印度競爭委員會(Competition Commission of India, CCI)於2022年10月19日以違反競爭法(Competition Act)第3條及第4條規定,涉嫌協議限制競爭與濫用市場地位,分別對兩家網路旅行社(online travel agents, OTAs)—MakeMyTrip India Private Limited和Ibibo Group Private Limited(合稱MMT-Go)裁罰22.348億及16.888億印度盧比(約為2600萬和2029萬美金),並要求MMT-Go修改與合作飯店之間的「廣義平價義務條款」,CCI認為「廣義平價義務條款」可能會限制競爭,具有市場地位的業者施行可能造成壟斷,需要個案認定是否違反競爭法。MMT-Go向國家公司法上訴法院(National Company Law Appellate Tribunal, NCLAT)提起救濟,NCLAT於2023年2月23日宣布將對CCI的裁罰進行審理,預計於4月11日舉行庭審。
「平價義務條款」在OTAs和合作飯店間相當常見,是為了要解決搭便車問題,防止飯店從中獲取不公平利益,而平價義務條款分成「狹義」與「廣義」。「狹義平價義務條款」禁止飯店在飯店自身網站以更好的價格與條件進行銷售,因只限制飯店在本身銷售管道的條件,並不影響OTAs之間的競爭。而「廣義平價義務條款」則禁止飯店在其他銷售管道以更好的價格和條件進行銷售,此將減少OTAs之間的競爭。當具有市場地位的OTAs與飯店簽訂「廣義平價義務條款」,因其更為低廉的價格與市場地位,其競爭對手無法與之公平競爭,可能產生壟斷。
此外,歐盟可能有同樣的看法,歐盟委員會於2022年5月新修訂「垂直集體豁免規則」(Vertical Block Exemption Regulation, VBER)將廣義平價義務條款從豁免範圍中刪除,但仍豁免狹義平價義務條款。因為廣義平價義務條款可能限制競爭或造成壟斷,印度與歐盟對於廣義平價義務條款已經做出限制,可能是未來競爭法的國際趨勢,可以作為我國未來相關法規調適之參考。
從中國大陸第四次專利修訂草案初評我國廠商專利布局建議 資訊工業策進會科技法律研究所 法律研究員 方玟蓁 106年06月13日 壹、事件摘要 自2015年起「中華人民共和國專利法」進入第四次修正(以下簡稱草案),「中國國家知識產權局」(SIPO)也對外公布了送交國務院審議的修訂草案送審稿[1]。雖因部分條款極具爭議性,各方意見尚未底定,然而由其修法動機,能見其積極因應市場變化的迫切需求,且將該需求直接反應在專利法律制度上,提出更新更高的要求。 因我國企業於中國大陸市場經營的比例偏高,故產業之專利布局及其策略上,也需持續瞭解中國大陸相關修法趨勢。有鑒於此,本文嘗試以其草案之部分新增條文,提供我國廠商於中國大陸布局時的建議參考。 貳、專利權的強化保護: 一、草案明訂專利間接侵權的法律責任 由於專利侵權現象在群體侵權、重複侵權較為嚴重,中國大陸為積極防止該種專利權侵害的發生,對於明知有關產品係專門用於實施專利的原物料、中間物、零部件、設備,未經專利權人授權,為生產經營目的將該產品提供給他人實施了侵犯專利權的行為,應當與侵權人負連帶責任;或對於明知有關產品、方法屬於專利產品或者專利方法,未經專利權人授權,為生產經營目的誘導他人實施了侵犯該專利權的行為,應當與侵權人負連帶責任[2]。雖法條目前的適用性仍有爭議,但從其修法說明[3]的精神可推知,此修正係為加強當侵權行為發生時,相關人所應負的侵權連帶責任。 對於我國在中國大陸經營之上游(供應原物料或設備等)業者而言,因難以判定其提供之產品是否為專門用於實施專利之特定原物料、中間物、零部件或設備,因此,若為中國大陸經營之我國上游業者,可於提供產品(原料、設備等)給下游業者時,簽訂禁止利用所提供之該產品去實施侵犯專利權的行為。 同理,對於我國在中國大陸經營事業,委託代工來說,也應避免「誘導」代工業者實施侵犯專利權的行為,以維護自身的權利。 二、草案明訂網路服務提供者的法律責任 草案修訂之目的係為解決在快速的互聯網產業發展中,於涉及專利侵權時,若等待司法程序判斷,恐會導致難以估計的損害。當網路服務提供者知道或應當知道其所提供之網路被用於專利仿冒或侵害時,該網路服務提供者須立即採取刪除、屏蔽、斷開侵權產品連結等必要措施予以制止;再者,當專利權人、利害關係人舉證證明並通知網路服務提供者時,或專利行政部門認定侵犯或假冒專利並通知網路服務提供者時,網路服務提供者若未及時採取必要措施,對於損害的擴大部分須與該網路用戶負連帶責任[4]。 