您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

法律彙編

考量資訊科技的蓬勃發展,資通安全威脅與相關議題日趨複雜、多元,本中心除針對我國資安法制及相關規範進行研議外,亦持續深入研究各項新興科技與應用之資安法制與政策議題。同時,為協助公務機關及各界瞭解資安法制議題之最新趨勢與管理作法,十餘年來,本中心持續蒐整國內外資安與資訊相關案例,並從法制與管理的角度,對案例進行分析,並提出因應建議與可行作法,供機關與各界參考。

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【編號:S10721】盜拷布袋戲上網分享 檢察官透過谷歌抓到大學生

【焦點話題】

檢察官接獲檢舉,有不法份子,違法重製盜版「大霹靂國際整合行銷股份有限公司」享有著作權之布袋戲影片,重製檔案後上傳至網路Google雲端,再經由論壇分享,供不特定人瀏覽觀看,經檢調機關調取犯罪嫌疑人使用之電腦IP位置,並向美國科高公司﹙Google Inc.﹚函查相關資料後,逮捕家住雲林的19歲郭姓男子,而其表示只是想與人分享,全案目前由檢察官深入追查中。

【資料來源:聯合報,106/9/7】

【重點摘要】

  1. 按著作權法及民法相關規定,著作物之所有權係物權的一種,屬民法規定的範疇;著作權則屬無體財產權的一種,屬著作權法規定,二者並不相同,取得著作物之所有權不必然取得著作權。如著作人讓與著作物之所有權時,未同時讓與著作財產權者,則受讓人僅取得著作物之所有權,並未取得著作財產權,其著作財產權仍屬著作人享有。

【法律觀點】

著作權法所稱之著作指屬於文學、科學、藝術或其他學術範圍之創作[1],亦即具有原創性,能具體以文字、語言、形像或其他媒介物加以表現而屬於文學、科學、藝術或其他學術範圍之創作,均係受著作權法所保護之著作[2]。而著作物指著作所附著之物,可分為著作原件與著作重製物,著作原件[3]指著作首次附著之物,例如小說原稿、美術原畫、攝影原檔或錄音及電影母帶等,而著作重製物[4],則指以印刷、複印、錄音、錄影、攝影、筆錄或其他方法直接、間接、永久或暫時之重複製作之物,如小說原稿印刷成冊、複製畫、將影像檔沖洗為實體照片,錄音及電影母帶之重製品。

著作權與著作物之所有權為二不同權利,著作權法係保護「著作權」,而非保護「著作物之所有權」。著作物之所有權係物權之一類,屬民法規定範疇,物的所有人於法令限制範圍內,有完全支配所有物之權利;著作權則屬無體財產權之一種,包括著作人格權(如公開發表權、姓名表示權)及著作財產權(如重製權、公開演出權、散佈權)[5]。其中著作人格權[6]係專屬於著作人本身,不得讓與或繼承,而著作財產權則可以全部或部分轉讓[7]或授權他人行使[8]。因此,著作人讓與著作物(著作原件或其重製物)之所有權時,如未同時讓與著作財產權,則受讓人僅取得著作物之所有權,並未取得著作財產權,其著作財產權仍屬著作人享有[9],受讓人不得任意行使包括重製權、公開演出權以及散佈權等著作財產權。

本案中郭男將所購得之布袋戲影片予以重製後上網分享,但因其僅有著作物之所有權,並無著作財產權,依法不得任意重製分享,其行為已侵害造成重製權之侵害,最重可處3年有期徒刑[10],且依著作權法第88負損害賠償責任[11]

【管理Tips】

市售影片是受到著作權法所稱之著作重製物,當消費者購買相關影片時,僅購得著作物之所有權,著作財產權並未因為物權移轉而有所變更,因此組織於採購物件時,應確認其是否為著作物及其授權範圍,確保使用情形均為授權範圍內。

而如為組織出資聘請他人完成著作之情形,於契約中宜訂有授權條款,亦即將權利歸屬述明,確保著作權歸屬,避免發生組織雖得利用該著作,但因並未取得著作財產權,或使組織有權限對著作為適當合理之運用,導致組織無法享有重製、改作等權利[12]。組織並應定期盤點權利與授權範圍,可確保相關權利之使用情形均為授權範圍內。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.18.1.2  智慧財產權
  1. 標準內容:

應實作適切程序,以確保遵循與智慧財產權及專屬軟體產品使用之相關之法律、法令、法規及契約的要求事項。

  1. 適用說明:

組織對於其所持有之諸如智慧財產權、產品使用權等相關權利,應知悉並於其作業規定中符合相關法令、契約等要求,確保權利之使用符合授權範圍,以避免違反相關法規,以及契約要求之落實。

類別:資訊保護【編號:S10722】駭客入侵出國登錄系統 外交機關公開致歉

【焦點話題】

外交機關日前進行安全查核時,發現有不明來源IP成功駭入數十個外館領務信箱,估算系統異常活動時間為近3個月,範圍涵蓋日本、英國、東南亞等,最多恐使1.5萬人之個資遭竊取,確切數量仍需進一步清查。外交機關表示經委請資安專家進行數位鑑識,已確認機關之護照簽證等主機未遭駭客入侵,受影響之資料僅限於出國登錄系統,其餘個人資料仍屬安全無虞,其次,本事件亦已進行事件通報,並辦理伺服器防護等級之提升,以及要求外館立刻更改信箱密碼等措施。

