社群網站平台的商標爭議-Twitter v. Twitpic

　　美國的數位服務推動小組18F（Digital service delivery，18F），因辦公室位於華盛頓特區F街18號而得名。2014年3月由總務署（General Service Administration，GSA）成立，透過業界與政府合作模式，幫助政府機關改善流程及增進效率，其所輔導的專案計畫將實際轉變政府機關提供數位服務及科技產品之運作模式，以達跨部會、機關之整合，並使對公眾的數位服務更便於使用。 　　18F為幫助美國各機關建造、購買及分享現代數位服務以提升政府的使用者經驗，提供了五項服務：（一）就已存的數位規格（digital component）打造訂製化產品（custom products）；（二）以創新方式購買科技，使各政府能夠獲得更快、更好及產生更好結果的IT服務。詳細服務內容有代寫委外服務建議書（Request For Proposal，RFP）、開發市場利用現代技術購買IT服務、購買開放源代碼（open source code）以提升專案計畫；（三）替政府建造一安全、可擴展的工具與平台，其能更加符合需求並能夠持續為改善以達需求；（四）協助成為數位化組織，不只是增加組織內部數位化能力，更要形成數位習慣並最終促使組織文化改變；（五）透過討論會、設計工作室、指南及文件工作平台，提供及分享18F實際運用的相關現代數位化服務技術，使政府機關能自行複製及使用。 　　近期知名成果案例發生於加州。在加州，每一年的孩童福利服務案件管理系統超過2萬名社工利用為追蹤管理超過50萬件虐待及忽視兒童案件，若使用過時系統產生風險將無法估計，故加州政府、美國衛生與人群服務部（Department of Health and Human Services，DHHS）即利用了前述相關服務，與18F共同重新設計該系統的採購流程。從2015年11月至2016年10月，合作建立新系統不到1年的時間，導入了契約文件之簡化、模組化（modular）契約之合併、敏捷性開發（agile development）、使用者中心之設計及開放源（open source）之實踐。 　　首先，代寫委外服務建議書，18F於其中展示如何將專案計畫為模組化，亦即別於過往採購的傳統模式，非尋找單一開發商去建置整個已預設需求的系統，透過分離的方式，找尋不同開發商以更符合實際需求，亦能避免時間金錢的浪費，降低遲約或違約之風險。再者，聚集可能符合資格的供應商，邀請眾供應商建造以開放源代碼（open source code）方式的原型（prototype）。透過此一過程的激盪，18F從中協助評估所提出的原型、技術等，以了解供應商如何提出及是否符合使用者中心的設計。同時也能減少政府與供應商雙方的招標時間及行政成本。最後，為使加州政府機關能自行複製及使用相關現代數位化服務技術，18F示範敏捷軟體開發（agile software development）專案計畫。從中加州政府不僅瞭解如何為風險評估，且思考相關技術部門於專案計畫中的角色定位。 　　面臨現代化數位服務，在美國，聯邦與州政府都面臨極大挑戰。18F介入發展新模式，更能達實際需求，亦為內化之協助，利於政府自行發展其他數位服務。18F與加州政府合作之案例，或許能為國家發展數位服務運作之借鏡。

從日本山崎案[1]談營業秘密不法取得之管理 資策會科技法律研究所 法律研究員　駱玉蓉 105年05月25日 壹、前言 　　為強化營業秘密的保護，日本從2003年開始，於不正競爭防止法（以下稱本法）中導入刑事保護的相關條文，爾後經過多次修法，在2011年調整刑事訴訟程序的同時，於本法導入了即使行為者不使用或揭露所示的營業秘密，但只要以獲取不當利益為目的，且「以複製」等方式「取得營業秘密」，亦為刑事處罰的對象[2]。2014年名古屋地院的日本山崎Mazak案件（ヤマザキマザック事件，以下稱本案）則是在此修法背景中，於少數公開判決中最先單獨引用該法條的案件。 　　面對層出不窮的營業秘密侵害案件，為遏止及處罰不法取得、使用或洩漏他人營業秘密的行為，我國營業秘密法亦於2013年的修法中增訂侵害營業秘密的刑事責任，將「知悉或持有營業秘密，未經授權或逾越授權範圍而重製、使用或洩漏該營業秘密」的行為[3]納入刑罰範疇，以期可有效遏阻營業秘密侵害案件。 　　有鑒於營業秘密外洩情形與不法取得手法的多變，本文將先從本案營業秘密侵害行為、存取/接觸權限控管的漏洞出發，接著探討應如何從控管員工的接觸/存取權限以強化營業秘密的保護，最後從落實營業秘密管理的面向，彙整本案受法院判決肯定之營業秘密保護措施及可進一步強化之配套，期給予我國企業營業秘密管理的省思。 貳、事件概要 　　中國大陸籍的被告Y，於2006年4月進入工具機大廠山崎Mazak（以下簡稱原告公司）任職，於2011年8月轉調連結業務部門與研發部門的業務技術部，於2012年3月因獲得其他公司聘書而提出離職申請，預定離職日為同年4月20日。 　　