英國資訊專員辦公室（ICO）發現警方有大量數位證據未落實管理措施，建議司法機關應強化業務流程、人員之控管機制

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

澳洲聯邦法院封鎖境外網站侵權對我國的啟示 資策會科技法律研究所 法律研究員 盧藝汎 106年10月25日 壹、背景說明 　　福克斯澳訊（Foxtel）及威秀影視（Village Roadshow）主張其等為電影所有權人及專屬被授權人，境外網站Gomovies、RARBG，1337x及EZTV等非所有權人，未經授權而重製電影，並在境外透過相對人Telstra、Optus、Vocus、TPG等「傳輸服務業者(Carriage Service Providers，下稱CSP)」，使境內網路使用人得以接取該網站內容。該等境外侵權網站在澳洲以電子方式散布未經授權之重製物，已侵害電影所有權人及專屬被授權人著作權，且相對人符合1997年電信法所稱之「設定服務提供者」，遂依澳洲著作權法第115A條（對CSP提供境外網路位置入口之假處分）對相對人提出聲請[1]。2017年8月18日澳洲聯邦法院由不同庭的法官，分別依福克斯澳訊（Foxtel）及威秀影視（Village Roadshow）的聲請，命上述相對人封鎖境外侵害著作權的網站[2]。 　　反觀我國曾有統一製藥股份有限公司（下稱統一製藥）主張其為「我的美麗日記及圖」商標權人，並於其官網設有「我的美麗日記」面膜之防衛查詢。然「Tenghoo」竟以統一製藥官網之「beautydiary」ㄧ字之差改為「beautydairy」向財團法人台灣網路資訊中心（下稱資訊中心）註冊網域名稱，且其網頁內容與統一製藥官網幾乎相同，並使用「我的美麗日記」註冊商標。為此，統一製藥股份有限公司（下稱統一製藥）主張其為「我的美麗日記及圖」商標權人，並於其官網設有「我的美麗日記」面膜之防衛查詢。然「Tenghoo」竟以統一製藥官網之「beautydiary」ㄧ字之差改為「beautydairy」向財團法人台灣網路資訊中心（下稱資訊中心）註冊網域名稱，且其網頁內容與統一製藥官網幾乎相同，並使用「我的美麗日記」註冊商標。為此，統一製藥以「Tenghoo」及「資訊中心」為相對人向智財法院聲請定暫時狀態假處分，請求「Tenghoo」停止使用網域名稱及網頁內容，及「資訊中心」停止使用「Tenghoo」網域名稱。法院最後「Tenghoo」應停止其於「資訊中心」註冊之網域名稱；然「資訊中心」的聲請確予以駁回[3]。 　　自澳洲法院與我國法院的裁定結果以觀，可明顯看出二者適用上有所不同，然澳洲法令及司法實務與我國有何不同，此為本文探討的重點，並期待可藉由澳洲法令或司法實務見解尋求我國對境外侵權網站主張定暫時狀態假處分之可行性。 貳、澳洲封鎖境外侵權網站規範及法院見解 　　澳洲著作權法第115A條為對CSP提供境外網路位置入口假處分之規定（Injunctions against carriage service providers providing access to online locations outside Australia），依該規定第1項、第2項及第4項規定，如境外網站以侵害著作權或促進著作權侵害為主要目的，而CSP提供接取服務使境外網站得侵害著作權或促進著作權之侵害，著作權人經向CSP及境外網站營運者為通知後，得對CSP聲請假處分。法院經審查符合要件，得命CSP對境外網路之禁止使用採行合理措施。但對境外網站營運者之通知，經法院認著作權人已盡合理努力仍無法確認營運者之身分或地址，或無法寄送通知至該營運者之情形，如符合其他要件，法院仍得為假處分裁定[4]。 　　該條復規定，如符合該法第134條第1項第(f)款之特定行為[5]，即提出著作權之著作或標的未經所有權人授權或專屬授權而為特定行為之證據，得適用第134A條宣誓證據（affidavit evidence）之規定[6]。