资讯安全法律与伦理

1、4.1 n資訊與網路發達的時代，在享受方便之餘卻也帶來許多網路犯罪的問題。例如，透過部落格張貼與引用他人的資料，可能在無意間觸犯了法令違反智慧財產權相關的法律。利用網路與資訊科技處理個人資料，也需要小心謹慎，以免觸犯相關法令。n由於網路的興起，促使相關的法令也應運而生，例如，電子簽章法的立法與推動，賦予電子簽章的法律效力，有利於電子商務的發展。n在網路上進行交易行為，例如購買股票，當買賣雙方有了交易爭議時，單單依靠交易log 紀錄並不能當做法律證據，但如果有交易的電子簽章則可以作為法律之證據。n美國計算機倫理協會制定了資訊十戒，提醒每一位資訊科技的使用者要遵循相關的禮儀規範。 4.2 n智慧財

2、產權 (intellectual property right；ipr），如圖 4-1，包括商標權、專利權、著作權與營業秘密法等，是透過立法以保護這些人類精神智慧的產物，賦予創作人專屬享有之權利。圖4-1智慧財產分類4.3 n著作權 ( literary property ) 是為保護著作者的權益，不被非授權複製與使用。原則上，著作者完成著作時即取得著作權，不需要任何形式之申請與聲明。著作權不分年齡，任何年紀完成之作品均享有著作權。例如圖4-2，完成一篇文章即擁有著作權。圖4-2 完成一篇文章即擁有著作權4.3 n當消費者購買了一幅畫，他 (她) 並不擁有著作權，消費者僅擁有這一幅畫的物權，不

3、可以複製，但可以轉售。另外，員工受雇於公司，在工作中所開發完成的軟體程式，其著作權是屬於雇主，並不屬於開發程式的員工。n著作權分為著作人格權與著作財產權，如圖4-3。著作人格權即是著作人就其著作享有公開發表之權利。著作財產權是作品重製、表演、播送、散佈等權利。著作人格權隨著作者死亡而消滅，著作財產權則存續於著作者生存期間以及其死亡後五十年。圖4-3 著作權的分類4.3 n個人購買版權軟體或合法mp3 音樂，個人可使用在音響播放，也可複製在隨身聽上播放，這是屬於合理使用原則。但如果將mp3 分享給別人使用，就違反著作權法。n另外，購買合法版權的電腦軟體，僅能安裝在一部電腦上使用，如果多部電腦都安

4、裝同一套授權軟體，並不是合理使用範圍。n如果擅自以重製之方法侵害他人之著作財產權者，依照著作權法第91條規定，處三年以下有期徒刑、拘役，或科或併科新台幣七十五萬元以下罰金。4.2.2 n商標 (trademark) 是使用文字、標語、和標誌，去辨識公司、個人、產品、或服務，主要目的在使其商品或服務獲得肯定，達到經濟效益，並阻止假冒相同或類似標記，不正當之競爭。商標註冊後，商標註冊人享有商標專用權，圖形為 ，表示某個商標經過註冊，並受法律之保護。n商標與專利不一樣，專利需要具有發明、新型及新式樣等三種。商標是一個圖樣，或文字，或符號，或顏色，或聲音。如果要行銷產品，要讓客戶看到我的標誌，就連想到

5、我的產品，這是商標。但因商標具有象徵的意義，因此就需要藉由商標法的保護，來讓相關的消費者在市場上能據以識別其來源、品質及商譽。4.2.2 n此外，同一類或類似商品不可與他人構成相同或近似的商標名稱，也不可以他人著名的商標作為自己的商標名稱。例如，德國愛迪達體育用品公司控告美國威名百貨銷售的佩雷斯運動鞋有三條線，與愛迪達運動鞋商標類似，涉嫌仿冒，非法使用其愛迪達商標。雖然佩雷斯運動鞋沒有使用三條線，但有時使用兩條線，有時使用四條線，與愛迪達商標類似，被愛迪達告上法院，美國法院判處佩雷斯鞋業公司賠償愛迪達公司三億零五百萬美元。 4.2.3 n專利 (patent) 法是為鼓勵、保護、利用發明與創作

