美國公布實施零信任架構相關資安實務指引
美國公布實施零信任架構相關資安實務指引
資訊工業策進會科技法律研究所
2022年09月10日
美國國家標準技術研究院(National Institute of Standards and Technology, NIST)所管轄的國家網路安全卓越中心(National Cybersecurity Center of Excellence, NCCoE),於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」(NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture)系列文件初稿共四份[1] ,並公開徵求意見。
壹、發布背景
此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中,要求聯邦政府採用現代化網路安全措施(Modernizing Federal Government Cybersecurity),邁向零信任架構(advance toward Zero Trust Architecture)的安全防護機制,以強化美國網路安全。
有鑑於5G網路、雲端服務、行動設備等科技快速發展,生活型態因疫情推動遠距工作、遠距醫療等趨勢,透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業,皆使得傳統的網路安全邊界逐漸模糊,難以進行邊界防護,導致駭客可透過身分權限存取之監控缺失,對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」(Zero Trust Architecture, ZTA)標準文件[3] ,協助企業基於風險評估建立和維護近用權限,如請求者的身分和角色、請求近用資源的設備狀況和憑證,以及所近用資源之敏感性等,避免企業資源被不當近用。
貳、內容摘要
考量企業於實施ZTA可能面臨相關挑戰,包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構;擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響;整個組織對ZTA 缺乏共識,無法衡量組織的ZTA成熟度,難確定哪種ZTA方法最適合業務,並制定實施計畫等,NCCoE與合作者共同提出解決方案,以「NIST SP 800-207零信任架構」中的概念與原則,於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份,包含:
一、NIST SP 1800-35A:執行摘要(初稿)(NIST SP 1800-35A: Executive Summary (Preliminary Draft))
主要針對資安技術長(chief information security and technology officers)等業務決策者所編寫,可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案,實施ZTA所能帶來優點等。
二、NIST SP 1800-35B:方法、架構和安全特性(初稿)(NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft))
主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫,闡述風險分析、安全/隱私控制對應業務流程方法(mappings)的設計理念與評估內容。
三、NIST SP 1800-35C:如何操作指引(初稿)(NIST SP 1800-35C: How-To Guides (Preliminary Draft))
主要針對於現場部署安全工具的IT 專業人員所編寫,指導和說明特定資安產品的安裝、配置和整合,提供具體的技術實施細節,可全部或部分應用指引中所揭示的例示內容。
四、NIST SP 1800-35D:功能演示(初稿)(NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft))
此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構,展示使用案例情境的實施結果。
參、評估分析
美國自總統發布行政命令,要求聯邦機構以導入ZTA為主要目標,並發布系列指引文件,透過常見的實施零信任架構案例說明,消除零信任設計的複雜性,協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構,未來可預見數位身分將成為安全新核心。
此外,NIST於2022年5月發布資安白皮書-規劃零信任架構:聯邦管理員指引[4] ,描繪NIST風險管理框架(Risk Management Framework, RMF)逐步融合零信任架構的過程,幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。
我國企業若有與美國地區業務往來者,或欲降低遠端應用的安全風險者,宜參考以上標準文件與實務指引,以建立、推動和落實零信任架構,降低攻擊者在環境中橫向移動和提升權限的能力,與保護組織重要資源。
[1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022).
[2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022).
[3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022).
[4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).
- Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
- Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE
- SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
- NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY
從北京知識產權局裁定iPhone6停售看中國大陸外觀設計專利 資策會科技法律研究所 法律研究員 翁竹霆 106年01月17日 中國大陸北京市知識產權局於2016年5月10日作成京知執字(2016)854-16號《專利侵權糾紛處理決定書》,依中國大陸佰利公司之請求,認定美國蘋果公司與中國大陸中復電訊設備公司在市面上銷售之iPhone6、iPhone6 plus侵害了佰利公司的外觀設計專利(專利號:ZL201430009113.9),北京市知識產權局依中國大陸專利法第60條:「未經專利權人許可,實施其專利,即侵犯其專利權,引起糾紛的,由當事人協商解決;不願協商或者協商不成的,專利權人或者利害關係人可以向人民法院起訴,也可以請求管理專利工作的部門處理。管理專利工作的部門處理時,認定侵權行為成立的,可以責令侵權人立即停止侵權行為…」,爰責令蘋果公司立即停止侵權行為,即停止銷售系爭兩款手機。 蘋果公司、中復公司對此停售決定不服,爰以北京市知識產權局為被告,佰利公司為有利害關係之第三人,依行政訴訟法向北京知識產權法院提起行政訴訟,要求法院撤銷該裁定,並宣告iPhone6系列手機之外觀設計並未落入佰利公司系爭專利之保護範圍。北京知識產權法院於2016年6月15日受理本案,並由三名法官、二名學者組成五人合議庭,於2016年12月7日進行公開審理,擇日宣判本案。 壹、外觀設計專利要件 中國大陸之外觀設計專利制度,目的在於鼓勵工業品外觀設計的創作。而據大陸專利法第2條第4項,所謂外觀設計乃指對產品的形狀、圖案或者其結合以及色彩與形狀、圖案的結合所作出的富有美感並適於工業應用的新設計。條文所揭「富有美感」,所體現的是ㄧ種美學設計,而非功能性或技術性的考慮[1] ,「適於工業應用」,亦即可供工業上大量生產之需要[2]。同法第59條第2項:「外觀設計專利的保護範圍以表示在圖片或者照片中的該產品的外觀設計為準,簡要說明可以用於解釋圖片或者照片所表示的該產品的外觀設計。」,意即外觀設計專利係對產品的外觀進行保護,故外觀專利之審查重點應在於整體外觀是否構成相同或近似。揆諸中國大陸專利法條文,外觀設計須滿足下列要件方可獲得專利法之保護: 一、適於工業應用 按中國大陸專利法第2條,外觀設計必須適於工業應用,此意義為外觀設計所對應之產品「能應用於產業上並形成批量生產」,且外觀設計必須應用於特定載體,如脫離特定載體之外觀設計,其專利將失其附麗,無法取得專利法之保護,又據中國大陸《專利審查指南》第1部分第3章:「不能重複生產的手工藝品、農產品、畜產品、自然物不能作為外觀設計的載體」,所謂載體,反面解釋上,應指可重複生產的產品。此要件限縮了外觀設計專利之保護範圍,如將相同的外觀設計移植到不相同、不近似的的產品上,並不侵害外觀設計專利[3]。 二、新穎性 此新穎性依中國大陸專利法第23條第1項,應指不屬於現有設計,亦沒有任何單位或個人就同樣的外觀設計在申請日之前向專利行政部門提出申請,並記載於申請日之後公告之專利文件。 三、區別性 中國大陸專利法第23條第2項:「授與專利權的外觀設計與現有設計或者現有設計特徵的組合相比,應當具有明顯區別」。此與台灣設計專利所採之創作性要件不同,創作性係以該設計所屬技藝領域中具有通常知識者為標準,區別性則是以一般消費者為標準,旨在使該設計市場上可被消費者有效區分,以符外觀設計保護之目的。 