歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應

從103年度民專上更（一）字第7號淺析智慧財產管理對認定職務發明的重要性 資策會科技法律研究所 法律研究員　林明賢 105年01月30日 壹、事件摘要 　　馬克旦(台灣綠牆開發股份有限公司員工，原審被告，以下稱被上訴人)以其所有之新型專利第M367678號與方智股份有限公司簽訂合作開發案，方智股份有限公司之股東與被上訴人共同成立台灣綠牆開發股份有限公司(原審原告，以下稱上訴人)。被上訴人將新型專利第Ｍ367678號授權予上訴人使用，並簽立專利授權書，約定被上訴人如使用上訴人資源進行研發，研發成果由雙方共享。被上訴人於就職期間逕行在台灣申請並取得新型專利第Ｍ417768號，並依此專利向中國大陸申請相同內容之中國大陸實用新型專利CN202026637U號。上訴人請求法院確認台灣新型專利第Ｍ417768號及中國大陸實用新型專利CN202026637U號(以下簡稱系爭專利)為上訴人與被上訴人共有。 貳、本案重點說明[1] 一、上訴人可循民事訴訟程序請求認定專利申請權及專利權歸屬 　　有關專利申請人的變更，專利申請人能否提起確認之訴？主要考量論點有二說：（一）行政法構造論；（二）利益考量論[2]。行政法構造論認為行政處分若有違法應以行政訴訟的程序予以撤銷，或尋舉發之程序予以撤銷專利權。真正專利權人不能用確認訴訟的方式變更專利權人。而利益考量論認為真正專利權人能用確認訴訟的方式變更專利權人。 　　本案法院認為因僱傭關係而生專利申請權及專利權歸屬之爭執，可先向民事法院提起確認專利申請權及專利權歸屬之訴訟，於獲勝訴判決確定後，即可附具該確定判決，向專利專責機關申請變更權利人名義[3]。 二、系爭專利為兩造所共有 　　本案系爭專利授權書第4條記載：「甲方（按：即馬○旦）如使用乙方（按：即綠○公司）資源進行研發，研發成果由雙方共享之」。雙方的締約真意在於若被上訴人研發之專利有使用上訴人資源，則該專利須登記為雙方共有。法院認定系爭專利係利用上訴人資源所研發，依前開系爭專利授權書第4條及兩造訂約真意，系爭專利應登記為兩造所共有。 參、事件評析 一、職務發明或非職務發明的界定 　　我國關於職務發明的定義主要規定在專利法第7條第2項[4]，職務發明係指受雇人於僱傭關係中之工作所完成之發明、新型或設計。我國智慧財產局公布之專利逐條釋義進一步提到「職務上發明」係指受雇人於僱傭關係存續中，基於本身派受工作之範圍內，所完成之發明，發明為其工作內容之一，也是執行職務之結果。如於僱傭關係存續中，完成與職務無關之發明，則非屬職務上發明，故並非所有僱傭關係存續中之發明，均屬職務發明。亦即與受雇人本身執行職務所負擔之工作內容有直接或間接關係之發明，方屬之。因此，是否為職務發明，取決於職務工作內容與發明、新型或設計之內容，而不在於是否於上班時間內完成。申言之，所謂職務上所完成之發明，必與其受雇之工作有關連，即依受雇人與雇用人間契約之約定，從事參與或執行與雇用人之產品開發、生產研發等有關之工作，受雇人使用雇用人之設備、費用、資源環境等，因而完成之發明、新型或設計專利，其與雇用人付出之薪資及其設施之利用，或團聚之協力，有對價之關係。 　　我國對於職務發明的權利歸屬規定在專利法第7條第1項[5]，原則上職務發明的專利申請權及專利權歸屬於雇用人，但可以契約另行約定。我國對於非職務發明的權利歸屬規定在專利法第8條第1項[6]，非職務發明的專利申請權及專利權歸屬於受雇人，但若非職務發明係利用雇用人資源或經驗者，雇用人得於支付合理報酬後，於該事業實施其發明、新型或設計。 　　由於職務發明或非職務發明的認定將影響專利申請權及專利權歸的歸屬，因此法院如何解釋專利法第7條第2項則亦顯重要。智慧財產法院100民專上51號判決曾提及我國專利法第7條第2項的立法意旨在於平衡雇用人與受雇人間之權利義務關係，其重點在於受雇人所研發之專利，是否使用雇用人所提供之資源環境，與其實際之職稱無關，甚至與其於契約上所約定之工作內容無關，而應以其實際於公司所參與之工作，及其所研發之專利是否係使用雇用人所提供之資源環境為判斷依據。 　　中國大陸關於職務發明的定義主要規定在中國大陸專利法第6條第1項[7]，職務發明係指執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造。中國大陸專利實施細則第12條[8]則進一步敘明職務發明創造係指：（一）在本職工作中作出的發明創造；（二）履行本單位交付的本職工作之外的任務所做出的發明創造；（三）退休、調離原單位後或者勞動、人事關係中止後1年內作出的，與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。 　　中國大陸專利法對於職務發明的權利歸屬規定在專利法第6條第1及3項[9]，原則上職務發明的專利申請權及專利權歸屬於雇用人，但若是利用本單位的物質條件所完成的發明創造，則可以契約另行約定。中國大陸對於非職務發明的權利歸屬規定在專利法第6條第2項[10]，非職務發明的專利申請權及專利權歸屬於受雇人。值得注意的是，中國大陸專利法修正草案第6條第1項已將「利用本單位物質技術條件所完成的發明創造」從職務發明創造之範疇排除[11]，所以未來企業在中國大陸有相關商業活動者，應特別留意該修正草案後續發展。未來因應做法可考量先行將「利用本單位物質技術條件所完成的發明創造」以契約約定專利申請權及專利權的歸屬，避免後續不必要的爭議發生。 　　