您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

法律彙編

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【案號:S1050105】電商平台坦承兩年前遭駭客入侵,至少5億用戶帳號被竊

【焦點話題】

2016年8月某電商網站傳出曾有2億用戶資料被盜,並流入黑市販售。美國媒體Recode報導實際外洩情形更為嚴重,某電商網站隨後於證實該公司於2014年遭駭入,至少5億美國用戶姓名、電子郵件信箱、電話、加密後的密碼及生日遭到竊取,另部份用戶的安全問題與答案亦有外流,但遭竊資料未涵蓋銀行帳號或信用卡資訊等。某電商網站表示已取消部分用戶以答覆安全問題登入的方式,並積極配合執法單位進行調查,該公司相信這樁駭客行動背後有國家力量的支持,同時呼籲2014年以後未變更密碼的用戶儘速更改密碼。

【資料來源:iThome,105/9/23】

【重點摘要】

  1. 電商網站維護會員資料庫安全性,得採取的技術上措施可能包含主機架設防火牆、建立異常偵測機制或定期進行弱點掃描等。
  2. 因應電商網站個資外洩規模與頻率迅速攀升,我國已由主管機關積極透過個資法上行政檢查措施,並配合相關改善輔導機制,督促業者落實相關義務,以從資訊安全角度根本降低外洩風險。

【法律觀點】

依我國個人資料保護法(簡稱個資法)規定,公務機關或非公務機關發生個資事故後,應查明後以適當方式通知當事人,通知內容應包含個人資料被侵害之事實,以及已採取之因應措施。本案例中該電商網站雖為外國公司,但事故發生後,亦取消部分用戶安全問答登入機制,且呼籲用戶更改密碼作為補救措施,以減少損害擴大。又,本案例之事件並非單一個案,隨著近來電商網站個資外洩規模迅速攀升,資訊安全議題更加引發社會大眾重視。企業依個資法須採取組織上與技術上適當安全維護措施,以妥善維護個資安全。對於電商網站維護會員資料庫安全性,得採取的技術上措施可能包含主機架設防火牆、建立異常偵測機制或定期進行弱點掃描等。本次事件中,某電商網站並非自行發現遭到駭客入侵,而是個資外洩長達兩年且傳出黑市交易傳聞後,啟動內部調查才證實確實發生個資事故,此亦突顯出駭客手法趨於隱蔽,致企業難以察覺或防範。

考量到個資外洩導致網路詐騙猖獗,進而造成民眾財產損失,經濟部商業司為促使業者正視問題並加強改進,已於2015年4月邀集相關部會與專家,共同組成「網際網路零售商品之公司行號個資保護行政檢查小組」,將發生重大個資外洩或突發性嚴重個資外洩業者列為行政檢查對象,依個資法辦理行政檢查,以強化對於網路零售平台個資保護情形之監督,若業者經通知改善後仍未改善,則主管機關可按次依個資法處新臺幣(下同)2萬至20萬元罰鍰。故我國針對此類電子商務網站,已由主管機關積極透過行政檢查並配合相關輔導措施,督促業者落實相關義務,以從資訊安全角度根本降低外洩風險。

【管理Tips】

首先,組織是持續曝露在資訊安全風險的環境威脅下運作的。公司應當定期識別出相關技術脆弱性,並建立與支援脆弱性管理所需之資訊,包含脆弱性監視、風險評鑑、修補程式、資產追蹤及所有必要之協調責任,以降低組織受到的資訊安全風險的威脅。應定期審查組織內資訊系統的脆弱性威脅,包含運用滲透測試、弱點掃描及人工檢查等方式,檢驗運作之系統的安全性,並隨時關注新技術、新型病毒及駭客模式,以隨時更新資訊安全知識,讓組織保持受防護的狀態。

再者,組織在面對資訊安全事故時,需建立起管理責任及程序,以確保對事故的發生可以迅速、有效及有序的回應。為此,需規劃適當的通報管道、記錄事件發生的狀態及原因、對事故發生時的緊急回應以及從資訊安全事件中組織的成長與學習等等。以上皆為面對事故發生時的應變措施,這些程序都需事先做規劃,並定期的做演練,以避免實際發生時帶來負面的影響。

【相關標準】

  • ISO/IEC 27001:2013(CNS 27001)

A.12.6.1 技術脆弱性管理

宜及時取得關於使用中之資訊系統的技術脆弱性資訊,並宜評估組織對此等脆弱性之暴露,且宜採取適當措施以因應相關風險。

A.16.1 資訊安全事故及改善之管理

確保對資訊安全事故之管理的一致及有效作法,包括對安全事件及弱點之傳遞。

A.18.2.3 技術遵循性審查

應定期審查資訊系統對組織之資訊安全政策及標準的遵循性。

類別:資訊保護【案號:S10500601】「台灣麥塊」攏係假,架私服吸收17萬會員獲利千萬

【焦點話題】

保二總隊刑事警察大隊偵一隊日前就破獲一起架設遊戲私服的侵權案件,逮補嫌犯A與嫌犯B,並查扣伺服器主機32台與其他網路設備。

A、B二人自兩年前起,創設知名電腦遊戲的私人伺服器(下稱私服),會員累積人數達17萬人次之多,甚至以贊助為名,向使用者收取費用。遊戲官方得知相關訊息時,也曾行文給A嫌警示,卻不見改善,因此委任律師提告。

