2021年7月中旬,日本經濟產業省(下稱經產省)發布《促進資料價值創造的新資料管理方法與框架(暫定)(データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮))》之綱要草案(下稱資料管理框架草案),並公開對外徵求意見。
近年日本在「Society5.0」及「Connected Industries」未來願景下,人、機器與科技的跨界連接,將創造出全新附加價值的產業社會,然而達成此願景的前提在於資料本身須為正確,正確資料的自由交換,方能用於創造新資料以提供附加價值,因此正確的資料可說是確保網路空間連結具有可信性的錨點。為此,經產省提出資料管理框架草案,透過資料管理、識別資料在其生命週期中可能發生的風險,以確保資料在各實體間流動的安全性,從而確保其可信性。
該框架將資料管理定義為「基於資料的生命週期,管理各場域中資料屬性因各種事件而變化的過程」,由「事件(資料的產生/取得、加工/利用、轉移/提供、儲存和處置)」、「場域(例如:各國家/地區法規、組織內規、組織間的契約)」和「屬性」(例如:類別、揭露範圍、使用目的、資料控制者和資料權利人)三要素組成的模組。經產省期望未來能透過三要素明確資料的實際情況,讓利害關係人全體在對實際情況有共同理解的基礎上,能個別確保適當的資料管理,達成確保資料正確之目的。
「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
英國建置著作數位著作授權平台(Copyright Hub),為數位時代增添授權管道 科技法律研究所 2013年06月28日 壹、背景說明 英國智慧局於今年(2013)3月底時宣布投入15萬英鎊(約683萬元台幣)啟動一項名為數位著作授權平台(Copyright Hub)的建置計畫[1]。所謂的數位著作授權平台的概念,係來自於2012年英國卡迪夫大學(Cardiff University)經濟系教授Hargreaves在2011年5月發表的一篇研究報告[2],報告內容指出英國目前在多樣化的數位著作授權市場中,已經跟不上數位時代腳步。包括授權費用過高(授權過程繁複)、利用人不易取得作品之著作權、數位著作權交易不夠透明等,導致數位著作授權市場過小,並阻礙創意產業新的數位商業模式發展等,該文並指出若解決上開問題,在2020年後英國每年將可增加220萬英鎊的收入(約1億新台幣)。 Hargreaves教授認為要解決當前的困境,可以成立一個具有自動的電子商務媒合網站(automated e-commerce website),或是網絡系統(network of websites)的單一平台,來解決權利人、利用人、以及市場等關於著作權的授權事宜,此平台稱為數位著作權交易中心(Digital Copyright Exchange),此概念隨後再經英國智慧局委託Richard Hooper教授進行評估研究,正式將該平台命名為「數位著作授權平台」(Copyright Hub),並於今年3月底正式啟動建置計畫。 貳、數位著作授權平台(Copyright Hub)初步構想 Hooper教授受託針對數位著作權交易中心(Digital Copyright Exchange)的可行性進行研究[3],原則上贊同此種平台的概念,但其另外強調該平台的性質應是一個由產業界主導的非營利組織(industry-led and non-profit),並應搭配以下措施: 一、數位內容作品識別認證 建立數位內容物件識別認證機制,釐清數位內容之權利人與利用人(被授權者)之關係,以加速數位著作之流通以及侵權之防止。例如,以數位圖像而言,其互通的內容識別碼、以及作為數位圖像內容識別碼的後設資料(metadata)[4]容易被移除或變更,以至於無法辨識該圖像的權利人與被授權者為何,同時真正權利人無法收取著作利用的權利金,進而阻礙圖像授權產業的發展。又如以數位音樂為例,目前採行的國際標準碼(ISAN或EIDR),可由業者自行決定,而不同的國際標準碼也應該能夠互相轉換或辨識。 二、降低孤兒著作之利用成本 有關孤兒著作之運用,利用人通常要證明已盡一切努力之辛勤搜尋(diligent search),方能進行該孤兒著作的加值利用。Hooper教授於該研究報告中建議,當利用人透過此數位著作交易平台蒐尋著作權人未果時,便符合已盡一切努力之辛勤搜尋[5],以符合數位時代的搜尋態樣,降低利用人搜尋的成本。 三、減低數位作品合法取得之落差 目前在數位世界中,權利人與利用人間,就合法取得著作之可能性存在高度落差(Repertoire Imbalance )[6]。舉例而言,在現實世界中如欲購得知名畫作,對於消費者來說,通常可預期相關交易資訊,包括購得管道、價格等。