檢察官於一審的起訴內容提到，被告Y在無業務需求的狀況下，將三萬件以上的設計圖面等由公司內部伺服器下載至私人硬碟中，更於提出離職的當月，下載約一萬件與轉職企業相關機種的設計圖面等技術資料。雖然被告Y辯稱取得該等資料的目的在於工作上的學習需求，但根據被告Y與其中國大陸友人的往來訊息可知被告Y亟欲脫手所取得的技術資料以換取現金。 　　原告公司在本案當時，對技術資料的權限控管為將技術資料儲存在公司內部伺服器的資料夾內，僅業務上有需要的員工才能進行存取、下載，此外，原告公司配發給員工的業務用電腦亦設定有員工個人的帳號、密碼來進行認證，並藉由IP位址來辨識存取網路資料的員工所屬部門及該員工的存取權限。有關前述IP位址的分配，為一個部門配發255個IP位址對應255台電腦，當一部門未達255台電腦時，將會有未被電腦對應的IP位址存在，被告Y便是將自己電腦的IP位址切換成未被電腦對應的IP位址，再進行檔案的存取與複製。經由上述一連串的證據與事實證明，一審法院認定被告Y以不當得利為目的而複製（取得）原告公司的營業秘密，處以拘役兩年、併科罰金50萬日幣的判決。 參、判決評析 　　從本案可知，原告為保護其營業秘密，針對存取/接觸營業秘密者設有相關限制管理。亦即，藉由IP位址辨識存取網路資料的員工所屬部門及存取權限，再透過存取權限的帳號、密碼進行認證管理，該種管理方式立意良好，但在實施時，卻因為有未被電腦對應的IP位址存在，而讓被告Y取巧以切換IP位址的方式逾越權限接觸並取得原告公司的營業秘密。此外，雖然原告公司有留存電腦log紀錄，因而最後能證明被告Y曾進行六千次以上的資料存取，但若能在事前做好防備，強化管理措施，例如禁止濫用IP位址越權存取或限定存取次數等方式，增加意圖竊取營業秘密者的取得困難，相信能更遏阻潛在或食髓知味的不法行為。 　　以下從本案原告公司對於員工接觸權限的控管為啟發，例示限制員工存取/接觸營業秘密，可採取的強化對策。 一、適當賦予一定範圍之存取/接觸權。 　　例如在企業的研發單位，可依專案或產品線而拆分成多個範圍，依據範圍設定可存取/接觸的權限，藉此可避免出現如本案中，僅限定存取/接觸權、卻未區分範圍，導致一人手持帳號密碼便可通行無阻存取/接觸全部資料，造成外洩時損害程度的提高。 二、在上述對策一的基礎上，於資訊系統中註冊存取/接觸權者的帳號。 　　除了落實一帳號一密碼的原則，針對單一帳號的存取/接觸權限來限制其可閱覽、存取的資料範圍或內容外，若是員工有離職、轉調等情況時，亦要配合以刪除ID、更改存取/接觸權限的方式來應對，避免如本案因作業方便而導致有空的IP位址等開後門的情況，而造成營業秘密管理功虧一簣。 三、以區分保管來限制對營業秘密的存取/接觸權限。 　　區分保管可大分為「空間分離保管」以及「資料區分保管」。以空間分離保管為例，可依進出人員區分為訪客可進入的區域、持有門禁卡員工均可進入的區域、僅限定該部門員工才可進入的區域、針對保管高機密性資訊區域，實施指紋等生物認證的門禁管制。而以資料區分保管為例，常見的做法有高機密性文件與一般文件區分保管。 　　例如在本案中，隸屬於業務技術部的人員，便不應該擁有自由存取/接觸其他部門—研發部門之研發資料的權限，建議企業可透過前述的空間分離保管、資料區分保管，兩種方式雙管齊下，實施跨部門資料存取權限的控管。 四、禁用私人紀錄媒體、落實紀錄媒體的使用及保管。 　　嚴禁使用外接式的私人紀錄媒體，企業除了須備足員工所需的紀錄媒體之外，更需制訂與落實紀錄媒體的使用及保管措施。在本案中，即因原告公司當時的業務技術部部長（下稱部長Q）發現到部門內的紀錄媒體使用不受控管，導致私人紀錄媒體濫用的現象，便於其轄下部門制定如：建立可攜式紀錄媒體管理清單及使用規定，落實借出/返還管理、以及明訂禁止攜入或使用私人的外接式紀錄媒體的規範等，法院因而認定原告公司已採取合理保密措施。 　　然而，除了明定紀錄媒體的禁止使用或限制使用等規定外，還應透過週會、組會、課程宣導等方式周知可攜式紀錄媒體的使用規則，同時透過定期稽核確保該使用規則的確實執行，避免徒有管理規範卻未落實控管。 肆、結論 　　本案原告公司雖明定營業秘密相關的管理規定，例如權限設定、禁用私人紀錄媒體、公司紀錄媒體使用及保管等各種管理措施，而在本案獲得勝訴判決。但除了管理措施有可強化之處外，主要的原因仍發生於管理機制於實際運作上未嚴格落實，而有部門員工長期持有企業配置的硬碟與USB隨身碟而未歸還，甚或違反禁止使用私人可攜式紀錄媒體的規定，使用私人硬碟等的狀況，造成被告Y有機可乘使用私人硬碟儲存原告公司上萬筆設計圖面等資料。 　　從此可知，即便企業已建立各種營業秘密相關的管理措施，仍須定期追蹤掌握管理機制的落實，例如定期內部檢視和外部稽核、不定期抽查員工電腦使用紀錄等，確保營業秘密的有效管理。