法律彙編

【焦點話題】

檢察官接獲檢舉，有不法份子，違法重製盜版「大霹靂國際整合行銷股份有限公司」享有著作權之布袋戲影片，重製檔案後上傳至網路Google雲端，再經由論壇分享，供不特定人瀏覽觀看，經檢調機關調取犯罪嫌疑人使用之電腦IP位置，並向美國科高公司﹙Google Inc.﹚函查相關資料後，逮捕家住雲林的19歲郭姓男子，而其表示只是想與人分享，全案目前由檢察官深入追查中。

【資料來源：聯合報，106/9/7】

【重點摘要】

1. 按著作權法及民法相關規定，著作物之所有權係物權的一種，屬民法規定的範疇；著作權則屬無體財產權的一種，屬著作權法規定，二者並不相同，取得著作物之所有權不必然取得著作權。如著作人讓與著作物之所有權時，未同時讓與著作財產權者，則受讓人僅取得著作物之所有權，並未取得著作財產權，其著作財產權仍屬著作人享有。

【法律觀點】

著作權法所稱之著作指屬於文學、科學、藝術或其他學術範圍之創作[1]，亦即具有原創性，能具體以文字、語言、形像或其他媒介物加以表現而屬於文學、科學、藝術或其他學術範圍之創作，均係受著作權法所保護之著作[2]。而著作物指著作所附著之物，可分為著作原件與著作重製物，著作原件[3]指著作首次附著之物，例如小說原稿、美術原畫、攝影原檔或錄音及電影母帶等，而著作重製物[4]，則指以印刷、複印、錄音、錄影、攝影、筆錄或其他方法直接、間接、永久或暫時之重複製作之物，如小說原稿印刷成冊、複製畫、將影像檔沖洗為實體照片，錄音及電影母帶之重製品。

著作權與著作物之所有權為二不同權利，著作權法係保護「著作權」，而非保護「著作物之所有權」。著作物之所有權係物權之一類，屬民法規定範疇，物的所有人於法令限制範圍內，有完全支配所有物之權利；著作權則屬無體財產權之一種，包括著作人格權（如公開發表權、姓名表示權）及著作財產權（如重製權、公開演出權、散佈權）[5]。其中著作人格權[6]係專屬於著作人本身，不得讓與或繼承，而著作財產權則可以全部或部分轉讓[7]或授權他人行使[8]。因此，著作人讓與著作物（著作原件或其重製物）之所有權時，如未同時讓與著作財產權，則受讓人僅取得著作物之所有權，並未取得著作財產權，其著作財產權仍屬著作人享有[9]，受讓人不得任意行使包括重製權、公開演出權以及散佈權等著作財產權。

本案中郭男將所購得之布袋戲影片予以重製後上網分享，但因其僅有著作物之所有權，並無著作財產權，依法不得任意重製分享，其行為已侵害造成重製權之侵害，最重可處3年有期徒刑[10]，且依著作權法第88負損害賠償責任[11]。

【管理Tips】

市售影片是受到著作權法所稱之著作重製物，當消費者購買相關影片時，僅購得著作物之所有權，著作財產權並未因為物權移轉而有所變更，因此組織於採購物件時，應確認其是否為著作物及其授權範圍，確保使用情形均為授權範圍內。

而如為組織出資聘請他人完成著作之情形，於契約中宜訂有授權條款，亦即將權利歸屬述明，確保著作權歸屬，避免發生組織雖得利用該著作，但因並未取得著作財產權，或使組織有權限對著作為適當合理之運用，導致組織無法享有重製、改作等權利[12]。組織並應定期盤點權利與授權範圍，可確保相關權利之使用情形均為授權範圍內。

【相關標準】

ISO 27001：2013(CNS 27001)

50. A.18.1.2  智慧財產權

【焦點話題】

外交機關日前進行安全查核時，發現有不明來源IP成功駭入數十個外館領務信箱，估算系統異常活動時間為近３個月，範圍涵蓋日本、英國、東南亞等，最多恐使1.5萬人之個資遭竊取，確切數量仍需進一步清查。外交機關表示經委請資安專家進行數位鑑識，已確認機關之護照簽證等主機未遭駭客入侵，受影響之資料僅限於出國登錄系統，其餘個人資料仍屬安全無虞，其次，本事件亦已進行事件通報，並辦理伺服器防護等級之提升，以及要求外館立刻更改信箱密碼等措施。

