日本著作權法修正促進人工智慧開發

  2018年5月18日,於第196次參議院會議中通過「著作權法」修正案,並於5月25日公布,預計於2019年1月1日施行。本次修正是為因應數位網路技術的發展,對需要著作權人同意的行為範圍進行檢視。其中第47條之7修正、及新增之第30條之4與第47條之5與人工智慧發展有重大相關。

  日本著作權法於2009年的修正中,增加第47條之7規定,原本可能構成著作權侵害之資料分析、機器學習行為(未經原作者同意複製、改作),只要在必要限度內,不分是否有營利,皆無須權利人同意。然而本條在使用上因為未涵蓋成果物的讓與行為,也就是如果公開販售學習完成的資料集或是人工智慧模型,甚至於同一平台共享資料集都可以構成侵害。有鑑於此,才在本次修法中修正相關條文。

  本次修正中,增加第30條之4規範於必要限度內可利用他人著作物的行為,其中在同條第二款中認可第47條之5第1項第2款之行為,也就是「利用電子計算機的情報解析及提供其結果」,亦可被認為不違反著作權法,因而補上原本第47條之7的漏洞。

  惟須注意的是,所謂的必要限度還是有嚴格的比例限制,不能無限制使用。由於目前本次修正還尚未生效,未來對人工智慧發展的應用會產生什麼樣的實際影響,值得繼續觀察。

相關連結
你可能會想參加
※ 日本著作權法修正促進人工智慧開發, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=8112 (最後瀏覽日:2024/05/24)
引註此篇文章
你可能還會想看
從103年度民專上更(一)字第7號淺析智慧財產管理對認定職務發明的重要性