在中國大陸設廠的我國企業後續也應持續關注中國大陸職務發明條例草案。中國大陸職務發明條例草案第20條[12]有規定對獲得發明專利權或者職務新品種權的職務發明，給予全體發明人的獎金總額不得低於該單位在崗職工月平均工資的兩倍；對於其他智慧財產權的職務發明，給予全體發明人的獎金總額不得低於該單位在崗職工的月平均工資。此外，中國大陸職務發明條例草案第21條[13]更詳細地載明企業每年實施職務發明應給付發明人的最低合理報酬。 　　無論是我國或中國大陸，一旦受雇人之創作被認定為非職務發明時，則專利申請權及專利權將歸屬於受雇人而非雇用人。所以，如何證明受雇人創作係屬職務發明而不是非職務發明則對企業來說更顯重要。由於法院判斷受雇人的創作屬於職務發明或非職務發明需要透過實際上的客觀證據來認定，因此受雇人在企業任職期間的研發記錄、測試記錄、開模記錄、溝通記錄、會議記錄、費用單據等與職務發明相關的重要資料，企業應妥善地保管留存。後續企業方能據以主張專利申請權及專利權的權利歸屬。 二、台灣專利申請人變更 　　企業在發生專利申請權及專利權爭議時，可先透過民事訴訟程序請求確認專利申請權人及專利權人，待取得勝訴判決後再據以向智慧財產局申請變更專利權人名義。需提醒的是，雖然雇用人亦可透過我國專利法第71條第1項第3款[14]向智慧財產局提起舉發。在舉發撤銷確定後，再依專利法第35條[15]向智慧財產局重新申請。但需注意的是，真正專利權人必須在專利公告後兩年內提起舉發。若舉發撤銷確定，則真正專利權人必須要在兩個月內提出重新申請。企業若欲透過舉發的方式修改專利權人名義，則需要特別注意時效上的限制。 三、我國企業可依據我國勝訴判決更正中國大陸專利權人 　　現今台海兩地商業活動頻繁，許多專利申請人都會同時在台灣及中國大陸申請專利。關於台灣專利的部分，企業可根據法院的勝訴判決向智慧財產局申請變更權利人名義。但關於中國大陸專利的部分，企業是否需到中國大陸另行起訴呢？根據中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』的有關規定[16]，企業於中國大陸能以台灣法院的勝訴判決先向中國大陸人民法院申請認可和執行後，再向國務院專利行政部門辦理專利權移轉手續。 　　需要提醒的是，中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』第9條[17]列舉6項不予認可的事由：（一）申請認可的民事判決的效力未確定的；（二）申請認可的民事判決，是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的；（三）案件係人民法院專屬管轄的；（四）案件的雙方當事人訂有仲裁協議的；（五）案件係人民法院已作出判決，或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的；（六）申請認可的民事判決具有違反國家法律的基本原則，或者損害社會公共利益情形的。雖然透過這個機制我國企業能較快速地依據我國勝訴判決來修改中國大陸專利的專利權人名義，但不可輕忽的是，我國企業若於中國大陸當地設廠要更加注意當地職務發明相關資料的證據留存。 肆、結論：智慧財產管理協助企業保護智財權利並降低歸屬爭議 　　隨著智慧財產爭議的不斷浮現，智慧財產管理對企業更益顯重要。若企業內部缺乏完善的智慧財產管理制度，將導致智財風險相對地提高。在實務上職務發明真正專利權人救濟成功的案例失敗者遠高於成功者。因此種爭議首先需探究何時完成該發明，發明人在該時點於哪一公司任職。但發明是人類心智活動的產出，一件發明是由誰所產出，甚難直接且清楚舉證證明。兼以在專利先申請原則之下，此種爭議之訴訟實務，多以該申請專利之發明的申請日而不以發明完成日為準，亦即申請時發明人係在哪一家公司任職。因此，離職後再申請專利者，前一家公司欲主張之前任職之職務發明，即處在不利之地位[18]。 　　為有效降低如同本案受雇人或離職員工擅自將職務發明申請專利的風險，企業可透過建置智慧財產管理系統於受雇人進入企業的前、中及後期分別檢視，以保護企業的智慧財產。舉例來說，在受雇人進入企業的前期，應與員工簽訂工作契約或聘雇契約，並於契約明定智慧財產歸屬、保密要求；必要時，可包括競業禁止要求。透過多面向的保護，受雇人一旦擅自將職務發明申請專利，則企業不僅可透過契約證明自己是真正專利權人，受雇人更可能因擅自揭露企業營業秘密而有洩密的刑責和需向企業支付損害賠償。 　　在受雇人進入企業的中期，企業應該要求受雇人詳實記錄研發過程，以確保企業可證明該成果係自行研發。相關記錄應包括可識別研發之人、時間、地點與內容等資訊。如此一來，一旦雙方後續發生爭執，企業也能透過研發紀錄佐證受雇人的申請專利確實屬於職務發明且為企業內部的研發成果。 　　受雇人進入企業的後期，企業應對離職員工提醒相關智慧財產規定。對於涉及企業重要智慧財產之員工離職時，應進行面談。必要時，得簽定離職契約，約定特定智慧財產之權利歸屬。如此一來，企業能再次透過契約約定特定智慧財產之權利歸屬，以避免受雇人將職務上發明逕行申請專利且占為己有。此外，企業還應定期追蹤與公司研發成果相關的專利申請動向。一旦受雇人離職後發生如同本案的爭議，雇用人還可趕緊提起確認之訴或舉發等程序救濟，以保護企業內部的智慧財產。 [1] 本文主要聚焦於專利申請權及專利權歸屬之判決討論。本案判決尚涉及協議書及授權書效力之爭執，本文不另行贅述。 [2] 劉國讚，《專利法之理論與實用》，元照出版，初版，頁186（2012）。 [3] <司法院101年度「智慧財產法律座談會」「民事訴訟類相關議題」提案及研討結果第5號>，司法院法學資料檢索系統，http://jirs.judicial.gov.tw/FJUD/index_1.htm （最後瀏覽日：2016/1/21）。 [4] 我國專利法第7條第2項：「前項所稱職務上之發明、新型或設計，指受雇人於僱傭關係中之工作所完成之發明、新型或設計」。 [5] 我國專利法第7條第1項：「受雇人於職務上所完成之發明、新型或設計，其專利申請權及專利權屬於雇用人，雇用人應支付受雇人適當之報酬。但契約另有規定者，從其約定」。 [6] 我國專利法第8條第1項：「受雇人於非職務上所完成之發明、新型或設計，其專利申請權及專利權屬於受雇人。但其發明、新型或設計係利用雇用人資源或經驗者，雇用人得於支付合理報酬後，於該事業實施其發明、新型或設計」。 [7] 中國大陸專利法第6條第1項：「執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造為職務發明創造。職務發明創造申請專利的權利屬於該單位；申請被批准後，該單位為專利權人」。 [8] 中國大陸專利實施細則第12條：「專利法第六條所稱執行本單位的任務所完成的職務發明創造，是指: （一）在本職工作中作出的發明創造； （二）履行本單位交付的本職工作之外的任務所作出的發明創造； （三）退休、調離原單位後或者勞動、人事關係終止後1年內作出的，與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。 專利法第六條所稱本單位，包括臨時工作單位；專利法第六條所稱本單位的物質技術條件，是指本單位的資金、設備、零部件、原材料或者不對外公開的技術資料等」。 [9] 中國大陸專利法第6條第3項：「利用本單位的物質技術條件所完成的發明創造，單位與發明人或者設計人訂有合同，對申請專利的權利和專利權的歸屬作出約定的，從其約定」。 [10] 中國大陸專利法第6條第2項：「非職務發明創造，申請專利的權利屬於發明人或者設計人；申請被批准後，該發明人或者設計人為專利權人」。 [11] 中國大陸專利法修改草案第6條第1項：「執行本單位任務所完成的發明創造為職務發明創造」。 [12] 中國大陸職務發明條例草案第20條：「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的獎勵的，對獲得發明專利權或者植物新品種權的職務發明，給予全體發明人的獎金總額最低不少於該單位在崗職工月平均工資的兩倍；對獲得其他智慧財產權的職務發明，給予全體發明人的獎金總額最低不少於該單位在崗職工的月平均工資」。 [13] 中國大陸職務發明條例草案第21條：「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的，單位實施獲得智慧財產權的職務發明後，應當向涉及的所有智慧財產權的全體發明人以下列方式之一支付報酬： （一）在智慧財產權有效期限內，每年從實施發明專利或者植物新品種的營業利潤中提取不低於5%；實施其他智慧財產權的，從其營業利潤中提取不低於3%； （二）在智慧財產權有效期限內，每年從實施發明專利或者植物新品種的銷售收入中提取不低於0.5%；實施其他智慧財產權的，從其銷售收入中提取不低於0.3%； （三）在智慧財產權有效期限內，參照前兩項計算的數額，根據發明人個人月平均工資的合理倍數確定每年應提取的報酬數額； （四）參照第一、二項計算的數額的合理倍數，確定一次性給予發明人報酬的數額。 上述報酬累計不超過實施該智慧財產權的累計營業利潤的50%。 單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的，單位轉讓或者許可他人實施其智慧財產權後，應當從轉讓或者許可所得收入中提取不低於20%，作為報酬給予發明人」。 [14] 我國專利法第71條第1項第3款：「違反第十二條第一項規定或發明專利權人為非發明專利申請權人」。 [15] 我國專利法第35條：「發明專利權經專利申請權人或專利申請權共有人，於該專利案公告後二年內，依第七十一條第一項第三款規定提起舉發，並於舉發撤銷確定後二個月內就相同發明申請專利者，以該經撤銷確定之發明專利權之申請日為其申請日」。 [16] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第2條：「臺灣地區有關法院的民事判決，當事人的住所地、經常居住地或者被執行財產所在地在其他省、自治區、直轄市的，當事人可以根據本規定向人民法院申請認可」。 [17] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第9條：「臺灣地區有關法院的民事判決具有下列情形之一的，裁定不予認可： （一）申請認可的民事判決的效力未確定的； （二）申請認可的民事判決，是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的； （三）案件係人民法院專屬管轄的； （四）案件的雙方當事人訂有仲裁協議的； （五）案件係人民法院已作出判決，或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的； （六）申請認可的民事判決具有違反國家法律的基本原則，或者損害社會公共利益情形的」。 [18] 劉國讚，《專利法之理論與實用》，元照出版，初版，頁187（2012）。

