歐盟執委會發表數位政府有助於因應COVID-19疫情之說明

韓國以「生成式人工智慧著作權指引」提醒著作權侵權風險 資訊工業策進會科技法律研究所 2024年05月15日 創作內容的流通利用是發揮文化經濟力的核心關鍵，但大數據和機器學習技術的快速發展，人工智慧（以下簡稱AI）已成功應用於許多內容生成，大幅推進圖像、影音、文本的識別、處理、分析、甚至生成等創作成本，但從實現生成式AI而建立基礎模型開始，到AI產出物的生成，均存在可能侵權或被侵權的風險。如何衡平考慮著作權人和使用者立場，促進人工智慧技術發展和相關產業發展，同時努力營造尊重人類創作活動的著作權生態系統，已成為各國必須思考因應重要課題。 壹、事件摘要 韓國文化體育觀光部的著作權委員會於2024-01-16發布「生成式人工智慧著作權指引（생성형 AI저작권안내서）」[1]，這份指引的目的是希望對涉及生成式人工智慧（Generative AI）產出過程中的各方（AI業者、著作權人、AI使用者）提供有關著作權的注意事項。因為韓國文化與著作權主管機關認為，雖然隨著人工智慧技術的迅速發展，在各個領域的應用為經濟和社會利益產生許多助益，但也出現了一個無法預測的環境，影響到著作權產業和創作活動的各個方面；有人將生成式AI用作創作工具，同時也有人擔心生成式AI可能帶來的經濟損失和就業威脅等問題。因此，韓國著作權委員會成立了由學界、法界和技術界專家以及利害關係人組成的「AI-著作權制度改善工作小組」，於2023年2月成立，以審查生成式AI引發的著作權問題並尋找應對方法，並根據該工作小組的討論而編寫提出該指引[2]。 貳、重點說明 該指引從實現生成式AI而建立基礎模型開始，到AI產出物的生成，聚焦於可能引發法律爭議的數據學習和AI產出物生成部分，從現行著作權法的角度說明AI業者、著作權人和AI使用者需要了解的內容。同時為幫助理解，亦納入介紹目前提供的生成式AI案例以及相關的國內外立法趨勢。但該指引特別說明其發布並非為提供其國會正在討論的著作權法修訂方向，而是為了在未來通過進一步的討論、研究和意見徵求過程等，制定出合理的解決方案，並透過制定衡平考慮著作權人和使用者立場的著作權法律制度，促進人工智慧技術發展和相關產業發展，同時努力營造尊重人類創作活動的著作權生態系統[3]。 該指引架構主要分為五大主題[4]，同時提供問答集與附錄參考資料。五大主題分別為： 一、生成式AI技術與著作權（생성형 AI 기술과 저작권）[5]：從著作權角度看生成式AI技術，說明生成式AI技術的意義和應用案例。 二、對AI經營者的指導（AI 사업자에 대한 안내사항）[6]：包括生成式AI的學習階段的風險、AI產出物的生成階段的風險、建議採取防範措施以區別AI產出物與人類創作物。例如人工智慧業務經營者在提供相關服務時，確保不會產生與現有作品相同或相似的人工智慧輸出；該指引並建議參酌韓國2023 年 5 月提出的《內容產業振興法》修正提案（法案編號2122180）[7]規定，於人工智慧產出內容中應標示係採用人工智慧技術製作[8]。 三、對著作權所有人的指導（저작권자에 대한 안내사항）[9]：在AI學習階段應考慮的事項、防止AI產出物侵犯著作權的建議。該指引特別建議如果著作權人不希望其作品用於人工智慧學習，可以透過適當方式表達反對，以防止作品被用於人工智慧學習；即使著作權人後來得知自己的作品被用於人工智慧學習，亦可適當地採取技術手段來防止，以避免放任使用產生默許的問題。包括使用例如“Glaze”、“Photo Guard”等此類新的防止技術。 四、對AI使用者的指導（AI 이용자에 대한 안내사항）[10]：提醒注意生成式AI使用可能涉及的著作權侵犯情況，並說明在研究、教育、創作等領域的倫理和政策考慮。例如，提醒使用者將現有作品原樣輸入提示視窗或輸入誘導創作相同或相似作品的文字，從而創建與現有作品相同或相似的人工智慧輸出，然後將其發佈到平台上的方法，將存有侵權風險。即使是用人工智慧學習歌手聲音而重新創作或產生現有歌手的歌曲，也會涉及重製或輸入侵權資料的疑慮。同時，對學術研究或投稿，該指引特別建議在論文等中引用生成人工智慧撰寫的文章之前檢查其來源，並標註特定段落是以什麼人工智慧工具與指令所生成。 五、AI產出的著作權登記（AI 산출물과 저작권 등록）[11]：與AI產出物相關的著作權爭議、AI產出物是否可以登記著作權、有關AI產出物著作權登記的國內外案例、登記時應注意的事項等。該指引強調對於不能被視為在任何表達行為中做出人類創造性貢獻的人工智慧輸出，不可能進行著作權註冊。但在人類以創意方式進行修改、增加等“額外附加工作”（추가 작업）的情況下，該額外工作的部分才會被認定為具有著作權屬性，可以進行著作權登記。但是，著作權註冊的效果僅限於附加的部分（추가 작업한 부분）[12]。 另該指引在問答集中主要釋疑相關疑義，例如：為什麼AI的學習會涉及著作權問題？如果無法確定AI學習所使用的作品的權利人，AI業者如何獲得合法使用權？個別提示用於製作AI產出物也受著作權保護嗎？AI產出物是否無法受到著作權法保護？等等韓國文化與著作權主管機關認為常見或已出現爭議的案例，並依其現行法令或見解趨勢，提供主管機關的看法或解答。 此外，為協助其讀者更深入了解人工智慧的原理、爭議與國際發展趨勢，該指引並精要的整理出下述主題，包括：使用人工神經網絡進行學習的過程、生成式AI相關訴訟和著作權爭議、國內外AI相關應對情況、國內廣播公司和新聞機構有關AI學習資料取得的政策條款等補充明，做為該手冊的附錄資料。特別是其所整理之政策條款，顯示韓國新聞媒體已著手因應被用於AI訓練、學習與內容產生的風險。 