據報導指出,兩嫌之所以能夠招攬到17萬會員,主因是兩嫌將原本單機版的遊戲,改成連線型態,因此廣受該遊戲玩家好評,再以一次贊助900元便可獲取永久會員的模式招攬會員,兩年來不法所得粗估在新台幣一千萬元以上。

【資料來源:蘋果日報105/10/03】

【重點摘要】

  1. 對於電腦遊戲,擅自複製、改寫或提供連結以供下載,將分別被論以「違法重製」、「違法改作」及「違法公開傳輸」。
  2. 即使未違法重製、改作或公開傳輸電腦程式,僅是破解其防止複製或改寫的程式,仍屬於「違法破解防盜拷措施」而涉有刑責。

【法律觀點】

電腦遊戲的「私人伺服器」,是指由個人架設的網路遊戲伺服器,提供終端使用者與官方網站相同之服務。原本網路遊戲玩家是連線到遊戲公司去進行遊戲,若使用私人伺服器,則是連線到特定玩家架設的伺服器進行遊戲。而私服業者常以低於官網之月費(甚至不收月費)以及低於官網之寶物價格吸引玩家使用「私服」,因此「私服」對遊戲公司之獲利會造成一定的影響。因為電腦遊戲私人伺服器的架設,是在電腦遊戲的基礎上進行改寫或增加功能,因電腦遊戲屬於著作權法所保障的「著作」,若未得網路遊戲製造商的授權,便會因此會觸犯著作權法。

若「私服」業者未經遊戲公司授權,將原有的網路遊戲程式內容加以複製以供其架設「私服」收取費用,依著作權法第91條規定,涉及「意圖銷售或出租而重製」該款網路遊戲,將成立刑事責任。再者,「私服」業者修改原遊戲,而仍承繼原遊戲的「表達」而非僅是其「抽象概念」,例如承繼原遊戲的劇本、設計或角色設計,而另外加入新的創意表現,則可能涉及著作權法第92條規定之「違法改作」行為。

至於「私服」業者透過網路主動或被動地向公眾提供或傳達著作內容(例如:主動寄電子郵件給多數人或提供連結供人連線下載),只要是使著作處於其他人可以隨時接取或下載的狀態,依著作權法第92條規定,亦將成立「違法公開傳輸」之刑責。

另外,通常網路遊戲都會設有「防盜拷措施」,用來防止使用者重製或改寫遊戲。為了避免用來保護著作的科技措施被規避,依著作權法第80-2條規定,未經合法授權不得對防盜拷措施予以破解、破壞或以其他方法規避。因此,若「私服」業者或是遊戲玩家破解遊戲的防盜拷措施,即使未違反其他著作權法之規定,仍會成立刑事責任。

【管理Tips】

從技術層面來說,公司在設計產品時,需事先考量產品的安全性以及被盜用的可能性。於ISO27001的資訊安全管理制度的理念上,需於組織內部建立系統開發的安全工程原則,宜在所有營運相關的系統上進行安全設計以及安全要求。持續記錄、維護,並針對新技術進行安全風險分析與審核,防止已知的資訊安全攻擊。適當設計用戶身分鑑別技術與防盜措施,避免非法人士擅自更動產品設計,以達到主動防禦的概念。

產品受到技術攻擊是不可避免的。從法律層面來說,公司可運用適當的法律依據,來規範產品相關的智慧財產權、所有權與著作權等的使用規定,並符合法律、法規和合約的要求,達到保護組織資產與權益之目的。

【相關標準】

  • ISO 27001:2013(CNS 27001)

A.14.2.5 安全系統設計原則

設計安全系統的原則應加以建立、文件化、維護並應用於所有資訊系統實作成果。

A.18.1.1適用之法規及契約的要求事項之識別

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

類別:資訊應用【案號:A1050106】金融科技產品或服務受限於現有法規 各界呼籲儘速推動監理沙盒

【焦點話題】

在國內首度提出監理沙盒(Regulatory Sandbox)之立法倡議後,此一議題隨即成為金融圈最為熱烈的話題之一,不僅若干新創公司與既有金融產業紛紛表示聲援,政府也透過vTaiwan平臺展開大規模的公眾諮詢,希望能夠找到更多創新構想及作法,有效解決國內新興科技應用服務之瓶頸。

在日前舉辦的一場公聽會上,專營財務報表教學與分析之某公司即分享親身經驗,表示在資訊應用風潮下,其曾規畫利用公開財報資訊搭配財務教科書公式等運用,對外推出「可推測合理股價」之新興金融科技產品。不過,由於認為一金融科技產品有牴觸證券交易法中禁止操縱股價之疑慮,而向主管機關詢問時也未能得到正面答覆,因而目前處於暫緩推動之狀況。該業者表示,法規之模糊或過度限制,輕則讓新創事業錯失市場先機,嚴重則可能造成臺灣金融科技發展之絆腳石。

【資料來源:iThome,105/9/18】

【重點摘要】

  1. 金融科技產品或服務之推出,因涉及相關金融法令,需先做好法律風險之評估,以避免觸法。
  2. 政府刻正研議導入之「監理沙盒」制度,將允許業者事先向主管機關就其實驗性開發項目提出申請,以免除既有法令之管制或相關法律責任。