從103年度民專上更(一)字第7號淺析智慧財產管理對認定職務發明的重要性 資策會科技法律研究所 法律研究員 林明賢 105年01月30日 壹、事件摘要   馬克旦(台灣綠牆開發股份有限公司員工,原審被告,以下稱被上訴人)以其所有之新型專利第M367678號與方智股份有限公司簽訂合作開發案,方智股份有限公司之股東與被上訴人共同成立台灣綠牆開發股份有限公司(原審原告,以下稱上訴人)。被上訴人將新型專利第M367678號授權予上訴人使用,並簽立專利授權書,約定被上訴人如使用上訴人資源進行研發,研發成果由雙方共享。被上訴人於就職期間逕行在台灣申請並取得新型專利第M417768號,並依此專利向中國大陸申請相同內容之中國大陸實用新型專利CN202026637U號。上訴人請求法院確認台灣新型專利第M417768號及中國大陸實用新型專利CN202026637U號(以下簡稱系爭專利)為上訴人與被上訴人共有。 貳、本案重點說明[1] 一、上訴人可循民事訴訟程序請求認定專利申請權及專利權歸屬   有關專利申請人的變更,專利申請人能否提起確認之訴?主要考量論點有二說:(一)行政法構造論;(二)利益考量論[2]。行政法構造論認為行政處分若有違法應以行政訴訟的程序予以撤銷,或尋舉發之程序予以撤銷專利權。真正專利權人不能用確認訴訟的方式變更專利權人。而利益考量論認為真正專利權人能用確認訴訟的方式變更專利權人。   本案法院認為因僱傭關係而生專利申請權及專利權歸屬之爭執,可先向民事法院提起確認專利申請權及專利權歸屬之訴訟,於獲勝訴判決確定後,即可附具該確定判決,向專利專責機關申請變更權利人名義[3]。 二、系爭專利為兩造所共有   本案系爭專利授權書第4條記載:「甲方(按:即馬○旦)如使用乙方(按:即綠○公司)資源進行研發,研發成果由雙方共享之」。雙方的締約真意在於若被上訴人研發之專利有使用上訴人資源,則該專利須登記為雙方共有。法院認定系爭專利係利用上訴人資源所研發,依前開系爭專利授權書第4條及兩造訂約真意,系爭專利應登記為兩造所共有。 參、事件評析 一、職務發明或非職務發明的界定   我國關於職務發明的定義主要規定在專利法第7條第2項[4],職務發明係指受雇人於僱傭關係中之工作所完成之發明、新型或設計。我國智慧財產局公布之專利逐條釋義進一步提到「職務上發明」係指受雇人於僱傭關係存續中,基於本身派受工作之範圍內,所完成之發明,發明為其工作內容之一,也是執行職務之結果。如於僱傭關係存續中,完成與職務無關之發明,則非屬職務上發明,故並非所有僱傭關係存續中之發明,均屬職務發明。亦即與受雇人本身執行職務所負擔之工作內容有直接或間接關係之發明,方屬之。因此,是否為職務發明,取決於職務工作內容與發明、新型或設計之內容,而不在於是否於上班時間內完成。申言之,所謂職務上所完成之發明,必與其受雇之工作有關連,即依受雇人與雇用人間契約之約定,從事參與或執行與雇用人之產品開發、生產研發等有關之工作,受雇人使用雇用人之設備、費用、資源環境等,因而完成之發明、新型或設計專利,其與雇用人付出之薪資及其設施之利用,或團聚之協力,有對價之關係。   我國對於職務發明的權利歸屬規定在專利法第7條第1項[5],原則上職務發明的專利申請權及專利權歸屬於雇用人,但可以契約另行約定。我國對於非職務發明的權利歸屬規定在專利法第8條第1項[6],非職務發明的專利申請權及專利權歸屬於受雇人,但若非職務發明係利用雇用人資源或經驗者,雇用人得於支付合理報酬後,於該事業實施其發明、新型或設計。   由於職務發明或非職務發明的認定將影響專利申請權及專利權歸的歸屬,因此法院如何解釋專利法第7條第2項則亦顯重要。智慧財產法院100民專上51號判決曾提及我國專利法第7條第2項的立法意旨在於平衡雇用人與受雇人間之權利義務關係,其重點在於受雇人所研發之專利,是否使用雇用人所提供之資源環境,與其實際之職稱無關,甚至與其於契約上所約定之工作內容無關,而應以其實際於公司所參與之工作,及其所研發之專利是否係使用雇用人所提供之資源環境為判斷依據。   中國大陸關於職務發明的定義主要規定在中國大陸專利法第6條第1項[7],職務發明係指執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造。中國大陸專利實施細則第12條[8]則進一步敘明職務發明創造係指:(一)在本職工作中作出的發明創造;(二)履行本單位交付的本職工作之外的任務所做出的發明創造;(三)退休、調離原單位後或者勞動、人事關係中止後1年內作出的,與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。   中國大陸專利法對於職務發明的權利歸屬規定在專利法第6條第1及3項[9],原則上職務發明的專利申請權及專利權歸屬於雇用人,但若是利用本單位的物質條件所完成的發明創造,則可以契約另行約定。中國大陸對於非職務發明的權利歸屬規定在專利法第6條第2項[10],非職務發明的專利申請權及專利權歸屬於受雇人。值得注意的是,中國大陸專利法修正草案第6條第1項已將「利用本單位物質技術條件所完成的發明創造」從職務發明創造之範疇排除[11],所以未來企業在中國大陸有相關商業活動者,應特別留意該修正草案後續發展。未來因應做法可考量先行將「利用本單位物質技術條件所完成的發明創造」以契約約定專利申請權及專利權的歸屬,避免後續不必要的爭議發生。   