Devices)」指南草案,提出供製造商參考之物聯網設備網路安全基本要素,該指南草案中提出幾項重要核心要素如下:
- 設備辨識:物聯網設備必須有可供辨識之相關途徑,例如產品序號或是當連接網路時有具獨特性之網路位址。
- 設備配置:獲得授權之使用者應可改變設備的軟體以及韌體(firmware)之配置,例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。
- 資料保護:物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用,應清楚可被知悉,例如有些設備利用加密來隱蔽其儲存之資料。
- 合理近用之介面:設備應限制近用途徑,例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊,例如透過使用者名稱與密碼等。
- 軟體與韌體更新:設備之軟體應可透過安全且可被調整之機制進行更新,例如有些物聯網設備可自動的自其製造商取得更新資訊,並且幾乎不需要使用者特別之動作。
- 網路安全事件紀錄:物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得,這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。
本文為「經濟部產業技術司科技專案成果」
柯亦儒
組長 編譯整理
纏訟四年後,臺灣積體電路製造股份有限公司及其北美子公司(臺積電),在與美國Ziptronix公司之專利訴訟中獲得勝訴判決。 同為半導體公司的Ziptronix於2010年起訴主張臺積電所製造,主要用於智慧型手機相機的背照式CMOS影像感測器晶片,侵害該公司9項專利及超過500項申請專利範圍。 依據美國專利法第271條(a)項,除該法另有規定外,於專利權存續期間,未經許可於美國境內製造、使用、要約銷售,或銷售已獲准專利之發明產品,或將該專利產品由外國輸入至美國境內,方屬侵害專利權。因此本案中,臺積電即以美國專利法不適用於美國境外之製造、銷售為由,向法院聲請駁回原告Ziptronix公司之訴。承審法官同意臺積電簡易判決(summary judgment)的聲請,並於10月底作出判決。 臺積電於訴訟中成功主張涉訟晶片的製造及銷售交貨行為皆在臺灣完成。承審法官更指出,縱使如原告Ziptronix公司所言,臺積電相關契約皆於美國境內協商及簽訂,但因為該等契約本來就計畫於海外履行,因此臺積電的涉訟晶片仍非於美國境內銷售。
Palm支付2.25億美元與Xerox達成專利侵權和解由於 Palm 採用 3C om 的手寫辨識技術,於 1997 年遭 Xerox 控訴侵犯其在 1997 年所取得的 Unistrokes 專利權, Xerox 要求 Palm 支付 Graffti 的使用權利金,否則便應停止在其 PDA 中使用此項技術。此案於今年 (2006) 6 月 28 日 經 紐約西區美國地方法院法官 Michael Telesca 判決 Palm 的 Graffiti( 手寫辨識軟體 ) 的確已侵害到 Xerox 權利。 Palm 同意支付 2.25 億美元以取得 Xerox 手寫辨識軟體的合法授權使用權,結束 1997 年以來長達 9 年的法律訴訟。事實上, Xerox 在 1997 年是控告後來被 3Com 收購的 U. S. Robotics 公司, 但 這家公司之後被 3Com 買下,後來 3Com 再將其獨立 成立 Palm Inc ,當時 Palm 將 Graffiti 技術嵌入旗下的 Pilot PDA 中,也把使用了 Graffiti 技術的軟體賣給其他 PDA 製造商。 這次 Palm 所支付的費用涵蓋了 Palm Inc 、 PalmSource 及 3C om ,這三家業者均取得 Unistrokes 及 Xerox 其他兩項技術的專利的授權。雙方的協議包括 7 年的「專利和平」( patent peace )期,在這期間內允許合理使用談定的專利,而且不再互控對方。
以再生能源公司終止併購而衍生之營業秘密糾紛案為鑒,提供企業管理建議2025年7月30日,美國加州法院指出公司濫用合作談判地位以爭奪再生能源市場之行為,從商業角度極為惡劣,將面臨重大法律風險,並認定Phillips 66能源公司須向Propel Fuels(下稱Propel)競爭公司給付共約8億美元的賠償金。 本案源於2017年,Phillips 66公司以收購為由,雙方簽署收購意向書,對Propel公司進行盡職調查。於此期間,Propel公司依保密契約向Phillips 66公司揭露其再生柴油專屬策略與資訊,Phillips 66公司並從 Propel 下載近 3千份包含營業秘密的紀錄。於2018年8月24日,Phillips 66公司突然終止收購並於下一工作日向加州監管機構宣布其將加入加州再生能源市場,2019年正式銷售高混合可再生柴油。 2022年2月16日,Propel公司向加州法院控訴Philips 66公司不當使用Propel公司花費13年研發得出之財務與銷售資料、營運模式及其再生能源業務的預測資料等營業秘密,致Propel公司損失2億美元。於2024年10月16日,本案認定Phillips 66公司違反加州統一營業秘密法(Uniform Trade Secrets Act),不當使用Propel公司的營業秘密, Phillips 66公司應賠償6.049 億美元。其後,本案認定Phillips 66公司行為屬惡意不當使用營業秘密,依加州統一營業秘密法,法院可另將懲罰性賠償金增加至2倍。2025年7月底,本案認定之賠償金達到8億美元,包含自2024年之6.049億美元的補償性賠償金,以及因Phillips 66公司「惡意」不當使用營業秘密的行為,追加1.95億美元的懲罰性賠償金。 綜觀前述實務案例可得知,即便公司間已簽訂保密契約,仍存在公司假借併購盡職調查、合作協商為由,要求他公司提供機密資料。為降低與外部合作而衍生之機密外洩風險,以下為公司提供資料對外之前、中、後階段可參考之管理建議: 1. 對外提供資料前 (1) 內規定義營業秘密搭配機密分級,了解營業秘密之範圍,並依據不同機密等級採取相應的管制措施。 (2) 對外提供資料前,營業秘密相關之權責人員應審查資料適合揭露與否。 (3) 與外部合作協商前,即應確認簽訂保密契約與約定權利歸屬。 2. 已對外提供資料 倘若已對外提供資料,建議採取限制流通、限制權限等作法,如僅限該合作計畫相關人員透過身分認證登入帳號,方有線上瀏覽機密之權限等方式。 3. 對外提供資料後 於合作結束或協商破局之情況,應要求合作方返還或銷毀營業秘密,如為銷毀,應附上相關聲明並佐證執行紀錄。 前述建議之管理作法已為資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」所涵蓋,企業如欲精進系統化的營業秘密管理作法,可以參考此規範。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
由美國「二十一世紀通訊與視訊接取無障礙法」談無障礙通訊傳播環境之建立