【參考資料來源：自由電子報，106/2/8】

【重點摘要】

1. 按個人資料保護法（下稱個資法）之規定，公務機關有指定專人依相關法令辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏之義務。
2. 參考CNS 29100資訊安全個資管理國家標準，組織進行資料蒐集時，宜以資料最小化辦理之，此可降低資料遭不當使用時之風險。

【法律觀點】

政府機關對於所保有之資料，不論型態均有責任維護資料之機密性(Confidentiality)、完整性(Integrity)以及可用性(Availability)，而行政院亦定有行政院及所屬各機關資訊安全管理要點以及行政院及所屬各機關資訊安全管理規範，以推動各機關強化資訊安全管理，建立安全及可信賴之電子化政府，確保資料、系統、設備及網路安全、保障民眾權益協助政府各級機關建立安全的網路應用環境[13]。

其次，按個資法第18條之規定，保有個人資料之公務機關，應指定專人辦理安全維護事項，以防止個人資料事故發生[14]，且該法施行細則亦要求前述專人應具有管理及維護個人資料檔案之能力，並足以擔任機關之個人資料檔案安全維護經常性工作[15]。而如公務員因故意或過失導致應祕密之資料外洩時，尚有可能觸犯刑法第109條[16]、第110條[17]或第132條[18]之規定。

本案機關已委請資安專家進行鑑識，確認相關主機未遭駭客入侵[19]，然若該機關未指派專人辦理安全維護事項，將直接違反個資法規定，如又因此導致事故發生而使他人產生損失，公務機關負有損害賠償責任[20]。

【管理Tips】

持有大量個資之公務機關於維護公共利益與資料保護間之平衡須仔細衡量。而資料保護，首在於蒐集時，是否僅蒐集所需之最小資料量。以本案為例，事發時「出國登錄」網站需登錄中英文姓名、出生年月日、登錄者身份、身份證字號、護照號碼、性別、出國目的、電話、電子信箱、在台住址、在台緊急聯絡人及與在台緊急聯絡人之關係等資訊；而事發後，登錄項目已減少至中英文姓名、護照號碼、電話、電子信箱與緊急聯絡人等內容，有關資料之蒐集範圍明顯縮小。

其次，公務機關指派專人進行資訊、資通安全管理有其必要，包括依政府機關（構）資通安全責任等級分級作業規定，各機關除資安管理規範外，更分層推動資訊安全管理，包括資訊系統分類分級，定期進行資安稽核、實施資安教育訓練等，以防範潛在資安威脅，降低風險產生之可能。

【相關標準】

ISO 27001：2013(CNS 27001)

50. A.13.1.2  網路服務之安全

50. A.13.2.3  電子傳輸

ISO 29100：2011（CNS29100）

50. 5.5  資料極小化

【焦點話題】

新竹科學園區某公司簡姓研發副處長，因不滿遭公司資遣，雖知電腦內電磁紀錄乃公司所有，且屬公司之營業資料，仍安裝「SafeErase」資料清除軟體至筆電內，於安裝該軟體後接續操作，刪除電腦硬碟內與公司營業相關之研發專案檔案，並利用該軟體移除公司配發筆電內之5千餘筆營業檔案，才交還電腦。負責人懷疑簡男所歸還電腦檔案過少，委託業者檢查交還之硬碟有無異狀，方確認有變更硬碟檔案資料情事，始具狀向檢調依刑法「刪除他人電腦電磁紀錄」罪嫌，提出告訴。

【資料來源：自由電子報，105/10/25】

【重點摘要】

1. 按刑法之規定，破壞電磁紀錄罪之要件包括「無故」、「取得、刪除或變更」、「他人電腦或其相關設備之電磁紀錄」以及「致生損害於公眾或他人」。
2. 員工對於組織之資訊安全責任及義務，於僱傭關係結束後仍應有效。

