紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。
Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。
依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。
依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:
1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;
2.實施並持續更新消費者資料近用限制相關政策和程序;
3.遠端近用資源和資料應使用多重要素驗證;
4.定期更新近用資源和資料的憑證;
5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;
6.對所有儲存或傳輸的消費者資料進行加密;
7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及
8.制定、實施和持續更新全面的事故應變計畫。
Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
美國為鼓勵與促進企業進行再生能源之研發,能源部(Department of Energy,DOE)規劃協助企業投入再生能源研發,並期加速商業化應用。為此,能源部將推出協助措施及推動計畫,其計畫經費一部分由美國復甦與再投資法案(American Recovery and Reinvestment Act)出資,另一部分來自於今年度的預算撥款。其中,三十億美元資金協助計畫將建置將近五千項涵蓋生質能、太陽能、風力發電以及其他再生能源之生產設備,另一項七億五千萬美元資金協助將改善電力傳輸系統。能源部期盼這兩項資金協助計畫,將帶動再生能源之研發,並促進新興能源科技的商業化應用。 有關美國協助民間發展再生能源計畫,今(2009)年七月底,美國能源部已公佈相關資金協助申請作業程序,預計每項提出申請計畫平均約可獲得六十萬美元額度,目前尚未對一家公司的申請額度設有上限,也並未對其可動用之資金額度設有總額限制,預計這些計畫將鼓勵私人投資再生能源,創造未來就業機會,協助帶動美國經濟。 能源部部長Steven Chu表示,這些協助計畫將激發綠色能源科技的創新,確保未來再生能源的輸送更為安全有效率,並將帶來相關就業機會。政府方面已設定目標,預計未來三年內將增加再生能源生產至目前的雙倍。為達成此一目標,必須確保有效地資金挹注才能加速再生能源的發展,同時設置完備的電力傳輸系統,整合各類型的再生能源,如太陽能與風力發電,便於日後將所生產的能源傳送至各地。
VIZIO將為該公司為未獲消費者允可即蒐集收視行為等個人資料支付和解金。美國聯邦貿易委員會(Federal Trade Commission, 以下稱FTC)在2017年2月6號於其網站中公布, VIZIO, Inc.(以下稱VIZIO),世界最大的智慧電視製造商之一,在未取得購買該公司產品之千萬餘名消費者同意下,即於所生產之智慧型電視中,安裝蒐集消費者收視行為數據之軟體,然此舉業涉及違反美國聯邦貿易委員會法第45條(15 U.S.C. § 45 (n))以及紐澤西州消費者欺詐法(New Jersey Consumer Fraud Act)。為此VIZIO將支付和解金與美國聯邦貿易委員會及紐澤西州檢察總長辦公室。 本案起訴狀內容指出,VIZIO及其相關企業於2014年2月起便開始於其製造之智慧電視中獲取消費者在收視有線電視、寬頻、機上盒、DVD播放機、無線廣播以及串流裝置等相關影像資料時之資訊。這些資訊包含了性別、年齡、收入、婚姻狀況、教育程度、住屋資訊等交付與VIZIO、第三方及其相關企業做為行銷、發送特定廣告使用。 起訴狀中並稱該公司所謂之智能互動機制,雖可做為協助節目製作和建議,卻也同時於未對消費者詳細說明之下,逕行蒐集相關收視資訊,而此類追蹤消費者資訊屬不公平且欺騙的行為,已違反了FTC與紐澤西州對於消費者保護之法律。 