世界智慧財產權組織發布「2019年全球創新指數報告」（GII）

　　網路安全資訊分享法案（Cybersecurity Information Sharing Act，CISA）於2015年10月27日在「參議院」通過。接著眾議院於12月18日通過1.15兆美元的綜合預算法案，並將網路安全資訊分享法案夾帶在預算案中一併通過，最後美國總統歐巴馬亦在同日簽署通過使該法案生效，讓極具爭議的網路安全資訊分享法案偷渡成功。 　　網路安全資訊分享法案，建立了一個自願性的網路資訊安全分享之框架，其主要內容，在讓美國民間企業遭受網路攻擊或有相關跡象時，得以分享客戶個人資訊予其他公司或美國國土安全局等相關部門，同時並讓民間企業免除向公務機關洩漏客戶個資隱私等相關之法律責任。該法案目的係期盼藉由提高網路攻擊訊息共享度來改善網路安全問題。 　　該法案通過引發各界譁然。修正後的網路安全資訊分享法案去掉多數保護隱私權之條款，諸如分享客戶資訊時不用再遮掉無關的個人資訊、不再禁止政府利用這些個人資訊進行監控。 　　美國媒體批評該法案的通過是政府最可恥荒謬的行為之一。就隱私權層面，批評者認為，該網路安全資訊分享法案仍與監控密切結合，未能解決客戶個人資料被大量外洩的風險。就程序面而言，一個正式的網路安全資訊分享法案似乎不應被包裹在大額綜合預算法案中通過。該法案通過後之執行情形值得繼續觀察。

淺談台灣行動寬頻覆蓋率議題 科技法律研究所 法律研究員　黃志雯 2013年11月26日 壹、事件摘要 　　我國4G頻譜拍賣在歷經40天、393回合的「同時多回合上升」競標後，終在2013年10月底結束。這次的競標價金不僅高達1186.5億元外，也加入了國碁電子（鴻海集團）與台灣之星（頂新集團）兩家新進電信業者，使整體產業競爭性提高。預計民眾最快在2014年中時，即可享受靜態1Gbps、行動間100Mbps的高速網路，在無線寬頻的高速下，許多新興服務可孕育而生。 　　根據我國政府的規劃，4G營運時間越早，無論對產業、或是民眾皆是利大於弊。但是，從我國3G發展經驗可知，行動寬頻基地台建置的普及程度，攸關整體產業發展的關鍵。因此，行政院於今（2013）年11月成立「加速無線寬頻基礎設施小組」，依據電信法第32條第2項的規定，並透過跨部會協調，逐步落實公有建築物開放建設基地台之政策，增加4G業者涵蓋率，督促其儘速開台服務。同時，立法院為讓公有建物建設基地台能順利推行，於同年11月三讀通過修正電信法第32條。依據新修正之條文，未來除了因應輿論認為電磁波可能影響青少年發展，故允許高中職以下學校「得不同意」第一類電信事業設置室外基地台外，其餘公有建築物之主管機關，無正當理由不得拒絕業者申請。 　　透過落實公有建築物開放的政策，不僅可加速未來4G的發展外、亦可提升既有3G的覆蓋率。除此之外，當4G涵蓋全台後，其高速、穩定的特性將可被視為具有如固網般最後一哩（Last Mile）之效益，進而協助政府克服偏遠地區鋪設寬頻的困境，使全國居民皆可享有網際網路的便利。 貳、重點說明 　　政府透過落實公有建築開放架設基地台之政策，協助4G業者加速開台義務（5年內達人口涵蓋率50%），更希望能降低協商、架設基地台的成本，減少我國行動寬頻在都會區基地台數量不足、非都會區距離過遠之問題。其實，如何增加行動寬頻涵蓋率，是當前每一個國家致力發展的目標。新加坡與英國政府為了實現無所不在網路的目標，在管制的手段上分別是： 　　(一)新加坡：為了協助電信服務業者可利用建物空間架設通訊設備，達到「行動寬頻訊號戶外覆蓋率99%、室內覆蓋率85%」的目標，新加坡修訂「建築物資通訊設施實施條例」。本條例要求開發商或屋主在建設大型建案時，必須依據建案大小設置「行動通訊設備布放空間」，以提供電信業者使用，增加行動寬頻覆蓋率。本條例落實後，預期可協助4G業者在既定時間內（2.5GHz須最早實現）完成全國、所有捷運/公路隧道內必須可接收4G訊號的要求。 　　(二)英國：英國為了改善既有行動寬頻涵蓋率，在今（2013）年11月提出5點改善措施。其中，在相關規範上，Ofcom除了直接提高3G業者涵蓋義務、在訊號難以達到區域建設基礎設施、定時提供行動寬頻速率報告，以及與交通部(Department for Transport and Network Rail)共同改善行動寬頻於鐵路、道路的覆蓋率與品質外，Ofcom認為4G寬頻亦扮演重要角色。當時，Ofcom即透過4G頻段拍賣，賦予一張2017年須提供98%人口於室內、95%人口能於英國境內取得行動寬頻服務義務之執照，希冀實現偏遠地區亦能擁有寬頻服務之理想。 參、事件評析 　　綜合上述，各國為了讓4G覆蓋全國，使所有民眾皆能享有高速、穩定的網路，無不透過兩階段方式，拍賣前賦予部分頻段提前完成涵蓋率普及的義務、拍賣後透過政策、法律協助、要求業者維護網路品質。台灣屬於地狹人稠的國家，行動寬頻業者對政府賦予的涵蓋義務，絕非是行動寬頻發展困境。但是，業者是否可提供如同牌告的速度與品質，一向倍受挑戰。我國3G產生這個問題，除了民眾在居家附近拒絕建置基地台之住抗問題外，其主因亦是在3G拍賣時並未賦予相關頻段義務、在「第三代行動通信業務管理規則」又僅要求涵蓋率達人口50%，導致業者不積極面對都會區基地台數量，少於負荷使用人數的事實；非都會區則是消極處理基地台與使用人距離過遠，造成訊號品質不佳、或是接收不到等問題。 　　因此，即使這次電信法32條修正後，排除高中職學校得以架設室外基地台，根據我國「行動寬頻業務管理規則」第66條規定，電波涵蓋範圍應達營業區人口50%，合理推測業者可一舉解決都會區架設基地台的問題。但是，在我國4G頻譜拍賣前，並未與新加坡、英國相同，賦予所謂的「黃金頻段」(700MHz)與「帝王頻段」(1800MHz)普及全國(含偏遠地區)之義務。在管理規則涵蓋率僅訂為整體人口50%，將可窺見多數業者終將先行投資都會區，造成部分非都會區仍存有網路延遲、或是難以接收的問題，使4G難以成為全國性最後一哩。 　　本文認為4G頻譜拍賣結束已成事實，現階段主管機關唯有透過「行動寬頻業務管理規則」第40條第二項第三款的規定，鼓勵業者積極建置偏遠地區高速基地台，並承諾於事業計畫書中。再者，從資通訊科技發展的角度，新加坡強置新建物必須具備、開放「行動通訊設備布放空間」，使業者得以自由建置基地台，對於4G、或是未來5G發展而言，建築物開放使用確實具有前瞻性。不過，在我國民眾目前仍對電磁波有所疑慮的情況下，現階段僅能開放公有建築建置基地台，唯待透過具權威的報告證明電磁波無害、且全民達成一定共識後，我國政府方能逐步推動既有建築開放、或是新建築必須具備「行動通訊設備布放空間」。最後，主管機關除了繼續支持推動相關行動上網速率測速計畫外，關於電信法第32條第1、2項，要求公有建築開放架設基地台，是否要朝向正面表列機關拒絕條款，亦是未來可探討的地方。