【法律觀點】

電腦系統已成為當前各組織營運之重要工具，組織的電腦系統中都存有各式重要檔案，但若重要檔案被離職員工惡意刪除，將導致組織重大損失，因此刑法為了有效制止此類損壞他人電腦的惡劣行為，特在刑法中增訂第36章「妨害電腦使用罪」，其中第359條規定「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科20萬元以下罰金。」

分析破壞電磁紀錄罪，可分解為下列要件：第一個要件是「無故」，司法實務上則認為「無正當理由」便是所謂「無故」；第二個要件是「取得、刪除或變更」，即本罪之行為部份，無論是自電腦中取得資料，或是使電腦中資料消失，又或是將電腦中原始資料予以更改，均屬破壞；第三個要件是「他人電腦或其相關設備之電磁紀錄」，所謂他人，即指非自己所有，而電腦或其相關設備之電磁紀錄[21] （包含以電子、磁性、光學或其他相類方式，存儲在電腦主機或相關設備之資料）；第四個要件是「致生損害於公眾或他人」，亦即造成公眾或他人之損害。

以本案而言，簡男擔任公司研發副處長，掌握研發資料，因為遭資遣即於未經授權之情況下，刪除電腦內之相關資料手腳，便是「無故」；而安裝資料清除軟體至筆電內，接續操作4次刪除電腦硬碟內與公司營業相關的研發專案檔案，並確認電腦內遭刪除檔案已無還原可能，已屬「刪除電磁紀錄」；既然電腦為公司提供予其做為業務上使用，則滿足「他人電腦或其相關設備」之要件；最末，其所刪除之資料包括研發專案檔案以及其他營業相關檔案，如果有因此造成公司之損害時，即可能構成前開罪名，不可不慎。

【管理Tips】

資訊安全的保護除了從技術面著手外，對於人員的管理亦有一定程度的重要性。以CNS 27001資訊安全管理系統國家標準為例，其針對人力資源安全予以明確規範，包括聘僱前，應確保員工了解自身責任，且適任於其所被指派的角色；聘僱中應確保員工認知並履行其資訊安全的責任；聘僱終止與變更時，則是要確保組織利益未被侵害。雖然組織無法預期人員故意或過失行為發生時機，但其可以透過訂定相關補償措施以降低人員所帶來的風險，如：聘僱前應進行有效篩選、聘僱期間要求員工接受與其工作職務相關之認知宣導及教育訓練、簽訂契約時要求其於離職後仍受一定程度規範。

【相關標準】

ISO 27001：2013(CNS 27001)

50. A.7.3.1  聘用責任之終止或變更

【焦點話題】

日前一名救護技術員（EMT），於出勤時於救護車上，其傷口疑和傷患有血液接觸，然直到醫院通報才知該名病患染有愛滋，該消防機關遂行文中央衛生主管機關請示相關處置，中央衛生主管機關回應，現行法條規定中，愛滋病患者並不需主動告知救護人員其染有愛滋。準此，有立委提案，針對人類免疫缺乏病毒傳染防治及感染者權益保障條例第12條進行修正，規範愛滋感染者於醫療機構治療時，所應告知病情義務之對象，須包括救護車上之救護人員，同時也規定救護技術員不能因救護對象為愛滋病患，就不予以協助，藉此保障愛滋病患與救護人員雙方權益。

【參考資料來源：聯合報，106/6/25】

【重點摘要】

1. 為防止病毒感染、傳染之風險發生，人類免疫缺乏病毒感染者於就醫時應告知醫事人員，以及與他人進行危險性行為前應告知性行為對象，其已感染人類免疫缺乏病毒。
2. 按個人資料保護法之規定除依法律明文規定、具有適當安全維護措施履行法定義務必要範圍、當事人自行或其他合法公開之個人資料等法定要件，，各機關、人員不得蒐集、處理或利用有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，而有關人類免疫缺乏病毒感染者之姓名及病歷等有關資料亦屬前述之個人資料之一，對於該資料之蒐集、處理或利用亦應符合個資法之規定。

