當網路梗圖爆紅 潛藏的著作權侵權疑慮

淺談美國與日本遠距工作型態之營業秘密資訊管理 資訊工業策進會科技法律研究所 2022年05月18日 　　根據2021年5月日本總務省所公布之《遠距工作資安指引》第5版，近年來隨著科技的進步，遠距工作在全球越來越普及，過去將員工集中在特定辦公場所的工作型態更是因為COVID-19帶來的環境衝擊，使辦公的地點、時間更具有彈性，遠距工作模式成為後疫情時代的新生活常態。 　　因應資訊化時代，企業在推動遠距工作時，除業務效率考量外，更需注意資安風險的因應對策是否完備，例如員工使用私人電腦辦公時要如何確保其設備有足夠的防毒軟體保護、重要機密資訊是否會有外洩的風險等。 　　本文將聚焦在遠距工作型態中，因應網路資安管控、員工管理不足，所產生的營業秘密資訊外洩風險為核心議題，研析並彙整日本於2021年5月由日本總務省所公布之《遠距工作資安指引》第5版[1]，以及美國2022年3月針對與遠距工作相關判決Peoplestrategy v. Lively Emp. Servs.之案例[2]內容，藉此給予我國企業參考在遠距工作模式中應注意的營業秘密問題與因應對策。 壹、遠距工作之型態 　　遠距工作是指藉由資訊技術(ICT Information and Communication Technology)，達到靈活運用地點及時間之工作方式。以日本遠距工作的型態為例，依據業務執行的地點，可分為「居家辦公」、「衛星辦公室辦公」、「行動辦公」三種： 1.居家辦公：在居住地執行業務的工作方式。此方式因節省通勤時間，是一種有效兼顧工作與家庭生活的工作模式，適合如剛結束育嬰假而有照顧幼兒需求的員工。 2.衛星辦公室（Satellite Office）辦公：在居住地附近，或在通勤主要辦公室的沿途地點設置衛星辦公室。在達到縮短通勤時間的同時，可選擇優於居住地之環境執行業務，亦可在移動過程中完成工作，提高工作效率。 3.行動辦公：運用筆記型電腦辦公，自由選擇處理業務的地點。包含在渡假村、旅遊勝地一邊工作一邊休假之「工作渡假」也可歸類於此型態。 貳、遠距工作之風險及其對策 　　遠距工作時，企業內外部資訊的交換或存取都是透過網際網路執行，對於資安管理不足的企業來說，營業秘密資訊可能在網路流通的過程中受到惡意程式的攻擊，或是遠距工作的終端機、紀錄媒體所存入的資料有被竊取、遺失的風險。例如商務電子郵件詐欺（Business Email Compromise，簡稱BEC）之案例，以真實CEO之名義傳送假收購訊息，藉此取得其他公司之聯絡資訊。近年來BEC的攻擊途徑亦增加以財務部門等資安意識較薄弱的基層員工為攻擊對象的案例[3]。 　　由於員工在遠距工作時，常使用私人電腦或智慧型手機等終端機進行業務資料流通，若員工所持有的終端機資安風險有管控不佳的情況，即有可能被間接利用作為竊取企業營業秘密資訊之工具。例如2020年5月日本企業發生駭客從私人持有之終端機竊取員工登入企業内網的帳號密碼，再以此做為跳板，進入企業伺服器非法存取企業之營業秘密資訊，造成超過180家客戶受到影響[4]。 　　關於遠距工作網路資安的風險對策，在技術層面上，企業可使用防毒軟體或電子郵件系統的過濾功能，設定遠距工作之員工無法開啟含有惡意程式的檔案，或是透過雲端服務供應商代為控管存取資料之驗證機制，使遠距工作的過程中不用進入企業内網，可直接透過雲端讀取資訊。另外，建議企業將資訊依照重要程度作機密分級，並依據不同分級採取不同規格的保密措施。例如將資料分成「機密資訊」、「業務資訊」、「公開資訊」 三個等級[5]，屬營業秘密、顧客個資等機密資訊者，應採取如臉部特徵辨識、雙重密碼認證等較高規格的保密措施[6]。在內部制度面上，企業則可安排定期遠距工作資安教育訓練、將可疑網站或郵件資訊刊登在企業電子報、公告提醒員工近期資安狀況；甚至要求員工在連結企業内網或雲端資料庫時，須使用資安管理者指定的方法連結，未經許可不得變更設定。 　　除上述網路資安的風險外，員工管理問題對於企業推動遠距工作是否會導致營業秘密資訊洩漏有關鍵性的影響。因此，企業雇主與員工在簽訂保密協議時，雙方皆需要清楚了解營業秘密保護的標準。以美國紐澤西州Peoplestrategy v. Lively Emp. Servs.