【參考資料來源:自由電子報,106/2/8】

【重點摘要】

  1. 按個人資料保護法(下稱個資法)之規定,公務機關有指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏之義務。
  2. 參考CNS 29100資訊安全個資管理國家標準,組織進行資料蒐集時,宜以資料最小化辦理之,此可降低資料遭不當使用時之風險。

【法律觀點】

政府機關對於所保有之資料,不論型態均有責任維護資料之機密性(Confidentiality)、完整性(Integrity)以及可用性(Availability),而行政院亦定有行政院及所屬各機關資訊安全管理要點以及行政院及所屬各機關資訊安全管理規範,以推動各機關強化資訊安全管理,建立安全及可信賴之電子化政府,確保資料、系統、設備及網路安全、保障民眾權益協助政府各級機關建立安全的網路應用環境[13]

其次,按個資法第18條之規定,保有個人資料之公務機關,應指定專人辦理安全維護事項,以防止個人資料事故發生[14],且該法施行細則亦要求前述專人應具有管理及維護個人資料檔案之能力,並足以擔任機關之個人資料檔案安全維護經常性工作[15]。而如公務員因故意或過失導致應祕密之資料外洩時,尚有可能觸犯刑法第109條[16]、第110條[17]或第132條[18]之規定。

本案機關已委請資安專家進行鑑識,確認相關主機未遭駭客入侵[19],然若該機關未指派專人辦理安全維護事項,將直接違反個資法規定,如又因此導致事故發生而使他人產生損失,公務機關負有損害賠償責任[20]

【管理Tips】

持有大量個資之公務機關於維護公共利益與資料保護間之平衡須仔細衡量。而資料保護,首在於蒐集時,是否僅蒐集所需之最小資料量。以本案為例,事發時「出國登錄」網站需登錄中英文姓名、出生年月日、登錄者身份、身份證字號、護照號碼、性別、出國目的、電話、電子信箱、在台住址、在台緊急聯絡人及與在台緊急聯絡人之關係等資訊;而事發後,登錄項目已減少至中英文姓名、護照號碼、電話、電子信箱與緊急聯絡人等內容,有關資料之蒐集範圍明顯縮小。

其次,公務機關指派專人進行資訊、資通安全管理有其必要,包括依政府機關(構)資通安全責任等級分級作業規定,各機關除資安管理規範外,更分層推動資訊安全管理,包括資訊系統分類分級,定期進行資安稽核、實施資安教育訓練等,以防範潛在資安威脅,降低風險產生之可能。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.13.1.2  網路服務之安全
  1. 標準內容:

應識別所有網路服務之安全機制、服務等級及管理要求事項,並應被納入網路服務協議中,不論此等服務係由內部或委外提供。

  1. 適用說明:

組織應確保無論是內部或外部服務,其所使用之網路已具備相關安全機制,以進行網路服務之管理與安全維護。本案之機關對於系統、資訊傳輸空間即應具備相關安全機制,以降低駭客攻擊成功造成資料外洩等資安事故風險。

  1. A.13.2.3  電子傳輸
  1. 標準內容:

應適切保護電子傳輸時所涉及之資訊。

  1. 適用說明:

組織應確保相關資訊透過電子方式傳輸時已具備相關安全機制。本案之機關利用電子方式傳輸相關資訊時應具備相關安全機制,以降低駭客攻擊成功造成資料外洩等資安事故風險。

ISO 29100:2011(CNS29100)

  1. 5.5  資料極小化
  1. 標準內容:

資料極小化密切連結「蒐集限制」原則,但不僅如此。「蒐集限制」意旨被蒐集之有限資料與特定目的相關聯,而「資料極小化」則嚴格將PII之處理極小化。

堅持資料極小化原則,意指以下列方式設定及實作資料處理程序與ICT系統。

-將所處理之PII、隱私權利害相關者及PII接露對象或可存取PII之人員的數目最小化。

-確保採用「僅知(need-to-know)」原則,亦即於PII處理之合法目的框架下,宜僅對執行正式職務所必要之人員賦予PII存取權限。

-使用或提供視為預設選項,只要不涉及PII當事人之識別的互動及交易,儘能降低其行為之可觀察性並限制所蒐集PII的可連結性。

-一旦PII處理之目的終止,無法定要求保有PII,或是實務上需如此做時,即刪除或廢棄PII。

  1. 適用說明:

組織進行資料蒐集時,應採以資料最小化並予以分級,並在合法目的下揭露個別所需資料,可降低資料遭不當使用時之風險。本案於事件發生後,該機關已據此原則減量蒐集資料。

類別:資訊保護【編號:S10723】被炒抓狂 研發副處長刪光公司5千筆檔案

【焦點話題】

新竹科學園區某公司簡姓研發副處長,因不滿遭公司資遣,雖知電腦內電磁紀錄乃公司所有,且屬公司之營業資料,仍安裝「SafeErase」資料清除軟體至筆電內,於安裝該軟體後接續操作,刪除電腦硬碟內與公司營業相關之研發專案檔案,並利用該軟體移除公司配發筆電內之5千餘筆營業檔案,才交還電腦。負責人懷疑簡男所歸還電腦檔案過少,委託業者檢查交還之硬碟有無異狀,方確認有變更硬碟檔案資料情事,始具狀向檢調依刑法「刪除他人電腦電磁紀錄」罪嫌,提出告訴。