在行動通訊與網路技術的快速發展下,除了在實務上常見的,透過網路服務提供者的管道侵害著作權,使用者亦可能經由網路服務提供者的平台,公開販售未經授權的仿冒或侵害專利權之產品,進而再被傳輸、流通的風險也隨之攀升。 然而,關於專利侵害之認定,判斷者需具備足夠的專利法學知識與專利相關之技術背景,這對於網路服務提供者來說,要自行判斷網路使用者的行為是否侵權,實屬困難。因此,對於專利權侵害的事前預防,我國網路服務相關業者可採取事先通知的方式,例如在會員條款上增加嚴禁侵害專利權的規定、或當使用者上傳或下載時跳出「禁止使用或散播侵害專利權之行為」的視窗;再者,對於專利侵權的監控與處置,網路服務相關業者可提供第三人通報的聯絡窗口,並搭配接獲通報後的處理流程,例如暫時取下或暫時停權後通報相關單位等措施;上述建議ㄧ方面係為減少侵權行為的擴大,另一方面係有助於網路服務提供者,當其在實際監督使用者行為時,減少其需自行認定使用者是否侵權的責任。 三、草案明訂延長設計專利的權限及完善設計專利標的 草案修訂之目的係為完善設計專利之保護標的。此次擴大納入「局部」[5]設計專利,以及延長保護期間從10年改為15年[6]。草案的修訂可改善以往於我國提「部分」設計專利[7]保護時,於中國大陸仍只能提「全部」設計的問題;此外,我國目前的修法方向亦為延長設計專利的權限從12年改為15年[8]。企業將來布局規劃時,可同步參考我國及中國大陸在設計專利上的修法趨勢,有助於專利布局上的策略擬訂。 參、專利實運用的促進 一、草案引進「當然授權」(中國大陸用語為當然許可)制度 在英國、德國、法國、印度、巴西、泰國、俄羅斯均有專利當然授權制度的規定[9],雖然草案尚未有相關施行細則,但其主要特徵[10]如下: 專利權人事先以書面方式,向專利行政部門聲明其願意授權任何人實施其專利,經專利行政部門審查通過後公告實行授權;任何人意欲實施該當然授權之專利,應以書面方式通知專利權人,並支付授權費。 專利權人不得授予專屬授權、獨家授權[11],僅得授予非專屬授權。因當然授權之立意在於可增進專利權之技術實施流通,此規定是欲避免專屬授權或獨家授權與當然授權之立意產生矛盾。 專利權人有權撤回已經公告的當然授權,同樣以書面方式向專利行政部門聲明,但撤回不具有溯及力,不影響先給予的當然授權效力。 我國現行專利法雖有關於強制授權的規定,但該強制授權之主要目的在於避免國家遭受緊急危難時受專利權之限制,例如在重大傳染性疾病期間,可能會強制相關的醫藥、醫材專利授權(專利法第87條[12]),而我國強制授權尚有實際運用於一般民間之企業競爭,其結果備受爭議的情況(飛利浦與國碩之強制授權案[13])。至於民間自願授權的部分仍屬申請人自行媒合技術,並個別簽訂授權合約,並無當然授權之相關規定及概念,使得專利權技術推廣的範圍受到限制。 草案所引進之「當然授權」制度,對於持有中國大陸專利權但難於尋找授權對象的企業而言,將多一種授權選擇方式。當然授權制度可減少搜尋、聯繫、簽訂合約的來回延宕,增加其專利授權之成功率,達到立即發揮專利在產業利用上的價值,亦有利於持有中國大陸專利權的企業發掘潛在需求市場而搶占先機。再者,對於欲在中國大陸實施專利技術的企業來說,亦可減少斡旋的時間,僅需依法定流程支付權利金後,即能實施當然授權的技術,進而有效率地將技術商品化並提早獲利。 二、草案明訂隱瞞標準必要專利的默許授權 標準制訂組織對於標準必要專利(Standard Essential Patent,SEP)的授權,分為有償、無償,其最重要的精神在於公平、合理且非歧視性(Fair, Reasonable And Non-Discriminatory,簡稱FRAND)。當企業在參與標準制訂時,若選擇以FRAND授權,則係指標準必要專利擁有者,其具有「意願」[14]授權標準使用者使用該技術。因此,草案修訂之目的除具體體現FRAND精神,更進一步規範參與國家標準制定者,若未揭露其擁有之標準必要專利,則視為其同意授權其他標準使用者使用該技術[15],換言之,其企圖透過強制授權之法律效果,降低標準必要專利擁有者,利用隱瞞其標準必要專利之方式參與標準訂定,而於競爭中獲得不當之壟斷地位。 對於我國通訊相關業者而言,其在中國大陸經營時,通常為符合當地通訊規格,均避免不了去使用到標準必要專利技術,因此,草案的擬定方向,將有助於降低惡意隱瞞之標準必要專利的比例。換言之,若草案通過後,當我國通訊相關業者在中國大陸經營時,遭遇到標準必要專利的專利權人,以隱瞞其為標準必要專利的方式,進而提出不合理的授權金或拒絕授權時,我國企業將有機會於中國大陸依法請求國務院專利行政部門裁決,以保障自身的權利。 