但在網路世界中,目前不但未發展出明確之交易管道,同時亦有為數不少的非法著作在網路上流竄。因而對於消費者來說,其自然而然以非法著作為其消費標的。從而對著作權利人而言,自然對於數位化的環境保有保障不夠充分之印象。進而降低著作權利人投入資源將著作予以數位化的意願;或縱使數位化後,對於投入數位交易市場,進行授權或銷售亦有所顧忌。因此Richard Hooper認為「數位著作交易平台(Digital Copyright Exchange, DCE)」的概念,除提供線上交易管道外,也須搭配其他技術、措施,以降低非法著作物的複製、流通。 參、由官方成立團隊協助建置數位著作授權平台(Copyright Hub) 英國智慧局聽從Hooper報告之建議,於當年(2012)11月成立「授權推進團隊」(Copyright Licensing Steering Group),由前英國國家廣播公司(British Broadcast Company, BBC)商務授權部主任James Lancaster擔任計畫主持人,下設六個工作小組,以針對Hooper報告所提出的各項主題進行研議,並找出可行之解決方案[7]。六個工作小組分別為: 1.數位著作授權平台籌設小組(Copyright Hub Launch Group) 2.數據轉換小組(Data Building Blocks) 3.數位授權解決方案小組(Digital Licensing Solutions) 4.圖像與後設資料小組(Images and Metadata) 5.教育推廣小組(Education Licensing) 6.音樂聯合授權小組(Joint Music Licensing) 從以上各工作小組定位觀察,不難發現「數位著作授權平台籌設小組」係整個授權推薦團隊的主要核心,其他小組的角色為配合研擬該平台的授權業務相關措施。 圖1:授權推進團隊組織圖 資料來源:http://www.clsg.info/uploads/CLSG_Organisation_Chart.pptx 肆、數位著作授權平台(Copyright Hub)之基本定位與功能 至於數位著作授權平台的定位為何,,根據該平台籌設小組所提出的營運方針[8],初步觀察該平台的定位與功能可歸納出三項特點: 一、平台定位為連結利用端與權利端之入口門戶(Portal)[9] 該匯轉平台的定位為連結(connect)利用端與權利端的入口門戶,屬於一種著作權資訊匯集中心;另外該平台之建置應由產業界所主導的非營利的組織並採自願加入的性質。只要涉及著作權以及著作臨接權相關的內容作品,都可以加入此平台,不限於數位形式的內容作品。平台並非要取代現有的市場機制,而係在促進現有的集體管理團體、作品登記單位(Registry)以及跨領域之間有關著作權之交流。 二、平台的主要功能在於媒合權利端與利用端[10] 平台主要提供的服務內容為協助利用端找尋合適的內容以及權利資訊,降低其在海量的數位世界裡搜尋的成本。此外,該平台也具備媒合功能,即利用人也可以透過該平台向權利人提出授權申請,或是由權利人向不特定或潛在的利用者提出授權的邀約,平台僅作為第三方的媒合者,協助兩端進行相關授權事務。另外,透過平台的資訊彙整機制,也可降低授權的爭議,例如專屬授權的重疊,以及授權範圍的疑義等等。 三、平台須借重數位權利資訊管理工具以達成目的[11] 目前數位作品透過數位權利管理資訊系統(Copyright Management System)已蔚為趨勢,因此該平台希望藉由多媒體識別網絡(Multimedia Identifier Network),在每一個數位作品加入一個管理碼,用以管理作品的權利資訊(包括授權內容等訊息)。此外,平台未來也會建立識別不同國際標準碼的機制,讓使用不同國際標準碼之作品在此平台上都能夠互相轉換或辨識。 伍、事件評析 從英國智慧局啟動成立數位著作授權平台的計畫,可以看出英國政府有意希望透過一個入口的網站來提供作品權利資訊,亦即由一個「節點」(Hub)[12]連結到各個相關著作權資訊的資料庫或管理團體,目前主要先進國家對於數位著作權彙集管理似乎有此種趨勢,例如日本的著作權資訊集中處理機構(著作権情報集中処理機構)[13]也是採用此種著作權彙集管理方式,不過其定位僅在於資訊提供。成立這些機構的國家,實際上都有良善且歷史悠久的著作權集體管理團體,同時也建立了相當數量的著作權相關數據,因此當要建置此類平台或入口網站時,馬上可擁有相當規模的平台資料庫。 我們也不難觀察到,該平台不斷強調其性質應該是非營利的組織,同時不會涉及相關的授權與交易(但提供協助),也不干預市場既有的商業機制,亦即政府只要擔任輔導或是初期研究建置的角色即可,所有的授權、交易都應該由民間自行運作,也不應該強迫其他產業加入,應由產業自行決定。