【法律觀點】

「監理沙盒」制度源自英國,原係為了推動金融科技(FinTech)之發展與應用需求,希望為創新產品、服務及商業模式之試驗,提供一個安全空間,是以由FCA(Financial Conduct Authority)開始研究並加以推動。而新加坡所採行之制度構想,基本上係參考英國制度而來,在金融管理局(Monetary Authority of Singapore, MAS)主導下,對金融科技相關企業推出監理沙盒指引,凡向主辦機關提出監理註冊的金融科技相關公司,在事先報備的範圍內,可以從事推動各項實驗性業務,日後不會遭到追究相關法律責任。

為推動金融科技之發展,我國於民國(下同)105年10月14日將攸關「監理沙盒」機制之相關法案一讀。而與「監理沙盒」機制相關之法案包括:銀行法、證券交易法、期貨交易法、保險法、投信投顧法、電子票證發行管理條例、電子支付機構管理條例,以及信託業法等。以證券交易法為例,即為納入監理沙盒機制而進行相關規範調整。首先,為促使主管機關主動參與新創企業產品、服務、企業模式及給付機制等之開發測試,以移除對於金融創新不必要的管制障礙,主管機關得受理企業對於監理沙盒之試驗申請。其次,主管機關除受理監理沙盒之試驗申請外,應同步針對申請案所涉及之管制法令進行通盤檢討。此外,為進行既有法律之調整檢討,主管機關應邀請利害關係人進行政策諮詢;前項政策諮詢,其範圍應包含市場公平競爭、交易安全、消費者權益與保護、資安及主管機關認為必要之事項。最後,主管機關應就政策諮詢之結果進行法令應否修改之建議方案,並得附監理沙盒試驗申請案函送行政院及立法院備查。

以本案而言,某公司曾規畫利用公開財報資訊搭配財務教科書公式之應用,對外推出「可推測合理股價」之新興金融科技產品,而此一產品之推出可能涉及證券交易法第155條第1項第7款規定,惟其癥結恐在於其所提供之資訊是否屬於「流言或不實資訊」。惟如為排除該公司在開發金融科技產品或服務時之疑慮,避免金融科技發展受阻,未來在證券交易法修正草案通過後,即可向主管機關提出試驗申請,先行免除相關管制及法律責任。

管理Tips

本案例可以從兩個不同觀點進行探討。首先,金融科技其實就是運用網際網路科技來執行金融服務,此一科技之應用可以帶來龐大的經濟效益,卻也可能同時隱藏許多資訊安全層面之風險。舉例來說,第三方驗證與防護機制、雲端服務廠商之監管,以及個人交易紀錄之維護等,皆為金融科技業務相關之業界需正視的問題。

另一方面,當推動監理沙盒之後,組織在提交測試資料於監管單位時,必須小心選擇、保護及控制測試資料。由於測試資料與實際運作資料為相近資訊,應避免測試內容包含個人可識別資訊或其他機密資訊之運作資料,若不得已將此資料運用於測試用途,須經由移除或修改後才可執行。而在每次測試完成後,應立即將資訊由測試環境中抹除。

而執行測試的監管單位,需嚴格規範與監控安全周界,以保護收容機敏或重要資訊及資訊處理設施之區域。除了實體環境的保護、進出人員的監控以及網路線路的遮蔽與區隔,監管單位均須予以嚴密控管。

相關標準

  • ISO 27001:2013(CNS 27001)

A.11.1.1實體安全周界

宜定義及使用安全周界,以保護收容機敏或重要資訊及資訊處理設施之區域。

A.14.3.1 測試資料之保護

應小心選擇、保護及控制測試資料。

類別:資訊保護【案號:S1050202】史諾登再現? 美政府機關委外廠商涉竊國家機密

【焦點話題】

美國某政府機關之外包廠商員工因涉嫌竊密遭到逮捕,引起輿論震驚。有媒體稱事件為「史諾登2.0」(Snowden 2.0),因為三年前爆料揭露美國政府秘密監控網路與電話計畫的史諾登,正好也是這個外包廠商之員工,而這個廠商主要協助美國政府機關規劃大部分敏感的網路行動。事件爆發後,美國聯邦檢察官在一份法庭文件中表示,該員工所竊取最高機密情報的「時間跨度和範圍令人驚訝」,甚至是「有史以來最大的政府機密文件竊賊」。

據檢察官透露,調查人員在該員工家中與車中,搜出高度機密文件的紙本和數位檔案,其中所竊取之電子資料高達50TB,時間長達20年。而依據報載內容,該員工承認自己將政府機關之機密資料帶回家,以便「改進自己的技術」,但他堅稱未向任何人洩漏這些資料。

【資料來源:聯合新聞網,105/10/6】

【重點摘要】

  1. 未經授權即擅自複製或留存機密檔案,可能涉及刑事法律責任。
  2. 組織對於可能接觸機密資訊的委外廠商與其員工,應進行控管。

【法律觀點】

我國於民國(下同)92年2月6日制定國家機密保護法(以下簡稱本法),作為保護國家安全之依據。參酌本法第2條之規定,「國家機密」指為確保國家安全或利益而有保密之必要,對政府機關持有或保管之資訊,經依本法核定機密等級者;由此可見,國家機密必須經由政府機關核定機密等級之程序。而同法第4條將機密等級分為三級,分別為:絕對機密、極機密、機密。國家機密在收發、傳遞、使用、持有、保管、複製及移交時,亦應按本法第15條第1項規定,依其等級分別管制。而為確保國家機密之安全性,機關對於國家機密資料與檔案之存置場所或區域,得禁止或限制人員或物品進出,並為其他必要之管制措施。如有刺探或收集國家機密資料者,最高可處以5年有期徒刑。本案之情形如發生在我國,無論該員工刺探或收集機密之意圖為「改進自己的技術」或其他目的,均可能涉及本條犯罪,而依據其所試探或收集之機密資料屬性不同,最高可面臨5年的刑責。如有洩漏或交付國家機密者,更可能面臨1年以上7年以下有期徒刑。

