網路團結法:歐盟成員國針對加強因應網路安全能力達成共同倡議
歐盟成員國就《網路團結法》(Cyber Solidarity Act)草案於2024年3月達成臨時協議,目的是為了加強歐盟的團結以及偵測、準備和因應網路安全威脅事件的能力。
歐盟執委會(European Commission)提案的主要目標如下:
(1)提供重大或大規模網路安全威脅事件的偵測和認識。
(2)強化準備、保護重要建設和必要服務。例如醫院和公共設施。
(3)加強歐盟的團結以及成員國之間有一致的危機管理與應變能力。
(4)最後,致力確保公民和企業皆有安全可靠的數位環境。
為了能快速且有效地偵測重大網路威脅,該法規草案建立了「網路安全警報系統」(cyber security alert system),這是一個由歐盟地區的國家和跨國界的網絡樞紐組成的泛歐洲基礎設施,將使用先進的資料分析技術以及時分享資訊,並警告有關跨境網路威脅的相關事件。
該草案亦建立網路緊急機制(cybersecurity emergency mechanism),以增強歐盟對網路安全事件應變的能力,它將包含:
(1)準備行動:包含根據常見的危機情境和方法,測試高度關鍵部門(highly critical sectors)(醫療保健、運輸、能源等)的潛在漏洞。
(2)歐盟網路預備隊:係由經過認證且事先簽約的私人供應商所組成,在歐盟成員國及機構的請求下,對於發生大規模的網路安全事件進行干預及回應。
(3)財政互助:一成員國可以向另一個成員國提供援助。
最後,因應委員會及各國家當局的要求,研議中的法規建立了網路安全事件審查機制,事後對已發生的大規模網路安全事件進行審查、評估、汲取經驗,並提出一份建議報告,從而改善歐盟網路的態勢,以加強歐盟對此些事件的應變能力。
歐盟成員國此次的協議將進一步提高歐洲網路韌性,期能強化歐盟及其成員國在面對大規模網路威脅和攻擊時,能以更有效率的方式進行事前準備、預防以及提升事後從中恢復的能力。
網路安全事件是各國都會遇到的課題,《網路團結法》的發展與相關推動措施值得我們持續追蹤,以作為我國資通安全管理及網路資安事件應變機制之參考方向。
- Cyber solidarity package: Council and Parliament strike deals to strengthen cyber security capacities in the EU, Council of the European Union
- yber solidarity act: member states agree common position to strengthen cyber security capacities in the EU, Council of the European Union
- The EU Cyber Solidarity Act, European Commission
- Cyber Solidarity Act, Bird and Bird
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
梁家祥
副法律研究員 編譯整理
Cyber solidarity package: Council and Parliament strike deals to strengthen cyber security capacities in the EU, Council of the European Union,https://www.consilium.europa.eu/en/press/press-releases/2024/03/06/cyber-solidarity-package-council-and-parliament-strike-deals-to-strengthen-cyber-security-capacities-in-the-eu/ (last visited Apr.11, 2024).
Cyber solidarity act: member states agree common position to strengthen cyber security capacities in the EU, Council of the European Union,https://www.consilium.europa.eu/en/press/press-releases/2023/12/20/cyber-solidarity-act-member-states-agree-common-position-to-strengthen-cyber-security-capacities-in-the-eu/ (last visited Feb.19, 2024).
The EU Cyber Solidarity Act, European Commission,https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity#SnippetTab (last visited Feb.19, 2024).
Cyber Solidarity Act, Bird and Bird,https://www.twobirds.com/en/capabilities/practices/digital-rights-and-assets/european-digital-strategy-developments/cybersecurity/cybersecurity/cyber-solidarity-act (last visited Feb.19, 2024).