法院於審理時並須就境外侵權網站其侵權行為惡性、有無善盡注意、是否經他國法院基於同一理由或相關著作權侵害而禁止使用、個案禁止是否符合比例原則及公益原則等事項予以審查[7]。 　　福克斯澳訊及威秀影視主張境外網站以線上串流（Streaming）、連結（Linking）、連結搜索（Linking Searching）及對等式網路（P2P）四種方式進行侵權，法院認為依據聲請人律師所提出之宣誓證據認為，聲請人有意透過律師通知境外侵權網站之營運者，且以電子郵件及平信寄送通知，依常情可認境外侵權網站營運者對其網路活動會進行交流，聲請人已符合善盡通知義務之要件。又法條雖明定著作權人方可提起聲請，惟專屬授權人依照該法第119條，除著作權人另有反對意思外，專屬授權之被授權人與著作權人救濟權利同。故其雖非權利人，仍得成為本案之聲請人。另相對人未對聲請人於本案是否有著作權或聲請人是否為著作權人提出異議，且本案未有證據可證明聲請人非著作權人，依照同法第126條可推定其聲請人主張之著作權存在，且為著作權人。 　　依據宣誓證據顯示相對人有提供境外網站提供接取（access）之行為，且境外網站以侵害著作權或促進著作權侵害為主要目的，而有侵害著作權或促進著作權之侵害之行為。再者，境外網站以公然方式為著作權的侵害，足徵無視著作權人之權利，且以其中一個境外網站為例，其透過「istole.it」的網域名稱（domain name）及其他通知方式鼓勵使用者使用該技術以防止著作權人採取法律措施的可能。另外，已有許多境外網站於其他管轄法院已對相關網站位置有封鎖假處分。 　　法院綜合以上判斷，命相對人須於15個工作日內對境外網站為合理的阻斷措施，即至少對境外侵權網站之DNS、IP、URL與網域名（domain name），或其他兩造以書面協議可阻斷網路位置之替代手段擇一進行執行，倘僅擇一行使應於15個工作日通知聲請人已為之執行。 參、我國封鎖境外侵權網站規範及法院見解 　　我國智慧財產權遭到侵害或有被侵害之虞時，權利人尚未向法院提請排除該侵害之訴訟前，就雙方爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類似之情形而有必要時，得按民事訴訟法第538條第1項規定，向法院聲請定暫時狀態假處分。復按智慧財產案件審理法第22條第2項規定，聲請定暫時狀態之處分時，聲請人就其爭執之法律關係，為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要之事實，應釋明之；其釋明有不足者，法院應駁回聲請。從而，法院審理智財權案件之定暫時狀態假處分須符合以下要件：㈠有爭執法律關係存在；㈡聲請人釋明[8]有定暫時狀態之必要性[9]。 　　在前述的統一製藥「我的美麗日記」面膜侵權案，法院以統一製藥未積極「釋明」[10]資訊中心與境外侵權人「Tenghoo」有何共同或幫助侵權之情事，且該中心亦陳明如經法院裁定「Tenghoo」禁止使用命令後，亦會停止「Tenghoo」之使用，聲請人目的亦可達成而欠缺聲請必要性，是對該中心聲請部分予以駁回[11]。故網路服務使用者（即直接侵權人）如有侵害智慧財產權之行為，且符合前揭定暫時狀態假處分之要件，法院雖得裁定命使用者暫停使用。然而，相關之網路服務提供者是否有間接侵權，則需由被害人「釋明」與其是否有「爭執之法律關係」，且如法院已命使用者暫停使用，則對間接侵權人聲請亦欠缺「必要性」之要件。換言之，權利人對間接侵權人聲請定暫時狀態假處分必要性之有無，與對網路服務使用者有無定暫時狀態假處分具有程度上的依從關係；此外，權利人尚需就「爭執法律關係」及「必要性」雙重要件為「釋明」。 