三、草案明訂職務發明的範疇 從草案將原條文中屬職務發明的「主要是利用本單位的物質技術條件」移除,看似為擴大實際從事發明之受雇人權利,然而於中國大陸《職務發明條例草案》[16]中關於職務發明的認定仍包含「主要利用本單位的資金、設備、零部件、原材料、繁殖材料或者不對外公開的技術資料等物質技術條件完成的發明,但是約定返還資金或者支付使用費,或者僅在完成後利用單位的物質技術條件驗證或者測試的除外」[17];因此,目前中國大陸於職務發明的範疇認定上仍容有疑義,但若比較兩者的修法精神,或可推知其共通的部分,即關於專利權人的認定上主要仍依合約約定為主[18]。 對於我國在中國大陸經營的企業而言,因現階段關於職務發明的範疇仍於修法階段,我國企業除了需持續關切中國大陸有關職務發明認定的修法動向外,尚可先於合約上,針對「主要是利用本單位的物質技術條件」作明確、合理的界定和權利歸屬約定,並於合約約定當受雇人從事非職務發明時的告知義務[19],以減少關於專利申請權、專利權所有人的爭議問題。 肆、專利執法的效率提升及透明化 一、草案明訂增設設區的市級及法律授權的縣級專利行政部門 草案增設專利行政部門係為加強專利行政部門對於故意侵害專利權行為之調查權力,且增加專利行政部門之專利侵權取締、專利市場監督、專利訊息大眾化之職權。其中部門除原省級外,另增設區的市級及法律授權的縣級專利行政部門[20],以達積極掃蕩仿冒與侵害專利權行為之目的。 草案修訂的方向試圖協助專利權人維權,持有中國大陸專利權的我國企業也可更積極保護自身權利免於被仿冒或侵害機率,同理,我國企業於中國大陸經營時,也應極力避免對於他人專利權的侵害。 二、草案明訂全國信用訊息平台 由於專利權具有無形性,以及侵權行為具有隱蔽性的特點,導致專利維權舉證難、週期長、成本高、賠償低、效果差[21];因此,草案修訂係透過專利行政部門建立的專利權保護信用訊息檔案,以納入全國信用訊息共享交換平台[22],進而杜絕侵權行為人重複侵害專利權。該全國信用訊息共享交換平台係用於將各企業之行為訊息登錄其中,以此公開揭露各企業之專利侵權之相關信用,以增加各企業對於預防專利侵權之積極性。 我國企業未來可透過該信用平台,輔助其於選擇對象上(如選擇供應商或客戶)的判斷。此外,為避免侵害他人權利,從開始研發、申請專利、取得專利權、具體實施的過程中,企業都應持續確認有關專利權利的合法性、有效性,以及是否有涉及他人專利保護範圍的可能性,倘因誤觸他人權利範圍而被公開不良記錄,恐將減損企業之商譽。 伍、總結 由此次中國大陸專利法修正草案的方向可推知,其係為預防侵權、加強取締專利侵權的執行力,並提升專利權的授權實施率。倘若草案通過,則我國在中國大陸市場經營的企業將首當其衝,故企業需密切追蹤中國大陸專利法法令的修正趨勢,以擬定相應的專利布局策略。 對於我國在中國大陸經營的上游原料或設備供應業者、委託代工業者、代工業者、網路服務相關業者、及通訊相關業者而言,草案皆有與其相對應的修法趨勢,可參考本文依據草案修訂之各部分所提供對於我國企業之建議。 有鑒於此,建議我國企業應盡早落實智財教育訓練、權利歸屬約定、完善內部智財管理制度、極力減少於源頭端的侵權情事等,以利於專利制度與企業運作的正向循環,進而提升我國企業於中國大陸發展之競爭力。 [1]《中華人民共和國專利法修訂草案(送審稿)》,(國務院法制辦公室2015.12.2),可參見http://www.sipo.gov.cn/ztzl/ywzt/zlfjqssxzdscxg/xylzlfxg/201512/t20151202_1211994.html (最後瀏覽日:2017/06/13)。 [2]《中華人民共和國專利法修訂草案(送審稿)》,第62條,(國務院法制辦公室2015.12.2)。 [3] 中華人民共和國國家知識產權局,<國家知識產權局關於“中華人民共和國專利法修訂草案(送審稿)”的說明> ,http://www.sipo.gov.cn/ztzl/ywzt/zlfjqssxzdscxg/xylzlfxg/201512/t20151202_1211994.html (最後瀏覽日:2017/6/13)。 [4]《中華人民共和國專利法修訂草案(送審稿)》,第63條,(國務院法制辦公室2015.12.2)。 [5]《中華人民共和國專利法修訂草案(送審稿)》,第2條,(國務院法制辦公室2015.12.2)。 [6]《中華人民共和國專利法修訂草案(送審稿)》,第42條,(國務院法制辦公室2015.12.2)。 [7]智慧財產局,<何謂部分設計?>,https://www.tipo.gov.tw/ct.asp?xItem=504152&ctNode=7633&mp=1 (最後瀏覽日:2017/06/13)。 [8]智慧財產局,< 106年度智慧財產權業務座談會自6月28日起舉辦,歡迎各界踴躍報名>,https://www.tipo.gov.tw/ct.asp?xItem=624733&ctNode=7127&mp=1 (最後瀏覽日:2017/06/13)。 [9]張洋,《我國專利當然授權制度的適用性及完善》,《知識產權》,第6期,頁120(2016),可參見http://www.pkulaw.cn/fulltext_form.aspx?Db=qikan&Gid=1510164167 (最後瀏覽日:2017/06/13)。 [10] 中華人民共和國國家知識產權局,<我國引入專利當然許可制度的必要性>,http://www.sipo.gov.cn/zlssbgs/zlyj/201703/t20170331_1309183.html (最後瀏覽日:2017/06/13)。 [11]智慧財產局,<何謂專屬授權?何謂非專屬授權?何謂獨家授權?>,https://www.tipo.gov.tw/ct.asp?xItem=504364&ctNode=7633&mp=1 (最後瀏覽日:2017/06/13)。 [12]我國專利法第87條:「為因應國家緊急危難或其他重大緊急情況,專利專責機關應依緊急命令或中央目的事業主管機關之通知,強制授權所需專利權,並儘速通知專利權人。有下列情事之一,而有強制授權之必要者,專利專責機關得依申請強制授權: (一)增進公益之非營利實施。 (二)發明或新型專利權之實施,將不可避免侵害在前之發明或新型專利權,且較該在前之發明或新型專利權具相當經濟意義之重要技術改良。 (三)專利權人有限制競爭或不公平競爭之情事,經法院判決或行政院公平交易委員會處分。 就半導體技術專利申請強制授權者,以有前項第一款或第三款之情事者為限。 專利權經依第二項第一款或第二款規定申請強制授權者,以申請人曾以合理之商業條件在相當期間內仍不能協議授權者為限。 專利權經依第二項第二款規定申請強制授權者,其專利權人得提出合理條件,請求就申請人之專利權強制授權」。 [13]智慧財產局,<智慧局作成廢止國碩公司特許實施飛利浦公司5項CD-R專利權之處分>,https://www.tipo.gov.tw/ct.asp?xItem=316777&ctNode=7123&mp=1 (最後瀏覽日:2017/06/13)。 [14]姚玉鳳,《標準必要專利的產生流程及實踐中的若干問題》,中國電信集團公司,北京出版社,頁164-166(2016),可參見http://www.infocomm-journal.com/dxkx/CN/article/openArticlePDFabs.jsp?id=157479 (最後瀏覽日:2017/06/13)。 [15]《中華人民共和國專利法修訂草案(送審稿)》,第85條,(國務院法制辦公室2015.12.2)。 [16]《職務發明條例草案(送審稿)》,(國務院法制辦公室2015.4.2),可參見http://www.sipo.gov.cn/ztzl/ywzt/zwfmtlzl/tlcayj/201504/P020150413381965255411.pdf (最後瀏覽日:2017/6/13)。 [17]《職務發明條例草案(送審稿)》,第7條,(國務院法制辦公室2015.4.2)。 [18]《職務發明條例草案(送審稿)》,第9條,(國務院法制辦公室2015.4.2)。 [19]《職務發明條例草案(送審稿)》,第10條,(國務院法制辦公室2015.4.2)。 [20]《中華人民共和國專利法修訂草案(送審稿)》,第3條,(國務院法制辦公室2015.12.2)。 [21]中華人民共和國國家知識產權局,<國家知識產權局關於“中華人民共和國專利法修訂草案(送審稿)”的說明> ,http://www.sipo.gov.cn/ztzl/ywzt/zlfjqssxzdscxg/xylzlfxg/201512/t20151202_1211994.html (最後瀏覽日:2017/6/13)。 [22]中華人民共和國國家知識產權局,<國家知識產權局專利訊息服務平台試驗系統>,http://www.sipo.gov.cn/wxfw/zlwxxxggfw/hlwzljsxt/hlwzljsxtsyzn/201406/t20140624_970340.html (最後瀏覽日:2017/06/13)。