而針對政府機關對資訊業務委外之部分,我國先前對於如何強化委外廠商之監督管理並無一般性之法律規範。然而,在現正研擬之資通安全管理法草案中,已意識到此一管理環節之重要性,其不僅要求政府機關將資訊業務委外營運時,除了慎選委外廠商外,並明訂其應善盡監督之責;未來本法正式推動後,組織應配合新的法規內容做好因應準備。

管理Tips

此事件的發生可以歸納出兩個關鍵點,第一,如何避免國家機密遭到竊取,其二則是對於委外廠商控管的程序。

針對前者,組織對於機敏性資料的管理,除了對於資料本身的遮蔽與隱藏的機制外,對於資訊及應用系統的存取權限需嚴格審查與開放。組織需制定存取控制政策,控管特定使用者可存取之資料,以及控制每位使用者的存取權限,包含讀取、寫入、刪除及執行等權限,限制系統輸出之資訊內容,並利用實體或邏輯的存取方式來區隔高機密等級資料。

針對後者,需與供應商及合作廠商進行合約簽署,並以文件型式紀錄雙方之協議,並仔細考量納入所有相關之資訊安全風險發生的可能性,以確保組織與供應者雙方間對履行相關資訊安全要求事項之義務沒有誤解。

相關標準

  • ISO 27001:2013(CNS 27001)

A.9.4.1 資料存取限制

應依存取控制政策,限制對資訊及應用系統功能之存取。

A.15.1.2 於供應者協議中闡明安全性

應與每個可能存取、處理、儲存或傳達資訊,或提供IT基礎建設組件資訊之供應者,建立及議定所有相關資訊安全要求事項。

類別:資訊開放【案號:D1050104】Google釋出開放圖片資料輯,供社群用以訓練機器學習模型

【焦點話題】

Google與美國卡內基美隆大學、康乃爾大學合作建立Open Images資料輯,Open Images資料輯含有高達900萬筆、涵蓋6,000種圖片的URL,且圖片標籤所涉及的實體品項類別,比目前ImageNet電腦視覺模型的1,000種更多。Google表示,這些圖片種類的數量足以用來訓練深度神經網路,且這些圖片是採用「創用CC-姓名標示」通用版條款授權。

根據Google的說明,圖片中的標籤是用類似Google雲端視覺API(Google Cloud Vision API)的視覺模型自動標註,這個視覺模型能夠分析圖片中的內容並加以歸類。Google表示,平均每張圖片會有8個標籤,需要透過人工驗證自動標籤正確性,以移除錯誤的標籤。

【資料來源:iThome,105/10/3】

【重點摘要】

  1. Google與學術機構蒐集以「創用CC-姓名標示」條款授權釋出之圖片,建立開放圖片資料輯,以利在最開放的授權條款下,提供機器學習社群或任何使用者自由取用。
  2. 創用CC是一套制式化開放授權契約條款,符合著作權人所設定之授權條件所為之利用,即視同已取得著作權人授權,而無庸再行取得同意,以降低授權成本與合理使用空間模糊的問題。

【法律觀點】

電腦科學與相關領域中的機器學習是下一代人工智慧發展的重要關鍵,因此Google與學術機構共同合作,釋出開放圖片資料輯,該資料輯包含大量以「創用CC-姓名標示」授權釋出的圖片URL,以及對應圖片內容的標籤。

所謂創用CC是一套制式化開放授權契約條款,提供著作權人從「姓名標示」、「非商業性」、「禁止改作」及「相同方式分享」四大要素中,自行排列組合選擇適當的授權條件,當使用者符合著作權人所設定的授權條件時,即等同已取得著作權人之授權,而無庸另行取得同意。例如當著作權人選擇以「創用CC-姓名標示-非商業性-相同方式分享」釋出攝影作品時,任何人只要標示作者姓名並從事非商業性用途時,即符合授權條件,至於使用者若欲調整攝影作品光影、粒度或修改圖片內容而涉及改作時,改作完成作品亦須以相同條款即「創用CC-姓名標示-非商業性-相同方式分享」釋出,始符合前述授權條件,否則即須另行取得著作權人授權或由法院認定是否屬於合理使用,故此類開放授權條款相對降低授權成本與合理使用空間模糊造成的風險。

研究社群為開發圖像辨識技術,須要大量圖片素材作為測試分析資源,然而圖片著作權人未必同意使用者複製圖片或進行編輯調整,因此Google與學術機構蒐集以「創用CC-姓名標示」條款授權釋出之圖片,並結合圖片主題標籤內容建立一開放資料輯後,以最為寬鬆的創用CC授權釋出,讓機器學習社群或任何使用者在標示資料貢獻者後即可取用,有助於運用充分、免費且允許自由運用的圖像與實物標籤資源,讓研究者從資料抓取與分類過程,訓練深度神經網絡。

【管理Tips】

組織在對外分享資訊資產時,應確保開放之資產符合公司規定,且資產有受到法律效力的規範,更無違反任何法令、法規之要求。以此為前提下,組織應明確界定公開之資產,才可有效的運用其價值。而外部組織在使用此資訊資產時,可瞭解此資產的使用方式與使用條件,免於擔憂觸碰法律限制。

