從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制

刊登期別
2013年09月04日
 

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制

科技法律研究所
2013年07月03日

  資訊科技的發展,從早期「超級電腦/大型電腦」、近期「個人電腦」,到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用,未來電腦運算設施就像是水、電;資料儲存與應用就像是銀行,只要連上網路就可以使用,不必各自投資發展。因此,「雲端運算」未來將成為每個國家的重要基礎建設。

  將雲端運算列為重要的產業發展重心,已是各國的趨勢,而運用雲端運算所帶來的效益,如節省經費、提升效率等,亦為普遍地承認,再加上公部門相較於民間,其擁有較多的經費及資源來進行雲端運算的導入,而藉由公部門導入雲端運算,可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此,各國均皆致力於促進公部門導入雲端運算。

  然而,在雲端運算帶來龐大經濟效益的同時,伴隨而來的,是新的資訊管理議題,雲端安全防護聯盟(Cloud Security Alliance, CSA)提出了雲端運算可能遭遇的九大安全威脅 :
一、資料外洩(Data Breaches)
二、資料遺失(Data Loss)
三、帳號被駭(Account Hijacking)
四、不安全的APIs程式(Insecure APIs)
五、拒絕服務(Denial of Service)
六、惡意的內部人員(Malicious Insiders)
七、濫用雲端服務(Abuse of Cloud Services)
八、審慎評鑑不足(Insufficient Due Diligence)
九、共享環境議題(Shared Technology Issues)

  面對前述的安全威脅,政府部門在考量導入雲端服務時,首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度,以及政府部門要從何尋找符合其需求的業者。

壹、事件摘要

  美國政府在2010年12月發表了25項聯邦IT轉型重點政策,其中一項核心的政策便是「雲優先政策」(cloud first policy)。根據「雲優先政策」,聯邦機構必須在三個月內找出三項轉移到雲端的政府服務,並且要在一年內導入其中一項。

  然而,此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰,傳統由各機關分頭洽談所導入資訊系統與應用規格之方法,並實施個別的資訊安全需求與政策的作法,對服務商而言,其所提供的相同服務,在各機關導入時,卻必須將受各個機關的審查,造成各機關投入過多的資源在審查程序上,導致政府資源的浪費,不但耗費時間、審查重複,且無法達到建構妥善操作程序的效果。

  2012年6月6日,聯邦政府總務管理局(General Service Administration, GSA)宣布「聯邦風險與授權管理計畫」(Federal Risk and Authorization Management Program,以下稱FedRAMP)開始正式運作,GSA並表示,「FedRAMP」的正式運作,將解決美國政府在雲端產品及服務需求上,因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費,並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用,預期效益相當可觀。

  「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範,建立一套可遵循之依據。未來所有雲端產品的服務提供者,都必須遵守及達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。

貳、重點說明

  「聯邦風險與授權管理計畫」主要由預算與管理辦公室(Office of Management and Budget, OMB)負責組織預算與管理;聯邦資訊長(the Federal Chief Information Officer,CIO)負責跨部門的整合;國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析;總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序,並成立計畫管理辦公室( Program Management Office, PMO)負責FedRAMP之操作與管理;以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準;最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局,組成共同授權委員會(Joint Authorization Board, JAB),負責對服務提供者的授權與定期檢視。

  FedRAMP制度的精神在於「作一次並重複使用」(Do once ,Use Many Times),同一內容的雲端服務,透過FedRAMP,僅須經過一次的評估與授權,即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性,造成資源浪費的問題,將可獲得解決。當其他機關欲採用雲端服務時,可透過FedRAMP,免去再一次的評估與驗證。

  FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成,簡單介紹如下:

一、第三方評估機構的認證
  FedRAMP的特殊之處,在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構(3PAO)來進行審查,而第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下:

(一)申請檢視
  機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力,並且自行檢視FedRAMP網站上的申請表,自行檢視是否合乎要求,然後決定是否提出申請。

