美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
2025年4月30日,奈及利亞個資保護委員會(NDPC, Nigeria Data Protection Commission)的國家委員兼首席執行官Vincent Olatunji博士,在非洲資料保護機構網路(The Network of African Data Protection Authorities, NADPA)年會前的媒體發布會上宣布,奈及利亞已申請成為全球跨境隱私保護規則(Global CBPR, Global Cross-Border Privacy Rules)論壇的準會員(associate member),若申請通過,奈及利亞將成為非洲第二個加入全球CBPR論壇( Global CBPR Forum )的國家。 Olatunji博士提及:奈及利亞資料保護法已在奈及利亞的資料保護及隱私領域開闢了10億美元的商機,顯著提高該國的國內生產總值(Gross Domestic Product, GDP)因此,申請加入CBPR論壇將會成為達成Tinubu總統欲將奈國發展為3兆美元的數位經濟體的願景的重要一步。 Olatunji博士進一步指出:成為CBPR論壇會員將會促進跨境的資料流動,並且可以同時保障公民隱私權及國家的資料主權,而奈及利亞資料保護法為此類國際合作提供了堅實的法源基礎。加入CBPR論壇為奈國國內的組織在跨境資料傳輸方面提供更多的選擇,同時也確保奈及利亞資料保護法規範底下,可以更完善地落實個人資料的保護措施。 美國駐奈及利亞大使館代理副大使Christine Harbaugh稱讚奈及利亞申請成為CBPR準會員是重要里程碑,展現了該國在全球數位經濟的領導地位,並且高度肯定奈及利亞在數位成長及轉型方面的進步。 申請加入CBPR論壇,展現奈及利亞對於資料保護政策與國際接軌的決心,有望提高未來奈國在非洲資料保護及隱私領域的話語權。
美國線上交易方式可能在歐洲行不通由於美國與歐洲國家消費者保護政策以及對定型化契約條款的解讀不同,在美國電子商務應用中所常見的線上契約定型化條款內容,很可能在歐洲被解釋為對消費者不公平 (unfair) 而無效。 一位在法國巴黎執業的律師表示,在 AOL Bertelsmann Online France v. Que Choisir 案件中,許多美國律師常用的定型化契約條款,例如:網際網路服務提供者擁有單方變更契約內容之權;消費者之繼續使用服務等同於默示同意新的付費條款內容;網際網路服務提供者對於網路中斷造成的損害不負任何責任;限制消費者只能依循 AOL 的服務使用約款進行損害賠償之求償;及網際網路服務提供者保有中止服務等權利之條款等,在法國法院都被解釋為不合法而無效。雖然 AOL 這個案子還在進行上訴程序,法國巴黎法院在審理另一個案件時,也將類似的條款視為無效,而該案涉案主角則是義大利網際網路服務提供者。 由於法國對於消費者保護的法規係源自於歐盟指令,而歐盟所有會員國皆須在一定期間內將指令內容納入內國法規範,一位在英國執業的律師表示, AOL 在法國法院所得到的判決,如果發生在英國甚或其他歐盟會員國,也可能得到同樣的結果。
歐盟營業秘密指令草案因巴拿馬文件揭露事件,受到歐洲議會熱烈討論巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。
研析經濟部智慧財產局因應TPP協定所提著作權法修法草案研析經濟部智慧財產局因應TPP協定 所提著作權法修法草案 資策會科技法律研究所 法律研究員 陶思妤 105年06月17日 壹、前言 全球化經濟發展蓬勃,為降低貿易障礙與深化產業供應鏈,世界各國皆積極參與自由貿易區協定(Free Trade Area,簡稱FTA)的洽簽。跨太平洋夥伴協定(Trans-Pacific Partnership Agreement,以下簡稱TPP協定)第一輪談判後12個成員國占全球GDP的36%,而我國與TPP成員國在2014年的貿易總額亦高達34.82%。TPP協定的簽訂,勢必對於我國經貿產生重大影響。 TPP協定以美國為主導國,標榜「高品質、高標準、涵蓋範圍廣泛」。其中的智慧財產章節,相較於與貿易有關的智慧財產權協定(Agreement on Trade-Related Aspects of Intellectual Property Rights,以下簡稱TRIPS)標準更高,提供智慧財產權利人更強的保護。為爭取於第二輪申請加入,我國因應TPP協定擬修正12項法規。 