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要 　　根據一項網路入侵案件的統計分析，約有80%的案件事來自於機關或企業內部人員，或是至少與內部人員有關。[1]然而，對於資通訊安全與機密資訊的維護，機關單位與人員把大部分的重心放在防範外來的入侵者，也就是外部威脅，反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限，也就是因為這樣，內部威脅不易被發現。這就好比擁有大門鑰匙一般，正當合法從大門出入，以及從事本來就可以做的事，而不易被發覺。美國由於維基解密（WikiLeaks）事件的爆發，使政府對於機密維護的焦點，從外在攻擊的防止，轉聚焦於內部威脅的防範。 　　在美國，內部威脅並不是一個新的概念，公務機關本具備一定的管理措施；惟在維基解密案爆發後，帶給美國政府極大的衝擊，美國也全面檢討與創制新的因應作法，並於政策面、制度面與技術面等不同面向，進行積極的研究與合作。以下將引介美國之制度設計，藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件 　　有關資訊的價值，近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例，智慧財產權與企業機密，儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩，導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關，「機密」對內部人員即成為最有價值的財產與籌碼，而公務機關可能因為內部威脅將機密外洩，造成對於國家、機關或人民產生公共安全，甚至是國家安全的危機。 （一）內部威脅的定義 　　外部威脅（External threat）」[3]係與內部威脅相對應之概念；外部威脅係指該威脅非由組織內部發生，而是由組織外部之人員或其他組織，透過一般的網際網路、互聯網系統，以未經授權之方式，對該組織之資訊設備，以植入惡意程式、或以駭客入侵等方式，進行侵入式的資訊系統攻擊，其目的係在於由外部取得該組織「有價值」的資訊。 　　為因應威脅，「威脅識別（Threat Identification）」成為威脅防禦之首要任務，按形成威脅的原因加以區分，大抵可分為「外部威脅（External Threat）」與「內部威脅（Insider Threat 或Internal Threat）」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等；相對外部威脅，係指自然災害，例如火災與地震，以及來自外部的惡意攻擊，例如盜賊、駭客、惡意程式，以及網路病毒等。[4] 　　「內部威脅」雖然被認知為威脅的一個種類，但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義，通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖（「惡意（Malicious）」），對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊（Computer Emergency Readiness Team, CERT）」認為內部威脅係指一位或多位具備存取控制（Access）的個人，意圖利用弱點侵入公司、組織，或企業的系統、服務、產品或設施，對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告（Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation）」，內部威脅係指未經授權存取控制國防部資訊系統的人員，可能為軍事人員員工（Military Member）、國防部一般僱員（Civilian Employee ）、其他聯邦機構員工，以及私部門等。[6] 　　由上述定義可得知，內部威脅係來自於組織單位的「內部」，如以行為人之意圖區分，又可細分為「惡意（Malicious）」與「過失」。因人員之過失所造成之內部威脅，大部分原因為人員對於資訊系統與之使用與管理不當所造成，例如，人員使用Email或即時通訊軟體，受到社交工程之攻擊，導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅（Malicious Insider）」，係指內部人員利用合法存取權限，為超出於其授權使用之對象、時間、範圍、目的，與用途等之行為，並意圖對於單位組織或是特定人、事、物等造成傷害，或是謀取不當利益。 　　依據惡意內部威脅事件，大約可分為以下各類型：[7] 1.IT破壞（IT Sabotage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，意圖損害一個具體的個人或組織，或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改（Theft or Modification for Financial Gain） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改（Theft or Modification for Business Advantage） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他（Miscellaneous） 　　現任或前任僱員、承包商，或業務合作夥伴，以故意超過或誤用授權級別，而存取控制網路或資訊系統或資料的方式，為非基於經濟利益或業務優勢，而進行竊盜或修改機密或專有資訊。 　　