(二)完成要求
  機構須分別完成申請表所要求的系統安全計畫(system security plan, SSP)、系統評估計畫(system assessment plan, SAP)、安全評估報告(security assessment report, SAR)。於完成後向計畫管理辦公室提出申請。

(三)審查
  在接受申請後,總務管理局會與ISO網路安全專家共同組成「專家審查委員會」(Expert Review Board , ERB),審查該申請。

(四)決議
  審查完畢後,FedRAMP計畫管理辦公室(PMO)會檢視ERB的意見,決議是否通過該申請。

  於通過申請後,該機構將會被列入FedRAMP官方網站(www.FedRAMP.gov)的第三方評估機構名單,目前為止,陸續已有十五個機構通過共同授權委員會的授權,日後得對雲端服務商進行評估。

二、對雲端服務提供者的評估
  在「聯邦風險與授權管理計畫」的機制設計中,政府機關或雲端服務提供者任一方,皆可提出申請(Request)啟動雲端服務的安全性評估(Security Assessment)程序,此程序中共有四個主要階段:

(一)提出申請
  在申請人將所須文件初步填寫完畢之後,計畫管理辦公室(PMO)即會指派資訊系統安全官(Information Systems Security Officer, ISSO)進行指導,使之得進行安全控制、出具必要文件、並實施安全測試。之後,PMO會與雲端服務提供者簽署協議,並要求相關機關實施對雲端服務系統的安全性測試。

(二)檔案安全控管
  雲端服務提供者必須作成系統安全計畫(System Security Plan, SSP),表明安全控制之實施方法,及其相關文件如IT系統永續計畫(IT Contingency Plan)、隱私衝擊調查(Privacy Impact Questionnaire),並送交ISSO進行審查,再由雲端服務提供者就對審查意見予以回覆之後,由ISSO將案件送至共同授權委員會(Joint Authorization Board, JAB)進行審查,以確認所提交的SSP安全措施符合雲端系統所需。

(三)進行安全測試
  服務提供者與第三方評估機構(Third Party Assessment Organization, 3PAO)簽約,且由PMO約集雲端服務提供者與3PAO,確認雙方對於安全測試實施的期待與時程,再由3PAO獨立進行該雲端系統測試,並完成安全評估報告(Security Assessment Report, SAR),闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果,作成行動與查核點報告(Plan of Action & Milestones (POA&M)),以提出矯正弱點與殘餘風險(residual risks)的措施、資源與時程規劃。

  雲端服務提供者再將前述SAR與POA&M提交予PMO,由JAB決定是否接受該弱點及其修正計畫,或者提出修正建議。倘若JAB可接受該弱點及其他因應措施,則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。

(四)完成安全評估
  雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案,並提出證明將確實執行其安全控制措施。由JAB檢視此方案,並作出最終決定是否授予「附條件之授權」(Provisional Authorization)。得到此授權的雲端服務提供者名單,將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權,PMO會指導如何進行重新申請。

三、持續的評估與授權
  持續的評估與授權(ongoing Assessment and Authorization, A&A)通常也被稱為持續監控(Continuous Monitoring),在FedRAMP中第三個也是最後一個流程,透過持續的評估與授權機制,來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面:

(一)操作的能見度
  操作能見度的目標,是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度,而不必政府機構另行要求。

(二)變更控制程序
  雲端服務提供者更新她們的系統是常有的事,此處的變更控制程序並非針對例行性的維修或變更,而是要求若有發生影響臨時性授權或的顯著變更時,服務提供者必須提供此種具衝擊性變更的有效資訊,使FedRAMP得以評估此變更的影響與衝擊。

(三)事件回應
  事件回應方面聚焦於新風險和漏洞的因應,服務提供者在發現影響授權的新風險或漏洞時,應向機構說明其針對保持系統安全的因應對策與作法。

參、事件評析

  在各國紛紛投入雲端運算的推動熱潮中,我國也不能在此項產業推動中缺席。2010年4月,行政院科技顧問組(現已改組為行政院科技會報)責成經濟部,研擬「雲端運算產業發展方案」;2011年5月,行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」,在內部運作管理面向,將運用新興雲端運算技術推動以全國性的政府雲端應用服務,減少機關重複開發成本,並達成節能減碳效果。