日本簽署SBOM國際共通指引,強化軟體弱點管理,全面提升國家網路安全由美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, 簡稱CISA)自2024年以來,持續主導並規劃《SBOM網路安全之共同願景》(A Shared Vision of Software Bill of Materials(SBOM) for Cybersecurity)之指引訂定,作為保障網路安全之國際共通指引。於2025年9月3日,由日本內閣官房網路安全統括室為首,偕同經濟產業省共同代表日本簽署了該份指引,包含日本在內,尚有美國、德國、法國、義大利、荷蘭、加拿大、澳洲、紐西蘭、印度、新加坡、韓國、波蘭、捷克、斯洛伐克等共計15個國家的網路安全部門,皆同步完成簽署。以下為指引之重點內容: 1. 軟體物料清單的定位(Software Bill of Materials, 簡稱SBOM) SBOM於軟體建構上,包含元件內容資訊與供應鏈關係等相關資訊的正式紀錄。 2. 導入SBOM的優點 (1) 提升管理軟體弱點之效率。 (2) 協助供應鏈風險管理(提供選用安全的軟體,提升供應商與使用者之間溝通效率)。 (3) 協助改善軟體開發之進程。 (4) 提升管理授權軟體之效率。 3. SBOM對於利害關係人之影響 (1) 使軟體開發人員可選擇最符合需求的軟體元件,並針對弱點做出適當處置。 (2) 軟體資訊的透明化,可供採購人員依風險評估決定是否採購。 (3) 若發現軟體有新的弱點,使軟體營運商更易於特定軟體與掌握弱點、漏洞。 (4) 使政府部門於採購流程中,發現與因應影響國家安全的潛在風險。 4. SBOM適用原則與相關告知義務 確保軟體開發商、製造商供應鏈的資訊透明,適用符合安全性設計(Security by Design)之資安要求,以及須承擔SBOM相關告知義務。 近年來軟體物料清單(SBOM),已逐漸成為軟體開發人員與使用者,於管理軟體弱點上的最佳解決方案。然而,針對SBOM的作法與要求程度,各先進國家大不相同,因此透過國際共通指引的簽署,各國對於SBOM的要求與效益終於有了新的共識。指引內容不僅建議軟體開發商、製造商宜於設計階段採用安全設計,以確保所有類型的資通訊產品(特別是軟體)之使用安全,也鼓勵製造商為每項軟體產品建立SBOM並進行管理,包含軟體版本控制與資料更新,指引更強調SBOM必須整合組織現有的開發與管理工具(例如漏洞管理工具、資產管理工具等)以發揮價值。此份指引可作為我國未來之參考借鏡,訂定相關的軟體物料清單之適用標準,提升政府部門以及產業供應鏈之網路安全。
美國總統簽署通過2010年二十一世紀通訊和視訊無障礙法美國總統歐巴馬於2010年10月8日簽署通過2010年二十一世紀通訊與視訊無障礙法(Twenty-First Century Communications and Video Accessibility Act of 2010),將使美國約3600萬之聽、視障人士能無障礙的參與網路時代。該法案係增進身心障礙人士無障礙使用通訊傳播服務之保障,因應新興科技之發展,修訂既有法規的不足。由於新興科技的發展擴大身心障礙者使用科技的障礙與落差。同時,美國電信法放鬆管制的趨勢,將通訊服務區分為「電信服務」與「資訊服務」,使新興通訊服務因歸屬於「資訊服務」而不受管制。 在既有法規出現不足的情形下,美國國會於2010年8月通過該法,因應美國身心障礙人士使用新興通訊傳播工具與服務之障礙,修訂了許多內容: • 使具備接取網際網路能力之智慧手機,改進用戶界面使視障人士能易於使用。 • 透過口述影像之要求,以聲音描述媒體之非對白內容,如場景變化、表情、事件等,使視障人士,更充分地欣賞電視媒體內容。 要求節目指南和功能選單的設計,更易於視障人士使用。透過隱藏性字幕的要求,對媒體內容更多細節的描述,使聽障人士亦能充分瞭解電視節目內容。要求的控制接收或播放媒體之設備,應有易用之設計,如按鈕或專用圖示,使字幕或口述影像之功能能易於開啟或關閉。擴展進階通訊服務之定義,包含VOIP、及時訊息(如MSN)及視訊會議。並要求這些進階通訊服務能易於被聽、視障人士使用。 對低收入的且具有聽、視雙重障礙人士,提供高達 1000萬美元,補助通訊設備接取電話及網際網路,使這些人能夠更充分地參與社會。該法將能確保身心障礙人士能無障礙使用通訊工具、獲取資訊與視訊媒體內容,無論何種形式(文字、視訊、語音),也無論傳輸媒介(有線、無線、衛星、IP網路),建構無障礙之通訊傳播環境。