其中,針對智財相關法規,經濟部智慧財產局已於105年5月10日因應TPP協定將著作權法(以下簡稱本法)修正草案送交行政院。主要的修正重點包括:1. 延長著作財產權保護期限至70年;2.新增規避科技保護措施之刑事責任(原僅規範準備行為),並將規避行為、準備行為的刑事責任限定於商業目的;3. 擴大「意圖銷售或出租而重製」、「以營利為目的散布侵害著作財產權重製物」行為的非告訴乃論範圍,以及將「侵害公開傳輸權」之刑事責任調整為非告訴乃論;4.增訂載有節目之鎖碼衛星及有線訊號保護的相關規定。 本文將分析我國現行著作權法與TPP協定著作權相關規定之落差、修法重點方向,並提出修法可能對我國產業造成之影響及後續因應。 貳、修正要點與研析 一、延長著作財產權保護期間至70年 現行條文主要依據1982年伯恩公約,以著作人直系子孫三代之平均生存期間為標準,給予著作人終身加計50年之保護期間。然現今人類平均壽命因醫療科技進步,著作人終身加計50年已無法達到伯恩公約之保護標準。歐盟國家、美國、韓國、澳洲、新加坡皆加強對著作之保護,將著作權延長至著作人終身70年。因此本次修正草案因應TPP協定,修正本法第三十條至第三十四條(包含一般著作;共同著作;別名著作或不具名著作;法人著作;攝影、視聽、錄音及表演著作),將保護期間由原有著作人終身加計或著作公開發表後之50年延長至70年。 因應保護期間之修正,關於現存著作財產權的保護期間如何計算,以及已失效著作財產權是否能回溯,依修法條文,現行著作財產權仍存續者,適用新法70年保護期間的規定;著作財產權修正施行前已失效者,則不適用新法規定。而針對外國人著作,為避免修法後造成外國人著作於我國享有之保護期間高於其源流國,外國人著作在其源流國保護期間少於70年者,依其源流國所定存續期間計算。 二、新增規避防盜拷措施之刑事責任,並將規避行為、準備行為的刑事責任限定於商業目的 科技保護措施(Technological Protection Measures),係著作權人為了避免他人擅自接觸或利用其著作,而採取的有效防護措施。TPP協定規定,對於故意、且為商業利益或財務利得而破解科技保護措施之行為,屬於損害權利人權利之重大行為,應科以刑責。 本法對於科技保護措施之規避行為,例如安裝非法軟體並輸入序號後使用,僅課以民事責任,對於準備行為(例如業者提供遊戲機改機服務)方同時課以民事責任及刑事責任。配合TPP協定修正本法第九十六條之一,將規避行為亦列入刑事責任的範圍。 另外,考量就規避行為或準備行為科以刑責,主要希望聚焦打擊以商業目的違反科技保護措施者,避免公權力過度介入及司法資源浪費,故本次修法新增以「意圖營利或作為營業之使用」者為限,處以刑事責任。 三、擴大「意圖銷售或出租而重製」、「以營利為目的散布侵害著作財產權重製物」之行為的非告訴乃論範圍,以及將「侵害公開傳輸權」之刑事責任調整為非告訴乃論 為因應數位科技發展造成網路盜版之情形,並考量TPP協定對於著作權盜版行為的相關規定,本法修正針對數位環境下對著作權人造成重大損害的侵權行為應納入非告訴乃論。修正的重點主要有修改第九十一條、第九十一條之一條將非告訴乃論之標的由「光碟」修正為「數位格式」,並增訂第九十二條公開傳輸行為屬非告訴乃論之罪,並限定非告訴乃論之罪需「重大損害」始得成立。 (一)修正「意圖銷售或出租而重製」、「以營利為目的散布侵害著作財產權重製物」之非告訴乃論罪,放寬重製物型態由「光碟」改為「數位格式」 由於科技發展造成的網路盜版,數位格式較過去光碟容易重製且散布快速,因此將過去「重製於光碟之方法」之文字刪除,改以「數位格式」做為規定之適用客體。智慧財產局於修法理由表示,除過去所規定之光碟如DVD、CD,影音檔案等亦在「數位格式」的範圍之內,使權利人在現今數位環境下能有更周全的保護。 (二)改列侵害著作權之公開傳輸行為為非告訴乃論罪 本次的修訂將本法第九十二條侵害著作權之公開傳輸行為亦列為非告訴乃論刑事責任的範圍。所謂「公開傳輸」,係指以有線電、無線電、網路等其它通訊方法,藉聲音或影像向公眾提供或傳達著作內容。由於通訊科技的興起,著作得以藉由網路等通訊管道快速傳播,因此為嚇阻數位環境下著作權侵害的發生,本次修法參考日本立法例,將侵害著作權之公開傳輸行為亦列為非告訴乃論。 (三) 非告訴乃論罪限定為「重大損害」之侵權行為 另需注意的是,本次所修正的第九十一條、第九十一條之一、第九十二條,需「重大損害」始構成非告訴乃論之要件。針對「重大損害」,現有兩種修正方案:甲案以金額為門檻,限定為一百萬元以上之損害,乙案不以金額為門檻,提供三項「重大損害」之考量事項:重製之數量或點擊率、侵權網站註冊數或廣告收益、對著作市場價值之影響及其他著作財產人預期利益。