日本經產省發布中小企業開發IoT機器之產品資安對策指引

　　賽雷拉（ Cel-era）公司創始人溫特克萊首度來台，他是四年前完成人類基因體解碼的靈魂人物，他建議可運用基因解碼技術，建立基因資料庫，解決台灣醫療資源浪費。 　　事實上，早在2004年2月行政院科技顧問組為追蹤研究國人常見疾病與基因之間的關係，宣布推動「台灣疾病與基因資料庫」建置計畫。希望透過該基因資料庫的建立，確實掌握國人致病基因，奠定基因治療基礎，除了有效節省醫療資源浪費，更可鎖定特有亞洲疾病為研發重心，作為生技產業發展的優勢利基。台灣人口數約有二仟多萬，且具有完整健全的全民健保及戶籍資料，再加上台灣生物科技產業技術的蓬勃發展，想要建立大型的基因資料庫技術性應相當可行。國外有冰島和英國等多國發展之經驗可參考。 　　由於涉及人權自主、個人隱私、安全保密、社會倫理、研究成果的利益分享、以及由誰來擔任執行單位等方面的爭議，加上目前國內法令規範不足，既有相關法令多為位階較低的指導性公告，確實有必要建置相關配套制度及法律，以協助該計劃落實執行與發展。

　　近期美國與中國大陸雙方針對貿易問題展開激烈攻防，起因為美國冀望透過「貿易戰」扭轉中美龐大的貿易逆差，而其中一個主要爭議點即為中國大陸日趨嚴重之侵權仿冒等問題。 　　中國大陸於第十三屆全國人大常委會表決通過最高人民法院提請審議的《關於專利等案件訴訟程式若干問題的決定》，批准最高人民法院設立知識產權法庭，主要審理專利等專業技術性較強的知識產權民事及行政上訴案件，以達成知識產權案件審理專門、集中及人員專業化之目的，提供更為專業之司法服務及保障。由最高人民法院知識產權法庭統一審理發明和實用新型專利為主之上訴案件，有利於對中外企業知識產權之保護，實現知識產權效力判斷與侵權判斷兩大訴訟程式和裁判標準的對接，以利解決機制上之裁判尺度不一問題，提高知識產權審判品質效率，提升司法公信力。 　　值得注意的是，最高人民法院知識產權法庭審理之案件，僅以不服知識產權一審判決、裁定中發明和實用新型專利等案件，其他上訴案件，仍由智慧財產權法院所在地的高級人民法院審理。中國大陸最高人民法院院長周強表示，知識產權法庭之設立，宣示平等保護中外市場主體知識產權，該知識產權法庭並不會處理與不正當競爭、商標或營業秘密有關之案件。

A片也要搞創意！具原創性之A片享有著作權 科技法律研究所 2014年04月20日 壹、事件摘要 　　99年7月北市知名成人光碟店，以每片10元至20元買進盜版的無碼、有碼Ａ片，再以25元至50元轉售牟利，同年8月檢警查扣一萬一千三百片，且幾乎都是日本色情影片，引發日本Ａ片商聯合跨海提告。 　　檢方認定部分露點Ａ片屬猥褻物品，部分沒露點Ａ片侵犯日本片商著作權，分依違反《著作權法》及散布販賣猥褻物品罪起訴，但台北地院根據88年的最高法院判決要旨，認為Ａ片違反公序良俗，不受《著作權法》保護，僅依販賣猥褻物品罪判處六個月有期徒刑。 　　檢方上訴智慧財產法院後，合議庭隨機挑16部Ａ片，由台大教授黃銘傑鑑定，鑑定認為其中3部有碼Ａ片未抄襲，而係導演透過講故事來表達想法，且拍攝手法、情節設計及情慾表現，均有其構思及獨特性，已屬具原創性的著作，遂改判違反《著作權法》及販賣猥褻物品罪。 貳、重點說明 一、88年最高法院台上字第250號判決 　　本案原審法院認為A片不能享有著作權，主要是採納最高法院88年度台上字第250號刑事判決之見解，該判決指出：著作權法第3條第1款所稱著作，係指屬於文學、科學、藝術或其他學術範圍之創作，色情光碟片不屬之。蓋著作權法之立法目的除在保障個人或法人智慧之著作，使著作物為大眾公正利用外，並注重文化之健全發展，故有礙維持社會秩序或違背公共利益之著述，既無由促進國家社會發展，且與著作權法之立法目的有違，基於既得權之保障仍需受公序良俗限制之原則，是以，色情光碟片非屬著作權法所稱之著作，自不受著作權法不得製造或販賣等之保障。 　　當年這項判決的背景是因為有人向日本A片商購得台灣地區之發行權後，以刑事訴訟手段到處對錄影帶出租店取締侵害，獲取不當暴利，全國錄影帶出租店哀鴻遍野。對於業者以A片為威脅獲取暴利之工具，顯與國民情感相違，最高法院釜底抽薪之計，就是讓A片不受著作權法保護，業者就無法為惡[1]。 二、智慧財產法院101年刑智上易字第74號判決 　　103年2月20日，智慧財產法院101年刑智上易字第74號判決認為國外具原創性的色情片，應受國內著作權保障，判決理由節錄如下： （一）人民表現自由之基本權利受憲法保護 　　按人民有言論、講學、著作及出版之自由，憲法第11條定有明文。我國修正前之著作權法係採註冊保護主義，必須經登記程序，始得取得著作權，不符憲法保護言論與著作自由之本旨，修正後改採創作保護主義，避免出版品主管機關動輒依據88年1 月25日廢止之出版法第32條第3 款之規範[2]（妨害風化），禁止猥褻出版品之出版。