　　歐盟將2014年1月28日定為「2014個人資料保護日」（Data Protection Day 2014），倡議推動個人資料修法及規範革新，主要係位因應數位化時代，個人資料權利保護越形重要，並且為了強化保護線上隱私權利，歐盟執委會首於2012年1月25日所提出個人資料保護指令的修正草案─「保護個人關於個人資料處理及此等資料自由流通規章（一般資料保護規章）」（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL（General Data Protection Regulation)）；該修正草案於2013年6月進入歐洲議會、理事會及執委會的三方協商，同年10月21日歐洲議會公民、司法與內政委員會（Committee on Civil Liberties, Justice and Home Affairs）審議通過，若進程順利預計將於2014年獲得通過，並於2016年生效施行。 　　歐盟「2014個人資料保護日」會議中，特別提到此次修法，係為歐盟跨時代的個人資料保護規範革新工作，具有特別重要意義，並且倡議應對於資料可攜權（Right to Data Portability），明文法制化加以落實保障，包括加強資料當事人控制及近取個人資料的權利，資料當事人更容易近取（aceess）個人資料（第14、15條）；資料當事人有資料可攜的權利（第18條），當資料處理是以電子化方法，且使用結構性、通用的格式時，資料當事人有權利可以取得該結構性、通用格式下的個人資料（第18條(1)），且更容易自不同服務提供者間移轉個人資料。 　　國際間對於「資料可攜」議題，正反意見均陳，並未達成共識。歐盟執委會提出個人資料保護指令的修正草案第18條，倡議將「資料可攜性」明文法制化，並要求資料蒐集、處理與利用者對以電子化方法持有的個人資料，需使用結構性、通用的格式，以便利並確保後續個人資料可攜性。此修正草案一提出，隨即引發國際間各重要國家的熱烈探討：有反對者認為，此舉無異將形成未來國際間貿易障礙；有贊成者從確保使用者權益觀點，認為未來智慧聯網（IoT）環境下，資料可攜性是不可避免的趨勢，賦予資料當事人法律權利，有助於個人資料的保護。各重要國家對歐盟修正草案立場及意見，值得加以探究，以觀察未來法制發展趨勢。

淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 　　根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版，近年來隨著科技的進步，遠距工作在全球越來越普及，過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊，使辦公的地點、時間更具有彈性，遠距工作模式成為後疫情時代的新生活常態。 　　因應資訊化時代，企業在推動遠距工作時，除業務效率考量外，更需注意資安風險的因應對策是否完備，例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 　　本文將聚焦在遠距工作型態中，因應網路資安管控、員工管理不足，所產生的營業秘密資訊外洩風險為核心議題，研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1]，以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容，藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 　　遠距工作是指藉由資訊技術(ICT Information and Communication Technology)，達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例，依據業務執行的地點，可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種： 1.居家辦公：在居住地執行業務的工作方式。此方式因節省通勤時間，是一種有效兼顧工作與家庭生活的工作模式，適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室（Satellite Office）辦公：在居住地附近，或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時，可選擇優於居住地之環境執行業務，亦可在移動過程中完成工作，提高工作效率。 3.