同時間，企業亦應隨時預警任何不符規定的異常警報，透過log異常行為的警示設定，提早發現問題並採取證據保全措施，將營業秘密外洩風險或損害降至最低。 　　企業歷經營業秘密的盤點、分級、達成管理措施共識，到形成各部門遵循的管理制度等繁複流程，始確認營業秘密保護標的及合法合理的管理措施，若是未落實執行管理，除了增加營業秘密外洩的風險，於後續訴訟階段也難以處於有利舉證的立場。所謂魔鬼藏在細節裡，無論是何種對策，確實落實而不流於形式，更是保護營業秘密的不二法則。 本文同步刊登於TIPS網站（http://www.tips.org.tw） [1] 名古屋地裁平成26年8月20日判決。 [2] 2011年日本《不正競爭防止法》第21條第1項第3款。 [3] 2013年我國《營業秘密法》第13條之1第1項第3款。

　　美國食品及藥物管理局（the U.S. Food and Drug Administration）於2019年1月更新「軟體預驗證計畫（Software Precertification Program）」及公布該計畫「2019測試方案（2019 Test Plan）」與「運作模式初版（A Working Model v1.0）」，使審查流程更加明確及具有彈性，並促進技術創新發展。 　　在更新計畫中，FDA聚焦於審查架構的說明，包含考量納入醫療器材新審查途徑（De Novo pathway）及優良評估流程（Excellence Appraisal process）的審查內涵。在優良評估流程中，相關研發人員須先行提供必要資訊，以供主管機關驗證該軟體器材之確效（validation）及是否已符合現行優良製造規範（current good manufacturing practices）與品質系統規範（Quality System Regulation, QSR）的要求。而由於以上標準已在此程序中先行驗證，主管機關得簡化上市前審查的相關查證程序，並加速查驗流程。 　　在測試方案中，則說明FDA將同時對同一軟體器材進行軟體預驗證審查及傳統審查，並比較兩種途徑的結果，以確保軟體預驗證審查途徑中的每一個程序都可以有效評估產品上市前所應符合的必要標準。最後，FDA綜合軟體預驗證計畫及測試方案，提出「運作模式初版」，以協助相關人員了解現行的規範架構與處理程序，並期待藉此促進技術開發者及主管機關間的溝通。FDA並於運作模式文件中提到，將在2019年3月8日前持續接受相關人員的建議，而未來將參酌建議調整計畫內容。

　　澳洲隱私保護辦公室（Office of the Australian Information Commissioner,OAIC）在2019年11月發布的「2018-2019年度健康數位資料報告」（Annual Report of the Australian Information Commissioner’s activities in relation to digital health 2018–19），主要說明澳洲政府實施「選擇退出機制」（opt-out）後，對「我的健康紀錄系統」（My Health Record System）（下稱系統）發生的影響，以及有將近1成的國民大量選擇退出系統，造成系統的醫療健康資料統計困難之檢討。 　　OAIC認為會發生國民大量選擇退出系統的原因，主要是不信任政府對系統資料保護及不清楚系統使用功能有關，因此提出年度報告，內容如下: 一、改善民眾對醫療資料保護的不信任，例如對醫療業者，開發保護病患隱私的指導教材，防止、外洩即時處理的能力。 二、加強宣傳，例如開發線上資源、影音等，讓民眾在使用系統時能有更清楚認識，且對選擇退出有更明確的認知。 三、改進系統設計，讓民眾能更清楚的看見使用說明，也能隨時掌握在系統上的資訊、設置警報提醒來防止他人侵入、也增加取消功能使資料達到永久刪除的效果。 　　建置該系統之目的，是因為國家有蒐集與使用國民的醫療健康資料需求，國民也能使用系統查看醫療紀錄、藥物過敏紀錄、曾使用與正在使用的藥物、血液檢查等；醫療人員也能透過醫療資料之電子化，減少重複及不必要的醫療檢查、對症下藥、避免因過敏引起的反應等，將醫療資源做有效的運用。 　　系統建置是依據「我的健康紀錄法」（My Health Records Act 2012）第三章第一節註冊規定，要將國民的醫療健康資料納入系統，但不願意加入者，得選擇退出系統。而澳洲政府依據此法訂定選擇退出機制，2018年7月正式實施，要求全民強制加入系統，同時開放選擇退出機制，讓不願意加入系統的國民能選擇退出系統；選擇退出機制截止日期原先在2018年10月中旬，但在國民大量反應下，澳洲政府決定延至2019年1月底；在選擇退出機制的實施截止後，OAIC在2019年11月對選擇退出機制做出檢討報告，期望能透過檢討報告提出的建議來增強民眾對系統的信任與促進系統使用率。