或通常會涵蓋二種以上的類型，例如：員工先行對於IT系統進行破壞，然後再試圖敲詐僱主，以協助他們恢復系統為條件換取金錢。另曾有案例為，一名前副總裁於結束工作前，複製客戶數據庫與銷售手冊，再向其他外單位組織兜售。[8] （二）內部威脅事件的發生與所造成的損失 　　依據CERT於2011年4月對於內部威脅控制的報告指出，以報告中123件資訊科技破壞（IT Sabotage）事件進行統計，內部威脅發生的時間為26%件事件發生於上班時間，35%發生於下班時間，另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看，54%事件發生於進行遠端連線時，27%發生於公司所在地，另外19%發生於不特定之地點或場所。[9] 　　有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計，可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡，或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響，所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範 　　美國傳統對於機密資訊由軍事單位依照軍事規定處理，不過，自從羅斯福總統於1940年發布第8381號行政命令，改變了這個機制。第8381號行政令，授權政府官員保護軍事與海軍基地。爾後，歷任總統以發布行政命令的方式，建置聯邦政府的機密分級標準。不過，羅斯福總統以經特定法規授權為由，後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法，[12]設法平衡總統權利。 　　歐巴馬總統上任前歷經2001年911事件的壓力，[13]以及2010年維基解密等機密外洩事件，致使歐巴馬團隊對於資訊安全以及機密維護非常重視，除了推動開放政府（Open Government），促進政府政策更公開透明的民主治理外，對於資通訊安全（Cyber Security）、機密資訊外洩的通報機制，以及內部人員（Insider）所帶來的威脅，更是採取積極的作法。[14] 　　針對內部人員對於國家安全與機密外洩的問題，歐巴馬政權立即採取相對應的措施，於2011年發布第13587號行政命令：「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革（Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information）」，與因應第13587號行政命令所規範之「內部威脅」議題，於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」的總統備忘錄。 　　部會或機關紛紛對於內部威脅採取相關防範措施，例如國務院（Department of State）對於涉及機密的網路，採用新的審查與監控的工具，而在國防部（Department of Defense）也開始開發自動偵測內部威脅的辨識系統。在情報系統方面，商務部（Department of Commerce）國家標準與技術中心（National Institute of Standards and Technology, NIST）與司法部（Department of Justice）聯邦調查局（Federal Bureau of Investigation, FBI）也訂立內部威脅指引，提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊（Computer Emergency Readiness Team，以下簡稱CERT）內部威脅中心（CERT Insider Threat Center）進行多項內部威脅的研究。 　　至今為止，歐巴馬政權對於內部威脅的防範，於法制政策提出下列各項規範： （一）總統第13587號行政命令：「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」 　　由於維基解密事件的爆發，使美國將機密的維護，從對於防止外在的攻擊，轉聚焦於機密資訊的內部威脅。事件發生後，國家安全人員馬上成立跨機關小組，檢視處理機密資訊的政策與實務作法，希望可以提出解決行政部門可共用的機制，以減少類似的事件再度發生。 　　跨機關小組歷時七個多月的檢討後，對於機密資訊的保護，與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則：加強跨機關資訊有責共享的重要性；確保政策、流程與技術的安全解決方案，與監督和組織文化的發展；強調聯邦政府對於資訊必須實施一致的作法；與確保隱私、公民權和自由的保護。[15] 　　歐巴馬團隊將上述原則落實至第13587行政命令，[16]成立監督的架構，發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任，並加強跨機關資訊的流通與保護，包括電腦網路的安全，與內部威脅的機制，以減低未來國家安全機密外洩的風險。 　　