肆、澳洲法與我國法之差異 　　依照前述澳洲聯邦法院裁定，可以將澳洲法院審查順序排列為：是否已為通知→著作權存在且為所有權人→ＣＳＰ是否使境外網路位置得以為境內接取→網路位置是否侵害著作權或促進著作權侵害→網路位置有侵害意圖→其他注意事項。本文將從網路服務提供者「幫助」之認定要件、專屬授權人是否得提起假處分聲請、以證人作成之書面得否作為證據及裁定合理措施等項目作為我國參考： (一)網路服務提供者「幫助」之認定要件 　　澳洲規定境外網站須有侵權行為及主觀上的認知，而CSP僅須有使境外網站得以進入境內之事實即可。我國則需要對「爭執法律關係」及「必要性」兩個要件釋明，而爭執法律關係係指網路服務提供者「共同」或「幫助」境外網站之行為及認知。從而，在網路服務提供者方面，我國較為嚴格，考量網路服務提供者使境外侵權網站進入我國，難想像其有共同或幫助境外侵權網站主觀認知，要求聲請人應釋明網路服務提供者主觀意思，無疑造成有規定卻無法使用的窘境。 (二)專屬授權人是否得提起假處分聲請 　　專屬授權之被授權人依澳洲著作權法規定，除著作權人另有反對意思外，其與著作權人救濟權利同。該國法院依前開規定認為法條雖僅規定「著作權人」，然依該規定當然可成為聲請人，而我國著作權法第37條第4項[12]亦有類似規定。換言之，在我國著作權專屬之被授權人自亦得成為聲請人。 (三)以證人作成之書面得否作為證據 　　從澳洲聯邦法院的裁定來看，多係以宣誓證書作為裁定與否的證據。然我國民事訴訟法無宣誓證據之明文，證人如未出席僅提出書面文件是否得採為證據，過去實務採否定見解[13]，而在民國89年民事訴訟法於第305條修正第2項及第3項後，法院於適當時得命兩造會同證人於公證人前作成陳述狀，或經兩造同意，證人亦得於法院外以書狀為陳述。從而，在我國境外侵權封鎖之情形，依前開規定仍有可能以證人作成之書面有證據能力，而得作為裁定封鎖與否之基礎。 (四)裁定合理措施 　　澳洲法院在裁定中命相對人對境外侵權網站之DNS、IP、URL與網域名（domain name），或其他兩造以書面協議可阻斷之替代手段擇一或二者以上進行執行，倘未全部執行，相對人應於裁定後15個工作日內通知聲請人已為執行之行為。我國依現行規定，法院僅得命網路服務提供者封鎖網站，不若澳洲因明定「合理措施」，使得澳洲法院得命相對人有未執行全部手段之情形時，有通知聲請人之義務。 伍、結論 　　我國與澳洲均有得向法院聲請網路服務提供者封鎖境外侵權網站之規定，惟就聲請要件來看，我國需釋明網路服務提供者主觀要件顯較澳洲嚴格，且實務上亦欠缺可行性；而對於境外網站營運者之通知，澳洲法院僅須認定著作權人已盡合理努力，即得為假處分裁定，使得假處分裁定發出更具可能性；另就封鎖效果而言，我國亦缺乏如同澳洲得命網路服務提供者回報執行情形，無法使被侵權人知悉執行情形。澳洲法令對言論自由侵害由公正第三人法院加以判斷，並符合網路服務提供者執行實務，以兼顧著作權人及境外網站之保障，應值我國未來對此類定暫時狀態假處分修法之參考。 [1] Roadshow Films Pty Ltd v Telstra Corporation Limited [2017] FCA 965, http://www.judgments.fedcourt.gov.au/judgments/Judgments/fca/single/2017/2017fca0965; FOXTEL MANAGEMENT PTY LTD v TPG INTERNET PTY LTD, https://www.comcourts.gov.au/file/Federal/P/NSD663/2017/3787886/event/29056799/document/1018339(last visited Oct. 20, 2017). [2] Court Orders Aussie ISPs to Block Dozens of Pirate Sites , https://torrentfreak.com/court-orders-aussie-isps-to-block-dozens-of-pirate-sites-170818/(last visited Oct. 20, 2017). [3] 參智慧財產法院102年度民暫字第3號裁定。 [4] See Copyright Act 1968 §115A, http://www.austlii.edu.au/cgi-bin/viewdoc/au/legis/cth/consol_act/ca1968133/s115a.html(last visited Oct. 20, 2017). [5] See Copyright Act 1968 §134A, http://www.austlii.edu.au/cgi-bin/viewdoc/au/legis/cth/consol_act/ca1968133/s134a.html(last view 2017.10.20) [6] 該條第2項規定，除以作成宣誓書之人為證人詰問，或於訴訟程序審理中，雖作成者未出席，法院得依情形准予使用宣誓書外，就宣誓書於程序中詰問，得不予使用。原文同前註。 [7] 法條共列出11項參考事項，參註4。 [8] 釋明則係指當事人提出證據，使法院產生較薄弱之心證，相信其主張之事實大致可信之行為，最高法院99年度台抗字第768號、98年台抗字第913號裁定參照。 [9] 必要之有無實務上以利益衡量原則為判准，最高法院98年度台抗字第359 號裁定意旨參照。另可參智慧財產案件審理細則第37條第3項規定「法院審理定暫時狀態處分之聲請時，就保全之必要性，應審酌聲請人將來勝訴可能性、聲請之准駁對於聲請人或相對人是否將造成無法彌補之損害，並應權衡雙方損害之程度，及對公眾利益之影響。」 [10] 對網路服務提供者提起定暫時狀態假處分，實務上另有智財法院105年度民暫字第11號裁定，聲請人向法院聲請臉書、google、露天等公司應將其廣告放置網路上，然經法院認因聲請人未釋明與該等公司有何法律關係之爭執而駁回聲請。 [11] 參智慧財產法院102年度民暫字第3號裁定。 [12] 專屬授權之被授權人在被授權範圍內，得以著作財產權人之地位行使權利，並得以自己名義為訴訟上之行為。著作財產權人在專屬授權範圍內，不得行使權利。 [13] 最高法院20年上字第2490號判例。

　　加拿大總理賈斯汀．杜魯道（Justin Trudeau）於2016年10月提出一項改革方案，要求全國各省份或地區於2018年開始，須擇一實施碳稅（Carbon tax）制度或碳交易系統（Cap-and-Trade System）：前者，聯邦政府將制定徵收下限，從2018年每噸10元，逐年提高10元，直至2022年每噸50元為止；至於碳交易系統，則須設立嚴格管控規範，以達聯邦政府實施碳稅制度所得減少碳排放量之預期值。同時，杜魯道更進一步表示，費用將交由各省區自行向排放者進行徵收，並可就其所得作自由運用，反之，倘若未確實執行該項政策者，聯邦政府則將強制介入實施。 　　事實上，綜觀國際間徵收碳稅制度，主要有兩種類型：一類為全國落實碳稅徵收，例如：荷蘭、丹麥、德國或南韓等，其中尚可再細分是否作為一獨立稅目進行徵收，前述荷蘭及丹麥二國，即直接設立碳稅進行徵收，至於德國與南韓，則是將碳排放作為能源稅之計算因子之一作收取；另一類為國內部分地區自行決定收取，如：美國加州地區及原先加拿大不列顛哥倫比亞省與魁北克省等。 　　至於未來觀察重點，應在於加拿大實施上述碳排放費用徵收政策後，勢必對於民生消費習慣具相當程度影響，諸如：暖氣、民生用電、交通工具燃料、公共運輸、食品、服裝或其他消費服務，預期均有相應之漲幅，再者，各省區之經濟政策及投資環境，亦可能有不小程度之衝擊，此兩處後續發展，均值得作持續性觀察。