TPP協定係以「商業規模」、「對權利人市場利益產生實質不利影響的重大行為」做為非告訴乃論的要件。權利人所受之損害是否與侵權人之商業規模或權利人市場利益相等,似非可完全畫上等號。惟根據智慧財產局針對修法之說明,本條係參考TPP首輪談判國日本之修法草案,應無逸脫TPP協定規定之疑慮。 四、增訂載有節目之鎖碼衛星及有線訊號保護之相關規定 近年來美國、新加坡、澳洲等國均已立法強化保護載有節目之衛星及有線訊號之合法權益。TPP協定亦規定,未經合法授權,應禁止衛星及有線節目解碼器材的流通、禁止訊號的接收及散布,並應提供對於訊號享有利益之人(不限於著作權權利人)的救濟。 目前我國法規在衛星訊號部分,衛星廣播電視法或其他法令均無規範,有線訊號部分僅有有線廣播電視法第74條有類似規定,然該規定僅要求未經系統經營者同意者需補繳基本費用,對於有線廣播電視業者及合法消費者之權益保護仍有不足。因此本次修法依TPP協定之要求,增訂第七章之一共四項條文。 (一) 衛星訊號 本次修法所增訂之第一百零四條之一,規定明知未經合法授權解碼,使用者不得擅自接收衛星訊號或提供予公眾。又因衛星訊號無形之特性,參考TPP協定,在準備行為的限制態樣上較有線訊號多元,除製造外,亦規定不得輸入、輸出、銷售、出租或其他方式提供衛星訊號解碼設備。且依智慧財產局之修法說明,此類設備不論無形或有形,只要目的或主要功能係於提供衛星訊號之解碼者,均在範圍內。 (二) 有線訊號 本次修法所增訂之第一百零四條之二,由於有線訊號需實體纜線輸送,因此參考TPP協定之要求,規定使用者不得未經授權擅自接收有線訊號,並規定不得製造或提供有線訊號解碼設備。 (三) 救濟 對於違反衛星訊號及有線訊號之保護而使他人受損害者,本次修法增訂一百零四條之三,讓受損害人得以利用民事救濟,包含民事損害賠償、侵害的防止或排除請求權,以及侵害物之銷毀等必要處置。由於衛星訊號除可提供收視戶直接視聽外,亦是有線節目訊號之節目來源,對鎖碼衛星訊號應有更周延的保護,因此特於一百零四條之四增訂違反衛星訊號保護之刑事責任。 參、結語:修法所涉及之影響 一、延長著作權保護期間可能造成出版業、文創產業協商授權成本增加 新修法將著作權保護期間由50年延長至70年,可能使很多原創著作延緩進入公共領域。我國目前屬著作權輸入國,保護期間的延長可能造成我國業者於著作權授權協商時授權金、權利金等授權成本的增加。因此,著作權保護期間的延長對於國內利用外國著作之出版業、文創產業等將可能造成一定衝擊,我國文創業者可從授權合作的洽談、商業模式的調整同步思考因應。 二、調整非告訴乃論範圍,納入數位及網路著作權侵權型態 考量數位科技發展造成網路盜版猖獗,目前著作權修正草案因應TPP協定之規定,將過去以非告訴乃論罪處罰的加重重製光碟罪刪除,放寬重製物的型態由「光碟」至「數位格式」。除了傳統認知上的盜版光碟,本次修法將數位重製、散布及網路侵權之行為也納入非告訴乃論之適用範圍。未來若網路上有出現非法連結或盜版影片,權利人可藉助公權力蒐證及取締,加強遏阻不肖數位盜版行為。而將非告訴乃論限定為「重大損害」始得成立的限制,應可降低以刑擾民的可能。 三、TPP協定中「商業規模」是否等同修法草案中「重大損害」仍待商榷 本次修法將「意圖銷售或出租而重製」、「以營利為目的散布侵害著作財產權重製物」之行為改列為非告訴乃論罪。為考量避免非重大侵權行為亦遭受國家公權力相繩之疑慮,本次修法限制需為「重大損害」的行為,始得以非告訴乃論罪論處。 然而,「重大損害」是否當然等同於「商業規模」,仍有進一步釐清的空間。根據TPP協定,具有商業規模之行為,包括:(一) 為商業利益或財務利得而為之行為;(二) 雖非為商業利益或財務利得,但對著作權人之市場利益產生實質的不利影響的重大行為。由此可推斷TPP協定希望能同時遏止利用他人著作權做為商業牟利的行為並保護權利人的市場利益。 目前修法草案的甲案以「一百萬元以上」的金額作為重大損害的標準。然而單純以金額為門檻作為標準,不就行為本身是否為商業牟利行為或是否影響權利人市場利益而為認定,是否合於TPP協定的旨意,仍有思考的空間。 而目前修法草案的乙案則是以三項考量因素判斷:重製數量及點擊率、註冊會員或廣告收益、權利人預期利益,亦存有疑義。例如,若一位網路素人於youtube上載一段影片批評某電影,影片含有該電影的片段。該視頻廣受大眾喜愛,因而使該網路素人點擊率高、廣告受益增加。然而,由於該網路素人的批評,造成電影公司的收益不如預期。這樣的情況可能符合本次修法乙案的三項考量因素,但取締此類影片是否為TPP協定之本意,仍有待商榷。 本文同步刊登於TIPS網站(http://www.tips.org.tw)