法律、法規和合約的要求可以對具有所有權的資產進行限制,而創用CC授權是在既有著作權法架構下,由著作權人透過契約方式聲明授權條件,以利使用者在符合授權條件時即可取得授權,因此當使用者利用以創用CC授權釋出的著作時,須受授權條件所拘束,否則即非屬著作權人事先授權範圍。

【相關標準】

  • ISO/IEC 27001:2013(CNS 27001)

A.18.1.1適用之法規及契約的要求事項之識別

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

A.18.1.2 智慧財產權

適當程序應加以實作,以確保遵循智慧財產權與所使用的專屬軟體產品的相關法律、法規及契約要求。

類別:資訊保護【案號:M1050104】不能移送帳號 網路性騷難法辦

【焦點話題】

網路陌生人性騷擾案件有增加趨勢,卻難以究責,曾有當事人的臉書連日收到陌生帳號私訊傳送女子性愛照片,覺得很噁心,截圖後報案遭性騷擾;檢警認為性騷擾事證明確,卻因臉書公司不提供加害人資料,難以究責,當事人只能將對方「封鎖」,希望別再被騷擾。

某縣市家防中心表示,以往性騷擾案件以肢體碰觸居多,較易揪出加害人,如今網路性騷擾案增加,105年1到8月接到22件性騷擾申訴案,半數是陌生人騷擾,其中8案是陌生網友透過臉書或LINE傳送猥褻訊息,受害者多為未成年少女及妙齡女子。

追查臉書使用者的身分,雖可請臉書公司配合提供使用者申請資料、登入紀錄,檢方說,臉書是外國公司,不在我國司法主權裡,不一定能如願;目前實務上,臉書只提供關於涉及殺人、重傷害等犯罪者的註冊人個資。

【資料來源:聯合新聞網105/09/21】

【重點摘要】

  1. 外國公司在境外蒐集、處理或利用我國人民之個人資料,仍應適用我國個人資料保護法規定。
  2. 保管個人資料之機關,基於協助調查社會秩序維護事件之目的,得交付警察機關個人資料,而不違反個資法。

【法律觀點】

近來許多犯罪常以網路作為傳播媒介,藉由網路的匿名性與傳播性,達到其犯罪目的及隱藏其真實身分。為了犯罪偵查或維護自身權益,警察機關或被害人,往往會要求網站管理者提供加害人的個人資料,藉此追查其真實身分及取得其犯罪證據。

臉書公司雖設在國外,但依個資法第51條第2項:「公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。」臉書公司如欲將我國用戶的個資提供與第三人使用,仍適用我國個資法規定。

依個資法第15條第1款,公務機關在符合特定目的且於執行法定職務必要範圍內,得對個人資料之蒐集或處理。關於性騷擾事件,依性騷擾防治法第13條第2項規定,在性騷擾加害人不明時,主管機關應移請事件發生地主管機關調查;且依社會秩序維護法第39條及第83條第3款規定,對於有猥褻之言語、舉動或其他方法,調戲異性者,警察機關亦有立即調查之義務。顯見調查此類網路性騷擾案件,乃是屬警察機關的「執行法定職務必要範圍內」,得依個資法第15條向其他機關蒐集資料。

另外,非公務機關對於個人資料的利用,僅有個資法第20條列舉的事由下,才能例外為特定目的外之利用。而參考法務部見解,警察機關基於調查社會秩序維護事件之需要,而由非公務機關提供個人資料,亦應符合個資法第20條第1項第2款「為增進公共利益所必要」之要件。因此,臉書得基於協助調查社會秩序維護事件之目的,交付警察機關個人資料,並不違反個資法之規定 。

然而據報導,臉書公司目前受理協助調查的案件,僅有殺人、毒品、組織犯罪、擄人勒贖、兒少、妨害電腦使用等6大犯罪類型。對於性騷擾等案件,並不接受。由於臉書公司設在境外,無法直接受我國主管機關規範,惟實務上,警察機關仍可透過加害人遺留之資料,查出其實際身分,以保障被害人權益。

【管理Tips】

此事件可以從兩個角度來思考,其一,以廠商與消費者之間;其二,以廠商與警方之間。

首先,當民眾在網路上面對到類似事件時,需先留存訊息、紀錄以求自保,可利用複製、拍照等方式,將記錄用電子的方式儲存下來,以利後續報案程序。而廠商在提供服務時,需有儲存客戶資料的相關設計,以輔助事件發生時可調閱紀錄。要注意的是,資料儲存設計是存放在客戶端,只需提供操作手冊教導客戶如何獲取訊息,但如果資料是儲存在廠商伺服器,則廠商有義務事先告知消費者,讓其瞭解個人資料會被如何運用,並承諾保護機敏資料,以防止資料外洩的風險。

再者,當廠商面對警方類似事件的要求,需參考現行法律、法令之要求制定相關對應程序,並符合公司規範的前提下全力協助,以防止類似事件的延續。且公司需讓消費者瞭解個人機敏資料所受到的保護與運用,經由使用者的同意,並確保隱私及個人可識別資訊受到管控。

【相關標準】

  • ISO 27001:2013(CNS 27001)

A.18.1.3 紀錄之保護

宜依法令、法規、契約及營運要求保護紀錄,免於遺失、毀損、偽造、未經授權存取及未經授權發布。

A.18.1.4個人可識別資訊之隱私及保護

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。


個資法第12條:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人」、本法施行細則第22條第2項:「依本法第12條規定通知當事人,其內容應包括個人資料被侵害之事實及已採取之因應措施」。

