美國CIPU報告指出「智財管理者與企業經營者須具備充足之智慧財產權素養，以處理日常業務上的智慧財產權議題」

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　美國記憶體設計司Rambus1月25日向美國北加州地方法院提出侵權告訴，指控Hynix、南亞科技、華亞科技、英飛凌等四家DRAM廠，涉嫌侵犯Rambus的DDR2記憶體、GDDR2及GDDR3繪圖卡用記憶體等共18項專利。南亞科副總經理白培霖表示，還不了解Rambus實際的指控內容，一切仍在了解中。 　　Rambus三年前推出RDRAM並獲得英特爾支持成為次世代主流產品，但因當時DRAM廠基於成本考量，決定支持DDR規格，所以Rambus後來不得不被迫退出標準型DRAM市場。然因Rambus擁有多項記憶體專利，目前主要產品獲得新力PS遊戲機採用，所以大部份營收來源均來自於權利金收入，去年Rambus營收約1億4500萬美元，其中的1億2000萬美元就是權利金收入。 　　由於Rambus前年就宣佈研發出DDR2產品，隨著今年英特爾力推新款支援DDR2晶片組，全球DRAM廠均投入DDR2生產，因此Rambus再度興訟，控告Hynix、南亞科技、華亞科技、英飛凌等四家DRAM廠，侵犯其 DDR2及GDDR2、GDDR3等記憶體共18項專利。 　　對於被Rambus控告一事，南亞科技及華亞科技提出說明。白培霖說，南亞科及Rambus一直就二家製程技術洽談相互授權事宜，內容包括DDR2及繪圖卡用記憶體GDDR3等，但目前為止雙方還沒有達成相互授權協議，自然也沒有權利金支付問題，由於南亞科目前還沒收到起訴書，不知道Rambus提出的控訴內容為何，因此一切有待再進一步了解後再行說明。除了此次的Rambus控告南亞科侵權，去年日本半導體大廠瑞薩科技（Renesas）也三度對南亞科技提出侵權控告，瑞薩除了指出南亞科技侵犯其記憶體製程、設計、封裝等專利權外，去年十月底還向東京地方法院提出申請，將對南亞科技日本子公司進口、銷售DRAM行為進行假處份（Preliminary Injunction）。 　　對於國際大廠不斷針對南亞科提出侵權告訴，南亞科技表示，與瑞薩在日本、美國的專利權官司，至今還在上訴審理階段，南亞科已經提出資料證明，至於Rambus此次提出的侵權告訴，現在還在了解中，但南亞科的立場，會尊重每家半導體廠的專利權，不會有任何侵權的行為。

　　有鑑於許多歐盟國家為日漸高漲的健康照護成本所困，歐盟於Horizon 2020政策下陸續推動會員國合作以更有效益的創新採購方式進行健康照護計畫的推展，以降低健康照護預算的壓力，RELIEF計畫即屬其一。歐盟於2016年2月啟動RELIEF計畫，聯合義大利、西班牙、瑞典三國，目的在發展創新ICT解決方案以協助慢性病患透過自我管理方式舒緩慢性疼痛、能夠持續獨立生活。欲採購的ICT創新服務為目前尚不存在於市場上、仍需經研發之解決方案，實為針對慢性疼痛自我管理解決方案的「研發服務」，該計畫係採「前商業化採購(Pre-Commercial Procurement, PCP)」方式進行跨國公告招標。目前RELIEF計畫正在進行PCP準備階段之公開市場徵詢，除了透過2個月（今年11、12月）的公開線上問卷調查業者意見，另將以workshop形式舉辦三場公開市場徵詢會議。 　　RELIEF計畫另一重要目標就是透過此計畫以建立完整PCP流程，讓未來參與相關計畫的公部門能夠熟悉並妥善運用PCP流程及工具 。「前商業化採購」為歐盟廣泛創新戰略中所指出能協助公部門採購「研發服務」的特殊採購程序，以滿足尚未存在市場上、仍需經研發的技術性創新需求，此程序不包含對研發成果的商業化採購，亦不受政府採購法之規範，能夠從需求面刺激廠商創新研發，讓研發從一開始即以機關需求為核心。 　　RELIEF計畫劃分為PCP之準備階段以及執行階段。於準備階段會進行PCP招標文件準備、採購團隊的需求及現有技術分析、公開市場徵詢(Open Market Consultation, OMC)；由於採購機關對其需求尚無具體的規格描述，必須經廣泛的市場意見徵詢與溝通以進一步定義，正在進行中的OMC將聚集採購團隊、潛在投標者（例如對健康照護、數位照護、病患賦權與互動性有鑽研之ICT業者）、終端使用者等，以廣蒐相關利害關係團體意見並進行充分互動溝通，作為執行階段的重要參考基礎。 　　PCP正式公告後的執行階段即區分為階段A「解決方案設計(Solution design)」（計半年）、階段B「原型開發(Prototype development)」（計半年）、階段C「商業化前開發：場域測試(Pre-commercial development: field test)」（計一年）。各階段將設定參與廠商應達成目標，以篩選出較符合需求者始得進入下一階段，以維持廠商間良性競爭，於階段C最後決標予研發成果最符合計畫需求之廠商（可能1家以上）。 　　歐盟目前的創新推動策略上PCP屬尚未被充分運用的工具，從該計畫的規劃可見準備階段對後續PCP執行階段的重要性，透過其示範可供政策規劃者為借鏡，運用創新採購驅動產業創新發展以更有效益解決社會與政府需求。

　　比利時法院針對報業出版組織Copiepresse控告網路搜尋引擎巨擘Google侵害著作權一案，於二月十三日做出一審判決。該法院認為 Google未取得授權，在Google News新聞搜尋之服務中片斷重製原告之報導內容，並以重製的方式將受到保護之著作傳播給公眾，該行為已侵害到Copiepresse之著作權。法院除了下令Google刪除搜尋引擎中所出現的新聞報導片斷，並按該網站刊登的時間為基準，計算一天兩萬五千歐元的賠償金，Google應給付總金額高達三百四十五萬歐元的賠償金於Copiepresse。 　　Google的主要答辯指出，其係為協助使用者在該網站上尋找資訊的搜尋引擎，而非擁有自己資訊的入口網站。Google News也只針對使用者所輸入之搜尋關鍵字所做出之新聞頭條匯集及文章聯結，該行為應受到著作權法中「合理使用」(Fair Use) 之保護。而對搜尋結果之頭條、內容片斷及縮小圖片顯示，Google則抗辯此一作法已替Copiepresse網站吸引來更多想要閱讀全文之讀者，並為其締造更高的網路流量。 　　Copiepresse則主張，Google因在其網站刊登片斷重製之報導內容而受有廣告收益，就法律面而言已是侵害行為所得之利益。該組織的報導內容出現在Google的快取頁面，已使得該片斷的報導內容得自Google的網站中免費取得。通常許多報業僅將其報導文章的資料庫提供給付費會員瀏覽。 　　對此判決結果，Google已決定上訴。 　　全球媒體業者都對此判決密切注意。Google去年八月已和美聯社達成和解。而法國法新社去年三月控告Google的快取網頁侵害著作權乙案，目前仍在法院審理中。而其它入口網站公司YAHOO! 、AOL、Microsoft等已付費於法新社取得授權刊登其新聞文章內容。