為達成本案之和解,該公司願支付兩百二十萬美元作為和解金,包含向FTC繳納的一百五十萬美元及一百萬美元罰款與紐澤西州消費者事務所。聯邦法院命令並要求VIZIO必須清楚揭露其蒐集資料及分享給他方單位之行為,並取得消費者明示同意;另一方面,該命令亦禁止VIZIO對他們所蒐集消費者之隱私、安全及機密性資訊做誤導性的不實陳述以及刪除於2016年3月1日前所有以不當方式取得之消費者個人資料。該公司尚須接受兩年一次的隱私權安全保障計畫(名詞),包括全面性隱私風險評估、識別消費者個資之潛在不當使用情形,並制訂相關措施來修復這些風險。另新增一項銷售管理計畫,以確保該公司產品經銷商及售後服務均能就消費者個人資料得到保障。 此次事件而言,和解金雖非屬可觀之金額,然重點在於作為世界最大的智慧電視製造商之一的VIZIO,經揭露此一訊息後對其商譽之影響,或許才是最大的打擊。為了在大數據時代中能有效的管控法律風險,任何蒐集消費者行為等個人資料時,均應符合相關法令的規範,如建立個人資料保護機制並事前告知取得消費者蒐集之同意為宜。
微軟對歐盟要求其分享開放原始碼的指令提起上訴微軟對歐盟指令提起第二次上訴,該指令是命令微軟分享其原始碼給開放原始碼軟體公司。 在歐盟第二最高法院判決前,微軟公司發言人 Tom Brookes 說新上訴,是基於 6 月份( 2005 年)與歐盟總部的協議,要透過法庭決定原始碼的爭議問題。 他說「微軟提起申請要求法院撤銷原訴訟決定,特別是關於將通訊協定的原始碼廣泛的授權,因為這都是微軟的智慧財產權」。 「我們採取這步驟,讓法庭能可以檢視現下的爭議,並就全世界智慧產權的保護提供一個長遠的意義」。 歐盟發言人 Jonathan Todd 說微軟公司軟體的互用性( interoperability )協議,無法用智慧財產加以保護,並且應該能在開放原始碼公司中,根據以往的營業執照加以流通使用。 不過,歐盟的執行者-歐洲委員會認為,相信此事件將獲得解決,如果盧森堡的原審法院維持 2004 年 3 月對微軟公司的規範。在 2005 年 8 月微軟公司最近的訴訟中,顯示出第二種情況。 Todd 說歐盟意識到微軟公司並沒有在與開放原始碼公司的分享協議中,分享微軟的觀點。 另外微軟第一次上訴判決的日期益尚未決定,微軟起訴乃針對歐盟命微軟必須支付 4 億 9 千 7 百萬歐元( 6 億 2 千萬多萬美元)的反拖拉斯罰金,這也是歐洲有史以來最大的反拖拉斯罰金。 歐盟聲稱軟體巨人已過度行使其 Windows 軟體統治,而把競爭者封鎖在市場外。它命令微軟公司出售不含媒體播放器的軟體,並強迫它與其他伺服器軟體競爭者分享技術,使那些競爭者的產品可以與 Windows 為作業軟體的電腦進行更好的訊息交流。
從美國政府責任署建議國防部應改善其處理智慧財產的方式初探美國國防部之智財管理從美國政府責任署建議國防部應改善其處理智慧財產的方式初探美國國防部之智財管理 資訊工業策進會科技法律研究所 2022年2月15日 根據美國政府責任署(U.S. Government Accountability Office,下稱GOA)於去(2021)年12月發布的報告指出,美國國防部(U.S. Department of Defense,下稱DOD)對智慧財產的管理能力不足,可能降低任務準備程度並導致維運軍武的成本飆升[1]。本文將簡介GOA報告的發現,聚焦於DOD的智財管理情況,藉此一窺美國國防部的智財管理模式。 壹、事件摘要 美國國會於2018年通過《國防授權法案》(National Defense Authorization Act,簡稱NDAA),裁示DOD建立智財取得及授權政策,DOD據此訂定其智財指令、規劃智財權責單位、人員及相關培訓機制,嗣後國會於2021年委請GAO檢視DOD之智財指令及其執行情況。 貳、重點說明 一、DOD的智財指令 DOD依據以下智財相關法規,設定其智財指令,如:使小型企業、大學和其他非營利組織可保留其發明之專利權的《拜杜法》(Bayh-Dole Act)[2]、授予無論規模大小所有聯邦締約方全部或部分由聯邦資金所獲得的專利權之12,591號行政命令[3],以及要求DOD應訂定相關規範以解決和締約方間技術資料的相關權利之《國防採購改革法案》(Defense Procurement Reform Act)[4]等,並強調六項核心原則[5]: 1.