5G汽車協會發布《先進駕駛案例-聯網技術與無線電頻譜需求之遠景路線圖》

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　歐盟執委會（European Commission，下稱執委會）於2020年底提出數位服務法（Digital Services Act，DSA）以及數位市場法（Digital Market Act，DMA），而歐洲議會（European Parliament）最終於2022年7月5日以壓倒性的多數決通過上述法案，待歐盟理事會（Council of the European Union）核准通過後，法案將在公告於歐盟官方公報（EU Official Journal）後20天生效，並分別依規定時間開始適用。歐盟理事會已於2022年7月18日率先核准通過DMA，並正進行登載公報相關程序，DMA將於生效日起六個月後開始適用。以下將簡述兩法案主要內容： 1.數位服務法（DSA）：主要係處理線上非法內容、不實資訊以及其他社會風險等散播問題。依DSA，數位服務提供者於其服務或交易平台應針對涉及侵害基本權之非法內容即時採取反制措施、強化平台交易者之查核並提高可追溯性、增加平台的透明度及有責性，並應禁止具誤導性及部分特定類型之定向廣告，如針對兒童的廣告或以敏感資訊為基礎的廣告等。 2.數位市場法（DMA）：要求大型的主流線上平台於數位市場擔任「守門人」（gatekeeper），以確保消費者有公平的交易環境。守門人應與第三方交互使用服務，並使商業用戶得存取於其平台所生之資料，且不得：在其平台的檢索（index）與索引（crawl）相關排名中自我偏好（self-preferencing）自身產品及服務、令使用者難以卸載預先安裝之軟體或應用程式、以廣告為目的利用使用者個資。值得注意的是，執委會得對違反DMA規定之守門人處以其最高全球總營收10%的罰鍰，累犯者之罰鍰上限將提高至年度營收的20%。

　　日本首相安倍晉三於2017年4月11日出席「第一次再生能源及氫（水素）燃料內閣會議」，在會議中進行加速引進再生能源及落實氫燃料社會等議題探討，並公布「推展氫（水素）燃料基本方針」，以達成2020年具有4萬台電動汽車之目標，並推展相關氫燃料之相關規範及準備，謹對於相關重點政策綜述如下： 一、為擴大再生能源之使用，5年內中央及各級政府共同展望12項計畫： 風能、地熱環境影響評估迅速化，並支援該地區之行政推廣。 透過地熱等開發，促進鄉鎮觀光發展。 擴大中小型水利之開發，統一提供及利用全國之資訊等。 林業及廢棄物處理、下水道政策之共同合作，促進生質能源發電。 促進海上風力發電，並檢討相關制度及環境規範。 為確保長期安定的太陽能發電，審視法規及相關制度。 引進低成本及遠距離控制之蓄電池。 以分散型能源系統，促進再生能源之利用。 相關行政程序之迅速化，以一站式窗口提供服務。 1與當地及環境共榮共存。 1低成本化及先端技術之研究開發。 可再生能源技術之海外支援。 二、邁向氫燃料社會之無碳排放目標： 　　首先，擴大電動車燃料電池、家用燃料電池等相通之氫燃料之利用，中長期於2020年以氫發電及大規模國內外氫原料之供應鏈，最終希望建立無碳排放之氫燃料電力供應系統目標。 　　在有擴大引進再生能源，並兼顧國民負擔之目標下，日本於2016年5月修正電氣事業再生能源電氣（FIT法）相關特別措施，且於2017年4月開始引進相關新的事業計畫及措施。

基於專利動向分析之專利策略規劃 科技法律研究所 法律研究員　徐維佑 2014年12月23日 壹、專利布局策略目的 　　無論在企業針對新產品開發、或學研機構研究新興技術時，對於研究方向的判斷，皆應善加利用其他競爭公司、學研機構專利動向最新資訊。以各國專利資料庫為基礎，蒐集其他公司、機構的研究領域，或者與研發成果相關的專利等資料而成的專利地圖（patent map），可構築更完整的智財戰略。 　　欲將研究成果商業化時，販售排他性產品對於競爭非常重要。因此阻止其他公司製造仿冒品、類似品，甚至競爭品，或者防禦其他公司之侵權告訴，皆必須盡早制定對策，亦即必須掌握該技術領域的智財資訊，才能讓研發活動順利推展。 貳、各國政府公開之專利動向分析 一、英國國家專利藍圖分析報告 　　英國政府於2014年中，依續公告8大重要技術之專利藍圖分析報告[1]，認為專利資訊可提供創新活動高價值之分析觀點，因此該國智慧財產局資訊團隊，透過專利申請資訊分析出全球性專利藍圖，幫助其國內企業與民眾瞭解此8大重要技術專利資訊，並將分析結果納入資金挹注之考量基礎。 　　專利藍圖分析報告之資料，來源為2013年至2014年間全球專利資料庫中專利公開(Published)之資料，以及諮詢英國智財局各專業技術領域之專利審查員之結果。而專利藍圖分析報告之分析內容，包括專利涵蓋範圍、專利申請排名領先群、專利優先權期間、專利合作開發申請圖、專利技術分析等。 二、韓國R&D專利技術動向調查 　　韓國R&D專利技術動向調查制度自2005年開始，每年度由與研究發展相關的各部會針對其提出之研發工作，提供研發計畫執行階段中，所研發之技術是否已有先前技術，或是與研發技術類似之專利發展情況等資訊，即以該研發領域之技術不被其它國家競爭對手搶先獲得專利權的目標作為研究人員之研究方向。 　　而專利技術動向調查之研發課題則由韓國專利廳下韓國智慧財產策略院主管之「e專利國[2]」負責調查，提供專利分析結果的綜合報告，提供各部會與各領域別的專利動向、方向與及各種分析報告，內容包含有政府R&D專利技術動向調查報告、國家專利策略藍圖報告、以及專利分析與相關生產報告等。並根據以上報告提供技術領域別研發計畫方向、挑選出將來商業化運用價值較高之專利。 參、代結論 　　專利動向分析的資訊為一種判斷的依據，儘管由分析報告所顯示的技術範圍中，判斷要進行哪一種研究時，需要的是研究者的經驗與知識，但專利動向分析有助於篩選出可行的研究範圍，尤其在投入國家資源補助科研計畫時，資源更應有效應用於可行的技術領域，而非早已佈滿專利地雷處。 　　目前產業研發過程缺乏完善專利布局分析。實際生產產品之企業為避免侵權故意，常忽略申請前檢索工作；雖研究前或研究中調查之專利動向分析，並不能保證研究成果的可專利性，然而該工作對於國家、企業之研究發展實屬必要。透過如英國國家專利藍圖分析報告、韓國R&D專利技術動向調查，由國家公開技術領域共通性專利分析報告，對於企業後續進行技術專利布局，或者研究機構擬定研究發展方向，皆會有莫大的助益，並節省相當的時間與人力成本，值得我國參考。 [1] UK Intellectual Property Office, Eight great technologies: the patent landscapes (2014), https://www.gov.uk/government/publications/eight-great-technologies-the-patent-landscapes (last visited: 2014/10/01） [2] 韓國e專利國網頁， http://www.patentmap.or.kr/patentmap/front/common.do?method=main（最後瀏覽日：2014/10/01）。