在中國大陸設廠的我國企業後續也應持續關注中國大陸職務發明條例草案。中國大陸職務發明條例草案第20條[12]有規定對獲得發明專利權或者職務新品種權的職務發明,給予全體發明人的獎金總額不得低於該單位在崗職工月平均工資的兩倍;對於其他智慧財產權的職務發明,給予全體發明人的獎金總額不得低於該單位在崗職工的月平均工資。此外,中國大陸職務發明條例草案第21條[13]更詳細地載明企業每年實施職務發明應給付發明人的最低合理報酬。   無論是我國或中國大陸,一旦受雇人之創作被認定為非職務發明時,則專利申請權及專利權將歸屬於受雇人而非雇用人。所以,如何證明受雇人創作係屬職務發明而不是非職務發明則對企業來說更顯重要。由於法院判斷受雇人的創作屬於職務發明或非職務發明需要透過實際上的客觀證據來認定,因此受雇人在企業任職期間的研發記錄、測試記錄、開模記錄、溝通記錄、會議記錄、費用單據等與職務發明相關的重要資料,企業應妥善地保管留存。後續企業方能據以主張專利申請權及專利權的權利歸屬。 二、台灣專利申請人變更   企業在發生專利申請權及專利權爭議時,可先透過民事訴訟程序請求確認專利申請權人及專利權人,待取得勝訴判決後再據以向智慧財產局申請變更專利權人名義。需提醒的是,雖然雇用人亦可透過我國專利法第71條第1項第3款[14]向智慧財產局提起舉發。在舉發撤銷確定後,再依專利法第35條[15]向智慧財產局重新申請。但需注意的是,真正專利權人必須在專利公告後兩年內提起舉發。若舉發撤銷確定,則真正專利權人必須要在兩個月內提出重新申請。企業若欲透過舉發的方式修改專利權人名義,則需要特別注意時效上的限制。 三、我國企業可依據我國勝訴判決更正中國大陸專利權人   現今台海兩地商業活動頻繁,許多專利申請人都會同時在台灣及中國大陸申請專利。關於台灣專利的部分,企業可根據法院的勝訴判決向智慧財產局申請變更權利人名義。但關於中國大陸專利的部分,企業是否需到中國大陸另行起訴呢?根據中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』的有關規定[16],企業於中國大陸能以台灣法院的勝訴判決先向中國大陸人民法院申請認可和執行後,再向國務院專利行政部門辦理專利權移轉手續。   需要提醒的是,中國大陸『最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定』第9條[17]列舉6項不予認可的事由:(一)申請認可的民事判決的效力未確定的;(二)申請認可的民事判決,是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的;(三)案件係人民法院專屬管轄的;(四)案件的雙方當事人訂有仲裁協議的;(五)案件係人民法院已作出判決,或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的;(六)申請認可的民事判決具有違反國家法律的基本原則,或者損害社會公共利益情形的。雖然透過這個機制我國企業能較快速地依據我國勝訴判決來修改中國大陸專利的專利權人名義,但不可輕忽的是,我國企業若於中國大陸當地設廠要更加注意當地職務發明相關資料的證據留存。 肆、結論:智慧財產管理協助企業保護智財權利並降低歸屬爭議   隨著智慧財產爭議的不斷浮現,智慧財產管理對企業更益顯重要。若企業內部缺乏完善的智慧財產管理制度,將導致智財風險相對地提高。在實務上職務發明真正專利權人救濟成功的案例失敗者遠高於成功者。因此種爭議首先需探究何時完成該發明,發明人在該時點於哪一公司任職。但發明是人類心智活動的產出,一件發明是由誰所產出,甚難直接且清楚舉證證明。兼以在專利先申請原則之下,此種爭議之訴訟實務,多以該申請專利之發明的申請日而不以發明完成日為準,亦即申請時發明人係在哪一家公司任職。因此,離職後再申請專利者,前一家公司欲主張之前任職之職務發明,即處在不利之地位[18]。   為有效降低如同本案受雇人或離職員工擅自將職務發明申請專利的風險,企業可透過建置智慧財產管理系統於受雇人進入企業的前、中及後期分別檢視,以保護企業的智慧財產。舉例來說,在受雇人進入企業的前期,應與員工簽訂工作契約或聘雇契約,並於契約明定智慧財產歸屬、保密要求;必要時,可包括競業禁止要求。透過多面向的保護,受雇人一旦擅自將職務發明申請專利,則企業不僅可透過契約證明自己是真正專利權人,受雇人更可能因擅自揭露企業營業秘密而有洩密的刑責和需向企業支付損害賠償。   在受雇人進入企業的中期,企業應該要求受雇人詳實記錄研發過程,以確保企業可證明該成果係自行研發。相關記錄應包括可識別研發之人、時間、地點與內容等資訊。如此一來,一旦雙方後續發生爭執,企業也能透過研發紀錄佐證受雇人的申請專利確實屬於職務發明且為企業內部的研發成果。   受雇人進入企業的後期,企業應對離職員工提醒相關智慧財產規定。對於涉及企業重要智慧財產之員工離職時,應進行面談。必要時,得簽定離職契約,約定特定智慧財產之權利歸屬。如此一來,企業能再次透過契約約定特定智慧財產之權利歸屬,以避免受雇人將職務上發明逕行申請專利且占為己有。此外,企業還應定期追蹤與公司研發成果相關的專利申請動向。一旦受雇人離職後發生如同本案的爭議,雇用人還可趕緊提起確認之訴或舉發等程序救濟,以保護企業內部的智慧財產。 [1] 本文主要聚焦於專利申請權及專利權歸屬之判決討論。