第13587號行政命令大抵分為下列各大項，除此之外，聯邦政府同時已經採行增進機密資訊網路與人員的控管，例如拆卸式媒體、網路身分管理、內部威脅方案（Insider Threat Program）、存取控制的管控（Access Control）、機密網路的審核，[17]項目分為： 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任； 2.設置「資深資訊分享與安全維護推動小組（Senior Information Sharing and Safeguarding Steering Office）」； 3.成立「機密資訊流通與保護局（Classified Information Sharing and Safeguarding Office, CISSO）」； 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks)；與 5.設置「內部威脅專責小組（Insider Threat Task Force）」。 　　其中有關「內部威脅專責小組」的部分，跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕，包括利用、損害，或其他未經授權揭露機密資訊的內部威脅，並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標，建立和整合機關內部的安全與反間諜，用戶審查和監控等優先事項，以及其它機關的實作發展和保護能力。[18]除此之外，內部威脅專責小組還必須與相關單位合作，以促成政策的草擬與可行。[19] 　　專責小組的職責應包括下列： 1.制定並與行政機關協調，阻止、檢測和減輕內部威脅的政策，並提交至督導委員會檢閱； 2.與適當的機關合作，制定行政機關內部威脅方案的政策指引和最低標準，並於一年內發布，該相關指引和最低標準對於行政部門具拘束力； 3.如果有足夠的經費或經授權，繼續與適當單位合作，於一年之後，增修相關指引與最低標準； 4.如果沒有獲得足夠的經費或授權，建議由預算辦公室（Office of Management and Budget）或國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISSO）於一年之後頒布相關指引與最低標準的增修版本； 5.如仍有任何未解決的問題，以致於延宕最低標準的公布，應將問題提交給督導委員會（Steering Committee）； 6.按照專責小組所制定之方案，獨立評估相關機關單位是否適當的落實既定的政策和最低標準，並將評估結果向督導委員會提報； 7.提供機關單位援助，包括提供最佳實作案例以供參考；與 8.提供美國政府所分析的內部威脅新的困難與挑戰。 　　由上可見，第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策，機關亦必須依照指示時程，落實內部威脅政策的偵測方案，以及監控其運作是否符合政策的目標。 （二）「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20] 　　雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組，負責偵測與避免內部威脅，以增進對於機密資訊的保護，以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而，機關應該如何施行的細項尚未有細緻規範，仍需等待歐巴馬團隊進一步制定，以落實於聯邦政府所屬的公務機關。 　　緣此，美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄（National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs）」，主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護，並加強危及國家安全的敵對勢力或內部威脅的防禦。 　　這些威脅包括潛在的間諜活動，對國家或機關單位的暴力行為，以及未經授權揭露機密資訊，包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。 　　目前標準的詳細內容尚未發布，不過，依據備忘錄大約可分為下列各項： 1.蒐集、整合、集中分析和應變主要威脅相關的資訊； 2.監控人員對於機密網路的使用； 3.提供人員對於內部威脅意識的培訓； 4.保護人員的公民、自由和隱私權。 參、事件評析 　　觀察美國一連串的改革，顯見維基解密事件對於美國政府產生非常大的衝擊，更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制，對機密資訊的管理與「內部威脅」的防範進行全面檢討，並對於配套標準及措施進行增修。 　　除對於傳統以人員監督威脅的存在外，應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據，再進一步因應與確認內部威脅的存在。 　　最重要的是，該制度與措施要求全國公務機關一起合作落實，以及分享潛在內部威脅的異常警訊，才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會，張維平，日晷第4期認識公務機關資訊安全問題，取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf（最後瀏覽日：2012年11月30日）。