四、不予專利之消極要件 中國大陸專利法定有不予專利之消極要件,外觀設計如違反第5條有關公序良俗之規定,或符合第26條第1項第6款「對平面印刷品的圖案、色彩或者二者的結合作出的主要起標識作用的設計」,將無法通過審查,依法不授予專利。 貳、外觀設計專利侵權審查 從近年中國大陸在外觀設計專利的司法解釋和侵權實務認定上,可歸納出三個面向:一般消費者標準、整體觀察綜合判斷、整體視覺效果之影響。 一、「一般消費者標準」視產品種類而定 在發明專利、新型專利中,判斷一技術是否為現有技術、是否相同近似之審查是採該技術領域之熟練技術人員為標準,惟參中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第10條,人民法院在判斷系爭外觀設計專利是否相同或者近似時,是以一般消費者的知識水平和認知能力,亦即採一般消費者標準進行審查。學者更具體指出,ㄧ般消費者之知識水平和認知能力應與系爭外觀設計產品相關聯[4],換言之,係指該類產品領域之一般消費者,故所謂「一般消費者標準」應隨產品種類不同,而有所不同。 二、棄「要部判斷」,採「整體觀察、綜合判斷」 過去《專利審查指南》曾採「要部判斷」的方法,判斷外觀設計是否相同或近似,然於2006年修改《專利審查指南》時,放棄此法。理由在於,「要部判斷」過度強調局部設計,可能不適當的放大外觀設計專利保護範圍,且所謂「要部」是指容易引起ㄧ般消費者注意的部位,在選擇認定何為要部上充滿不確定性,使保護邊界更難清楚界定,使實務判斷者區別對待一項設計中的不同設計特徵[5],而流於恣意。目前判斷標準與方法,可見於中國大陸《專利審查指南》第4部分第5章:「外觀設計相同,是指涉案專利與對比設計是相同種類產品的外觀設計,並且涉案專利的全部外觀設計要素與對比設計的相應設計要素相同,其中外觀設計要素是指形狀、圖案以及色彩。」。所謂相同種類,依最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第9條,可參考外觀設計的簡要說明、國際外觀設計分類表、產品功能及銷售等實際情況認定。是否相同或近似之判斷方法則採取「整體觀察、綜合判斷」,而不可從外觀設計的部分或局部得出判斷結論,此與發明專利中,需就系爭發明專利權利請求項之全部技術特徵一一比對有明顯不同。《專利審查指南》以冷暖空調扇為例,若冷暖空調扇的底面和背面設計不足以對產品整體視覺效果產生影響,則不對其進行整體觀察、綜合判斷,意即對於一般消費者不關注的設計特徵,審查時可以選擇性忽視。 三、整體視覺效果之影響 中國大陸最高人民法院《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條第1項規定「人民法院認定外觀設計專利是否相同或者近似時,應當根據授權外觀設計、被訴侵權設計的設計特徵,以外觀設計的整體視覺效果進行綜合判斷;對於主要由技術功能決定的設計特徵以及對整體視覺效果不產生影響的產品的材料、內部結構等特徵,應當不予考慮。」,此與審查指南之判斷標準應為一致,僅是最高人民法院採用略有不同之表述[6]。法院實務中亦透過判決說明外觀設計專利侵權認定與ㄧ般專利侵權認定之不同,如成都雄峰家具有限公司訴黃興貴案:「本案中,被控侵權產品與原告的專利產品均為鞋櫃,屬於相同產品,從二者的外觀形狀特徵比較A、B、C、E、F、G分別與a、b、c、e、f、g相同,D與d相似,H與h雖然存在較大差異,但上述差異並不會影響鞋櫃整體的設計風格和樣式,對ㄧ般消費者的整體視覺效果不產生影響,因此,普通消費者對被控侵權產品與原告的外觀設計專利容易相互混淆。」[7],本案法院肯認設計特徵H和h存在較大差異,如依照ㄧ般專利侵權判斷方法,將無法認定專利侵權,惟依外觀設計專利所採之「整體觀察、綜合判斷」方法,在整體視覺效果無影響的情況下,依然可認定為專利侵權。 叄、本案認定 蘋果公司主張其產品與系爭專利存有極大差異,於六面視圖中均有體現。