判決為例，營業秘密案件的裁判標準在於企業是否已採取合理保密措施[7]。如果企業已採取合理保密措施，而員工在知悉(或應該知悉)有以不正當手段獲得營業秘密之情事，則企業有權要求該員工承擔營業秘密被盜用之賠償責任[8]。在本案中，原告Peoplestrategy公司除了要求員工須簽屬保密協議外，同時有採取保護措施，禁止員工將公司資訊存入筆記型電腦，並且要求員工離職時返還公司所屬之機密資訊，並讀取資訊的過程中，系統會跳出顯示提醒員工有保密義務之通知，故法院認定原告有採取合理的保護措施，保護機密資訊的秘密性[9]。與之相反，Maxpower Corp. v. Abraham案例中，原告僅採取一項最基礎的保密措施(設置電腦設備讀取權限並要求輸入密碼)，且與其員工簽訂保密協議中缺乏強調保密之重要性、未設立離職返還資訊之程序，故法院認定原告所採取之管控機制未能達到合理保密措施[10]之有效性。 　　藉由前述兩件判決案例，企業在與員工簽屬保密協議時，應向員工揭露企業的營業秘密保密政策，並說明希望員工如何適當處理企業所屬的資訊，透過定期的教育訓練宣導機制，以及員工離職時再次提醒應盡之保密義務。理想上，企業應每年與員工確認保密協議內容是否有需要配合營運方向、遠距工作模式調整，例如員工因為遠距工作使工作時間、地點的自由度增加，是否會發生員工接觸或進一步與競爭對手合作的情形。對此，企業應該在保密協議中訂立禁止員工在企業任職期間出現洩露公司機密或為競爭對手工作之行為[11]。 參、結論 　　以上概要說明近期美國和日本針對遠距工作時最有可能產生營業秘密資訊管理風險的網路資安問題、員工管理問題。隨著後疫情時代發展，企業在推動遠距工作普及化的過程中，同時也面臨到營業秘密管控的問題，以下以四個面向給予企業建議的管控對策供參。 （一）教育宣導：企業可定期安排遠距工作資安教育訓練，教導員工如何識別釣魚網站、BEC等網路攻擊類型，並以企業電子報、公告提醒資安新聞。另外，規劃宣導企業營業秘密保密政策，使員工清楚應盡的保密義務，以及如何適當處理企業的資訊。 （二）營業秘密資訊管理：企業應依照資訊重要程度作機密分級，例如將資訊分成「機密資訊」、「業務資訊」、「公開資訊」三個等級，對於機密資訊採取如臉部特徵辨識、雙重密碼等較嚴謹的保密措施。其中屬於秘密性高的營業秘密資訊則採取較高程度的合理保密措施，以及對應其相關資料應審慎管理對應之權限、存取審核。 （三）員工管理：企業在最理想的狀況下，應每年與員工確認保密協議的約定內容是否有符合業務營運需求(例如遠距工作應執行的保密措施)，並確保員工知悉要如何有效履行其保密義務。要求員工在處理營業秘密資訊時，使用指定的方式連結企業内網或雲端資料庫、禁止員工在職期間或離職時，在未經許可之情況下持有企業的營業秘密資訊。 （四）環境設備管理：遠距工作時在技術管理上最重要的是持續更新資安防護軟體、防火牆等阻隔來自於外部的網路攻擊，避免直接進入到企業內部網站為原則。同時，需確認員工所持有的終端機是否有資安風險管控不佳的風險、以系統顯示提醒員工對於營業秘密資訊應盡的保密義務。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]〈遠距工作資安指引〉第5版，總務省，https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ (最後瀏覽日：2022/04/27）。 [2]Karol Corbin Walker, Krystle Nova and Reema Chandnani, Confidentiality Agreements, Trade Secrets and Working From Home, March 11, 2022, https://www.law.com/njlawjournal/2022/03/11/confidentiality-agreements-trade-secrets-and-working-from-home/ (last visited April 27, 2022). [3]同前揭註1，頁99。 [4]同前揭註1，頁103。 [5]同前揭註1，頁73。 [6] Amit Jaju ET CONTRIBUTORS, How to protect your trade secrets and confidential data, The Economic Times, March 05, 2022, https://economictimes.indiatimes.com/small-biz/security-tech/technology/how-to-protect-your-trade-secrets-and-confidential-data/articleshow/90010269.cms (last visited April 27, 2022). [7]Sun Dial Corp. v. Rideout, 16 N.J. 252, 260 (N.J. 1954). Karol Corbin Walker et al., supra note 2 at 3. [8]18 U.S.C.§1839(5). Karol Corbin Walker et al., supra note 2 at 3. [9]Peoplestrategy v. Lively Emp. Servs., No. 320CV02640BRMDEA, 2020 WL 7869214, at *5 (D.N.J. Aug. 28, 2020), reconsideration denied, No. 320CV02640BRMDEA, 2020 WL 7237930 (D.N.J. Dec. 9, 2020). Karol Corbin Walker et al., supra note 2 at 3. [10]Maxpower Corp. v. Abraham, 557 F. Supp. 2d 955, 961 (W.D. Wis. 2008) Karol Corbin Walker et al., supra note 2 at 3. [11]Megan Redmond, A Trade Secret Storm Looms: Six Steps to Take Now, JDSUPRA, March 07, 2022, https://www.jdsupra.com/legalnews/a-trade-secret-storm-looms-six-steps-to-6317786/ (last visited April 27, 2022).

新加坡智財爭議解決中心發展與評析 科技法律研究所 法律研究員　羅育如 2015年05月07日 壹、前言 　　在全球化競爭的趨勢下，各國若僅憑國家資本與生產力作為基礎，已難在國際上殺出重圍、嶄露頭角。由此可知，「創意」與「創新」是激化國家競爭力之泉源，而「智慧財產權」則是此泉源之力量匯集，更是提升國家競爭力之強效手段 。 　　新加坡政府於2013年3月份提出IP (Intellectual Property) Hub Master Plan 10年期計畫[1]，目標是成為亞洲智慧產權中心。計畫設有六大策略，本文以下針對【策略四：透過強化智財法院以及智財紛爭解決替代方案之能力，打造新加坡成為智財爭議解決中心】進行觀察。目的在於了解新加坡如何透過提高智財法庭行政效率以及推動智財爭議解決替代方案，以吸引權利人選擇新加坡做為智財爭議解決地點。 貳、智財爭議解決中心重點說明 　　發生智財爭議時，權利人大多會依據產品主要銷售市場或是智財權申請地來選擇爭議解決地點，從而目前智財訴訟多以美國與中國大陸為重點戰場，新加坡智財法院所承受案件相對稀少[2]。對此，新加坡政府認為，新加坡司法制度擁有具透明度、效率與中立的國際名聲，加上許多跨國企業皆在新加坡設立分部，使得法院之判決有在新加坡執行之機會[3]，因此只要提升新加坡智財法院的能力，新加坡就有機會成為智財爭議解決中心。 　　為了達成目標，新加坡從兩個面向切入，一是強化新加坡智財法院能力，以吸引更多智財訴訟在新加坡進行；二是強化新加坡執行智財爭議解決替代方案的能力，以吸引更多爭議解決替代能在新加坡執行，以下分別說明。 