6、，以促進產業發展，所制定的法律。專利權是對發明授予的權利，對專利權人之發明予以保護，保護權利在一段期間內有效，一般期限為20年。n近代由於電腦軟體持續發展，其重要性與日俱增，歐美日各國紛紛通過審查電腦軟體成為專利的相關立法。n我國亦於87年，由經濟部智慧財產局發布電腦軟體相關發明專利審查基準。n電腦軟體之發明分為物之發明與方法發明，如圖4-4。依照電腦軟體相關發明專利審查基準，以電腦軟體與硬體結合型之發明專利，稱為物之發明 ；而以執行的步驟主張的稱為方法發明 。4.2.3 n早期的觀念，將電腦軟體及各種電腦程式視為印刷品，電腦軟體的儲存媒體是無法申請專利的。然而在今日，儲存媒體因其中之軟體與電

7、腦之互動，具有實際之交互作用，也可以成為專利保護之標的物。圖4-4 電腦軟體發明之分類4.2.4 n營業秘密 ( trade secret )是指不爲公衆所知悉，能爲權利人帶來經濟利益，具有實用性並對權利人採取保密措施的技術資訊和經營資訊。例如，可口可樂配方、microsoft windows 原始程式碼等。n我國於民國85年，通過營業秘密法，依據營業秘密法第2條規範，營業秘密係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件者： 非一般涉及該類資訊之人所知者。 因其秘密性而具有實際或潛在之經濟價值者。 所有人已採取合理之保密措施者。n以上為營業秘密之三要

8、件：具有未普及知悉、具有經濟價值、與具有私密性。依照上述的規定，例如，眾所週知的製作冰淇淋之方法，並無法取得營業秘密權。4.2.4 n營業秘密可分為，技術機密與商業機密。技術機密偏向於經研究、設計、製造而成，屬於技術性之秘密。例如，製造晶片之特別處理程序，可以提高製程良率者屬於此類機密。商業機密，則是凡涉及與商業經營有關之資料。例如，商業客戶往來資料、下一代手機之樣式與價格資料等，屬於商業機密。n營業秘密法屬於民法之特別法，無刑責處罰，營業秘密權是對營業秘密製造者或創造者的保護措施。是給予一種低度的保護措施，營業秘密所有人可以禁止他人用不正當手段取得營業秘密。但是用正當手段取得相同技術內容時，

9、營業秘密法並沒有禁止。 4.2.4 n所謂競業禁止是勞動者在勞動契約存續中，曾參與顧客、來源、製造、與銷售過程等機密，運用此機密對雇主可能會造成重大危險或損失。在勞動契約結束後，給予該勞動者禁止競業的義務。n換言之，就是員工在職期間，不能同時又提供資金、資訊、諮詢等資源該公司的競爭對手，損及該公司之利益。此外，員工離職後如果利用所知的營業秘密另行創業或是投靠原僱主的競爭對手，也將會造成公司一定的損害。因此，有些僱主透過僱傭契約，要求員工在離職後一定期間之內，不從事與其原任職相同的工作。 4.2.4 n競業禁止的規範需要合理的範圍與時間，以免影響受雇者的生存權。如果規定十年都不能從事相關行業，禁

10、止時間顯然過長，欠缺合理性。n另外，因為競業禁止的限制，受雇者往往受到損失，所以，也應有相關之措施。例如，在職期間薪水比較高，或離職後有補償措施。4.3 n本節介紹一些與網路相關的法律規範與議題，包含：電子簽章法、通訊保障及監察法、企業監聽、隱私權、與個人資料保護等。4.3.1 n傳統上，依據我國民法的規範，僅承認以印章或簽名所做的簽章為合法的，在訂立契約時，需要蓋章或簽名後，才具有法律的效力。民法第三條第二項規定，如有用印章代簽名者，其蓋章與簽名同等之效力。n隨著網路交易時代的來臨，傳統的簽名或蓋章已經無法滿足當今社會的需求了。要建立一個值得信賴的網路交易環境，電子簽章法賦予電子文件和電子簽