且違反公序良俗之著作，並非著作權法第9 條規定之消極取得著作權之要件。準此，本院認不得以著作權法未規範之消極要件，禁止或剝奪有原創性之色情著作權人，應受著作權法保護之權利，否則即與憲法賦予人民表現自由之基本權利不符。 （二）我國為WTO會員應遵守TRIPS協定 　　我國為WTO 之會員，即應遵守TRIPS 協定，依據TRIPS 協定第9 條第1 項規定，會員應遵從伯恩公約第1 條至第21條及附錄之內容，應適用國民待遇原則與最低限度保護原則。伯恩公約第17條僅容許會員國以立法或行政程序行使允許、演出或展出等權利，未容許各會員國得將色情著作排除在著作權法保護客體之外。著作權之保護固具有屬地性，然著作權具有國際普及保護之性，是以，藉由國際著作權公約之締結，統一各國有關著作權法之規範內容。我國為WTO 之會員國，而著作權法亦具有國際性，我國為配合世界趨勢，期與國際規範相結合，自應符合TRIPS 協定之內容，修改與解釋著作權法之規範。我國與WTO 之全體會員間存有著作權互惠保護關係，應遵守TRIPS 及伯恩公約之國民待遇原則，是以，WTO 會員之色情著作於著作財產權存續期間內，未經著作權人授權或同意均不得擅自重製或散布。依著作權法第4 條第2 款之規定，外國著作應受我國著作權法保護。既然保護外國著作，對外國及我國色情著作亦應為平等之對待。 （三）是否取得著作權，應以有無智慧創作為判斷標準 　　色情或猥褻之定義，因時代與社會風情不同而異。猥褻一詞係不確定的法律概念，其認定標準，應依各時代、地域之道德標準、禮俗規範及生活習慣而定。以往雖認為「查泰來夫人之情人」為色情小說，然時至今日則視該著作為探討女人情慾之重要文學論著。近年知名電影著作「色戒」，不乏男女性交畫面，是以，情色著作不因僅具有色情之元素，即認為非著作。著作權法保護智慧創作之投入，不作道德風俗之審查，是否取得著作權，端賴有無智慧創作之著作，作為保護之判斷標準。至於是否敗壞風俗或有無散布權，係刑法或相關法律之規範，並非著作權法應處理之法律議題。 （四）不得任意加諸著作權法未規定之限制 　　依據創作精神智力投入之程度，作為著作權保護之要件，不得因著作有色情之素材，而遽認為非著作。申言之，色情素材並非不受著作權保護之消極要件，著作權之保護不宜過於道德化，不得貿然即以公序良俗之公益名義，不當限制色情著作權人之權利行使。否則所有涉及公序良俗之情事，動輒主觀認定重於著作權之私益，屆時恐變成濫用公序良俗之情形，淪為流氓條款，將嚴重影響法之安定性及交易安全。 （五）抽樣之部分光碟具有原創性 　　我國著作權法採創作保護主義，故色情著作係本於獨立之思維、智巧及技匠，具有原創性，依著作權法第10條規定，著作人於色情著作完成時，即享有著作權。就原始性而言，係指著作人原始獨立完成之創作，而非抄襲或剽竊所致；創作性係指著作具有之少量創意，其足以表現作者之個性。職是，創作性之程度，不必達空前未有之地步，倘依社會通念，該著作與前已存在之作品間有可資區別之變化，足以表現著作人之個性即可。反之，著作與人類之思想感情無關，未能展現作者之個性者，即無創作性可言，則非著作權法所稱之創作。 　　起訴書附表編號126、600、696等光碟，均經專業團隊企畫，先由編劇編纂、設計不同內容之劇情及文案，並撰寫劇本及臺詞，繼而經由導演指導演員演出及專業攝影人員拍攝，復經剪輯後製及廣告行銷之策劃，花費諸多成本製作，核屬具原創性之人類精神創作，足以表現製作團隊之個性與獨特性。 參、事件評析 　　A片到底有沒有著作權？智慧財產法院101年刑智上易字第74號判決以原創性的有無，作為A片能否取得著作權之判斷標準，有別於實務上向以88年台上字250號判決為圭臬的否定見解，其見解不僅呼應了主管機關經濟部智慧財產局的看法「色情片或限制級片，不論是本國或外國，是否係本法所稱之著作，應視具體個案內容是否符合上述規定而定，如具有創作性，仍得為著作權保護標的。至於其是否為猥褻物品，其陳列、散布、播送等，是否受刑法或其他法令之限制、規範，應依各該法令決定之，與著作權無涉。」[3]，同時也與德國、美國、日本、大陸地區等立法例相同，故本判決一出，即獲得各方之贊同[4]。 　　然而，在肯定該判決的同時，觀察其判決理由，未來在判斷A片著作權時，除判斷是否具備原創性外，仍需注意以下事項： 一、色情軟蕊作品始受著作權法保護 　　判決理由提到：「…釋字第617 號解釋，將猥褻物品分為硬蕊與軟蕊。前者係指對含有暴力、性虐待或人獸性交等情節，不具藝術性、醫學性或教育性價值之猥褻資訊或物品；後者係指除硬蕊之外，客觀上足以刺激或滿足性慾，而令一般人感覺不堪呈現於眾或不能忍受而排拒之猥褻資訊或物品。因硬蕊著作之性質，非屬文學、科學、藝術或其他學術價值，顯無促進國家文化發展之功能，即無保護之必要性，故探討色情著作是否受著作權法之保護，著重於軟蕊之範疇。