將智慧財產權規劃整合到採購策略中,以考量對競爭力和可負擔性的長期影響。 2.確保採購專業人員具備履行公務所需的相關智財知識,以支援智財採購規劃期間內進行關鍵的跨職能協調。 3.對智財可交付成果和相關授權進行特別協商,相較標準授權能更有效地平衡DOD和產業界間的利益。 4.就預期智財和維運目標與產業界進行明確有效的溝通。 5.尊重和保護私部門和政府資助的智慧財產權。 6.政府必須確保締約方所交付之智財成果和有相應的授權。 二、GAO檢視DOD之智財指令執行結果 應國會要求,GAO對DOD的智財指令進行通盤檢視,並對智財權責單位、人員及負責培訓之機構展開調查,訪談相關人員指令的實際執行情況,其檢視結果如下: (一)DOD的智財指令不足以促進其取得智財的製程細節或處理資料權利之能力 DOD智財指令雖整合取得、授權智財的相關法規和指引等要求,並強調其核心原則,然該指令和DOD其它相關的內部指令仍未有更明確的內容可解決取得細部製程或處理資料權利的問題。DOD通常會為其新銳軍武器系統-包含電腦軟體、技術資料、用戶手冊等取得或註冊智財權,而DOD智財指令所指的技術資料,是包括任何科學或技術性質的記錄資訊,如:產品設計或維護資料和電腦軟體檔案(含:執行程式碼、開源碼、程式碼清單、設計細節、流程、流程圖等);但常未同步取得用於運行和維護武器系統的智財,如:細部製程或技術資料等[6],倘若未及早取得或獲得相關授權,可能影響軍武系統的操作和維護,從而影響武器的競爭力,並增加管理成本[7]。 實際上,GAO已接獲因技術資料取得問題而對任務有不良影響的報告:2021年7月F-35計劃因維修供應商取得的技術資料不足以滿足維護需求,使關鍵的引擎維修時間比預期的更久;2020年3月部分海軍艦艇計劃的維護作業也因缺乏技術資料出問題,而上述情況若在計畫前期就確認包含技術資料和細部製程等所需智財,並在採購過程中及早規劃取得,可因此節省後續衍生的數十億美元維護成本[8]。 (二)DOD尚未為智財人員訂定完善的策略、人員配置規劃和投注足夠的資源,以充分履行智財指令所規定的廣泛職責 根據GOA的調查與訪談相關人員,智財人員在以下情況都面臨不確定性: 1.資金和人員配置 DOD目前計劃在2023財會年度前,為智財主任及其在國防部長辦公室(Office of the Secretary of Defense,下稱OSD)的團隊提供五個職位的資金,但其中四個為臨時職位,這可能在招聘人才的過程中造成反效果,不利於未來的人員配置。 2.連結其他計劃專家支援不足之處 OSD的智財人員希望DOD中其他計畫的智財專家庫能提供支援,協助訂定智財策略並與承包商進行談判等事宜,但DOD尚未針對 OSD智財團隊將如何和其他專家合作提出具體作法。 3.專業知識 DOD的智財指令指出智財人員應該具備:採購、擬定契約、工程學、法律、後勤、財務分析以及估值等領域的專業知識,但受訪談的人員表示,該部門目前在智財權估值和財務分析這兩個關鍵領域仍有不足,仍須進行補強[9]。 (三)智財培訓涵蓋多項活動但未安排優先順序,且未具體確定哪些人員應該接受培訓 DOD的智財培訓由其設立的美國國防武獲大學(Defense Acquisition University,又譯為國防軍需大學,下稱 DAU)執行,該大學專為國防相關之政府人員、承包商提供採購、技術和後勤等專業培訓[10]。為改善智財培訓,DAU展開為5年期的智財策略計畫,計有60多項活動待執行,但該策略計劃缺乏重點,沒有排出活動的優先順序,也未具體提出DOD的哪些智財人員應該接受培訓[11]。 (四)DOD須致力發展追蹤已取得/授權智財之後續使用情況的能力 DOD目前的智財指令指示相關政府單位須管理智財相關的契約及智財文件,以避免在採購智財及其相關授權時重複採購,或隨時間流逝而喪失智財權,然而根據訪談結果,相關人員表示DOD採購極大量的智財或相關授權,但不具備追蹤各個智財獲授權使用情形的能力[12]。 