個資法第22條第1項:「中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。」

個資法第48條:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣2萬元以上20萬元以下罰鍰:四、違反第27條第1項或未依第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」、另參同法第21條:「非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:一、禁止蒐集、處理或利用個人資料。二、命令刪除經處理之個人資料檔案。三、沒入或命銷燬違法蒐集之個人資料。四、公布非公務機關之違法情形,及其姓名或名稱與負責人。」

智慧財產法院101年刑智上訴字第42號刑事判決參照。

著作權法第91條第2項:「意圖銷售或出租而擅自以重製之方法侵害他人之著作財產權者,處6月以上5年以下有期徒刑,得併科新臺幣20萬元以上200萬元以下罰金。」

著作權法第 10-1 條:「依本法取得之著作權,其保護僅及於該著作之表達,而不及於其所表達之思想、程序、製程、系統、操作方法、概念、原理、發現。」

著作權法第3條第11款:「……十一、改作:指以翻譯、編曲、改寫、拍攝影片或其他方法就原著作另為      創作。……」

著作權法第92條:「擅自以公開口述、公開播送、公開上映、公開演出、公開傳輸、公開展示、改作、編輯、出租之方法侵害他人之著作財產權者,處3年以下有期徒刑、拘役,或科或併科新臺幣75萬元以下罰金。」

著作權法第3條第10款:「……十、公開傳輸:指以有線電、無線電之網路或其他通訊方法,藉聲音或影    像向公眾提供或傳達著作內容,包括使公眾得於其各自選定之時間或地點,以上述方法接收著作內容。」

著作權法第80-2條之立法理由:「……二、科技保護措施規定僅係於著作權之外,於著作權人採取科技措施保護其著作時,以著作權法再給予額外之保護,確保其所採取之科技措施不被規避,惟其對於原本依法享有之著作權並未增減,亦不影響著作權受侵害時之救濟,更不得使利用人合理使用之權益受到限制,為避免科技保護措施規定引發適用上之疑義。」

著作權法第80-2條第1項:「著作權人所採取禁止或限制他人擅自進入著作之防盜拷措施,未經合法授權  不得予以破解、破壞或以其他方法規避之。」

著作權法第96-1條:「有下列情形之一者,處1年以下有期徒刑、拘役,或科或併科新臺幣2萬元以上25萬元以下罰金:一、違反第80條之1規定者。二、違反第80條之2第2項規定者。」

證券交易法修正草案第18條之4。

證券交易法修正草案第18條之5。

證券交易法修正草案第18條之6。

證券交易法修正草案第18條之7。

證券交易法第155條第1項規定:「對於在證券交易所上市之有價證券,不得有下列各款之行為:一、在集中交易市場委託買賣或申報買賣,業經成交而不履行交割,足以影響市場秩序。二、(刪除)三、意圖抬高或壓低集中交易市場某種有價證券之交易價格,與他人通謀,以約定價格於自己出售,或購買有價證券時,使約定人同時為購買或出售之相對行為。四、意圖抬高或壓低集中交易市場某種有價證券之交易價格,自行或以他人名義,對該有價證券,連續以高價買入或以低價賣出,而有影響市場價格或市場秩序之虞。五、意圖造成集中交易市場某種有價證券交易活絡之表象,自行或以他人名義,連續委託買賣或申報買賣而相對成交。六、意圖影響集中交易市場有價證券交易價格,而散布流言或不實資料。七、直接或間接從事其他影響集中交易市場有價證券交易價格之操縱行為。」

國家機密保護法第4條:「國家機密等級區分如下:一、絕對機密:適用於洩漏後足以使國家安全或利益遭受非常重大損害之事項。二、極機密:用於洩漏後足以使國家安全或利益遭受重大損害之事項。三、機密:適用於洩漏後足以使國家安全或利益遭受損害之事項。」

國家機密保護法第19條。

國家機密保護法第34條:「刺探或收集經依本法核定之國家機密者,處5年以下有期徒刑。刺探或收集依第6條規定報請核定國家機密之事項者,處3年以下有期徒刑。前2項之未遂犯罰之。」

資通安全管理法草案第8條:「       公務機關或非公務機關,於本法適用範圍內,委外辦理資通系統之建置、維運或資通服務之提供,應考量受託者之專業能力與經驗、委外項目之性質及資通安全需求,選任適當之受託者,並監督其資通安全維護情形。」

因姓名標示為必要授權條件,而禁止改作與相同方式分享本質互斥,故四個授權要素共組成六種授權條款。

故「創用CC-姓名標示」是六大授權條款中最為寬鬆者,但目前有CCO條款,亦即不要求使用者須標示著作人姓名,對使用者而言等若在著作利用上無特別限制。

個人資料保護法第15條:「公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的,並符合下列情形之一者:一、執行法定職務必要範圍內。二、經當事人同意。三、對當事人權益無侵害。」

性騷擾防治法第13條第2項後段:「加害人不明或不知有無所屬機關、部隊、學校、機構或僱用人時,應移請事件發生地警察機關調查。」

社會秩序維護法第39條:「警察機關因警察人員發現、民眾舉報、行為人自首或其他情形知有違反本

法行為之嫌疑者,應即開始調查。」

社會秩序維護法第83條:「有左列各款行為之一者,處新臺幣6000元以下罰鍰:一、故意窺視他人臥室、浴室、廁所、更衣室,足以妨害其隱私者。二、於公共場所或公眾得出入之場所,任意裸體或為放蕩之姿勢,而有妨害善良風俗,不聽勸阻者。三、以猥褻之言語、舉動或其他方法,調戲異性者。」