行動辦公：運用筆記型電腦辦公，自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 　　遠距工作時，企業內外部資訊的交換或存取都是透過網際網路執行，對於資安管理不足的企業來說，營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊，或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺（Business Email Compromise，簡稱BEC）之案例，以真實CEO之名義傳送假收購訊息，藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 　　由於員工在遠距工作時，常使用私人電腦或智慧型手機等終端機進行業務資料流通，若員工所持有的終端機資安風險有管控不佳的情況，即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼，再以此做為跳板，進入企業伺服器非法存取企業之營業秘密資訊，造成超過180家客戶受到影響[4]。 　　關於遠距工作網路資安的風險對策，在技術層面上，企業可使用防毒軟體或電子郵件系統的過濾功能，設定遠距工作之員工無法開啟含有惡意程式的檔案，或是透過雲端服務供應商代為控管存取資料之驗證機制，使遠距工作的過程中不用進入企業内網，可直接透過雲端讀取資訊。另外，建議企業將資訊依照重要程度作機密分級，並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5]，屬營業秘密、顧客個資等機密資訊者，應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上，企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況；甚至要求員工在連結企業内網或雲端資料庫時，須使用資安管理者指定的方法連結，未經許可不得變更設定。 　　除上述網路資安的風險外，員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此，企業雇主與員工在簽訂保密協議時，雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例，營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施，而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事，則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中，原告Peoplestrategy公司除了要求員工須簽屬保密協議外，同時有採取保護措施，禁止員工將公司資訊存入筆記型電腦，並且要求員工離職時返還公司所屬之機密資訊，並讀取資訊的過程中，系統會跳出顯示提醒員工有保密義務之通知，故法院認定原告有採取合理的保護措施，保護機密資訊的秘密性[9]。與之相反，Maxpower Corp. v. Abraham案例中，原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼)，且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序，故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 　　藉由前述兩件判決案例，企業在與員工簽屬保密協議時，應向員工揭露企業的營業秘密保密政策，並說明希望員工如何適當處理企業所屬的資訊，透過定期的教育訓練宣導機制，以及員工離職時再次提醒應盡之保密義務。理想上，企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整，例如員工因為遠距工作使工作時間、地點的自由度增加，是否會發生員工接觸或進一步與競爭對手合作的情形。對此，企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 　　以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展，企業在推動遠距工作普及化的過程中，同時也面臨到營業秘密管控的問題，以下以四個面向給予企業建議的管控對策供參。 （一）教育宣導：企業可定期安排遠距工作資安教育訓練，教導員工如何識別釣魚網站、BEC等網路攻擊類型，並以企業電子報、公告提醒資安新聞。另外，規劃宣導企業營業秘密保密政策，使員工清楚應盡的保密義務，以及如何適當處理企業的資訊。 （二）營業秘密資訊管理：企業應依照資訊重要程度作機密分級，例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級，對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施，以及對應其相關資料應審慎管理對應之權限、存取審核。 （三）員工管理：企業在最理想的狀況下，應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施)，並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時，使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時，在未經許可之情況下持有企業的營業秘密資訊。 （四）環境設備管理：遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊，避免直接進入到企業內部網站為原則。同時，需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈遠距工作資安指引〉第5版，總務省，https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日：2022/04/27）。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1，頁99。 [4]同前揭註1，頁103。 [5]同前揭註1，頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).