一、強化新加坡智財法院能力 (一)建立更有效率的行政流程 　　2013年9月新加坡最高法院註冊處(Registrar of the Supreme Court)公布智財法院方針(IP Court Guide)[4]，內容包括法官將會參與所有的中間上訴程序(interlocutory appeals)、審前會議(pre-trial conference；PCTs)以及責任審訊(the trial on liability)。 　　在排期審訊之前，需要完成的審前會議(PCTs)包括：1.當事人之首席律師必須親自向IP法官說明本案關鍵爭議點。2.每個案件設立專門管理的資深助理主簿(senior assistant registrar)負責其他的PCTs聽審，而助理主簿(assistant registrar)則會負責這個IP案件所有的中間上訴申請。 　　另外，智財法院也提供技術專業意見的技術鑑定專家（assessors）以及可提供法律專業意見的法庭之友（amicus curiae）名單，當事人可提出自己的候選者，以便法官諮詢技術上與法律上的專業意見[5]。 　　這樣的法院審理流程修改，對當事人而言，將被分配到專屬的主簿負責案件資訊，可提供當事人方便追蹤審理流程及進度。對審理法官而言，在進入真正審理之前，也已經透過PCTs的幫助，了解整個案件內容、各方說法以及提具的證據資料。法官將能盡早熟悉案件，增進審理效率，並透過法庭之友與技術鑑定專家取得專業意見，整體提升效率及審理品質。 (二)設立亞洲唯一國際商業法庭(SICC) 　　新加坡律政部於2014年10月向新加坡國會提出新加坡憲法修正案和最高法院司法權法案，為2015年1月成立之國際商業法庭（Singapore International Commercial Court，SICC）奠定法律正當性。 　　SICC是亞洲唯一的國際商業法庭，隸屬於新加坡高等法院下，其判決效力與新加坡最高法院相同，主要工作目標在於解決來自亞洲的跨境貿易和投資產生的國際商業訴訟糾紛，包括商業糾紛及專利訴訟等。 　　SICC相較於新加坡最高法院以及新加坡國際仲裁中心(SIAC)的主要區別包括： 　　1.由新加坡法官及外國資深法官共同組成審判團隊 　　SICC審判團隊不僅包括新加坡高等法院的法官，還包括定期合約的助理法官(Associate Judges)[6]，這些助理法官可以來自新加坡也可來自其他國家的外國法官，外國法官通常是其他國家具有豐富經驗且有名望的資深法官[7]。 　　2.可委託國外合格律師[8]出庭 　　新加坡高等法院只能由新加坡有執業資格的律師出庭，但在SICC法庭，各當事方可委託並由外國律師代表出庭。 　　若該糾紛為離岸案件[9]，各當事方可以委託註冊外國律師代理，而無需新加坡當地律師的任何參與。相反地，若所涉糾紛並非離岸案件，註冊外國律師則僅有權代表當事方，就外國法部分提供意見。在非離案案件中，仍可在新加坡當地律師處於主導地位前提下，外國律師仍可以共同代理人（而非僅是外國法專家身分）出庭。 　　此新規定因首次允許外國律師代表客戶在新加坡法院出庭而極具突破性。 　　3.外國法的選擇與證據法則的適用 　　SICC不受新加坡證據法則的約束，可依當事方的申請，選用其他國家之證據法則。 二、強化新加坡執行智財爭議解決替代方案的能力 　　新加坡1991年成立新加坡仲裁與調解中心(Singapore International Arbitration Centre；SIAC)，為了更積極的提升仲裁能力，於2001年與世界智慧財產權組織(WIPO)協議在新加坡設立亞洲唯一辦事處及新加坡WIPO仲裁與調解中心(The WIPO Arbitration and Mediation Center Singapore Office)，以協助提升新加坡智財仲裁能力。 　　在此基礎上，2014年11月新加坡政府再增設國際調解中心(Singapore International Mediation Centre；SIMC)，SIMC的特色在於除了調解業務(mediation)之外，新增「仲裁中調解(arbitration-mediation-arbitration；Arb-Med-Arb)」的服務，豐富新加坡智財爭議解決替代方案之多樣化選擇性。 　　