11、章的法律效力。n我國於2002年制定通過電子簽章法，以強化網路交易之安全性與完整性。電子簽章法的訂立，採用技術中立的原則，目前之電子簽章法僅規範數位簽章技術 (digital signature)。數位簽章，是指將電子文件以數學演算法或其它方式運算為一定長度之資料，再以簽署人之私密金鑰對其加密，而形成的一種電子簽章，並得以公開金鑰加以驗證。4.3.1 n電子簽章的簽章與驗證流程如下，如圖4-5：4.3.1 圖4-5 電子簽章的簽章與驗證流程4.3.1 n圖4-6，為我國政府憑證管理中心 (government certification authority ; gca ) 的入口網站，政府憑證

12、管理中心負責簽發電子化政府相關業務之電子憑證，以利政府服務業務電子化之推展。圖4- 6政府憑證管理中心4.3.1 n在早期的網路股票交易業務，客戶只使用帳號與密碼，即可以完成股票下單交易。近年來，因木馬程式泛濫，帳號與密碼經常被駭客竊取，或有不削之股市交易員，冒用客戶名義下單，引發很多的交易糾紛。n電子簽章法通過後，電子簽章的應用具有法律效力，網路股市交易獲得更佳的保障，客戶使用自我保存之私密金鑰，進行下單交易，可減少很多網路冒名交易所產生之糾紛。 4.3.2 n我國於民國 88 年公佈通訊保障及監察法，其目的是為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序所制訂的法律。n

13、依通訊保障及監察法之規範，允許政府經法院核可下，以各種器材或方法截取他人通訊的行為，一般我們稱為 監聽，其範圍規範在該法第三條：4.3.2 n政府執法機關為追查人犯、掌握犯罪證據，可以取得法院許可後，對於特定對象監聽，取得重要證據。其立法目的係為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序而制定。n有些企業為了保護內部的營業秘密，監聽員工通訊與網路的資訊，並不在通訊保障及監察法之範圍，是否侵犯員工隱私權？n依刑法的觀點，刑法第315條規範無故開拆或隱匿他人之封緘信函、文書或圖畫者。刑法315-1條也規範無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者

14、。根據這兩條法規的重點在於無故，如果有正當理由則不在此限，因此企業主為了執行公司政策，維護公司的營業秘密，並不觸犯刑法315-1條。n此外，如果在電子佈告欄（bbs）或電子郵件網站上，網管人員為了滿足個人窺視目的而窺視他人的信件，則觸犯刑法315-1條。但刑法315-1條是屬於告訴乃論，被害者提出告訴，才會進入法律程序，檢察官不會主動偵辦。4.3.3 n隱私權 ( the right of privacy ) 是享受生活的權利與不受干擾的權利，也是個人對於自身事務相關資訊公開的權利，以保障個人之思想、情緒、與感受，不受非法侵犯。n隱私權是二十世紀才出現的法律概念，起源於美國。早期隱私權著重人格

15、權不受侵犯，但資訊與網路發達以後，衍生出資訊隱私權觀念，資訊隱私權應屬於隱私權的延伸。n我國於民國84年完成電腦處理個人資料保護法 (簡稱個資法) 的立法，以保護個人的資訊隱私權。個資法第3條規範個人資料，指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。n個資法規範之事業包括電信、徵信、醫院、學校、金融、證券、保險及大眾傳播等八種事業。4.4 n隨這電腦科技的發展，與電腦相關的犯罪事件層出不窮，因此需要以科學方法有系統的收集與辨識犯罪證據，以便提供法庭參考。 電腦鑑識 ( computer forensi