  雲端的安全問題,無論在私人企業或政府部門,均為選擇導入雲端服務的第一要務,「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點,運用雲端運算技術,創新資安服務價值,確保政府資通安全防護。

  然而,在服務提供者的安全性方面,我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此,我國可借鏡各國的作法,適度的以透過公正第三方機構驗證,來消除雲端服務安全性的疑惑,並推動一個公開的平台,將通過驗證的廠商公布出來,提供公部門甚至私人企業作選擇,不僅可免去同一服務廠商不斷重複驗證的麻煩,亦可削減選擇上的難題,並藉此發展雲端資安技術與推動雲端產業,使我國的雲端環境能夠更臻成熟。

※ 從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=6318 (最後瀏覽日:2024/06/23)
引註此篇文章
你可能還會想看
俄羅斯聯邦政府發布第299號法令,得不經授權利用「不友好國家」的專利權

  俄羅斯聯邦政府於2022年3月7日發布第299號法令(Постановление Правительства Российской Федерации № 299,下稱本法令),規定於有國家利益考量之情況下,得不經授權利用「不友好國家」的專利權。而我國也在前述「不友好國家」名單之列。   具體而言,本法令之解釋脈絡應從俄羅斯民法(Гражданский кодекс Российской Федерации)第1360條談起,該條規定在確保國家安全或保護公民生命與健康之極端必要情況下,俄羅斯聯邦政府有權決定,未經專利權人同意,使用相關發明、新型和工業品外觀設計,惟需儘快通知專利權人,並支付相應之補償金。   2021年10月18日,俄羅斯聯邦政府按民法第1360條第2項規定,頒布第1767號法令(Постановление Правительства Российской Федерации № 1767)確定補償數額為受專利保護之商品與服務所產生實際收益之0.5%。   然而,因烏俄戰爭持續延燒致俄羅斯聯邦政府採取反西方制裁措施之故,其發布第299號法令,針對第1767號法令再次增修補償數額之認定方法,規定:「倘專利權人來自『不友好國家』,則俄羅斯實體或個人未經專利權人同意,使用相關發明、新型或工業設計進行生產、銷售商品、提供勞務及服務時,須向權利人支付權利金為前述活動所產生實際收益之0%」。   基此,第299號法令應限縮在有國家利益考量之情況下(如:與國家安全或保護俄羅斯公民的生命、健康相關),針對使用特定的專利或商品,可免支付專利強制授權的補償金。換言之,本法令不應解讀為,任何專利在俄羅斯都可恣意利用,而無需經權利人同意或支付適當補償。惟因無法預期未來俄羅斯聯邦政府對「不友好國家」會否有其他強制授權情事,故我國經濟部智慧財產局發函通知專利權人,應密切關注相關議題,並預作準備以降低風險。

馬爾他政府針對電子商務法之建議修法內容尋求公眾意見

馬爾他競爭力暨通訊部 (Ministry for Competitiveness & Communications, MCMP) 部長 Censu Galea 九月二日公布了「電子商務法」建議修法內容之公開諮詢文件。部長特別強調了電子商務的重要性,尤其對地理位置孤立的島國如馬爾他,電子商務更能有效克服其競爭力上的缺憾。   馬爾他「電子商務法」 自 2002 年生效以來,該國的電子商務呈現蓬勃發展之勢,亦達到 為資訊社會鋪路之目的 。 此次修法建議欲建立一輕度但有效的管理機制,此機制不但能確保網路服務提供者切實遵循法律義務,並加強了消費者權益的保護。另外,此修法建議也計劃完整移植歐盟電子商務指令及電子簽章指令之規定。   馬爾他通訊局 (Malta Communications Authority, MCA) 身為修法建議中的主管機關,將獲授權得於法庭外調解網路服務提供者與消費者間之爭議。 該修法建議亦設計相關措施,確保在馬爾他成立的資訊社會服務提供者不受不必要的官僚體系而阻礙發展。在馬爾他設立之資訊社會服務提供者不論其在何國提供服務,都將只受馬爾他法律規範。再者,這些服務也不必經過任何形式的許可。 該修法建議亦要求網路服務提供者必須揭露基本資訊,讓客戶了解其交易對象,並維持網路交易過程一定的透明度。