…」換言之，硬蕊作品並無著作權之保護，必須是屬於非含有暴力、性虐待或人獸性交等情節的軟蕊作品，始為該判決討論的範疇而受著作權保護。 二、是否需有馬賽克遮蔽始受著作權法保護？ 　　色情影片是否因「有碼片」或「無碼片」致受著作權法之保護有異？判決書中亦肯認此為本案爭點之一，對此，判決結論認為「具有原創性之色情軟蕊著作應受著作權法保護」。據此，色情影片受著作權保護需具備二個要件：（一）軟蕊著作（二）原創性。 　　然而，此項結論似無法解決馬賽克遮蔽的爭點，按判決理由中除詳細分析軟蕊、硬蕊的差異，並詳細介紹了16部抽樣鑑定影片的其中3部劇情內容、拍攝手法等而具有原創性，但卻未說明馬賽克遮蔽在著作權保護的差別，而僅以一句「…參諸該等影片性交畫面均使用馬賽克遮蔽，亦無任何人獸交、裸露性器官之畫面，其為具有原創性之視聽著作，自應受我國著作權法之保護。…」輕輕帶過，不免使人有所錯亂。亦即，對於被認定無著作權保護的13部影片，我們可能會推論其原因可能是（一）因無馬賽克遮蔽，故不屬於軟蕊著作。或（二）因無馬賽克遮蔽，故不具備原創性。抑或（三）軟蕊、具原創性，但無馬賽克遮蔽。 　　對於第一項推論，係將馬賽克遮蔽作為判斷軟蕊、硬蕊之標準，可能與大法官釋字第617號解釋所稱「係指對含有暴力、性虐待或人獸性交等情節，不具藝術性、醫學性或教育性價值之猥褻資訊或物品」之判斷基準有所出入；第二項推論，係將馬賽克遮蔽作為原創性之判斷標準，此時可能與該作品是否「本於獨立之思維、智巧及技匠，具有原始姓與創作性」之認定有所扞格；而第三項推論，則是將馬賽克遮蔽作為除軟蕊著作及原創性以外之第三個要件，然而對於此要件，卻未如前二項要件般於判決理由中詳細說明，故色情影片是否因「有碼片」或「無碼片」致受著作權法保護有異之訴訟爭點，恐怕仍有待釐清。 [1]章忠信，「A片可以享有著作權」，著作權筆記網站，http://www.copyrightnote.org/crnote/bbs.php?board=6&act=read&id=98（最後瀏覽日：103年3月4日） [2]出版法第32條（已廢止）：出版品不得為左列各款之記載： 一、觸犯或煽動他人觸犯內亂罪、外患罪者。 二、觸犯或煽動他人觸犯妨害公務罪、妨害投票罪或妨害秩序罪者。 三、觸犯或煽動他人觸犯褻瀆祀典罪或妨害風化罪者。 [3]經濟部智慧財產局中華民國92年09月10日智著字第0921600729-0號函 [4]同註1。

美國網路安全相關法規與立法政策走向之概覽 科技法律研究所 法律研究員 沈怡伶 104年08月11日 　　網路安全（cyber security）是近年來相當夯的流行語，而在這個萬物聯網時代，往後數十年對於網路安全的關注勢必不會減退熱度。在美國，因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾，也讓許多企業產生實質上經濟損失和商譽受損，隨之而來的是聯邦和州政府主管機關的關切目光，除了透過政策和行政規管之外，國會也開始制訂新法或對現行法規進行修法，補入對於網路安全維護之要求，以下本文將簡介美國現行法規範之要點及目前最新法案。 壹、美國聯邦政府相關網路安全規範、標準及措施 一、金融業相關管制規範 　　對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法（Gramm-Leach Bliley Act, GLBA ）」，該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊，維護客戶個人資料的機密性、完整性和安全性，避免遭受任何可遇見的威脅或騷擾，以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。 　　另外美國證券交易委員會（Security and Exchange Commission, SEC）下設法令遵循檢查與調查室（SEC Office of Compliance Inspections and Examinations, OCIE），在2014年發布全國檢查風險警示（National Exam Program Risk Alert），命名為「OCIE 網路安全芻議（OCIE Cybersecurity Initiative）」，用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗；而金融監管局（Financial Industry Regulatory Authority ,FINRA）也在2014年實施「掃蕩計畫（sweep program）」，金融監管局就其主管的特定企業會寄發的檢查通知書，要求回答有關於企業網路安全的相應準備措施[2]。 