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來，隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗，世界各地傳出多起嚴重的資料外洩事件，當然台灣也不能倖免。外洩的資料包羅萬象，而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊，另外還有最令機關防不勝防的內賊。只要有心，要在機關內部竊取資料很容易，從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟，都可當作工具，如果機關（各單位）沒有危機意識，採取防範措施，資料外洩在所難免。鑑此，籲請各單位安全連絡員，加強單位自主管理，協助單位主管加強責任區安全檢查，共同維護機關公務機密與安全。 [2]中廣新聞網．海軍共諜案，國防部：才在發展階段，影響有限，（2012年10月29日），取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html（最後瀏覽日：2012年11月30日）。 國防部軍事發言人羅紹和表示，涉案的海軍大氣海洋局前政戰處長張祉鑫，在退役後透過友人介紹，認識中共官方人員，然後再透過軍中舊識，「謀取不法利益」，保防安全部門在今年三月間接獲檢舉，依法由反情報單位展開調查行動，並移請檢調單位協助調查，順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊，資訊安全概論與實務，取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf（最後瀏覽日：2012年11月30日）。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」，「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」，與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件，以年度區分，截至2012年11月30日止，包括下列：1.2009年：「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」，與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」；2.2010年：「第13549號行政命令-國家、地方、部落，和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」；3.2011年：「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」；4.2012年：「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長（Attorney General）與國家情報局主任（Director of National Intelligence）或指定人共同擔任主席。內部威脅專責小組成員應該由國務院（Department of State）、國防部（Department of Defense）、司法部（Department of Justice）、能源部（Department of Energy）、國土安全部（Department of Homeland Security）部長所指定的人員，以及國家情報局主任（Director of National Intelligence）、中央情報局（Central Intelligence Agency），和國家檔案與記錄管理局（National Archives and Records Administration）的資訊安全監督辦公室（Information Security Oversight Office, ISOO）等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官（Office of the National Counterintelligence Executive, ONCIX）和其他機構，於法律所允許的範圍內配置。這些人員必須是官員，或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所，以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件（Document），文件的種類根據事務類型之不同分為三大類：Executive orders（有連續編碼的行政命令）、Proclamation（公告）、Administration orders（無編號的行政命令），其下尚有不同的子分類，備忘錄則屬Administration orders下的子分類之一，總統所發布的文件效力相同，並無位階之分，http://www.archives.gov/presidential-libraries/research/guide.html（最後瀏覽日：2013年1月12日）。