參、事件評析 綜觀韓國文化體育觀光部的著作權委員會發布「生成式人工智慧著作權指引」可以看出，韓國認為生成式人工智慧在文創領域的議題，目前較為迫切需要處理的是創作人的著作權於AI訓練時被侵權，與創作時運用AI的侵害他人權利的風險，以及AI生成內容的識別與可保護範圍的界定，但促進人工智慧技術發展和相關產業發展，均為韓國關切議題；AI在未來如何衡平考慮著作權人和使用者立場尚待研析建立共識並透過國會立法修正著作權法律制度。 因此，該手冊除提供AI的技術背景說明外，並強調該指引並非修法政策的官方說明，同時以如何降低風險與維護權益的角度，提醒生成式人工智慧（Generative AI）產出過程中的AI經營者、著作權人、AI使用者，提供有關著作權的注意事項與例如防制技術運用、標註AI生成等預防措施。同時為再進一步幫助理解，除風險說明外並以問答方式強化重點提示，並舉相關媒體的AI訓練資料提供政策實例供參考，內容本身精要但附錄細節說明詳盡，但對於未必了解著作權法令的文創領域從業人員而言，內容簡明且建議措施直接具體，值得我國主管機關訂定相關指引之參考。 [1]「生成型人工智慧著作權指引(생성형 AI저작권안내서)」，檔案下載https://www.copyright.or.kr/information-materials/publication/research-report/view.do?brdctsno=52591#(最後瀏覽日：2024/05/25）。 [2]詳前註指引之前言，頁6~7。 [3]同前註。 [4]其中尚有第六主題說明未來的法令整備規劃，此部分較屬政策措施方向，較非指引重點，故本文此處未予列入說明重點。 [5]同前註指引，頁7。 [6]同前註指引，頁15。 [7]去年5月，國會文化體育觀光委員會委員長李相憲提出了《內容產業振興法》的部分修正案，其中包括對人工智慧製作的內容強制貼上人工智慧標籤。該修正案目前正在國民議會審議中。https://www.4th.kr/news/articleView.html?idxno=2056520，(最後瀏覽日：2024/05/25）。 [8]同前註1指引，頁21。 [9]同前註1指引，頁23。 [10] 同前註1指引，頁29。 [11]同前註1指引，頁39。 [12]同前註1指引，頁41。

美國涉密聯邦政府員工之機密資訊維護-保密協議（Non-disclosure Agreement, NDA）之使用 科技法律研究所 2013年12月06日 壹、事件摘要 　　前美國海軍海豹部隊（SEAL）隊員Matt Bisonnette以化名Mark Owen出版 No Easy Day一書，內容主要描述狙殺Osama Bin Laden的規劃與執行，並蟬聯最佳暢銷書籍。美國國防部對Matt Bisonnette提出洩露國家機密之訴訟，及違反保密協議的規定。以下簡介美國對於聯邦政府官員的機密維護規範及措施，包括保密協議之使用、違反保密協議時對於該聯邦政府員工的追訴以及對於未經授權被揭露之機密資訊的防護；更進一步，聚焦探討美國以「保密協議」規範聯邦政府員工的方式，提供我國參考。 貳、重點說明 一、總統行政命令與機密資訊維護 　　傳統上，美國對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。總統第8381號行政命令，授權政府官員保護軍事與海軍基地；爾後，歷任總統便以發布行政命令的方式，建置聯邦政府的機密分級標準，以及各項為維護國家安全的各項法令規定與措施。不過，羅斯福總統係以經特定法規授權為由而發佈總統行政命令，羅斯福以後的總統則是基於一般法律與憲法授權[1]，為維護國家安全之憲法上的責任而發佈總統行政命令；於此，國會則不停的以其他立法的方式，設法平衡總統行政權與國會立法權間權利[2]。 　　有關總統行政命令之效力，如其規範的主題相同時，新的行政命令效力將會取代前案行政命令。目前美國政府有關機密係根據歐巴馬總統於2009年所發佈總統第13526號行政命令，主題為「國家安全機密資訊（Classified National Security Information）」，其內容及效力取代前行政命令，修改美國聯邦法規第32章2001篇涉及國家安全之機密資訊（32 C.F.R. 2001 Classified National Security Information）[3]，以及勾勒機密資訊分級、解密、機密資訊的處理等議題的框架。 二、涉及國家安全機密資訊之安全維護措施 　　依據總統第12958號行政命令，機關必須採取管控措施保護機密資訊，包括使用（Access）機密資訊的一般限制、分布機密資訊的控制，與使用機密資訊的特別計畫。第12958號行政命令Sec.4.2（a）規定使用機密資訊的一般限制[4]：聯邦政府員工使用機密資訊前，必需符合下列三大前提要件，包括通過「人員安全檢查（Personnel Security Investigation）」、簽署「保密協議」，與執行職務所「必要知悉（Need-to-know）」，才得以使用機密資訊[5]。 　　第一項前提要件為「人員安全檢查」，其安全檢查目的在於確定使用機密資訊人員的可信賴度（Trustworthiness），在相關部門或機構完成安全調查確認該人員的可信賴度之後，將授予通過安全檢查的資格，進而進入第二步驟「SF312保密協議」的簽署[6]。 　　第二項前提要件為簽署「保密協議」，係由美國總統指令所要求，並於總統行政命令所重申[7]凡涉及使用機密資訊之聯邦政府員工（Employee of the Federal Government）、承包商（Contractor）、授權人或受讓人（Licensees or Grantees）等，於使用機密資訊前，必須完成「保密協議」的簽署，否則不得使用。