三、GAO對DOD的建議 GAO彙整其檢視DOD智財指令執行情況的結果後,對DOD提出下列四個建議[13],建議內容不外乎是指定與智財管理相關的重要項目須指定負責人,且該負責人須為對應智財相關單位的較高管理階層,確保待改善項目有監督與執行者。 (一)完善智財指南 採購及維護次長(The Under Secretary of Defense for Acquisition and Sustainment)應確保DOD智財指南已闡明DOD人員將如何取得細部製程或技術資料。 (二)確保跨部門合作與資源連結 國防部長(The Secretary of Defense)應確保部長辦公室和各部門所需的合作、人員配置和資源,以連結各計畫智財相關專家、人員。 (三)確認智財活動優先順序 採購助理部長(Assistant Secretary of Defense for Acquisition)應確保智財主任(Director of the IP Cadre)與DAU主席合作,為DAU在2023年至2025年間主責與智財相關活動確定優先順序。 (四)確保智財培訓效益 採購助理部長(Assistant Secretary of Defense for Acquisition)應確保智財主任訂定補充指引,以協助部門負責人和採購職業管理主任(Director of Acquisition Career Management,DACM)確定國防部人員在關鍵專業領域接受之智財培訓和取得的證書能使其有最大的獲益。 參、事件評析 綜觀GAO的檢視結果,雖然DOD的智財管理仍有改善空間,但以足見美國聯邦政府對其智財管理之重視程度,不僅指示部會自行管理智財,更透過部會外的公正單位,從規範到組織實際執行情況進行通盤檢視;而部會內部對於智財管理的程度,已經從訂定和整合智財相關規範,進一步到落實在日常任務中,不只重視部會所需技術本身的智財取得或保護,更欲推進到策略計劃前期,將維護軍武相關的細部製程和技術資料等相關內容及權利也納入採購範圍,甚至為此盤點智財所需的專業能力、規劃培訓專門人員,以促進智財管理的量能,其對智財管理深化及重視的程度值得我國借鏡。 [1] GAO, Defense Acquisitions: DOD Should Take Additional Actions to Improve How It Approaches Intellectual Property, (Nov. 30, 2021), available at https://www.gao.gov/products/gao-22-104752 (last visited Feb. 7, 2022) [2] The Patent and Trademark Law Amendments Act of 1980 (Bayh-Dole Act), 35 U.S.C.§§ 200–211, 301–307. [3] President’s Memorandum to the Heads of the Executive Departments and Agencies,Government Patent Policy (Feb. 18, 1983); Exec. Order No. 12,591, § 1(b)(4), 52 Fed. Reg. 13,414 (Apr. 10, 1987) [4] Defense Procurement Reform Act, 1984, Pub. L. No. 98-525, § 1201. [5] Supra note 1, 17-18. [6] Id., 7, footnote 21. [7] Id., 1. [8] Id., 1. [9] Id., 24-28. [10] DAU, About DAU, at https://www.dau.edu/about (last visited Feb., 7, 2022) [11] Id., 29-30. [12] Id., 32-33. [13] Id., 33-34.