本案判決尚涉及協議書及授權書效力之爭執,本文不另行贅述。 [2] 劉國讚,《專利法之理論與實用》,元照出版,初版,頁186(2012)。 [3] <司法院101年度「智慧財產法律座談會」「民事訴訟類相關議題」提案及研討結果第5號>,司法院法學資料檢索系統,http://jirs.judicial.gov.tw/FJUD/index_1.htm (最後瀏覽日:2016/1/21)。 [4] 我國專利法第7條第2項:「前項所稱職務上之發明、新型或設計,指受雇人於僱傭關係中之工作所完成之發明、新型或設計」。 [5] 我國專利法第7條第1項:「受雇人於職務上所完成之發明、新型或設計,其專利申請權及專利權屬於雇用人,雇用人應支付受雇人適當之報酬。但契約另有規定者,從其約定」。 [6] 我國專利法第8條第1項:「受雇人於非職務上所完成之發明、新型或設計,其專利申請權及專利權屬於受雇人。但其發明、新型或設計係利用雇用人資源或經驗者,雇用人得於支付合理報酬後,於該事業實施其發明、新型或設計」。 [7] 中國大陸專利法第6條第1項:「執行本單位的任務或者主要是利用本單位的物質技術條件所完成的發明創造為職務發明創造。職務發明創造申請專利的權利屬於該單位;申請被批准後,該單位為專利權人」。 [8] 中國大陸專利實施細則第12條:「專利法第六條所稱執行本單位的任務所完成的職務發明創造,是指: (一)在本職工作中作出的發明創造; (二)履行本單位交付的本職工作之外的任務所作出的發明創造; (三)退休、調離原單位後或者勞動、人事關係終止後1年內作出的,與其在原單位承擔的本職工作或者原單位分配的任務有關的發明創造。 專利法第六條所稱本單位,包括臨時工作單位;專利法第六條所稱本單位的物質技術條件,是指本單位的資金、設備、零部件、原材料或者不對外公開的技術資料等」。 [9] 中國大陸專利法第6條第3項:「利用本單位的物質技術條件所完成的發明創造,單位與發明人或者設計人訂有合同,對申請專利的權利和專利權的歸屬作出約定的,從其約定」。 [10] 中國大陸專利法第6條第2項:「非職務發明創造,申請專利的權利屬於發明人或者設計人;申請被批准後,該發明人或者設計人為專利權人」。 [11] 中國大陸專利法修改草案第6條第1項:「執行本單位任務所完成的發明創造為職務發明創造」。 [12] 中國大陸職務發明條例草案第20條:「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的獎勵的,對獲得發明專利權或者植物新品種權的職務發明,給予全體發明人的獎金總額最低不少於該單位在崗職工月平均工資的兩倍;對獲得其他智慧財產權的職務發明,給予全體發明人的獎金總額最低不少於該單位在崗職工的月平均工資」。 [13] 中國大陸職務發明條例草案第21條:「單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的,單位實施獲得智慧財產權的職務發明後,應當向涉及的所有智慧財產權的全體發明人以下列方式之一支付報酬: (一)在智慧財產權有效期限內,每年從實施發明專利或者植物新品種的營業利潤中提取不低於5%;實施其他智慧財產權的,從其營業利潤中提取不低於3%; (二)在智慧財產權有效期限內,每年從實施發明專利或者植物新品種的銷售收入中提取不低於0.5%;實施其他智慧財產權的,從其銷售收入中提取不低於0.3%; (三)在智慧財產權有效期限內,參照前兩項計算的數額,根據發明人個人月平均工資的合理倍數確定每年應提取的報酬數額; (四)參照第一、二項計算的數額的合理倍數,確定一次性給予發明人報酬的數額。 上述報酬累計不超過實施該智慧財產權的累計營業利潤的50%。 單位未與發明人約定也未在其依法制定的規章制度中規定對職務發明人的報酬的,單位轉讓或者許可他人實施其智慧財產權後,應當從轉讓或者許可所得收入中提取不低於20%,作為報酬給予發明人」。 [14] 我國專利法第71條第1項第3款:「違反第十二條第一項規定或發明專利權人為非發明專利申請權人」。 [15] 我國專利法第35條:「發明專利權經專利申請權人或專利申請權共有人,於該專利案公告後二年內,依第七十一條第一項第三款規定提起舉發,並於舉發撤銷確定後二個月內就相同發明申請專利者,以該經撤銷確定之發明專利權之申請日為其申請日」。 [16] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第2條:「臺灣地區有關法院的民事判決,當事人的住所地、經常居住地或者被執行財產所在地在其他省、自治區、直轄市的,當事人可以根據本規定向人民法院申請認可」。 [17] 最高人民法院關於人民法院認可台灣地區有關法院民事判決的規定第9條:「臺灣地區有關法院的民事判決具有下列情形之一的,裁定不予認可: (一)申請認可的民事判決的效力未確定的; (二)申請認可的民事判決,是在被告缺席又未經合法傳喚或者在被告無訴訟行為能力又未得到適當代理的情況下作出的; (三)案件係人民法院專屬管轄的; (四)案件的雙方當事人訂有仲裁協議的; (五)案件係人民法院已作出判決,或者外國、境外地區法院作出判決或境外仲裁機構作出仲裁裁決已為人民法院所承認的; (六)申請認可的民事判決具有違反國家法律的基本原則,或者損害社會公共利益情形的」。 [18] 劉國讚,《專利法之理論與實用》,元照出版,初版,頁187(2012)。