儘管該平台的理想模式是如此,但該平台實際上尚未運作,是否可能達成每年增加一億台幣的產值也有待觀察。 不過從英國智慧局投入資金啟動數位著作授權平台此一動作,不難發現英國政府的企圖心,欲透過此一平台媒介進一步將英國的音樂、圖像、影音透網絡推廣到世界。從文化層面來說,係希冀透過該媒介再傳遞或散布英倫三島的文化,進而透過間接或直接產生經濟上的價值反饋。至於英國的作法於我國是否有可參考之處?實際上本文認為,由於我國的民主自由開放,所孕育出來文化能量,足以堪稱華語世界之翹首,富有蓬勃發展的音樂產業、出版產業、以及近來興起的影音產業,在華語世界或是亞洲等,競爭力不亞於其他國家,甚至近來流行文化已經深入擴散到鄰近國家當中[14],我們如何透過科技媒介整合文創產業,進而增加經濟上的產值,英國的此種思維脈絡足堪借鏡。 [1] Government gives £150,000 funding to kick-start Copyright Hub(2013.03.25), http://www.ipo.gov.uk/about/press/press-release/press-release-2013/press-release-20130325.htm [2] Digital Opportunity - A review of Intellectual Property and Growth, http://www.ipo.gov.uk/ipreview-finalreport.pdf [3] Copyright Works: streamlining copyright licensing for the digital age, http://www.ipo.gov.uk/dce-report-phase2.pdf. [4] 後設數據(Metadata),又稱元數據、中介資料,為描述數據的數據(data about data),主要是描述數據屬性(property)的資訊,用來支援如指示儲存位置、歷史資料、資源尋找、檔案紀錄等功能。元數據算是一種電子式目錄,為了達到編製目錄的目的,必須在描述並收藏數據的內容或特色,進而達成協助數據檢索的目的。See Kai M. Hüner, Boris Otto, Hubert Österle, Collaborative management of business metadata, International Journal of Information Management, 31(4), 305, 305-308 (2011). [5] Hooper & Lynch, supra note 115, at 31. [6] 參考Hooper & Lynch, supra note 115, at 34. [7] Creative Industries Drive Momentum to Streamline Copyright Licensing in the Digital Age, http://www.clsg.info/uploads/Copyright_Hub__Press_Release.pdf [8] The Copyright Hub: Operating Policies, Version 1.0, November 21 2012, available at http://www.copyrighthub.co.uk/uploads/Copyright_Hub_Operating_Policies_-_Version_1.0_Nov_2012.doc [9] Ibid, P.2 [10] Ibid , P.3-4 [11] Ibid , P.5-6 [12] 此處的hub根據上下語義翻為節點為宜。 [13] 著作権情報集中処理機構,http://www.cdc.or.jp/ [14] 邱莉玲,〈台味指數 8成日本人哈台〉,工商時報,2013-03-08,http://money.chinatimes.com/express/express-content.aspx?id=14435&cid=7