【法律觀點】

人類免疫缺乏病毒傳染防治及感染者權益保障條例之立法目的在於防止人類免疫缺乏病毒之感染、傳染及維護國民健康，並保障感染者權益[22]。感染者本無義務告知他人，其已感染人類免疫缺乏病毒，惟為防止病毒感染、傳染之風險發生，有二種情況，感染者必須盡告知義務，第一、就醫時告知醫事人員[23]；第二、與他人進行危險性行為前，告知性行為對象[24]。就後者而言，係為確保國民健康，避免疾病擴散，就前者而言，其目的在於保障醫事人員權益，使醫事人員能對感染者之醫療特別注意，特別加強感染者之告知義務。

因此，感染者在就醫時，應向醫事人員告知其已感染人類免疫缺乏病毒，然救護人員並非醫療法所稱之醫事人員[25]，感染者不需主動告知救護人員。立法委員據此認為，救護人員在執勤時，有接觸到病患血液、體液，或不慎遭使用過的針頭紮傷等風險，故提出修正草案，要求感染者於接受緊急救護時，應向救護人員告知其已感染人類免疫缺乏病毒，以保障救護人員權益，且同時課予救護人員提供服務之義務，以符合法之衡平原則[26]。

另為避免標籤化及污名化感染者，人類免疫缺乏病毒傳染防治及感染者權益保障條例第14條規定，主管機關、醫事機構、醫事人員及其他因業務知悉感染者之姓名及病歷等有關資料者，除依法律規定或基於防治需要者外，對於該項資料，不得洩漏。無論立委提案是否通過，感染者於救護現場無有告知救護人員，其已感染人類免疫缺乏病毒之義務，救護人員如因進行緊急救護時知悉受救護者為感染者時，亦屬其他因業務知悉感染者之姓名及病歷等有關資料者，同樣負有保密義務。

如救護人員違法洩漏相關資訊，依該條例第23條第1項[27]規定，可處新臺幣3萬元以上15萬元以下罰鍰，且如為醫師違反規定時，更負有刑事上責任[28]。故無論是主管機關、醫事機構、醫事人員，甚至是救護人員等，均應注意其保密義務，以保障感染者權益。

又依照個人資料保護法規定，有關人類免疫缺乏病毒感染者之姓名及病歷等有關資料亦屬個資法第2條[29]所稱之個人資料，故對於該資料之蒐集、處理或利用亦應符合個資法規定。而此類關於受感染者主動告知其已感染人類免疫缺乏病毒之情形，係屬於法律要求當事人主動提供，無論是否屬於個資法第6條[30]之病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料，或是普通個人資料，均是法律明文規定作為蒐集之法定要件[31]，故得以據之蒐集、處理或利用，惟其他個資法上之必要作為，例如個資法第8條[32]所規定之告知義務仍須遵守，以免違反相關法令。

【管理Tips】

醫事機構基於醫療之目的，本即有蒐集、處理或利用愛滋感染者個人資料之必要，但整體醫療救護過程中發生資訊流動情形者眾，從事故發生、救護人員到場、送達醫事機構開始治療，直到療程結束，甚至可能會有必要對患者進行後續追蹤等情況，均有資訊流動的節點，當節點存在，個人資料外洩的風險亦隨存在。

因此，組織應採取有效管理制度，避免人員因違反法令，如醫事機構未有適當管理措施，避免會有因防護程度不足或執行人員操作不當，導致個人醫療資料遭到外洩。而醫事人員及其他因業務知悉感染者資料等相關人員，亦應謹慎保護因業務知悉或持有之他人秘密者，以避免將資料外洩。

【相關標準】

ISO 27001：2013(CNS 27001)

50. A.18.1.4  個人可識別資訊之隱私及保護

【焦點話題】

通傳主管機關審查通過5家電信業者「行動寬頻業務營業規章」，於網路申請電信門號新增數位簽章方式。通傳主管機關表示，民眾只要傳真雙證件影本，再以符合電子簽章法之數位簽章方式進行身份識別後，就可透過網路辦理月租型門號。