紐西蘭通過數位身分服務信任框架,如經簽署將於2024年施行

紐西蘭眾議院(New Zealand House of Representatives)於2023年3月通過數位身分服務信任框架法案(Digital Identity Services Trust Framework Act,以下稱本法案),旨在建立數位身分信任制度。本法案為數位身份服務商提供自願認證計畫,政府將授予符合信任框架規範之服務商認證。數位經濟與通訊部(Minister for the Digital Economy and Communications)指出,數位身份目前缺乏一致的辨識標準,而信任框架的訂定將有助於緩解身份盜用、詐欺與隱私資料外流之風險。茲所附言,本法案如經總督簽署將於2024年生效。 蓋紐西蘭針對政府數位化與數位轉型已擬定多項計畫、策略,其中包含建構安全、分散且以用戶為中心的數位身份管理制度,而本法案的通過與施行將為上述制度奠定基礎,其特性說明如下: 一、去中心化資料儲存:數位身分資料傳遞是由資訊提供者(如政府、銀行或公用事業公司等持有個人資訊者)、用戶(資料所有者)與服務商三方形成連結網絡,而非源自集中保存身分資料之數據資料庫。 二、以用戶為中心:若用戶有驗證或提供身分資訊之需求,經過政府認證符合信任框架規範的服務商,可在用戶的許可與請求下,傳送相關資料給用戶指定之第三方(需求者)。 三、非強制性機制:紐西蘭政府將不會強制服務商、用戶及需求者使用依本法案所建構之數位身分信任機制。 四、交互認證:基於紐西蘭與澳洲的單一經濟市場議程(Single Economic Market, SEM),本法案將符合對應英國、澳洲與加拿大有關數位信任之規範,減少因法規差異產生之成本和歧視。