由於 Palm 採用 3C om 的手寫辨識技術,於 1997 年遭 Xerox 控訴侵犯其在 1997 年所取得的 Unistrokes 專利權, Xerox 要求 Palm 支付 Graffti 的使用權利金,否則便應停止在其 PDA 中使用此項技術。此案於今年 (2006) 6 月 28 日 經 紐約西區美國地方法院法官 Michael Telesca 判決 Palm 的 Graffiti( 手寫辨識軟體 ) 的確已侵害到 Xerox 權利。 Palm 同意支付 2.25 億美元以取得 Xerox 手寫辨識軟體的合法授權使用權,結束 1997 年以來長達 9 年的法律訴訟。事實上, Xerox 在 1997 年是控告後來被 3Com 收購的 U. S. Robotics 公司, 但 這家公司之後被 3Com 買下,後來 3Com 再將其獨立 成立 Palm Inc ,當時 Palm 將 Graffiti 技術嵌入旗下的 Pilot PDA 中,也把使用了 Graffiti 技術的軟體賣給其他 PDA 製造商。 這次 Palm 所支付的費用涵蓋了 Palm Inc 、 PalmSource 及 3C om ,這三家業者均取得 Unistrokes 及 Xerox 其他兩項技術的專利的授權。雙方的協議包括 7 年的「專利和平」( patent peace )期,在這期間內允許合理使用談定的專利,而且不再互控對方。
美國線上交易方式可能在歐洲行不通由於美國與歐洲國家消費者保護政策以及對定型化契約條款的解讀不同,在美國電子商務應用中所常見的線上契約定型化條款內容,很可能在歐洲被解釋為對消費者不公平 (unfair) 而無效。 一位在法國巴黎執業的律師表示,在 AOL Bertelsmann Online France v. Que Choisir 案件中,許多美國律師常用的定型化契約條款,例如:網際網路服務提供者擁有單方變更契約內容之權;消費者之繼續使用服務等同於默示同意新的付費條款內容;網際網路服務提供者對於網路中斷造成的損害不負任何責任;限制消費者只能依循 AOL 的服務使用約款進行損害賠償之求償;及網際網路服務提供者保有中止服務等權利之條款等,在法國法院都被解釋為不合法而無效。雖然 AOL 這個案子還在進行上訴程序,法國巴黎法院在審理另一個案件時,也將類似的條款視為無效,而該案涉案主角則是義大利網際網路服務提供者。 由於法國對於消費者保護的法規係源自於歐盟指令,而歐盟所有會員國皆須在一定期間內將指令內容納入內國法規範,一位在英國執業的律師表示, AOL 在法國法院所得到的判決,如果發生在英國甚或其他歐盟會員國,也可能得到同樣的結果。
美國Farmers Insurance Group在加州以竊取營業秘密為由控告前員工以及Automobile Club of Michigan2017年10月,美國知名保險公司Farmers Insurance Group(下稱Farmers)在加州法院提訴,控告前員工Venkatesh Kamath(下稱Kamath)、前資訊長Shohreh Abedi(下稱Abedi)和競爭對手American Automobile Association(下稱AAA協會)旗下的Automobile Club of Michigan(下稱Auto Club)竊取營業秘密。 Farmers聲稱,於2015年起使用Guidewire Software(下稱Guidewire),以更新其理賠處理和保險服務系統。Kamath因Guidewire業務,接觸到Farmers高度敏感與機密資訊。Abedi前為Kamath上司,曾監督Guidewire計畫初期階段。之後Abedi至Auto Club任職,協助Auto Club轉換使用Guidewire,並挖角包括Kamath在內許多Farmers員工。Kamath離職前,從Farmers電腦中拷貝超過6400份檔案,其中包括與Guidewire計畫及Famers核心業務相關的營業秘密資訊。 Farmers控訴Kamath、Abedi及Auto Club違反加州營業秘密法(California Trade Secret Act)、從事不公平競爭、違反忠實義務及其他事由,除訴請賠償外,也請求法院禁止被告使用其營業秘密。 本案非Farmers與AAA協會首次因營業秘密事宜而對訟。2010年間,Farmers曾控告AAA協會旗下Auto Club Group竊取其投保客戶機密資訊,惟該案當時經法院以Farmers未能證明有何損失或損害為由,駁回其訴。Farmers公司於2017年10月對Auto Club提起的本件訴訟,法院實務的發展為何,值得後續觀察。
美國第9巡迴上訴法院於2015年7月6日宣布Multi Time Machine v. Amazon案的見解美國第9巡迴上訴法院(9th Circuit)於2015年7月6日對外宣布Multi Time Machine v. Amazon案的見解,其推翻地方法院看法,認定被告Amazon公司提供的服務有侵害原告Multi Time Machine公司商標權之虞。 本案原告Multi Time Machine公司是一家製作手錶的廠商,在被告Amazon公司的網站上有提供零售服務。原告認為被告網站提供之服務,可使消費者搜索網站內的物品,但其所得之結果(含圖片)卻容易令人混淆,如搜尋原告的MTM手錶(為Multi Time Machine之商標),會將商標權人及其他廠商的商品都包含在內,導致消費者誤認為其他廠商手錶也是由MTM製造,進而購買非原告公司生產之手錶。原告因而向地方法院提出訴訟,認為被告Amazon公司侵害其商標權,違反聯邦法典內之Lanham Act的第1114條(1)(a)及第1125條(a)(1)規定。但洛杉磯地方法院認為被告行為並未侵害商標權,原告不服故提起上訴。 第9巡迴上訴法院採用1979年AMF v. Sleekcraft Boats案認定之方式,並於2011年Network Automation v. Advanced System Concepts案後發展出的測試標準,用以判斷有無侵害商標權。其標準包含:1.商標的強度、2.商品近似或相關連程度、3.與商標的相似性、4.實際混淆之證據、5.銷售管道、6.消費者在意程度、7.被告意圖、8.擴展之可能性。上訴法院認為,本案除了3、5、8三項較無關外,其餘5項因素經法院研究結果,原告商品在被告網站上販售時,1、2、7於原告影響較大,而4、6是被告提供服務(即供消費者購買)時須在意的。因此,綜合判斷之結果,被告行為已可能侵害原告之商標權,故推翻地方法院之判決結果,發回地方法院續行審理,本案後續判決進展及結果實值持續觀察。