菲律賓最高法院延長網路犯罪法適用限制之時間

  菲律賓最高法院於2013年2月5日延長了之前(2012年10月9日)對於網路犯罪防制法(Cybercrime Prevention Act of 2012),所做出的120日暫時限制適用令(Temporary Restraining Order),表示此一法令暫時尚無法正式施行。對此,菲國參議員多表示贊成,而對於該法主要的批評包括過度侵害言論自由、違反程序正義、比例原則以及一事不兩罰原則,並可能導致「寒蟬效應」,先前聲請停止該法施行的相關人士則認為該法過於模糊且規範範圍過廣。   該法之具體適用爭議如:(1)ISP業者僅因刊登誹謗性言論,即可能遭致處罰。(2)該法12條授權主管機關可即時蒐集利用電腦系統之特定通訊資料。(3)網路使用者可能被認定為網路犯罪之幫助或教唆者而被處罰。(4)政府可能依據此法蒐集網路使用者之各種資料。   不過,菲國檢察總長Francis Jardeleza 對此則表示,此法雖有缺陷,但亦尚未至完全可廢止之程度。另外,尚有菲律賓全國記者聯盟(National Union of Journalists of the Philippines, NUJP)與菲律賓網路自由聯盟(Philippine Internet Freedom Alliance, PIFA)對此限制適用令表示支持,並認為對於法令與自由衝突爭議正方興未艾。

加州立法機關提出2020年加州消費者隱私法修正案,擴大對未成年消費者個人資料之保護

2024年1月29日,加州立法機關提出2020年加州消費者隱私法(California Consumer Privacy Act of 2020)之修正案,限制企業出售、分享、使用及揭露18歲以下消費者的個人資料。 2020年加州消費者隱私法旨在保護消費者之個人資料相關權利。依現行條文,企業向第三方出售、分享消費者個資前,應向消費者發出通知。而消費者有權拒絕出售、分享其個資,即便消費者曾經同意,亦有權隨時要求企業停止出售、分享行為。現行條文尚禁止企業在明知消費者未滿16歲的情況下,出售或分享消費者個資。除非年滿13歲消費者本人授權,或未滿13歲消費者父母授權,企業方可為之。 然該法修正案調整了前述條文,改為禁止企業在明知消費者未滿18歲的情況下,出售或分享消費者個資,除非企業取得年滿13歲消費者本人之授權,或取得13歲以下消費者父母之授權。 加州消費者隱私法修正案亦針對未成年人個資的使用與揭露增設限制。依現行條文,消費者有權限制企業只能在提供商品、服務的必要範圍內使用其敏感個資。若企業欲對敏感個資為原定目的外之使用或揭露、或敏感個資可能被用於或揭露予第三方,企業應向消費者發出通知。而消費者有權限制或拒絕企業之使用、揭露行為。而後該法修正案在同條增加未成年人個資使用、揭露相關規範,規範企業不得使用、揭露18歲以下消費者個資。除非年滿13歲消費者本人同意,或是未滿13歲消費者父母同意企業為之。 若修正案通過,再配合現行條文於行政執行(Administrative Enforcement)章節之處罰規定,將能有效擴大該法對未成年人的保護。該修正案亦以條文要求加州隱私保護局(California Privacy Protection Agency)在2025年7月1日前,廣泛徵求公眾意見並調整相應法規,以進一步實現該法目的。