從智慧財產法院104年度民暫抗字第7 號民事裁定看營業秘密案件聲請定暫時狀態處分

從智慧財產法院104年度民暫抗字第7號民事裁定看營業秘密案件聲請定暫時狀態處分 資策會科技法律研究所 法律研究員 蔡怡萱 105年04月29日 壹、案件摘要   智慧財產法院於去(104)年10月2日針對新世紀光電對於103 年度民暫字第21號第一審裁定提起抗告,做出裁准暫時狀態處分之 104 年度民暫抗字第 7 號民事裁定,以下概述智慧財產法院於本案中所採取的法律判斷依據。   本案事實為李允立(下稱相對人)於102年離職後自行成立公司(下稱相對人公司),隨即新世紀光電(下稱抗告人)之關鍵研發團隊重要成員及各部門重要員工多名先後離職,部分至相對人公司任職。相對人公司現有經營方式為無廠半導體公司,專門研發及販售發光二極體磊晶圓及晶粒技術與產品規劃,透過租賃機台之方式製造相關產品,與抗告人業務相同。相對人為公司負責人,抗告人主張相對人不可避免的會使用抗告人公司的機密資訊及營業秘密,而造成抗告人重大損失,而抗告人為避免發生重大難以回復之損害,依營業秘密法第11條第1 項[1]、兩造間的服務契約書、民事訴訟法第538 條第1 項[2]、智慧財產案件審理法第22條第2 項[3]規定,聲請撤回原審裁定並定暫時狀態處分。   本案法院於此次裁定將原裁定廢棄,在兩造間侵害營業秘密爭議之本案訴訟判決確定前:(1)禁止相對人利用、發表或洩漏任職抗告人公司期間所知悉抗告人公司有關於LED 產品及製程相關之營業秘密及機密資訊,包括:非一般涉及該類資訊所知之一切製程、程式、專門技術、技術資料、經營資料、材料、設計、參數及配方、客戶明細、銷售資料等;(2)相對人不得為自己或第三人之利益,唆使或利誘抗告人員工離職。 貳、重點說明 一、營業秘密具體認定爭執及以定暫時狀態之處分為手段   綜合以上兩造爭執點在於,(1)在相對人離職後所持有於抗告人公司任職時所知悉的營業秘密及機密資訊的具體內容該如何認定,相對人爭執於離職時原公司並未明確界定,抗告人卻反駁確有保護營業秘密及機密資訊之說明。(2)透過兩造簽署之服務契約書,是否可以透過定暫時狀態處分為手段,達到確認或重申請求裁定禁止相對人唆使或利誘抗告人之員工離職。 二、定暫時狀態之處分需符合的要件   聲請定暫時狀態之處分需符合下列要件:(1)兩造有爭執之法律關係,且以本案訴訟能確定該爭執之法律關係者為限;以及(2)為防止聲請人發生重大損害或避免急迫危險或有其他相類之必要性情形。因此在符合法定要件的前提下,可以請求法院針對侵權爭議的本案訴訟判決確定前,禁止侵害人為特定行為 [4]。   另依本案法院的釋明,所謂爭執的法律關係,應不以法律關係已經訴訟繫屬為限,凡金錢請求以外,有繼續性且適於為民事訴訟之標的者,於事人間發生爭執或被侵害等情形,均屬之。更尤,所爭執之法律關係雖尚未有訴訟之繫屬,只要債權人因避免重大之損害或因其他情事,而有定暫時狀態之必要者,即得依聲請定暫時狀態之處分,故法院據以得心證的理由為下列幾項判斷依據。 三、法院判斷依據及裁定結果 (一)兩造有爭執之法律關係   以兩造間爭執的法律關係來說,抗告人因發現相對人離職後,有多位員工相繼離職到相對人所成立之公司任職,因此依與相對人任職時所簽署服務契約書中約定離職後的保密義務,向法院聲請禁止相對人不得利用或洩漏先前任職期間所取得公司的營業秘密,法院認為是抗告人就相對人離職後涉及有無違反上述服務契約書約定之保密義務與誘使抗告人員工離職爭議,為雙方所爭執之法律關係。 (二)營業秘密保全的必要性   抗告人就可能被相對人利用或洩漏之「營業秘密」所主張,雖然相對人堅稱該內容為業界習知技術,但抗告人提出細部結構設計及製程方式等資訊,經法院認定該等資訊有助於提升產品效率,而且可以減少不必要的錯誤實驗,抗告人也另外提出專利佈局及業務與生產資訊之相關報告及資料,因此法院認為該相關事證使法院大致心證認為其主張該等資訊為其所欲保護之營業秘密事實之存在,而認為為正當之心證。另外就兩造所簽訂的服務契約書中所稱「營業秘密是指具有財產利益或經濟價值的任何口頭及書面機密資訊(料),包括但不限於圖樣、規格、原型、製程..專門技術、客戶明細、晶片、及其他銷售資料..」,也足以證明相對人於原公司任職時已清楚知悉何謂營業秘密,也負有保守其營業秘密的義務。   