【資料來源:自由電子報,105/10/25】

【重點摘要】

  1. 按刑法之規定,破壞電磁紀錄罪之要件包括「無故」、「取得、刪除或變更」、「他人電腦或其相關設備之電磁紀錄」以及「致生損害於公眾或他人」。
  2. 員工對於組織之資訊安全責任及義務,於僱傭關係結束後仍應有效。

【法律觀點】

電腦系統已成為當前各組織營運之重要工具,組織的電腦系統中都存有各式重要檔案,但若重要檔案被離職員工惡意刪除,將導致組織重大損失,因此刑法為了有效制止此類損壞他人電腦的惡劣行為,特在刑法中增訂第36章「妨害電腦使用罪」,其中第359條規定「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科20萬元以下罰金。」

分析破壞電磁紀錄罪,可分解為下列要件:第一個要件是「無故」,司法實務上則認為「無正當理由」便是所謂「無故」;第二個要件是「取得、刪除或變更」,即本罪之行為部份,無論是自電腦中取得資料,或是使電腦中資料消失,又或是將電腦中原始資料予以更改,均屬破壞;第三個要件是「他人電腦或其相關設備之電磁紀錄」,所謂他人,即指非自己所有,而電腦或其相關設備之電磁紀錄[21] (包含以電子、磁性、光學或其他相類方式,存儲在電腦主機或相關設備之資料);第四個要件是「致生損害於公眾或他人」,亦即造成公眾或他人之損害。

以本案而言,簡男擔任公司研發副處長,掌握研發資料,因為遭資遣即於未經授權之情況下,刪除電腦內之相關資料手腳,便是「無故」;而安裝資料清除軟體至筆電內,接續操作4次刪除電腦硬碟內與公司營業相關的研發專案檔案,並確認電腦內遭刪除檔案已無還原可能,已屬「刪除電磁紀錄」;既然電腦為公司提供予其做為業務上使用,則滿足「他人電腦或其相關設備」之要件;最末,其所刪除之資料包括研發專案檔案以及其他營業相關檔案,如果有因此造成公司之損害時,即可能構成前開罪名,不可不慎。

【管理Tips】

資訊安全的保護除了從技術面著手外,對於人員的管理亦有一定程度的重要性。以CNS 27001資訊安全管理系統國家標準為例,其針對人力資源安全予以明確規範,包括聘僱前,應確保員工了解自身責任,且適任於其所被指派的角色;聘僱中應確保員工認知並履行其資訊安全的責任;聘僱終止與變更時,則是要確保組織利益未被侵害。雖然組織無法預期人員故意或過失行為發生時機,但其可以透過訂定相關補償措施以降低人員所帶來的風險,如:聘僱前應進行有效篩選、聘僱期間要求員工接受與其工作職務相關之認知宣導及教育訓練、簽訂契約時要求其於離職後仍受一定程度規範。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.7.3.1  聘用責任之終止或變更
  1. 標準內容:

應對員工及承包者定義、傳達於聘用終止或變更後,資訊安全責任及義務仍保持有效,並執行之。

  1. 適用說明:

員工對於組織之資訊安全責任及義務,得於僱傭關係結束後仍應有效,本案簡男於離職後,仍對所掌握之研發資料負有保密義務。

類別:資訊保護【編號:S10724】立委提案 患者有愛滋病須主動告知救護人員

【焦點話題】

日前一名救護技術員(EMT),於出勤時於救護車上,其傷口疑和傷患有血液接觸,然直到醫院通報才知該名病患染有愛滋,該消防機關遂行文中央衛生主管機關請示相關處置,中央衛生主管機關回應,現行法條規定中,愛滋病患者並不需主動告知救護人員其染有愛滋。準此,有立委提案,針對人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條進行修正,規範愛滋感染者於醫療機構治療時,所應告知病情義務之對象,須包括救護車上之救護人員,同時也規定救護技術員不能因救護對象為愛滋病患,就不予以協助,藉此保障愛滋病患與救護人員雙方權益。

【參考資料來源:聯合報,106/6/25】

【重點摘要】

  1. 為防止病毒感染、傳染之風險發生,人類免疫缺乏病毒感染者於就醫時應告知醫事人員,以及與他人進行危險性行為前應告知性行為對象,其已感染人類免疫缺乏病毒。
  2. 按個人資料保護法之規定除依法律明文規定、具有適當安全維護措施履行法定義務必要範圍、當事人自行或其他合法公開之個人資料等法定要件,,各機關、人員不得蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,而有關人類免疫缺乏病毒感染者之姓名及病歷等有關資料亦屬前述之個人資料之一,對於該資料之蒐集、處理或利用亦應符合個資法之規定。

【法律觀點】

人類免疫缺乏病毒傳染防治及感染者權益保障條例之立法目的在於防止人類免疫缺乏病毒之感染、傳染及維護國民健康,並保障感染者權益[22]。感染者本無義務告知他人,其已感染人類免疫缺乏病毒,惟為防止病毒感染、傳染之風險發生,有二種情況,感染者必須盡告知義務,第一、就醫時告知醫事人員[23];第二、與他人進行危險性行為前,告知性行為對象[24]。就後者而言,係為確保國民健康,避免疾病擴散,就前者而言,其目的在於保障醫事人員權益,使醫事人員能對感染者之醫療特別注意,特別加強感染者之告知義務。