法務部104年1月27日法律字第10403501210號函參照。

個人資料保護法第20條第1項:「非公務機關對個人資料之利用,除第6條第1項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。」

法務部104年1月27日法律字第10403501210號函參照。

自我評量

是非題:(每題十分)

  1. ( )監理沙盒機制之導入,主要是為了強化金融科技產品或服務之監理,並加重企業責任。【資訊應用A1050106】
  2. ( )依據我國國家機密保護法之規定,如係基於「改進自己的技術」目的,而刺探或收集國家機密或相關資訊文件,因為出發點沒有惡意,所以並不會構成犯罪。【資訊保護S1050202】
  3. ( )業者於個資事故發生後,僅須通知受害當事人個資外洩情形,無庸進一步採取任何因應或補救措施?【案號:S1050105】
  4. ( )遊戲玩家小華覺得某網路遊戲官方版有太貴,便把盜版的遊戲程式放在網路上供人下載,除非得到遊戲公司的授權,否則將違反著作權法。【案號:S10500601】
  5. ( )警察機關因調查網路性騷擾案,請求民間網站管理者提供相關個人資料,網站管理者如因此提供個人資料,並不違反個人資料保護法。【案號:M1050104】

選擇題:(每題十分)

  1. ( )有關監理沙盒機制之導入,下列敘述何者正確?(1)目前只有英國導入。(2)我國將是第一個導入監理沙盒機制之國家。(3)目前只有新加坡導入。(4)目前已有英國及新加坡導入此一機制,而國內政府目前刻正研議相關法制修正。【資訊應用A1050106】
  2. ( )有關避免或防範國家機密遭竊,下列何者敘述錯誤?(1)為確保國家機密之安全性,機關對於國家機密資料與檔案之存置場所或區域,得禁止或限制人員或物品進出。(2)機關將資訊業務委外營運時,除了慎選委外廠商外,並明訂其應善盡監督之責。(3)控制相關資訊使用者之存取權限,包含讀取、寫入、刪除及執行等權限,限制系統輸出之資訊內容。(4)組織應充分信賴委外廠商,而不應該考量監督管理之問題,以避免破壞合作關係。【資訊保護S1050202】
  3. ( )以下何者非屬創用CC授權條款的四大要素之一?(1)姓名標示。(2)禁止改作。(3)非商業性。(4)禁止公開傳輸。【案號:D1050104】
  4. ( )小劉迷上了某款線上遊戲,除了進行遊戲外,也投入該遊戲的其他活動,小華以下行為所涉及之法律問題,何者錯誤?(1)小劉想藉此賺錢,便利用自己的資訊專長,將遊戲的程式複製下來,出租給其他玩家,小劉此舉違反著作權法。(2)小劉承繼原有的遊戲劇情設定,將原來的遊戲進行修改,仍違反著作權法。(3)小劉將遊戲放在其網站上供人連線下載,違反著作權法。(4)小劉並無複製或修改遊戲程式,只是破解程式上的防盜拷措施,並不違反著作權法。【案號:S10500601】
  5. ( )A警察偵辦網路性騷擾案,發現嫌犯的犯罪證據及個人資料可能與B網站有關,下列何者敘述錯誤?(1)A依其法定職權,得請求該網站管理者協助,提供相關的資料。(2)B網站若未經當事人同意提供個人資料,一定違反個人資料保護法。(3)因為涉及調查社會秩序維護事件,B網站增進公共利益所必要,得提供個人資料給A。(4)若A警察若僅是基於私人目的,請求B提供個人資料,B應拒絕。【案號:M1050104】

評量解析

是非題:(每題十分)

  1. ( X )監理沙盒機制之導入,主要是為了強化金融科技產品或服務之監理,並加重企業責任。【資訊應用A1050106】解析:政府刻正研議導入之「監理沙盒」(Regulatory Sandbox)制度,將允許業者事先向主管機關就其實驗性開發項目提出申請,以免除既有法令之管制或相關法律責任。
  2. ( X )依據我國國家機密保護法之規定,如係基於「改進自己的技術」目的,而刺探或收集國家機密或相關資訊文件,因為出發點沒有惡意,所以並不會構成犯罪。【資訊保護S1050202】解析:依據國家機密保護法第34條規定,有刺探或收集國家機密資料者,最高可處以5年有期徒刑。因而行為人刺探或收集機密之意圖為「改進自己的技術」或其他目的,均可能涉及本條犯罪,而依據其所試探或收集之機密資料屬性不同,最高可面臨5年的刑責。
  3. ( X )業者於個資事故發生後,僅須通知受害當事人個資外洩情形,無庸進一步採取任何因應或補救措施?【案號:S1050105】解析:依個資法施行細則規定,個資事故通知內容應包括個人資料被侵害之事實及已採取之因應措施,故電子商務網站業者若發生個資外洩,除應通知受害人可能個資外洩內容以外,亦應說明已採取的因應或補救措施。
  4. ( O )遊戲玩家小華覺得某網路遊戲官方版有太貴,便把盜版的遊戲程式放在網路上供人下載,除非得到遊戲公司的授權,否則將違反著作權法。【案號:S10500601】解析:提供連結供人連線下載盜版程式,依著作權法第92條,擅自以公開傳輸之方法侵害他人之著作財產權,屬於「違法公開傳輸」,將被處三年以下有期徒刑、拘役,或科或併科新臺幣75萬元以下罰金。
  5. ( O )警察機關因調查網路性騷擾案,請求民間網站管理者提供相關個人資料,網站管理者如因此提供個人資料,並不違反個人資料保護法。【案號:M1050104】解析:非公務機關對於個人資料的利用,原則僅有個人資料保護法第20條列舉的事由下,才能例外為特定目的外之利用。參考法務部見解,警察機關基於調查社會秩序維護事件之需要,而由非公務機關提供個人資料,亦應符合個資法第20條第1項第2款「為增進公共利益所必要」之要件,並不違反個資法。