雲端時代資料保險機制之解析雲端時代資料保險機制之解析 科技法律研究所 2013年12月05日 壹、前言 資訊時代,資訊應用所帶來的風險幾乎無可迴避,且往往帶來莫大衝擊;尤其在網路應用普及之後,大量資料透過網路傳輸、流通而暴露於資訊安全的風險當中,縱有再有高層級的防護,也無法使資料受損或漏失的風險機率降至零,因此有論者以為,對於無法藉由資訊安全措施加以避免的「殘餘風險」(Residual Risk),應由「保險機制」予以移轉。本研究特探討本議題,以呼應目前日益進展的保險產品發展趨勢。 此類的保險機制,一般稱為資料保險,專門填補網路應用所造成的風險,諸如網路安全(Network security)之欠缺所造成的損失,或者隱私(Privacy)被害所造成的損失。依據產業觀察者意見,此類保險產品的市場正有逐漸擴張的趨勢,尤其是對於健康照護服務(Health care)以及中小型的業者而言,此類保險對於風險管理服務可以發揮長足的作用,其能夠填補資料被害的通知成本、信用監控以及加強資料防護的成本[1]。 本文以雲端運算應用的興起為背景,觀察相應保險機制的演進及發展;以及其對於產業發展而言,為何被視為不可或缺的配套機制,進一步檢視我國推動資料保險的可行性與條件。 貳、資料保險機制的發展 一、資料保險的種類 用來填補資料受害之損害的保險,一般被稱為「資料保險」,尚可見以「網路保險」或「隱私保險」稱之。與其直接定義何謂「資料保險」,不如分析此保險的涵蓋範圍。此類保險早在十幾年前出現,當時其保險範圍,是填補資料被害所引發的損害賠償責任[2]。 財產保險可分成兩大類型,一類是一般的財產損害,即保險事故發生導致被保險人的財產減損或喪失,承保此類財產損失之保險,即英美法系所稱之「第一方保險」(First-party coverage)。另一類則是責任保險,即保險事故發生導致被保險人應負擔法律上責任或契約上損害賠償責任,承保因被保險人應負擔責任之財產損失,即所稱之「第三方保險」(Third-party coverage)。 在資料應用環境中,因資料受害導致損害大抵可依上述區分。當遭遇網路犯罪的損害、毀壞(Destroys)或是剝奪被保險人對於資料的使用權限,則屬於第一方財產損失。另一方面,當被保險人所保護、監管(Custody)或控制的第三人資料或資訊,遭遇網路犯罪損害、毀壞或竊取時,將使被保險人必須承受對第三方負擔損害賠償責任、並支付相關費用,此屬於第三方財產損失,例如入侵資訊系統而竊取信用卡資訊、受保護的個人資料、及銀行的帳戶號碼,又如妨礙有合法權限的第三人近用系統,以及違反法規所要求而未向第三人通知資料侵害等…[3]。 二、資料受害所致損害是否得請求保險賠償過往有很大爭議 傳統的財產保險,由於未指明承保因資料被害所致損失,往往會在被保險人因資料被害導致財產損失而請求保險賠償時,發生很大的爭議。主要的原因是,傳統的財產保險其設計原則,是以被保險人對於有形財產的「保險利益」作為「保險標的」,並以有形財產受損來估算保險損害,並未考量到資料等無形財產。因此,起因於資料或類似形態的程式、軟體之缺損所致的損害,是否可能在傳統財產的保險範圍內,頗有疑義,且司法實務上的意見相當分歧,茲整理如下。 (一)有利於被保險人的實務見解 在America Guarantee & Liability Insurance Co. v. Ingram-Micro[4].中,Ingram-Micro因幾分鐘的電力中斷,導致電腦資產與資料的喪失而嚴重影響正常的業務運作,遂依業務中斷保險(Business-interruption insurance)請求保險賠償,但遭受保險公司拒絕,保險公司提起訴訟並宣稱承保範圍未包含電腦與其他資產。地方法院認為,被保險人客製軟體程式的喪失,構成「具體損害」,具體損害不限於電腦迴路的被有形損毀或傷害,也會包含無法近用(Loss of access)、無法使用(Loss of use)以及功能喪失。 另一案Lambrecht & Associates, Inc. v. State Farm Lloyds[5],保險公司認為電腦病毒感染所造成的損失,非有形損失,因而拒絕保險給付。法院認為,本案之電腦系統以及儲存的資料皆因病毒感染而毀壞、被置換(Replaced),此種結果,等於電腦系統完全無法接收、發送或回復任何形態的資訊,而完全失去作為電腦系統的效用;因此未接受保險公司的主張。 近期一例為責任保險爭議。Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co.[6]中,Retail Venture是DSW鞋子盤商,2005年時它的電腦系統遭駭客入侵,共有百萬筆的客戶資料遭不當下載且許多資料夾也被翻閱過。由於DSW向Nat'l Union購買商業竊盜險,在其承保項目中包括電腦與資金移轉詐欺(Computer & Fund transfer fraud coverage),DSW遂向保險公司請求保險賠償,主張此次駭客入侵所造成的損失有530萬元之多,但保險公司拒絕給付賠償金。