因此,感染者在就醫時,應向醫事人員告知其已感染人類免疫缺乏病毒,然救護人員並非醫療法所稱之醫事人員[25],感染者不需主動告知救護人員。立法委員據此認為,救護人員在執勤時,有接觸到病患血液、體液,或不慎遭使用過的針頭紮傷等風險,故提出修正草案,要求感染者於接受緊急救護時,應向救護人員告知其已感染人類免疫缺乏病毒,以保障救護人員權益,且同時課予救護人員提供服務之義務,以符合法之衡平原則[26]

另為避免標籤化及污名化感染者,人類免疫缺乏病毒傳染防治及感染者權益保障條例第14條規定,主管機關、醫事機構、醫事人員及其他因業務知悉感染者之姓名及病歷等有關資料者,除依法律規定或基於防治需要者外,對於該項資料,不得洩漏。無論立委提案是否通過,感染者於救護現場無有告知救護人員,其已感染人類免疫缺乏病毒之義務,救護人員如因進行緊急救護時知悉受救護者為感染者時,亦屬其他因業務知悉感染者之姓名及病歷等有關資料者,同樣負有保密義務。

如救護人員違法洩漏相關資訊,依該條例第23條第1項[27]規定,可處新臺幣3萬元以上15萬元以下罰鍰,且如為醫師違反規定時,更負有刑事上責任[28]。故無論是主管機關、醫事機構、醫事人員,甚至是救護人員等,均應注意其保密義務,以保障感染者權益。

又依照個人資料保護法規定,有關人類免疫缺乏病毒感染者之姓名及病歷等有關資料亦屬個資法第2條[29]所稱之個人資料,故對於該資料之蒐集、處理或利用亦應符合個資法規定。而此類關於受感染者主動告知其已感染人類免疫缺乏病毒之情形,係屬於法律要求當事人主動提供,無論是否屬於個資法第6條[30]之病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料,或是普通個人資料,均是法律明文規定作為蒐集之法定要件[31],故得以據之蒐集、處理或利用,惟其他個資法上之必要作為,例如個資法第8條[32]所規定之告知義務仍須遵守,以免違反相關法令。

【管理Tips】

醫事機構基於醫療之目的,本即有蒐集、處理或利用愛滋感染者個人資料之必要,但整體醫療救護過程中發生資訊流動情形者眾,從事故發生、救護人員到場、送達醫事機構開始治療,直到療程結束,甚至可能會有必要對患者進行後續追蹤等情況,均有資訊流動的節點,當節點存在,個人資料外洩的風險亦隨存在。

因此,組織應採取有效管理制度,避免人員因違反法令,如醫事機構未有適當管理措施,避免會有因防護程度不足或執行人員操作不當,導致個人醫療資料遭到外洩。而醫事人員及其他因業務知悉感染者資料等相關人員,亦應謹慎保護因業務知悉或持有之他人秘密者,以避免將資料外洩。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.18.1.4  個人可識別資訊之隱私及保護
  1. 標準內容:

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。

  1. 適用說明:

人類免疫缺乏病毒傳染防治及感染者權益保障條例中,對於人類免疫缺乏病毒感染者之姓名及病歷等有關資料,有特別保護之要求,業務執行人員應更加謹慎保護相關資料,避免將其散佈或洩漏予他人。

類別:資訊應用【編號:A10725】開放網路申辦月租型門號 可用數位簽章方式申辦

【焦點話題】

通傳主管機關審查通過5家電信業者「行動寬頻業務營業規章」,於網路申請電信門號新增數位簽章方式。通傳主管機關表示,民眾只要傳真雙證件影本,再以符合電子簽章法之數位簽章方式進行身份識別後,就可透過網路辦理月租型門號。

過去民眾要申辦月租型門號,都必須拿雙證件到門市辦理,對於居住在偏鄉或行動不便的民眾來說相當不方便。這次5家行動寬頻業者修訂營業規章,主要是針對自然人申辦月租型門號時,得以網際網路方式辦理,民眾只要傳真雙證件影本後,再以數位簽章方式進行身份識別,就可以辦理月租型門號,減少過去要攜帶雙證件到門市親辦的往返和等候時間。

隨著新科技的發展,各項創新服務與應用不斷推陳出新,通傳主管機關除了兼顧民眾便利性外,也將關注對於資安和治安可能疑慮的影響,未來將持續視實施情況與各界反應,並在兼顧消費者便利性、業者競爭力和治安需求下檢討精進。

【參考資料來源:經濟日報,106/10/12】

【重點摘要】

  1. 內政部憑證管理中心所簽發及管理的自然人憑證,適用於網路中的身份識別及資料保護,無論是公部門或是私部門,均可以用自然人憑證作為在網路中的身份辨識。
  2. 組織於使用電子文件時,可透過應用數位簽章,確認簽署者的身份,確保內容不受到變更或竄改,更可使簽署人難以否認知悉文件內容,達到如同紙本文件之效力。

【法律觀點】

電子簽章法第2條第3款:「指將電子文件以數學演算法或其他方式運算為一定長度之數位資料,以簽署人之私密金鑰對其加密,形成電子簽章,並得以公開金鑰加以驗證者。」同法第9條第1項規定:「依法令規定應簽名或蓋章者,經相對人同意,得以電子簽章為之。」第10條規定:「以數位簽章簽署電子文件者,應符合下列各款規定,始生前條第一項之效力:一、使用經第十一條核定或第十五條許可之憑證機構依法簽發之憑證。二、憑證尚屬有效並未逾使用範圍。」因此,當事人間如要以數位簽章方式簽署文件時,必須是經主管機關核定或許可之憑證機構依法簽發之憑證,才具有法律上之效力。