「仲裁中調解」流程為，當事人為解決爭議，先啟動仲裁程序，在仲裁程序進行過程中，仲裁員對案件進行調解，調解不成或調解成功後，再恢復進行仲裁程序。爭議雙方可以透過「調解」建立和解共識，再透過「仲裁」使得雙方和解共識有法律效力。相較於單獨使用「仲裁」，將更節省金錢與時間成本；相較於單獨使用「調解」，則有法律執行效力。 參、評析 　　新加坡目前由SIMC與SIAC共同執行調解服務、仲裁中調解服務、仲裁服務，提供更多元的爭議解決替代方案及能力；再由SICC與新加坡智財法院提供執行智財訴訟審理，已建立完整的智財爭議解決服務流程。 　　在實踐的過程中，新加坡勇於突破現況，提出憲法修憲案以及司法修改案，讓SICC能有法律正當性地位。並建立新加坡智財爭議解決中心完整服務範疇，包括新加坡國際調解中心的調解服務以及仲裁中調解服務；新加坡國際仲裁中心的仲裁服務；新加坡最高法院之智財法院訴訟服務以及國際商業法庭提供之外國律師、依據外國證據法則、外國法官審理的國際商業爭議訴訟服務。 　　但是，SICC缺點為其作出的判決可能難以跨境執行，SICC作出的判決為新加坡高等法院的判決，可能因為缺少類似《承認和執行外國仲裁裁決公約(紐約公約)》的立法而無法像新加坡國際仲裁中心(SIAC)作出的仲裁裁決那樣易於執行。 　　綜上所述，新加坡政府改革態度是確定發展方向並評估執行障礙後，就進行修法及設定專責單位負責專責工作事項，這是大刀闊斧的行政效率，但相對而言，市場是否已經跟上政府的行政效率，或是政府的行政方向是否符合市場實際的趨勢，則還有待時間考驗。 [1] IP HUB MASTER PLAN：Developing Singapore as a Global IP Hub in Asia http://www.ipos.gov.sg/Portals/0/Press%20Release/IP%20HUB%20MASTER%20PLAN%20REPORT%202%20APR%202013.pdf [2] 2014年(直至10/17)新加坡智財法院結案12件案件、2013年智財法院結案8件案例、2012結案7件、2011年21件案例、2010年15件案例。以上的案例皆為商標爭議案例。http://www.ipos.gov.sg/Services/HearingsandMediation/LegalDecisions.aspx(最後瀏覽日2014/10/17) [3] 劉孔中，2014/10/16至資策會科法所創智中心演講內容。 [4] New IP Court Guide from 6 September 2013 http://www.allenandgledhill.com/pages/publications.aspx?list=LBulletinAreas&pub_id=409&topic=Legal+Bulletin+September+2013 [5] 兩造於審理開始前便需要同意共同負擔技術或法律專家提供專業意見之相關費，然針對勝訴的一方要求敗訴一方支付錢術相關費費用的權利仍得以保留。 [6]助理法官的合約是固定時間的，且不享有終身職，並根據需要特定的工作天數計算報酬，為了建構這個制度，新加坡政府甚至修改憲法Article 94(4) of the Constitution。 [7]任何由新加坡國際商業法庭管轄的案件均將由獨任法官或三名法官進行審理，SICC首任11位國際法官的任期為三年，其中涵蓋大陸法系的法官以及英美法系的法官，包括Bernard Rix（英國和威爾士）和Anselmo Reyes （香港），他們都是各自法域下享有頗高威望且經驗相當豐富的海事海商法官。 [8]外國合格律師是指未取得新加坡律師執業資質，但已在世界任一其他法域取得律師執業資質（並獲得其執業法域相關部門頒發的證書），並符合從事出庭律師職業滿五年；且可熟練運用英語進行訴訟所有條件的律師。 [9]所謂離岸案件是指該案件由於下列原因之一與新加坡無任何實質性聯繫，即：新加坡法律並不適用於該糾紛，且糾紛的標的不受新加坡法律規範，也不由新加坡法律管轄；或者該糾紛與新加坡唯一的連接點在於，各當事方選擇新加坡法律為糾紛適用法律，並將糾紛提交新加坡國際商業法庭管轄。