另外相對人所設立之公司其股東及董事皆為抗告人的競爭對手,因此法院認為相對人於原任職期間所知悉上述的營業秘密,推認有可能揭露予他人,而此為抗告人所欲防止的危險,而有保全的必要性。 (四)相對人應遵守禁止挖角義務   針對相對人挖角抗告人員工使其離職,而抗告人依兩造的服務契約書中禁止挖角義務條款,請求禁止相對人為挖角行為,法院亦肯定相對人應遵守禁止挖角義務。抗告人公司其他員工於短期內相繼離職,法院雖認為離職為個人選擇,但皆於相對人離職後才相繼離職,且半年即有多人加入相對人所設立公司,故可推認多名離職員工與相對人有關,且為了避免再有員工從抗告人公司繼續離職加入相對人設立之公司,法院相信抗告人的主張大致可採,故就此部分亦准許抗告人請求禁止挖角行為。 (五)相對人應遵守不作為義務   定暫時狀態之處分,雖非以保全執行為主要目的,惟仍屬保全權利之方法,原係法院為防止發生重大損害或避免急迫危險或有其他相類之情形認有必要時,為平衡兩造間之權利義務或利益而為之裁定 [5];又聲請為定暫時狀態之處分,不論係單純不作為處分,或容忍不作為處分,法院為裁定時,對於當事人雙方因准否處分所受利益及可能發生之損害,應依利益權衡原則予以審酌而為准駁 [6]。最後法院衡量抗告人與相對人的權益,營業秘密的洩漏將對抗告人產生損害,但禁止相對人洩漏營業秘密及不得挖角,僅是請求相對人遵守不作為義務而不致有損害,故不對抗告人命供擔保。 參、案件評析 一、由上述案件內容可知,透過具體管理機制所產出之事證可為法院判斷是否為營業秘密遭受侵害的正當之心證,如下述: (一)公司於離職員工任職時所簽訂的服務契約之詳盡程度,包括:於契約文件中定義營業秘密的具體範圍;於契約規範在任職中不得交付或洩漏於任何第三人;於契約規範離職後仍負有保密義務等。 (二)各紀錄文件應完整留存以作為日後法院裁判的事證依據,包括研發紀錄簿中實驗參數文之成敗紀錄或研發例行月會報告,或技術發展計畫等相關資料;專利佈局的規劃,業務與生產資訊(包括可知之銷貨成本、銷貨毛利、人事資料以及研發專案等資訊,他人即可從該等資訊得知銷售狀況)。 (三)制定相關管理辦法並予以區分文件機密等級及管控,如本案中抗告人提出「文件與資料管制辦法」及「門禁管理辦法」,供法院參考以證明抗告人對其生產、營運訊有採取保密措施。   由上述提出之事證就可以使法院大致相信所主張之資訊為其所欲保護的營業秘密,並得到大致為正當之心證。 二、如何判斷是否有挖角行為,法院除了以經驗法則及一般人可推知來判斷,雖然於何處任職是個人權利,但不尋常的大量員工於同時間或先後離職,甚至離職後都到同一家公司任職,很難不推認和挖角行為的直接關連;而法院也認為相對人縱使離職後也應該要遵守當時兩造的服務契約中禁止唆使或利誘他人離職。於現今一直苦於受到人才大量流失,甚至競爭對手惡性挖角的國內企業來說,於員工的任職契約約定禁止唆使或利誘挖角原公司員工,也不失為遏止的方法。 三、為了因應智慧財產權相較其他財產權市場上跟策略上的急迫性和時效性,在相較於其他智慧財產假處分案件而言,法院在此案中呈現出考量營業秘密保護相關案件具有緊急性及難以進一步舉證之特性,對於權利人應為釋明之程度較為放寬[7],是否會形成通案慣例,值得追蹤觀察。 本文同步刊登於TIPS網站(http://www.tips.org.tw) [1]營業秘密受侵害時,被害人得請求排除之,有侵害之虞者,得請求防止之。 [2]於爭執之法律關係,為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要時,得聲請為定暫時狀態之處分。 [3]聲請定暫時狀態之處分時,聲請人就其爭執之法律關係,為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要之事實,應釋明之;其釋明有不足者,法院應駁回聲請。 [4]洪陸麟,以專利案件為中心論智慧財產案件審理法,國立政治大學法律學系碩士班論文,99-100頁,2009年。 [5]最高法院94年度台抗字第743 號民事裁定。 [6]最高法院94年度台抗字第380 號民事裁定。 [7]莊郁沁,智慧財產法院就營業秘密保護案件裁准定暫時狀態處分聲請之案例介紹,理律法律雙月刊,9-10頁,105年1月號。

TOP