目前經主管機關所核定之憑證機構,包括政府機關與民間企業位共有7個單位[33],其所發行的憑證各有對應之適用範圍。以內政部憑證管理中心為例,內政部憑證管理中心所簽發及管理的憑證為自然人憑證,而其適用於網路中的身份識別及資料保護[34]。因此,無論是公部門或是私部門,均可以用自然人憑證作為在網路中的身份辨識。

惟基於電信業者為特許事業,相關服務內容均必須載明於營業規章中,並報請通傳主管機關核准後,才得以公告實施[35],因此電信業者如欲以數位簽章作為身份辨識之手段,也必須得到主管機關核准後方可使用。在通傳主管機關於106年10月核准行動寬頻業務經營者所修訂之營業規章之後,自然人辦理申請月租型門號時,得以符合電子簽章法之數位簽章方式簽署申辦文件,透過上傳包括國民身份證、護照或外僑永久居留證,及其他足資辨識身份之證明文件的影像檔,留存於行動寬頻業者係統,供其進行身份核對即可[36]

隨著通傳主管機關開放月租型行動寬頻承租之自然人身份核對,得以電子簽章法之數位簽章方式進行後,可想見將來會有愈來愈多業務可透過此方式進行身份確認或是資料加密,將有助於提昇民眾使用各項服務的便利性,更有利業者之服務推動及競爭力提升。

【管理Tips】

數位簽章是透過簽署人之私鑰所形成的電子簽章,再以公鑰加以驗證後,可確認簽章者的身份,防止文件的偽造;亦可確保內容不受到變更或竄改,防止文件遭到攔截後變更內容;更可使簽署人因無法在不否認其數位金鑰的情況下否認該文件上的簽章,進而無法否認文件內容為其簽署。

因此,無論是電信業者或是其他得以利用網際網路作為業務媒介的工作型態者,均可藉由數位簽章作為身份認證機制之一環,確保電子文件的真實性,並透過適當的安全防護,讓使用者得以安心接受無紙化服務,進而拓展其業務發展。

【相關標準】

ISO 27001:2013(CNS 27001)

  1. A.13.2.2  資訊傳送協議
  1. 標準內容:

協議應詳細闡述組織與外部各方間營運資訊之安全傳送。

  1. 適用說明:

組織進行資訊傳送時,必須驗證身份並確保文件內容的完整,在本案例中,即是以數位簽章的方式來確保上開目的之達成。


[1] 著作權法第3條第1款:「本法用詞,定義如下:一、著作:指屬於文學、科學、藝術或其他學術範圍之創作。」

[2] 智慧財產法院104年度民著上字第17號民事判決:「按著作權法所保障之著作,係指屬於文學、科學、藝術或其他學術範圍之創作,著作權法第3條第1項第1款定有明文。是故,除屬於著作權法第9條所列之著作外,凡具有原創性,能具體以文字、語言、形像或其他媒介物加以表現而屬於文學、科學、藝術或其他學術範圍之創作,均係受著作權法所保護之著作。而所謂「原創性」,廣義解釋包括「原始性」及「創作性」,「原始性」係指著作人原始獨立完成之創作,而非抄襲或剽竊而來,而「創作性」,並不必達於前無古人之地步,僅依社會通念,該著作與前已存在之作品有可資區別的變化,足以表現著作人之個性為已足。其次,創作須具備最低程度之創作或個性表現,始可受到保護,亦即該著作仍須具有最低限度之創意性,且足以表現著作個性或獨特性之程度,方屬著作權法所保護之著作,如其精神作用之程度甚低,不足讓人認識作者之個性,則不得為著作權之客體,即無保護之必要。」

[3] 著作權法第3條第16款:「原件:指著作首次附著之物。」

[4] 著作權法第3條第5款:「重製:指以印刷、複印、錄音、錄影、攝影、筆錄或其他方法直接、間接、永久或暫時之重複製作。於劇本、音樂著作或其他類似著作演出或播送時予以錄音或錄影;或依建築設計圖或建築模型建造建築物者,亦屬之。」

[5] 經濟部智慧財產局電子郵件字第1041013號。

[6] 著作權法第21條:「著作人格權專屬於著作人本身,不得讓與或繼承。」

[7] 著作權法第36條第1項:「著作財產權得全部或部分讓與他人或與他人共有。」

[8] 著作權法第37條第1項:「著作財產權人得授權他人利用著作,其授權利用之地域、時間、內容、利用方法或其他事項,依當事人之約定;其約定不明之部分,推定為未授權。」

[9] 經濟部智慧財產局台(85)內著字第8506850號函釋。

[10] 著作權法第91條第1項:「擅自以重製之方法侵害他人之著作財產權者,處三年以下有期徒刑、拘役,或科或併科新臺幣七十五萬元以下罰金。」

[11] 著作權法第88條第1項前段:「因故意或過失不法侵害他人之著作財產權獲致版權者,負損害賠償責任。」

[12] 著作權法第12條:「出資聘請他人完成之著作,除前條情形外,以該受聘人為著作人。但契約約定以出資人為著作人者,從其約定。依前項規定,以受聘人為著作人者,其著作財產權依契約約定歸受聘人或出資人享有。未約定著作財產權之歸屬者,其著作財產權歸受聘人享有。依前項規定著作財產權歸受聘人享有者,出資人得利用該著作。」