　　2017年12月14日美國聯邦通信委員會(Federal Communications Commission, FCC)以3票對2票表決通過，廢止自2015年來所採取網路寬頻服務的高壓監管規定，並恢復了原來所採取低管制監管框架。支持者與反對者分別來自兩個不同的黨派。 　　經過詳細的分析以及對消費者和利益相關者的評論廣泛審查後，委員會認為自2015年來對網路寬頻服務採取的高壓規定，對整個網路生態系統施加了巨大的成本。為了取代這個嚴格的框架，FCC重新採用2015年之前的傳統低管制監管框架。 　　FCC 特別要求行動寬頻服務業者應公開揭露其網路管理政策例如:如何處理網路安全與壅塞問題、服務內容與商業條款等，以利於消費者與業者進行有效選擇，並促進政府對寬頻業者的行為進行有效的監督。此外 ，FCC恢復了聯邦貿易委員會（Federal Trade Commission, FTC）的管轄權，以便在寬頻業者從事反競爭、不公平或欺騙行為時採取行動。 　　在對消費者的影響方面，自由市場的支持者認為，付費優先的作法，意味在寬頻基礎建設上會有更多投資，使得上網和整體資料傳輸速度大為增加。 　　為達上述目標，委員會所採取之具體措施如下： 將寬頻接取服務（包括固定與行動寬頻服務）重新歸類為資訊服務。 將行動寬頻接取服務恢復歸類為私人行動服務。 將網路服務提供者有關隱私保護、不公平、詐欺和反競爭行為之管轄權回歸由聯邦貿易委員會負責。 要求網路服務提供者向消費者、企業和委員會揭露有關其做法的訊息，包括阻止，限制，支付優先次序或附屬優先次序。 　　此外FCC又禁止各州限制擴建寬頻網路服務的法律。據FCC統計，大約20個州有限制社區寬頻網路服務活動的法律，這些州的法律不公平地限制政府部門與有線電視和電信寬頻服務提供商的競爭。 FCC通過該案後引發不少如Google、Facebook及Netflix等科技公司，與消費者保護環體齊力撻伐，認為ISP業者在FCC力挺下，將可隨意限制民眾上網瀏覽的內容，大企業因此具優先權，不利新創網路公司生存發展，且投下反對票的政黨表示，將率領各州對聯邦傳播委員會這項決定提出法律挑戰，透過訴訟尋求翻盤機會。

歐盟資料保護委員會（European Data Protection Board, EDPB）於2023年12月13日回覆歐盟執行委員會（European Commission, EC）有關Cookie協議原則草案（Cookie Draft Pledge Principles）之諮詢。該草案旨在處理「Cookie疲勞」（Cookie fatigue）所造成的隱私權保護不周全之處。 在電子通訊隱私指令（ePrivacy Directive）以及GDPR規範下，由於現行同意機制複雜，造成用戶對Cookie感到疲勞，進而放棄主張隱私偏好。 為了避免「Cookie疲勞」，EDPB提出以下原則和建議，大致可以分為三點： 一、簡化Cookie不必要的資訊 1.基本運作所需之Cookie（essential cookies）無需用戶同意，故不必呈現於同意選項，以減少用戶需閱讀和理解的資訊。 2.關於接受或拒絕Cookie追蹤的後果，應以簡潔、清楚、易於選擇的方式呈現。 3.一旦用戶拒絕Cookie追蹤，一年內不得再次要求同意。 二、確保資訊透明 1.若網站或應用程式的內容涉及廣告時，應在用戶首次訪問時進行說明。 2.不僅是同意追蹤的Cookie，用於選擇廣告模式的Cookie，仍需單獨同意。 三、維持有效同意 1.應同時顯示「接受」和「拒絕」按鈕，提供用戶拒絕Cookie追蹤的選項。 2.在提供Cookie追蹤選項時，除了接受全部的廣告追蹤或付費服務外，應提供用戶另一種較不侵犯隱私的廣告形式。 3.鼓勵應用程式提前記錄用戶的Cookie偏好，但強調在用戶表達同意時必須謹慎處理，預先勾選的「同意」不構成有效同意。 EC表示，該草案目的在於簡化用戶對Cookie和個人化廣告選擇的管理，雖然為了避免Cookie疲勞而簡化資訊，仍應確保用戶對於同意Cookie追蹤，是自願、具體、知情且明確的同意。將於後續參考EDPB之建議，並與利害關係人進行討論後，制定相關法規。