日本P2P軟體Winny開發者再遭起訴,並具體求刑一年日本東京地檢署以助長著作權侵害為由,於 7 月 3 日 向東京地方法院對日本知名檔案交換軟體( P2P ) Winny 的開發者金子 勇提起訴訟,並具體求處有期徒刑一年。這是繼 2004 年 5 月京都地檢署起訴金子 勇後,對同一 P2P 軟體開發者另為起訴的案件。 2002 年,東京大學資訊理工學系研究助理金子 勇開發出可供他人使用的分散式 P2P 軟體 Winny ,旋即受到廣大網友的歡迎。使用者透過 Winny ,不僅交換著未經授權的音樂、影片檔案,甚至包括了部份的警方或自衛隊官方文件。而日本各大企業,如日本雅虎、富士通及 NEC 等,也陸續傳出因公司職員使用 Winny 而導致員工及客戶個人資料外洩的事件。 針對 Winny 開發者起訴案件,目前京都地方法院尚未作出判決,而日本東京地方法院已預定於 9 月 4 日 進行公開審判。此外,因應 Winny 所肇致的資安問題,各相關企業也順勢推出可過濾 Winny 的軟硬體設備,如日本京瓷公司( KCCS )即於 7 月 10 推出企業網路管理軟體,除可偵測內部電腦是否安裝 Winny 外,亦可阻絕已安裝 Winny 的電腦連接至企業網路。
歐洲發展智慧電網對資訊安全與隱私保護之現況歐盟執委會於2011年4月發布的「智慧電網創新發展」(Smart Grids: from innovation to deployment, COM(2011) 202 final),在有關資訊安全與隱私的部分指出,應建立消費者(consumer)隱私的保護規範,促進消費者的使用意願並瞭解其能源的使用狀況;在資訊交換的過程中,亦須保護敏感的商業資訊,使企業(companies)願意以安全的方式提供其能源使用訊息。 歐盟保護個人資料指令(Directive 95/46/EC)是保護個人資料的主要規範,同時也適用在智慧電網個人資料的保護上,但此時則需要去定義何謂個人資料,因為在智慧電網的發展中,有些屬於非個人資料。若為技術上的資訊而不屬於個人資料的範圍,能源技術服務業者(energy service companies)則不須經同意即可讀取該些資訊以作為分析使用。考慮將來廣泛建置智慧電網後,各會員國可能遭遇如何認定是否為個人資料及其保護的問題,因此目前傾向採取「privacy by design」的方式,亦即在系統設計之初,即納入資訊的分類,而不做事後的判斷。 對於此,歐盟執委會於2012年3月發布「智慧電表系統發展準備建議」(COMMISSION RECOMMENDATION of 9.3.2012 on preparation for the roll-out of smart metering systems),對於相關定義、資料保護影響的評估(例如各會員國必須填寫並提交執委會提供的評估表格,且提交後則必須遵循相關規範)、設計時的資料保護及預設(例如在系統設計時一併納入對資料的保護,使之符合資料保護的相關法規)、資料保護的方式(例如會員國必須確保個人資料的蒐集、處理及儲存是適當的並且具有關連性)、資料安全(例如對於資料偶然的或非法的破壞、或偶然的喪失等情形,亦應予以規範)、智慧電表的資訊與透明化(例如在蒐集相關個人資料後,仍應依規範提供資料主體相關的訊息)等方面提出建議,供各會員國於制訂相關規範時的依據。
美國公布實施零信任架構相關資安實務指引美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。 壹、發布背景 此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。 有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。 貳、內容摘要 考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含: 一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft)) 主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。 二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)) 主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。 三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft)) 主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)) 此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。 參、評估分析 美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。 此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).