[13] 行政院及所屬各機關資訊安全管理要點第1條。

[14] 個人資料保護法第18條:「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」

[15] 個人資料保護法施行細則第25條第1項:「本法第十八條所稱專人,指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安全維護經常性工作之人員。」

[16] 刑法第109條:「洩漏或交付關於中華民國國防應秘密之文書、圖畫、消息或物品者,處一年以上七年以下有期徒刑。洩漏或交付前項之文書、圖畫、消息或物品於外國或其派遣之人者,處三年以上十年以下有期徒刑。前二項之未遂犯罰之。預備或陰謀犯第一項或第二項之罪者,處二年以下有期徒刑。」

[17] 刑法第110條:「公務員對於職務上知悉或持有前條第一項之文書、圖畫、消息或物品,因過失而洩漏或交付者,處二年以下有期徒刑、拘役或一千元以下罰金。」

[18] 刑法第132條:「公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品者,處三年以下有期徒刑。因過失犯前項之罪者,處一年以下有期徒刑、拘役或三百元以下罰金。非公務員因職務或業務知悉或持有第一項之文書、圖畫、消息或物品,而洩漏或交付之者,處一年以下有期徒刑、拘役或三百元以下罰金。」

[19] 「領事事務局『出國登錄』系統出現異常活動事」新聞說明會紀要。網址:http://www.mofa.gov.tw/News_Content_M_2.aspx?n=70BCE89F4594745D&sms=700DE7A3F880BAE6&s=44159AB5579442EB(最後瀏覽日:106年10月22日)。

[20] 個人資料保護法第28條第1項略以:「公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。」

[21] 刑法第10條第6款:「電磁紀錄係指稱電磁紀錄者,謂以電子、磁性、光學或其他相類之方式所製成,而供電腦處理之紀錄。」

[22] 人類免疫缺乏病毒傳染防治及感染者權益保障條例第1條。

[23] 人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條:「感染者有提供其感染源或接觸者之義務;就醫時,應向醫事人員告知其已感染人類免疫缺乏病毒。」

[24] 人類免疫缺乏病毒傳染防治及感染者權益保障條例第21條第1項:「明知自己為感染者,隱瞞而與他人進行危險性行為或有共用針具、稀釋液或容器等之施打行為,致傳染於人者,處五年以上十二年以下有期徒刑。」

[25] 醫療法第10條:「本法所稱醫事人員,係指領有中央主管機關核發之醫師、藥師、護理師、物理治療師、職能治療師、醫事檢驗師、醫事放射師、營養師、藥劑生、護士、助產士、物理治療生、職能治療生、醫事檢驗生、醫事放射士及其他醫事專門職業證書之人員。」

[26] 人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條修正草案:「感染者有提供其感染源或接觸者之義務;於接受緊急救護或就醫時,應向救護人員或醫事人員告知其已感染人類免疫缺乏病毒。主管機關得對感染者及其感染源或接觸者實施調查。但實施調查時不得侵害感染者之人格及隱私。感染者提供其感染事實後,救護隊及救護人員與醫事機構及醫事人員不得拒絕提供服務。」立法院議案關係文書院總第 1433 號委員提案第21036號。

[27] 人類免疫缺乏病毒傳染防治及感染者權益保障條例第23條第1項:「違反第十一條第三項、第十二條、第十四條、第十五條第一項及第四項、第十五條之一或第十七條者,處新臺幣三萬元以上十五萬元以下罰鍰。」

[28] 刑法第 316 條:「醫師、藥師、藥商、助產士、心理師、宗教師、律師、辯護人、公證人、會計師或其業務上佐理人,或曾任此等職務之人,無故洩漏因業務知悉或持有之他人秘密者,處1年以下有期徒刑、拘役或5萬元以下罰金。」

[29] 個人資料保護法第2條第1款:「一、個人資料:指自然人之姓名、出生年月日、國民身份證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

[30] 個人資料保護法第6條第1項第1款:「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文規定。…」

[31] 個人資料保護法第19條第1項第1款:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。…」

[32] 個人資料保護法第8條第1項:「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。」

[33] 經核定之憑證機構名單一覽表,http://gcis.nat.gov.tw/mainNew/subclassNAction.do?method=getFile&pk=690 ,(最後瀏覽日:106年11月2日)

[34] 內政部憑證管理中心憑證實務作業基準第 1.9版1.3.7.1 憑證之適用範圍:「憑證管理中心所簽發及管理的憑證類別為自然人憑證,且包含簽章用及加密用憑證。憑證管理中心所簽發的憑證符合憑證政策保證等級第三級之規定,本憑證適用於網路中的身份識別及資料保護。」。

[35] 電信法第27條第1項:「第一類電信事業,應就其服務有關之條件,訂定營業規章,報請電信總局轉請交通部核准後公告實施;變更時亦同。」而國家通訊傳播委員會組織法第2條規定:「自本會成立之日起,通訊傳播相關法規,包括電信法、廣播電視法、有線廣播電視法及衛星廣播電視法,涉及本會職掌,其職權原屬交通部、行政院新聞局、交通部電信總局者,主管機關均變更為本會。其他法規涉及本會職掌者,亦同。」因此,於電信法所規定應報請核准之主管機關亦隨之變更。

[36] 此處係以中華電信股份有限公司之行動寬頻業務營業規章為例,http://www.cht.com.tw/portal/rule_detail?rule_id=112,其他包括台灣大哥大股份有限公司、台灣之星電信股份有限公司、亞太電信股份有限公司及遠傳電信股份有限公司,均於其行動寬頻業務營業規章有相類條文。(最後瀏覽日: 106年11月2日)