過去民眾要申辦月租型門號，都必須拿雙證件到門市辦理，對於居住在偏鄉或行動不便的民眾來說相當不方便。這次5家行動寬頻業者修訂營業規章，主要是針對自然人申辦月租型門號時，得以網際網路方式辦理，民眾只要傳真雙證件影本後，再以數位簽章方式進行身份識別，就可以辦理月租型門號，減少過去要攜帶雙證件到門市親辦的往返和等候時間。

隨著新科技的發展，各項創新服務與應用不斷推陳出新，通傳主管機關除了兼顧民眾便利性外，也將關注對於資安和治安可能疑慮的影響，未來將持續視實施情況與各界反應，並在兼顧消費者便利性、業者競爭力和治安需求下檢討精進。

【參考資料來源：經濟日報，106/10/12】

【重點摘要】

1. 內政部憑證管理中心所簽發及管理的自然人憑證，適用於網路中的身份識別及資料保護，無論是公部門或是私部門，均可以用自然人憑證作為在網路中的身份辨識。
2. 組織於使用電子文件時，可透過應用數位簽章，確認簽署者的身份，確保內容不受到變更或竄改，更可使簽署人難以否認知悉文件內容，達到如同紙本文件之效力。

【法律觀點】

電子簽章法第2條第3款：「指將電子文件以數學演算法或其他方式運算為一定長度之數位資料，以簽署人之私密金鑰對其加密，形成電子簽章，並得以公開金鑰加以驗證者。」同法第9條第1項規定：「依法令規定應簽名或蓋章者，經相對人同意，得以電子簽章為之。」第10條規定：「以數位簽章簽署電子文件者，應符合下列各款規定，始生前條第一項之效力：一、使用經第十一條核定或第十五條許可之憑證機構依法簽發之憑證。二、憑證尚屬有效並未逾使用範圍。」因此，當事人間如要以數位簽章方式簽署文件時，必須是經主管機關核定或許可之憑證機構依法簽發之憑證，才具有法律上之效力。

目前經主管機關所核定之憑證機構，包括政府機關與民間企業位共有7個單位[33]，其所發行的憑證各有對應之適用範圍。以內政部憑證管理中心為例，內政部憑證管理中心所簽發及管理的憑證為自然人憑證，而其適用於網路中的身份識別及資料保護[34]。因此，無論是公部門或是私部門，均可以用自然人憑證作為在網路中的身份辨識。

惟基於電信業者為特許事業，相關服務內容均必須載明於營業規章中，並報請通傳主管機關核准後，才得以公告實施[35]，因此電信業者如欲以數位簽章作為身份辨識之手段，也必須得到主管機關核准後方可使用。在通傳主管機關於106年10月核准行動寬頻業務經營者所修訂之營業規章之後，自然人辦理申請月租型門號時，得以符合電子簽章法之數位簽章方式簽署申辦文件，透過上傳包括國民身份證、護照或外僑永久居留證，及其他足資辨識身份之證明文件的影像檔，留存於行動寬頻業者係統，供其進行身份核對即可[36]。

隨著通傳主管機關開放月租型行動寬頻承租之自然人身份核對，得以電子簽章法之數位簽章方式進行後，可想見將來會有愈來愈多業務可透過此方式進行身份確認或是資料加密，將有助於提昇民眾使用各項服務的便利性，更有利業者之服務推動及競爭力提升。

【管理Tips】

數位簽章是透過簽署人之私鑰所形成的電子簽章，再以公鑰加以驗證後，可確認簽章者的身份，防止文件的偽造；亦可確保內容不受到變更或竄改，防止文件遭到攔截後變更內容；更可使簽署人因無法在不否認其數位金鑰的情況下否認該文件上的簽章，進而無法否認文件內容為其簽署。

因此，無論是電信業者或是其他得以利用網際網路作為業務媒介的工作型態者，均可藉由數位簽章作為身份認證機制之一環，確保電子文件的真實性，並透過適當的安全防護，讓使用者得以安心接受無紙化服務，進而拓展其業務發展。

【相關標準】

ISO 27001：2013(CNS 27001)

50. A.13.2.2  資訊傳送協議