二、支付卡產業資料安全標準（Payment Card Industry Data Security Standard, PCI DSS） 　　該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準，雖不具法律位階，但因其公信力，美國企業都會自律遵循的規範，保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式，並追蹤和監督網路資源和持卡者的個人資料，並發展出一個強健的支付卡數據安全流程，包括預防、偵測及適當回應資安事故的方式[3]。 三、醫療健康資訊相關管制規範 　　「健康保險可攜式及責任法（Health Insurance Portability and Accountability Act of 1996, HIPPA）」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時，需受有基本的保護措施和機密性之法規[4]；爾後，「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構，並強化資訊傳輸時的安全性和效率性規定[5]。 貳、立法焦點新況：網路安全及網路威脅資訊共享 　　美國政府對網路安全非常看重，因其對國家經濟和國家安全都有巨大的影響力，不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位，也尚未建立數位關鍵基礎建設的全方位發展策略；透過盤點與檢視，美國政府的網路空間政策（Cyberspace Policy）方向之一，是建立網路安全合作夥伴關係，包括各級政府間的水平合作及公、私部門間的上下合作網絡，共同研發尖端技術因應數位式帶的網路安全威脅[6]。 　　針對網路威脅資訊分享方式，美國國會一直持續的研擬相關法案，希望能在妥適保護公民隱私和公民自由的前提下，建立資訊分享管道，2015年3月美國參議院提出754號法案「網路安全資訊分享法2015（Cybersecurity Information Sharing Act of 2015, CISA）」[7]，試圖將CISA作為國防授權法（National Defense Authorization Act，NDAA）修正案之一部，但卻未獲得足夠通過票數[8]。CISA係由美國情報局（Director of National Intelligence）、國土安全部(Department of Homeland Security)、國防部（Department of Defense）和司法部（Department of Justice）共同定之，計十條，目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體（個人或企業）[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府，以阻止或減輕網路攻擊帶來的負面衝擊；其二，允許私人實體得為網路安全之目的，在一定要件下監控自己或他人的資訊系統，以運作相關的網路安全防御措施，並分享資訊給聯邦各級政府。CISA亦設計了監督機制，和隱私及公民自由保護條款，避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過，但參議院並未放棄，欲以該法案的基礎框架進行修正，修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護，預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。 現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統，而主要分享標的為「網路威脅指標（cyber threat indicator）[12]及「防禦措施（defensive measure）」[13]。網路威脅指標係指有必要描述或鑒別之： 一、惡意偵察，包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊，而利用異常態樣的通信模式。 二、能破解安全控制或利用安全漏洞的方法。 三、安全漏洞。包括能指出安全漏洞存在的異常活動。 四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時，不知情地使安全控制失效或利用安全漏洞的方法。 五、惡意網路命令和控制。 六、引發實際或潛在的危險，包括因特定網路安全威脅使資訊外洩。 七、其他任何具網路安全威脅性質者，且揭露並不違法其他法律者。 八、任何結合上開措施之行動。 　　