新加坡物聯網產品網路安全防護之初探

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網(Internet of Things,簡稱IoT)產品蓬勃發展,伴隨著資通安全之威脅卻也日益加增,新加坡為此陸續訂定國內法規,以強化保障新加坡人民資訊流通之自由,並確立了網路安全標籤機制,藉以提高消費者對於物聯網產品資安的認識。另一方面,標籤制度能於消費者使用物聯網產品時,將產品受到不同層級之網路安全防護,或有別於一般用途使用等資訊,迅速傳達給消費者。據此,本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規,供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1](CSA),陸續為新加坡建立完善之物聯網產品網路安全防護機制,且新加坡於2018年訂定《網路安全法》[2],法案的第一部分已明示將「網路安全」列為實質保障內涵[3],並明訂須透過識別與分析威脅,以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性,首先於亞太地區推出物聯網產品等級評估機制,即新加坡網路安全標籤機制[4](Cybersecurity Labelling Scheme, CLS),致力於保障新加坡的網路空間,並使消費者能夠識別符合網路安全規定之物聯網產品,以利消費者辨認選購。此外,CLS架構下設有驗證中心、通用標準以及標籤分級等措施,以強化物聯網產品資安防護為目的,也能落實《網路安全法》保障新加坡網路安全之精神。 (一)設置網路安全驗證中心[5](Cybersecurity Certification Centre, CCC):為驗證資安相關產品與服務之權責機關,透過CSA建置的驗證標準,成為新加坡企業採用資安產品之參考依據。 (二)建立通用標準(Common Criteria, CC):最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出,以國際標準ISO/IEC 15408(Common Criteria for Information Technology Security Evaluation)作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認,資訊服務業者若經過相關驗證時,較易被新加坡企業採用。 (三)建立網路安全標籤機制(Cybersecurity Labelling Scheme, CLS):CSA針對智慧裝置推出網路安全標籤機制CLS,是以《網路安全法》做為上位精神而訂,但並不具強制力,而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級,使消費者能夠識別符合較高等級網路安全規定的產品,並做出明智的決定。CLS共可分為4個等級(Level 1~4),第1級為產品滿足相關之基本要求(如密碼要求、提供軟體更新);第2級為該產品係使用安全設計原則進行開發(如進行相關之威脅評估、審驗程序);第3級為該產品經過第三方測試實驗室評估;第4級則經過第三方實驗室之滲透測試。此外,值得注意的是,新加坡亦與德國、芬蘭簽署備忘錄,以相互承認,也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度(IT-Sicherheitskennzeichen)、芬蘭的網路安全標籤制度(Finnish Cybersecurity Label),可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安,透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制,針對物聯網產品資安進行不同層次的保障。此外,採「驗證」方式保障人民生活不受網路威脅侵害,同時提高消費者對於物聯網產品資安之意識,可謂一舉數得之作法。而我國於物聯網產品發展以來,有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章,以供企業或消費者識別,物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後,核發合格證書及資安標章,並依照資安風險高低及安全技術實現複雜度,區分三個等級(L1~L3),分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下,已推出6項產品系列之驗證[7],並且採消費者導向之標章,足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識;但此認驗證機制或有優化空間,今後可以參考新加坡作法,擴增可進行驗證的產品項目,持續提升保障消費者選購物聯網產品之資訊知悉權,同時可參酌國際上其他重點國家之風險評估方式,以系統性建置物聯網產品資安之風險評估通用標準,以確保該制度未來有機會被其他國家直接或間接承認,為國際接軌做準備,作為今後精進物聯網產品資安之目標,方可促使我國與國際產業鏈、海外市場逐步銜接,提升產業競爭力。 [1]新加坡網路安全局CSA(Cyber Security Agency),隸屬於總理辦公室(Prime Minister’s Office, PMO),由新加坡通訊暨新聞部(Ministry of Communications and Information)管理,https://www.csa.gov.sg/,(最後瀏覽日:2023/6/30)。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟(Mobile Application Security Alliance),關於我們〈推動架構〉,https://www.mas.org.tw/about/background,(最後瀏覽日:2023/6/30)。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟(Mobile Application Security Alliance),IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些?〉,https://www.mas.org.tw/iot/questAndAnswer,(最後瀏覽日:2023/6/30)。

TOP