選擇題:(每題十分)

  1. ( 4 )有關監理沙盒機制之導入,下列敘述何者正確?(1)目前只有英國導入。(2)我國將是第一個導入監理沙盒機制之國家。(3)目前只有新加坡導入。(4)目前已有英國及新加坡導入此一機制,而國內政府目前刻正研議相關法制修正。【資訊應用A1050106】解析:「監理沙盒」制度源自英國,新加坡亦參考英國制度而為推動,我國則嘗試導入此一機制,目前已於105年10月14日將攸關「監理沙盒」機制之相關法案於立法院進行一讀,故(4)正確。
  2. ( 4 )有關避免或防範國家機密遭竊,下列何者敘述錯誤?(1)為確保國家機密之安全性,機關對於國家機密資料與檔案之存置場所或區域,得禁止或限制人員或物品進出。(2)機關將資訊業務委外營運時,除了慎選委外廠商外,並明訂其應善盡監督之責。(3)控制相關資訊使用者之存取權限,包含讀取、寫入、刪除及執行等權限,限制系統輸出之資訊內容。(4)組織應充分信賴委外廠商,而不應該考量監督管理之問題,以避免破壞合作關係。【資訊保護S1050202】解析:組織對於可能接觸機密資訊的委外廠商與其員工,應進行控管。故(4)錯誤。
  3. ( 4 )以下何者非屬創用CC授權條款的四大要素之一?(1)姓名標示。(2)禁止改作。(3)非商業性。(4)禁止公開傳輸。【案號:D1050104】解析:創用CC是一套制式化開放授權契約條款,提供著作權人從「姓名標示」、「非商業性」、「禁止改作」及「相同方式分享」四大要素中,自行排列組合選擇適當的授權條件,創用CC授權要素未包含對於公開傳輸或播送等利用態樣相關限制。
  4. ( 4 )小劉迷上了某款線上遊戲,除了進行遊戲外,也投入該遊戲的其他活動,小華以下行為所涉及之法律問題,何者錯誤?(1)小劉想藉此賺錢,便利用自己的資訊專長,將遊戲的程式複製下來,出租給其他玩家,小劉此舉違反著作權法。(2)小劉承繼原有的遊戲劇情設定,將原來的遊戲進行修改,仍違反著作權法。(3)小劉將遊戲放在其網站上供人連線下載,違反著作權法。(4)小劉並無複製或修改遊戲程式,只是破解程式上的防盜拷措施,並不違反著作權法。【案號:S10500601】解析:將網路遊戲程式內容加以複製以供出租,則屬於「意圖銷售或出租而重製」該款網路遊戲,依著作權法第91條,將面臨6月以上5年以下有期徒刑,得併科20萬元以上200萬元以下罰金,故(1)正確。且小劉在不影響原遊戲劇情設定下,修改原遊戲及提供連結供人連線下載,依著作權法第92條分別成立「違法改作」及「違法公開傳輸」,將被處三年以下有期徒刑、拘役,或科或併科新臺幣75萬元以下罰金,故(2)、(3)正確。另外,依著作權法第80-2條,若破解遊戲的防盜拷措施,即使未違反其他著作權法之規定,仍將面臨一年以下有期徒刑、拘役,或科或併科新臺幣2萬元以上25萬元以下罰金 ,故(4)錯誤。
  5. ( 2 )A警察偵辦網路性騷擾案,發現嫌犯的犯罪證據及個人資料可能與B網站有關,下列何者敘述錯誤?(1)A依其法定職權,得請求該網站管理者協助,提供相關的資料。(2)B網站若未經當事人同意提供個人資料,一定違反個人資料保護法。(3)因為涉及調查社會秩序維護事件,B網站增進公共利益所必要,得提供個人資料給A。(4)若A警察若僅是基於私人目的,請求B提供個人資料,B應拒絕。【案號:M1050104】解析:依個資法第15條 第1款,公務機關在符合特定目的且於執行法定職務必要範圍內,得對個人資料之蒐集或處理。且依社會秩序維護法第39條 及第83條 第3款規定,對於有猥褻之言語、舉動或其他方法,調戲異性者,警察機關亦有立即調查之義務,故A得依其法定職權,得請求該網站管理者協助,提供相關的資料,(1)正確。非公務機關對於個人資料的利用,僅有個人資料保護法第20條列舉的事由下,才能例外為特定目的外之利用,因(4)並無任何個資法第20條列舉事由,故B應拒絕,故(4)正確。參考法務部見解,警察機關基於調查社會秩序維護事件之需要,而由非公務機關提供個人資料,亦應符合個資法第20條第1項第2款「為增進公共利益所必要」之要件,並不違反個資法,故(2)錯誤,(3)正確。

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2017/5/23 16:17:46