防禦措施（Defensive measure）則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊，能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意，破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。 　　就資訊共享部分，法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法，；後者相關辦法由司法部訂定，讓聯邦機關依法接收來自私人實體的指標和防禦措施，不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊，且需定期檢視對隱私與公民自由的保護狀況，限制接受、保留、使用、傳播個人或可識別化個人之資訊。 　　美國各級政府機關得經私人實體同意後，得利用所接收的網路威脅指標，用以預防、調查或起訴下列違法行為：即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅，威脅包括恐怖攻擊、大規模殺傷性武器；涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分，法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊，並應用相關防禦措施來保護權利及資產，若屬其他私人實體或聯邦機關之資訊系統，需取得其他私人實體或聯邦機關之授權及代表人之書面同意。 參、小結 　　網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進，故在擬訂應對措施時，須納入「適應性（adaptation）」概念，適應性指需要具體討論如何分配實質上的物質資源和經濟上資源，來保護組織內最有價值的智慧財產權和客戶資訊；提供成員和利害關係人相關資訊，讓他們關注網路威脅並能實踐可行的安全措施[15]。 　　就美國在訂定網路安全相關政策及規範之走向來看，充分及即時的資訊互享流通方能產出完善且強健的安全防護政策，惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以，從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案，均受有恐將產生大規模監控美國公民計畫之爭議，故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定，而究竟如何建構健全且可靠之機制，尚待各方團體與立法機關進行充分的溝同及討論，協同打造能安心活動之網路虛擬空間。 [1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015). [2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015). [3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015). [4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015). [5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015). [6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015). [7] https://www.congress.gov/bill/114th-congress/senate-bill/754 [8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015). [9] Sec.2(15). [10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015). [11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015). [12] Sec.2(6). [13] Sec.2(7). [14] 網路安全威脅（cybersecurity threat）指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響，但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」，參Sec.2(5)。 [15]Paul et al., supra note 2, at 2.