該「保密協議」在法律上為拘束簽署員工（前述通過安全檢查之人員）與美國政府間的契約（Contract）[8]，簽署員工承諾，非經授權不得向未經授權之人揭露機密資訊[9]。 　　「保密協議」的主要目的在於「告知（Informed）」簽署員工： 1.因信任該員工而提供其使用機密資訊； 2.簽署員工保護機密資訊不得未經授權揭露的責任；與 3.未能遵循協議條款後果。 　　第三項要件係說明政府聯邦員工得使用機密資訊的範圍，以該員工執行職務所「必要知悉（Need-to-know）」為限。 三、保密協議 　　「保密協議」（Classified Information Non-disclosure Agreement，一般簡稱為NDA）為機密資訊安全維護措施之一，美國政府藉由該契約協議的內容條款，確立信任關係、責任的範圍，以及未遵循契約條款的後果，並得以此協議防止簽署人未經授權揭露機密資訊，或簽署人有違反情事，對其提起民事或行政訴訟[10]。 　　通過安全查核者（Security Clearance），將被授與特權（Privilege），此權限不是與生俱來的權利（Right）。當獲得使用機密資訊的特權時，使用人必須背負相對的責任。簽署人一旦簽署與美國政府之間具法律拘束力的「保密協議」，即表示同意遵守保護機密資訊的程序，並於違反協議條款時，受到相對的處罰[11]。 　　美國利用「保密協議」約束員工對於機密資訊的保護，要求員工於發佈資訊之前，必須將內容提交機構進行審查。著名的案子為Snepp v. United States，最高法院對於「中央情報局（Central Intelligence Agency, CIA）」的前情報員，強制執行所簽署的保密協議，因前員工未遵守與中央情報局間的協議條款，亦即於出版書籍之前，先行提交出版內容給中央情報局審查的約定，中央情報局進而對該書籍的利潤施以法定信託（Constructive Trust），即使中央情報局最終的判斷內容未含機密資訊[12]，也不影響該決定的效力。 （一）「保密協議」的法源基礎 　　在數個與國家安全機密資訊相關的總統行政命令中，現行「保密協議」所依據法源為總統第12958號行政命令 。第12958號行政命令規定，由「資訊安全監督局」（Information Security Oversight Office, ISOO）負責監督行政部門與政府機關對於「涉及國家安全之機密資訊」的創建或處理事宜[13]。 　　資訊安全監督局局長為遂行涉及國家安全機密資訊之維護，於1983年頒佈「國家安全決策第84號指令」（National Security Decision Directive No. 84, NSDD 84）[14]規範進行國家安全機密資訊之維護。雖然「保密協議」曾經被挑戰，但卻一直受到聯邦法院（包括最高法院）的支持，為具有法律拘束力和合憲性的文件[15]。 　　「國家安全決策第84號指令」規定，凡通過安全檢查之人員[16]，必須完成簽署制式保密協議，並待生效後，才得以使用機密資訊。換句話說，相關人員必須以有效的保密協議為條件，才得以使用機密資訊。 　　「保密協議」應經過「國家安全委員會（National Security Council）」批准，與「司法部（Department of Justice）」的審查，而為法院可執行，而且機關不得接受經簽署員工單方修改用語的「保密協議」[17]。 　　目前「保密協議」版本稱為312制式表格（Standard Form 312），以下簡稱「SF312保密協議」[18]。 （二）「SF312保密協議」關於（Classified Information）的定義[19] 　　「SF312保密協議」的「機密」係指標示或未經標示的機密資訊，包括非書面的口述機密資訊，以及雖未歸屬於機密資訊但符合第12958號總統行政命令Sec. 1.2或1.4 (e)的規定[20]，符合機密資訊的標準，或依據其他總統行政命令或法規是否為機密的確認期間（Pending）先行提供機密資訊保護的資訊；但並不包含在將來可能會被歸屬於機密，但目前尚未進入機密分級過程中的資訊[21]。 　　歐巴馬政府有關國家機密資訊之第13526號行政命令[22]，於機密資訊安全維護部分之內容，仍與第12958號總統行政命令相同[23]。得使用機密資訊之人員僅限向相關主管機關首長展現其使用的資格，並簽署保密協議者，且限於其職務所必要知悉的範圍內，使用機密資訊。 （三）違反「SF312保密協議」的責任[24] 　　若「SF312保密協議」的簽署員工「知悉或應合理知悉（Knows or Reasonably Should Know）」，該資訊為已標示或未經標示的機密資訊，抑或符合機密資訊的標準但仍處於確認過程的資訊，而其行為將導致或於合理情形下可能導致未經授權揭露機密資訊，則可能需負未經授權揭露機密資訊的法律責任。因此，如於揭露資訊的當時，無根據可認定該資訊為機密資訊或可能成為機密資訊時，該簽署員工不會因為揭露該資訊，而需負未經授權揭露機密資訊的責任[25]。 　　另外，直至正式解密（Officially Declassified），機密資訊不因已被揭露於公共來源（Public Source），例如大眾媒體，而解密。不過，如僅於公共來源以抽象的方式引述該筆機密資訊，並非屬於再度未經授權揭露機密資訊[26]。 　　「SF312保密協議」簽署員工於資訊傳遞前，或確認公共來源資訊的正確性時，需先行向有權機關確認該資訊已被解密；若該員工未進一步履行確認資訊機密性，而逕進行資訊傳遞或確認資訊正確性時，該行為將成屬於未經授權揭露機密資訊[27]。 （四）「SF312保密協議」的有效期間 　　「SF312保密協議」載明，保密協議對於簽署員工的拘束力，從被授權使用機密資訊之時點開始，該員工終身均負保密義務[28]。 　　該條款明白表示，國家安全敏感性相關的機密資訊，與任一特定個人安全檢查資格的有效期間，並不相關。易言之，未經授權揭露機密資訊對美國所造成的傷害，並不取決揭露人的身分而有不同[29]。 　　是以，實務上，機關多以違反「保密協議」為訴因，對退職或離職之員工，進行民事或行政訴訟。 　　「SF312保密協議」所規範的保密義務，適用於所有機密資訊，然而，若某特定資訊已經解密，則按照「SF312保密協議」的規定，該簽署員工則不具持續保密的義務。此外，該「SF312保密協議」的簽署員工，還得發動強制性審查的請求，尋求解除特定的資訊的密等，包括該簽署員工具有使用權限的機密資訊[30]。 （五）違反「SF312保密協議」美國政府可採取的行動 　　聯邦政府員工如有明知、故意或因過失而未經授權揭露機密資訊，或任何合理預期可能導致未經授權揭露機密資訊之情事，機關首長或資深官員必須即刻通知資訊安全監督局，並採取「適當和及時的校正行動」[31]。 　　基於「SF312保密協議」，對於未經授權揭露機密資訊事件，美國政府可能至美國聯邦法院提起民事與行政訴訟。 　　民事訴訟可能分為禁制令（Injunction）、民事金錢損害賠償，與所得利益的追討。 1.禁制令 　　請求聯邦法院申請發佈禁制令，以禁止公布與以其他方式揭露該機密資訊。例如 United States v. Marchetti案，聯邦法院發佈禁制令，防止前中央情報局情報員以出版書籍的方式揭露機密資訊[32]；或是國務院以撤銷護照的方式，管制人員出境（儘管該人員出國的目的為暴露秘密情報員的身分，擾亂情報工作，而非協助他國政府）[33]。 2.金錢損害賠償 　　向該員工請求美國政府因未經授權揭露機密資訊所造成損失之金錢的損害賠償。 3.所得利益之追討 　　償還美國政府因未經授權揭露機密資訊所得之相對代價，或其他金錢或財產上的所得[34]。 　　如「SF312保密協議」簽署員工違反協議，則美國政府可對其進行行政裁處與處罰，包括譴責（Reprimand）、暫時吊銷（Suspension）聯邦政府員工資格、降級（Demotion），或甚至撤職（Removal），並可能被取消通過安全檢查的資格[35]。 　　雖然，聯邦政府員工於違反「SF312保密協議」時，美國政府得以違反契約（SF312保密協議）為訴因，向簽署員工提起民事或行政訴訟；不過，如果該員工的行為亦已違反其他刑事規定，政府也可能同時對該洩密員工提起刑事訴訟[36]。但是，法制上並不存在總括性（Blanket Prohibition）規定，處罰所有未經授權揭露涉及國家機密資訊的處罰[37]。 　　例如，機關得依據18 U.S.C. §798揭露機密資訊（Disclosure of Classified Information）提起刑事訴訟，美國政府必須設法證明符合該條文的構成要件的故意，與該當法條所規定揭露機密資訊要件之狀況。該刑事的舉證責任，比起違反保密協議的舉證責任重了許多；不過，相對的，如政府可舉證證明，其處罰也會比違反保密協議重了許多，不是只有因洩密行為而獲得的利益被沒收，法院還得處以監禁（Incarceration）與罰金（Fines）[38]。 參、事件評析 　　美國規範認定，使用機密資訊的權限為被授與的特權，而不是與生俱來的權利。美國聯邦政府利用與員工之間的雇用關係，透過保密協議（契約關係）的方式，規範該政府員工對於機密資訊的維護，載明雙方的關係、政府員工的保密責任，以及違反保密協議的後果，並強調該保密協議的效力，一直持續至該員工的終身，這意味著，政府員工於不具安全檢查的資格之後，或甚至是退離職之後，仍受保密協議的拘束。 　　除了對於員工本身的權利義務與罰則加以規範之外，美國政府亦特別著重於資訊的快速擴散性與保持機密性的需求，對於未經授權而揭露的機密資訊，利用違反保密協議（違約）（Breach of Contract）為手段，儘量減少機密資訊擴散的程度。例如，美國政府對政府員工提起告訴時，以舉證責任來看，證明違反保密協議民事的舉證責任，比需要證明行為人違反刑法規定的刑事舉證責任為輕。再者，透過禁制令的方式，凍結並維持資訊的「現有狀態（Status Quo）」，並且還得於提起民事訴訟的同時，提起刑事。 [1]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 1,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [2]同上註。例如1966年「資訊自由法 (Freedom of Information Act, FOIA) 」， 1995年「情報授權法 (Intelligence Authorization Act)」、2000年「公共利益解密法 (Public Interest Declassification Act)」，與2012年「減少過度加密法 (Reducing Over-Classification Act)」。 [3]美國聯邦法規第32章2001篇, 32 C.F.R.2001,http://www.law.cornell.edu/cfr/text/32/2001 (last accessed May 11, 2013). [4]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). (a) A person may have access to classified information provided that: (1) a favorable determination of eligibility for access has been made by an agency head or the agency head's designee; (2) the person has signed an approved nondisclosure agreement; and (3) the person has a need-to-know the information. [5]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.1, http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [6]同上註。 [7]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). [8]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(a) (n.d.), P.55,http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). “SF 312, SF 189, and SF 189-A are nondisclosure agreements between the United States and an individual. The prior execution of at least one of these agreements, as appropriate, by an individual is necessary before the United States Government may grant that individual access to classified information…”. [9]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [10]同上註。 [11]Western Region Security Office, Protecting Classified Information, http://www.wrc.noaa.gov/wrso/security_guide/intro-4.htm (last accessed May 11, 2013). [12]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [13]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Snepp v. United States, 444 U.S. 507 (1980), noting the remedy in Snepp was enforced despite the agency’s stipulation that the book did not contain any classified information. [14]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). ISOO, National Security Decision Directive No. 84(n.d.), https://www.fas.org/irp/offdocs/nsdd/nsdd-84.pdf (last accessed May 11, 2013). [15]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.65, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 保密協議曾有SF189與SF189-A版本，與現行SF312版，不論那一版本的保密協議，均經過司法部專家依據當時或現有法律進行審閱，並確認保密協議的的合憲性和可執行性。最近有關SF189的訴訟，仍維持保密協議基本的合憲性和合法性。 [16]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.66-67, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 除憲法上被「視為」符合「可信任性（Trustworthiness）」的下列人員外，其他的人員必須符合三項前提要件（包括簽署保密協議），才得以使用機密資訊。「視為」具「可信任性」的人員包括：總統、副總統、國會議員、最高法院法官，與其他由總統提名並經參議院同意的聯邦法院法官，不需以簽署與持已生效的保密契約為條件，即可使用機密資訊。然而，國會議員仍然是以執行職務（立法功能）所「必要（Need-to-know）」的範圍內為限，例如，該國會議員為負責監督秘密情報部門計畫的委員會，該國會議員與該機關首長，仍必須簽署保密協議或其他類似文件後，才得以使非行政機關人員使用機密資訊。 [17]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.71, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [18]NARA/ISOO, Standard Form 312, http://www.archives.gov/isoo/security-forms/sf312.pdf (last accessed May 11, 2013). [19]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(1)&(2) (n.d.), P.56-57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [20]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). Sec. 1.2. Classification Standards. (a) Information may be originally classified under the terms of this order only if all of the following conditions are met: (1) an original classification authority is classifying the information; (2) the information is owned by, produced by or for, or is under the control of the United States Government; (3) the information falls within one or more of the categories of information listed in section 1.5 of this order; and (4) the original classification authority determines that the unauthorized disclosure of the information reasonably could be expected to result in damage to the national security and the original classification authority is able to identify or describe the damage. Sec. 1.4. Classification Authority. (e) Exceptional cases. When an employee, contractor, licensee, certificate holder, or grantee of an agency that does not have original classification authority originates information believed by that person to require classification, the information shall be protected in a manner consistent with this order and its implementing directives. The information shall be transmitted promptly as provided under this order or its implementing directives to the agency that has appropriate subject matter interest and classification authority with respect to this information. That agency shall decide within 30 days whether to classify this information. If it is not clear which agency has classification responsibility for this information, it shall be sent to the Director of the Information Security Oversight Office. The Director shall determine the agency having primary subject matter interest and forward the information, with appropriate recommendations, to that agency for a classification determination. [21]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.70, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [22]White House, Executive Order 13526 Classified National Security Information (2009), http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed May 11, 2013). [23]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [24]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(3) (n.d.), P.57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [25]同上註。 [26]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.73, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [27]同上註。 [28]同上註。The terms of the SF 312 specifically state that all obligations imposed on the signer “apply during the time [the signer is] granted access to classified information, and at all times thereafter.” [29]同上註。 [30]同上註。 [31]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [32]同上註，at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See United States v. Marchetti, 466 F.2d 1309 (4th Cir. 1972). [33]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Haig v. Agee, 453 U.S. 280 (1981). [34]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [35]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013) & Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10-11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). 失去通過安全檢查的資格可能導致失去政府員工的工作機會；另外，除可能被追討金錢的損害賠償外，該名員工如果亦違反「間諜法（Espionage Act）」與「原子能法（Atomic Energy Act）」的相關條款，還有可能喪失退休金（Retirement Pay）或年金（Annuities）。 [36]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.74, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [37]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [38]Caitlin Tweed, SEAL Team Six Member’s Next Battle Could be in Court (2012), NATIONAL SECURITY LAW BRIEF, http://nationalsecuritylawbrief.com/2012/09/12/seal-team-six-members-next-battle-could-be-in-court/ (last accessed May 11, 2013).

　　為反制專利蟑螂利用訴訟方式滋擾實際從事研發以及實施專利者，美國國會於2012年8月提出SHIELD法案（Saving High-Tech Innovators from Egregious Legal Disputes Act of 2012 ），顧名思義本法案之目的在於防免高科技創新者陷於惡意挑起的法律爭端之中。該法案補充美國聯邦專利法規定，使得法院得在發現當事人一造並無合理勝訴之可能而仍舊對電腦硬體或軟體專利之有效性提起訴訟，或主張被侵權時，法院得判決其回復全部訴訟之費用支出予除美國以外勝訴之一造（the prevailing party），包括合理之律師費。 　　SHIELD法案原立意良善，但其也可能就像兩面刃，例如法案的規範內容用語抽象，以致於在企圖達到其立法目的外，未同時設想可能造成的法律陷阱或未預期之法律效果。就法案內容來看，其賦予法院得判決要求回復訴訟費用及律師費之人（所謂勝訴之一造）並不限於原告。又本法案得適用在任何電腦或軟體專利的訴訟，因此，當兩家大型公司相互就專利實施進行對決時，SHIELD法案無異使得原本已經成本很高的競爭更提高雙方的賭注。此外，法案中對「電腦」的定義，不限於一般認知的「軟體或電腦硬體公司」，使得從金融業到汽車製造都可能涵蓋在內，例如銀行就有許多系統可能同時連接具專利之電腦或其他軟體組件。更重要的是，何時勝訴方可獲得律師費之補償判決，法案亦沒有給法院明確之範圍。 　　雖然本法案最後通過與否或通過施行後的樣貌仍未可知，但可得知的是對於部分NPE之負面利用專利制度之行為，已促使政府與法界思索專利制度如何衡平專利權保護而更能達到專利制度設置之目的，而其未來顯然仍有一段遙遠的路要走。

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。