16、cs ) 即是研究如何進行標準採集證據流程、將證據加以保存、進行分析、比對與還原事件等的科學，以呈現法庭做為偵辦案件之參考。n我國調查局於95年成立資安鑑識實驗室接受執法機關刑事與民事之鑑識要求。n對於電腦犯罪案件之偵辦，包含智慧財產竊取案件、企業機密外洩案件、經濟犯罪案件與網路犯罪案件等，其證據之收集需要有標準程序，如果只是根據電腦的入侵偵測紀錄或系統的log 紀錄，是不足以為證據的，因為此項紀錄是可以修改的，並不具有不可否認之特性。n關於電腦鑑識工作進行的流程，通常會先找律師，並尋求電腦鑑識專家的協助，以進行採證，經蒐集、檢驗分析後提出鑑識報告，電腦鑑識專家在法庭上擔任專家證人，證明數位證

17、據是可靠的與可信賴的。資訊社會下資訊倫理的衝突凡是探索人類使用資訊行為對與錯的問題，都是資訊倫理4.5 n倫理是人與人相處之間的規範與準則，是一種道德規範，與法律不一樣，違反法律，將會受到相關法條規定的懲誡，違反道德不一定會受到懲誡。例如，使用電子郵件，對收信者表現出不禮貌的稱呼與語氣，沒有尊重收信者的感受，這是違反資訊倫理 (information ethics)，但並不會接受法律的懲誡。n電腦與網路使用者，經常會有意或無意地侵犯他人隱私或權利，美國計算機倫理協會制定了資訊十戒，讓電腦使用者遵循相關禮儀與規範，以促進資訊社會人與人之間的和諧，資訊十戒的內容如下： 資訊十戒 不可使用電腦傷害他

18、人。 不可干擾他人在電腦上的工作。 不可偷看他人的檔案。 不可利用電腦偷竊財物。 不可使用電腦造假。 不可拷貝或使用未付費的軟體。 未經授權，不可使用他人的電腦資源。 不可侵佔他人的智慧成果。 在設計程式之前，先衡量其對社會的影響。 使用電腦時必須表現出對他人的尊重與體諒。4.5 n例如，使用電腦網誌或部落格 (blog)，發表傷害他人之言論，是違反資訊倫理的行為；或使用 p2p 軟體，如圖 4-7，下載有版權之音樂或影片；或將自己購買的音樂與影片，放置於自己電腦之網路分享區，供其他人下載使用，這些都是違反資訊倫理，更是侵犯智慧財權的行為。圖4-7 p2p 軟體從網路下載檔案4.5 n我國教育

19、部所建置的台灣學術網路 ( tanet ) ，是以協助學生學習為目的，支援台灣地區學校及研究機構間之教學研究活動，互相分享資源並提供合作機會。台灣學術網路也提出使用網路的相關禮儀規範，並設置網路規範與委員會制定網路使用之規範。n該使用規範，提醒網路使用者要尊重智慧財產權，並呼籲學校應宣導校園網路使用者避免下列可能涉及侵害智慧財產權之行為：4.5 n此外，教育部並訂立規範禁止濫用網路系統，呼籲網路使用者不得從事下列之行為：延伸學習健康保險可攜性與責任法案（hipaa）與個人隱私權保護hipaan美國國會在19968月通過健康保險可攜性與責任法案，其中規範資訊安全性與機密性，以及符合保護個人隱私的

20、需求，並明定資訊系統應有的安全機制。如何在醫機構中進有效的醫資訊安全與隱私保護，讓與人員都有正常資訊管制法規與保護為的依據hipaa的內容n四大範疇： 管程序(administrative procedure)、 實體防護(physical safeguards)、 技術安全服務(technical security services）、 技術安全機制(technical security mechanisms)管程序 n係指為保護資所採取的安全衡，並據此指定專責人員執資保護工作，並記載於正式文件上。包含12項規範： 認證、聯盟間安全協議（為保障資料交換，需簽署保密合約）、應變計畫（使災害發生後能持續營運）、處理記錄的正式機制（資料處理的政策和程序，需登載於正式文件）、使用者權限、內部稽核、人員安全（由專責人員負責管制其它員工的授權程序、保留記錄與建立離職後移除授權的程序）、安全組態管理（測試安全機制、偵測病毒）、安全事件處理程序與保留記錄、安全管理程序（建立、管理、監督與預防機制）、結束程序（員工離職時的正式文件指引，包