自我評量

是非題:(每題十分)

  1. ( ) 阿弘向國考補習班購買DVD影音教學課程後,將教學DVD重製檔案後上傳至臉書考友社團與考友分享,因阿弘購買該影音光碟而取得著作物的所有權,阿弘並未違反著作權法。【資訊保護S10721】
  2. ( ) 保有個人資料之公務機關,應指定專人辦理安全維護事項,以防止個人資料事故發生。【資訊保護S10722】
  3. ( ) 人員離職前將公司資料予以刪除,恐涉犯破壞電磁紀錄罪。【資訊保護S10723】
  4. ( ) 阿達是患有人類免疫缺乏病毒之病患,若阿達身體不適就醫看診時,必須主動向醫事人員告知其已感染人類免疫缺乏病毒。【資訊保護S10724】
  5. ( ) 我國自然人憑證可使用於電子化政府等相關網路服務之身份認證機制。【資訊應用A10725】

選擇題:(每題十分)

  1. ( ) 請問下列選項何者為正確?(1)阿凱購買周杰倫新專輯CD,則阿凱擁有該著作物之所有權。(2)阿明購買哈利波特系列影集DVD,故得重製贈予朋友。(3)小花編撰的推理小說新上市,故小花有權轉讓部分著作人格權予他人。(4)阿滿將自繪的油畫作品贈與予小江且未明示著作財產權歸屬問題,故小江可將該油畫重製印刷並販賣。【資訊保護S10721】
  2. ( ) 面對潛在的資安威脅,除依法指派專人進行安全管理以外,請問下列敘述何者得以防範威脅並降低風險?(1)以下皆是。(2)實施資安教育訓練。(3)定期進行資安稽核。(4)資訊系統分類分級。【資訊保護S10722】
  3. ( ) 下列何者係以CNS 27001資訊安全管理系統國家標準對於人力資源安全之要求?(1)聘僱前,應確保員工了解自身責任,且適任於其所被指派的角色。(2)聘僱中應確保員工認知並履行其資訊安全的責任。(3)聘僱終止與變更時,則是要確保組織利益未被侵害(4)以上皆是。【資訊保護S10723】
  4. ( ) 阿寶為人類免疫缺乏病毒感染者,請問在下列何種情形阿寶不需依法主動告知其感染人類免疫缺乏病毒?(1)就醫時,向醫事人員告知。(2)與他人進行危險性行為前,向性行為對象告知。(3)接受緊急救護時,向救護人員告知。(4)與他人共用針具、稀釋液或容器等施打行為前,向共用對象告知。【資訊保護S10724】
  5. ( ) 請問下列何者為使用數位簽章建立驗證措施所欲達到的效果?(1)確認簽章者身份,防止文件偽造。(2)確保內容不受到變更或竄改。(3)可使簽署人因無法在不否認其數位金鑰的情況下否認該文件上的簽章,進而無法否認其文件為其簽署。(4)以上皆是。【資訊應用A10725】

評量解析

是非題:(每題十分)

  1. (X) 阿弘向國考補習班購買DVD影音教學課程後,將教學DVD重製檔案後上傳至臉書考友社團與考友分享,因阿弘購買該影音光碟而取得著作物的所有權,阿弘並未違反著作權法。【資訊保護S10721】

解析:

著作物的所有權係屬物權的一種,屬於民法規範的範疇;著作權法則屬無體財產權的一種,屬著作權法規定,兩者並不相同。按著作權法第3條第1款規定:「本法用詞,定義如下:一、著作:指屬於文學、科學、藝術或其他學術範圍之創作。二、著作人:指創作著作之人。三、著作權:指因著作完成所生之著作人格權及著作財產權。…」國考補習班製作之影音教學課程屬於該補習班之著作物,阿弘未按著作權法第37條第1項:「著作財產權人得授權他人利用著作,其授權利用之地域、時間、內容、利用方法或其他事項,依當事人之約定;其約定不明之部分,推定為未授權。」規定取得國考補習班之授權而擅自重製,阿弘顯然已違反著作權法,故本題答案為錯誤。

  1. (O) 保有個人資料之公務機關,應指定專人辦理安全維護事項,以防止個人資料事故發生。【資訊保護S10722】

解析:

按個人資料保護法第18條規定:「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」故選項為正確。

  1. (O) 人員離職前將公司資料予以刪除,恐涉犯破壞電磁紀錄罪。【資訊保護S10723】

解析:

按刑法第359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」人員既未得到授權便無故刪除公司資料,已屬刪除電磁紀錄,故選項為正確。

  1. (O) 阿達是患有人類免疫缺乏病毒之病患,若阿達身體不適就醫看診時,必須主動向醫事人員告知其已感染人類免疫缺乏病毒。【資訊保護S10724】

解析:

按人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條第1項規定:「感染者有提供其感染源或接觸者之義務;就醫時,應向醫事人員告知其已感染人類免疫缺乏病毒。」故答案為正確。

  1. (O) 我國自然人憑證可使用於電子化政府等相關網路服務之身份認證機制。【資訊應用A10725】

解析:

目前經主管機關所核定之憑證機構,包括政府機關與民間企業位共有7個單位,其所發行之憑證各有對應之適用範圍。以內政部憑證管理中心為例,內政部憑證管理中心憑證實務作業基準第1.9版1.3.7.1憑證之適用範圍:「憑證管理中心所簽發及管理的憑證類別為自然人憑證,且包含簽章用及加密用憑證。憑證管理中心所簽發的憑證符合憑證政策保證等級第三級之規定,本憑證適用於網路中的身份識別及資料保護。」據此,內政部憑證管理中心所簽發及管理的自然人憑證,其適用於網路中的身份識別及資料保護,可利用自然人憑證作為在網路中的身份辨識,故本題答案為正確。

選擇題:(每題十分)

  1. (1) 請問下列選項何者為正確?(1)阿凱購買周杰倫新專輯CD,則阿凱擁有該著作物之所有權。(2)阿明購買哈利波特系列影集DVD,故得重製贈予朋友。(3)小花編撰的推理小說新上市,故小花有權轉讓部分著作人格權予他人。(4)阿滿將自繪的油畫作品贈與予小江且未明示著作財產權歸屬問題,故小江可將該油畫重製印刷並販賣。【資訊保護S10721】

解析:

周杰倫新專輯係屬著作重製物,阿凱購買後取得該著作物之所有權,屬於民法物權上之權利,故選項(1)為正確。另,阿明購買哈利波特系列影集僅取得該著作物之所有權,係屬民法物權的權利,並非取得著作財產權,故不得重製並與友人分享,故選項(2)為錯誤;次按著作權法第21條規定:「著作人格權專屬於著作人本身,不得讓與或繼承。」故小花即便為著作權人也不得讓與著作人格權,故選項(3)為錯誤;再按經濟部智慧財產局台內著字第8506850號函釋:「…著作人讓與著作物(著作原件或其重製物)之所有權時,如未同時讓與著作財產權,則受讓人僅取得著作物之所有權,並未取得著作財產權,其著作財產權仍屬著作人享有…」故阿滿並未明確將著作財產權讓與予小江,小江不得擅自將開著作物重製印刷並販賣,故選項(4)為錯誤。

  1. (1) 面對潛在的資安威脅,除依法指派專人進行安全管理以外,請問下列敘述何者得以防範威脅並降低風險?(1)以下皆是。(2)實施資安教育訓練。(3)定期進行資安稽核。(4)資訊系統分類分級。【資訊保護S10722】

解析:

按政府機關(構)資通安全責任等級分級作業規定,為防潛在資安威脅,降低風險發生可能,以為資料保護,故推動資訊安全管理,其中包括資訊系統分類分級、定期進行資安稽核、實施資安教育訓練,故選項為(1)。

  1. (4) 下列何者係以CNS 27001資訊安全管理系統國家標準對於人力資源安全之要求?(1)聘僱前,應確保員工了解自身責任,且適任於其所被指派的角色。(2)聘僱中應確保員工認知並履行其資訊安全的責任。(3)聘僱終止與變更時,則是要確保組織利益未被侵害(4)以上皆是。【資訊保護S10723】

解析:

按ISO 27001:2013(CNS 27001)之目標,A.7.1確保員工及承包者瞭解其將承擔之責任,且適任其角色,A.7.2確保員工及承包者認知並旅行其資訊安全責任,A.7.3 將保護資之利益納入聘用變更或終止聘用過程之一部份,故選項(4)為正確。

  1. (3) 阿寶為人類免疫缺乏病毒感染者,請問在下列何種情形阿寶不需依法主動告知其感染人類免疫缺乏病毒?(1)就醫時,向醫事人員告知。(2)與他人進行危險性行為前,向性行為對象告知。(3)接受緊急救護時,向救護人員告知。(4)與他人共用針具、稀釋液或容器等施打行為前,向共用對象告知。【資訊保護S10724】

解析:

按人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條:「感染者有提供其感染源或接觸者之義務;就醫時,應向醫事人員告知其已感染人類免疫缺乏病毒。主管機關得對感染者及其感染源或接觸者實施調查。但實施調查時不得侵害感染者之人格及隱私。感染者提供其感染事實後,醫事機構及醫事人員不得拒絕提供服務。」次按同法第21條第1項:「明知自己為感染者,隱瞞而與他人進行危險性行為或有共用針具、稀釋液或容器等之施打行為,致傳染於人者,處五年以上十二年以下有期徒刑。明知自己為感染者,而供血或以器官、組織、體液或細胞提供移植或他人使用,致傳染於人者,亦同。」故選項(1)(2)(4)符合上述現行法規。另外,再按人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條修正草案:「感染者有提供其感染源或接觸者之義務;於接受緊急救護或就醫時,應向救護人員或醫事人員告知其已感染人類免疫缺乏病毒。主管機關得對感染者及其感染源或接觸者實施調查。…」該草案目前仍未修正通過,故選項(3)為錯誤。

  1. (4) 請問下列何者為使用數位簽章建立驗證措施所欲達到的效果?(1)確認簽章者身份,防止文件偽造。(2)確保內容不受到變更或竄改。(3)可使簽署人因無法在不否認其數位金鑰的情況下否認該文件上的簽章,進而無法否認其文件為其簽署。(4)以上皆是。【資訊應用A10725】

解析:

數位簽章是透過簽署人之私鑰所形成的電子簽章,再以公鑰加以驗證後,可確認簽章者的身份,防止文件的偽造;亦可確保內容不受到變更或竄改,防止文件遭到攔截後變更內容;更可使簽署人因無法在不否認其數位金鑰的情況下否認該文件上的簽章,進而無法否認文件內容為其簽署。故選項(1)(2)(3)皆符合。

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2018/6/4 13:03:38