而北京市知產局則認為,經比對分析,蘋果公司系爭兩款手機與佰利公司推出之手機100C,雖然有一系列的差別,但其中圓形「home」鍵設計、側面按鍵形狀與布局、揚聲器孔與耳機插孔之排列方式等五個區別均為功能性設計,而從正面到背面的過度設計之區別屬一般消費者難以辨識之微小差異,應認二者無顯著區別,故iPhone6、iPhone6 plus落入佰利公司之專利權範圍。 北京市知產局主張外觀設計是ㄧ種美學設計,而非功能性之考慮,此原則經最高人民法院透過《關於審理侵犯專利權糾紛案件應用法律若干問題的解釋》第11條予以肯認,即侵權判斷過程中,對於功能性技術特徵,應不予考慮。且北京市知產局之侵權判斷方法與成都雄峰家具有限公司訴黃興貴案一致,係採「整體觀察、綜合判斷」,縱被控侵權產品之設計與系爭專利間存有局部的巨大差異,惟無影響整體視覺效果時,仍可認定為侵害系爭專利,構成侵權。 肆、結語 我國專利法第121條第1項對設計之定義指對物品之全部或部分之形狀、花紋、色彩或其結合,透過視覺訴求之創作。另於同條第2項將電腦圖像設計納入設計專利保護範圍,而中國大陸專利法並無直接規定圖像設計,而係於2014年規定在其《專利審查指南》第1部分第3章中,此為台灣設計專利與大陸外觀設計專利之規範差異,二者雖有不同,但在設計定義之概念相似,使兩岸之設計專利制度有趨向一同之趨勢。 在產品外觀設計的保護上,專利法與著作權法可能發生重疊適用的雙重保護,二者區別在於外觀設計專利有著產品載體的限制,而著作權著眼於思想創作的保護,具體附著於何種產品載體在所不問。中國大陸法院在樂高玩具案[8[中表示:作品雖已申請外觀設計專利,但並不妨礙同時或繼續得到著作權保護。此對於創作者之智慧財產可謂多重保障。 惟目前中、台在外觀設計專利之申請審查要件仍容有差異,除產業利用性、新穎性外,中國大陸外觀設計專利採區別性,台灣設計專利則採創作性,二者標準不同。由於中國大陸政府輔導當地公司專利申請的同時,會傾向做出有利於當地供應商的決定,期望可透過本文就中國大陸之外觀專利申請要件與侵權判定進行之介紹,提供我國業者在兩岸進行專利布局時參考之用。 [1] 崔國斌,《專利法:原理與案例》,北京大學出版社,頁898(2016)。 [2] 曾陳明汝、蔡明誠,《兩岸暨歐美專利法》,新學林出版股份有限公司,頁71(2009)。 [3] 同註1,頁899。 [4] 羅霞,《外觀設計專利相近似的司法判斷》,人民司法第13期,頁9(2012)。 [5] 崔國斌,《專利法:原理與案例》,北京大學出版社,頁933(2016)。 [6] 崔國斌,《專利法:原理與案例》,北京大學出版社,頁939(2016)。 [7] 成都雄峰家具有限公司訴黃興貴案,四川成都中院(2010)成民初字第191號。 [8] 英特萊格公司訴可高(天津)玩具有限公司案,北京高院(2002)高民終字第279號。
歐盟報告提出工業4.0帶來的三大變遷歐盟執委會下設機構策略與評估服務中心(CSES)在2016年2月向歐洲議會提出歐洲落實工業4.0政策執行分析報告,指出執行工業4.0帶來的科技、社會、以及商業環境變遷: (1)科技變遷 數位化將對中小企業帶來挑戰,其中涉及之法律議題包括:促進數位安全致生之企業成本或風險、智慧財產權保護、個人資料與隱私、環境保護、健康和安全等。 (2)社會變遷 企業應用工業4.0技術時將面臨工作方式上之調整,整體工業4.0技術分佈不均則有可能導致集中化競爭的情形增加。 (3)商業環境變遷 隨著中小企業參與供應鏈,將帶來成本、風險、缺乏彈性、缺乏政策性的單獨運作等各方面挑戰,而重點在於藉由標準化串起整體產業,與其他的企業競爭。 我國在2016年7月通過「智慧機械產業推動方案」,以精密機械之推動成果及我國資通訊科技能量為基礎,導入智慧化相關技術,建構智慧機械產業新生態體系,並且預期能打通供需生產資訊鏈,提升人均製造力,同時併以連結在地、連結未來、連結國際為推動策略主軸,其中相關的法律議題、以及對於社會或商業環境帶來的變遷影響評估,自屬重要。