於是DSW對保險公司提起訴訟,地方法院認定保險公司應支付保險賠償,保險公司不服,提起上訴至巡迴法院,巡迴法院認為,條款規定雖是限於該損失是由保險事故「直接造成」(Resulting directly from),但這不代表該保險事故必須是造成損失的「唯一」(Solely)與「立即」(Immediately)的原因[7],因此維持地方法院的判決。 (二)有利於保險人的實務見解 在America Online, Inc. v. St. Paul Mercury Insurance Co.中,由於America Online(AOL)所生產的網路接取軟體AOL 5.0據稱會毀壞用戶的電腦系統,因而被客戶訴訟求償,AOL依責任保險內容,轉而請求保險公司應替其進行訴訟防禦,遭保險公司拒絕。為此,AOL對保險公司提起訴訟,法院遂檢視保險契約中是否載明保險公司有進行訴訟防禦的義務。契約中將情境限於「有形」財產損失,法院解釋,從字義上一般不會認為電腦資料、軟體及系統是「有形」財產,因為有形財產應是指可以觸摸(Be touched),但電腦資料、軟體及系統無法被感官感知,因此是無形財產。此外契約中亦有「功能降低除外條款」,意即,不良品或者危險產品所造成的損害非有形,故被排除在承保範圍內。法院據此否認AOL的主張[8]。 三、「新」資料保險產品應運而生 從上述實務案例的觀察,作成不利於被保險人判決結果的法院,是直接認定電腦資料、軟體與系統為無形財產。反之,作成有利於被保險人判決結果的法院,是將「資料」(程式或軟體)與「電腦系統」合為觀之,而認定電腦系統為有形財產,把電腦系統無法發揮正常作用視為具體損害。即使判決結果可能有利於被保險人,但是解釋方式卻較為迂迴,也顯得被保險人相當艱辛。 參、外國資料保險機制之發展實例與推動 雲端運算發展日益普遍日後,可以透過網際網路提供資訊服務(例如儲存空間、應用程式等),「資料」已然不附載在特定或固定的載體(電腦系統)上。因應整體資訊應用形態的轉變,國內外市場上逐漸有相關資料保險產品推出的案例。 一、實例 第一個例子,MSPAlliance是一個資源管理服務業者暨認證聯盟,於2013年4月與保險經紀公司Lockton 合作,設計「雲端暨管理服務」保險(Cloud and Managed Services Insurance),讓其聯盟會員提供資訊服務時得以購買此保險;承保項目包括因網路攻擊、資料滅失或系統故障而導致應負擔損害賠償責任,以及因技術錯誤或無法作用(Tech Errors & Omissions)所導致的損害賠償責任,亦包含在內。至於被保險人的資格要求,則限定是聯盟會員,且必須通過Unified Certification Standard (UCS)驗證。事實上,要求被保險人取得一定的驗證,是保險風險管理很重要的ㄧ環。 第二個例子,雲端保險服務平台Cloudinsure於2013年2月宣布與保險經紀公司Lockton合作,擬設計適於雲端環境的隱私與安全責任保險方案。其保險產品內容主要在確保雲端服務提供者可履行在契約、或服務水準協議(Service Level Agreements)中的承諾,再者也能依據其客戶存放於雲端環境之資料的風險層級,給予金錢防護。 第三個例子,與前兩例不同,是針對一般的資訊服務使用者來設計。保險經紀公司達信(Marsh)於2012年6月針對雲端環境的企業使用者,開發新的保險方案CloudProtect。被保險人是採用雲端服務的中小型企業,承保項目包括:因雲端服務中斷所致的營運收入損失(Loss of income)、因採購新的雲端服務提供者所產生的相關費用支出、因資料轉換至新的雲端服務所產生的相關費用支出。 二、政府的參與及投入推動 美國的國家技術標準局(Institute of Standards and Technology, NIST)在規劃新網路時代藍圖時,把持續促進資料「保險」(Cyber Insurance),列為關鍵的一角。從這個角度而言,保險不僅具有轉移風險與填補損害的功能,更具有正面積極的意義,可作為新興技術發展的後盾。對於NIST這樣的主張,美國保險人協會(American Insurance Association)也予以呼應,認為針對網路應用環境而持續開發各種保險產品,是勢在必行的方向。 (一)政策推導 美國證券交易委員會指引(2011年),建議公司若為因應資安風險而購買保險產品,應列入資訊揭露範圍。此被認為是間接鼓勵企業購買相關保險產品的具體措施之一。 (二)政府機關作為被保險人購買資料保險之例 美國有以政府機關名義購買資料相關保險之例,蒙大拿(Montana State Government)購買「網路資料安全保險」(Cyber/Data Information Security Insurance),為期一年(2012年7月1日至2013年7月1日),保險項目包括:資訊安全責任(每次事故保險賠償上限200萬美元)、行政罰款(每次事故保險賠償上限200萬美元)、損害通知支出(每次事故保險賠償上限100萬美元)、網站媒體披露支出(每次事故保險賠償上限200萬美元)、每次保險事故發生以200萬美元為總保險賠償限額。此案之保險業者為Beazley,保險經紀人為Alliant Insurance Services。值得特別注意的是,保險項目當中包含損害通知支出,此是呼應了美國相關法令要求業者必須於獲悉資安事故時踐行通知相關的資料主體。 資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 肆、結論-我國推動相關資料保險機制可行性之總合評析 現階段我國相關保險市場的現況,為因應我國個人資料保護法的通過與正式實施,也有推出資料相關保險產品,目標客群為企業,以協助企業因應觸及個人資料可能產生對他人的損害賠償責任、及填補其他附帶損害為主要訴求。至於,針對業者(被保險人)因提供資訊服務過程中的資料被害、毀損滅失所導致營業損失(營運中斷、負擔契約上損害賠償責任)之損害填補,似尚未有相關保險產品推出。考其原因,是保險業者對於此種因無形財產(資料)所導致損害的保險賠償模式,尚未累積足夠的經驗,也缺乏相關精算數據的掌握,因而不敢貿然承作,另一方面,保險業者本身也擔憂無足夠資力因應大規模的保險事故。 對此現象,我國主責資訊服務產業推動的有關政府部門,也思及政府投入參與資料保險機制,例如推動以機關為被保險人而購買相關的資料保險,藉以活絡資料保險市場;此種構想,在法律層面並無疑義,此乃保險賠償與國家賠償機制雖有各自目的,但未有所衝突[9]。然而,實際操作上,必須考量政府機關資訊系統是否能通過保險業者的保險風險查核、是否有足夠的預算足以支付保險費用、以及決策單位是否能有效與資訊業務單位溝通以評估購買此類保險的需求...等諸多問題。 事實上,我國相關資料保險市場要邁向成熟發展,尚待多方努力,除保險業者本身規劃並提出合適的保險產品之外,參酌國外經驗,保險經紀公司也能扮演一定角色,可針對客戶需求量身訂作風險評鑑、研提最符合的保險方案,並藉客戶共同需求而匯聚保險風險共同團體。政府所扮演之角色,除直接以政策推導之外,尚能在若干條件齊備之後實際參與保險機制,其後續方向值得關注。 [1]Collin J. Hite, Top lawyers on trends and key strategies for the upcoming year the ever-changing scope of insurance law, Aspatore Feb. 2013. [2]http://www.computerweekly.com/news/2240202703/An-introduction-to-cyber-liability-insurance-cover (last visited at Oct. 24, 2013) [3]Jack Montgomery, Cybercrime losses and insurance for property damage and third-party claims, Maine Bar Journal, Summer 2012, p. 159. [4]Civ. 99-185 TUC ACM, 2000 U.S. Dist. Lexis 7299 (D. Ariz., April 19, 2000). [5]Lambrecht & Associates, Inc. v. State Farm Lloyds, 119 S.W.3d 16, 25 (Tex. App. 2003). [6]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012). [7]Retail Ventures, Inc. v. Nat'l Union Fire Ins. Co. of Pittsburgh, Pa., 691 F.3d 821 (6th Cir. 2012), p.13. [8]America Online, Inc. v. St. Paul Mercury Ins. Co., 207 F. Supp. 2d 459 - Dist. Court, ED Virginia 2002, P.461-462. [9]請參考96年法務部法律字第0960003420號函。