資訊安全法律與倫理

1、4.1 n資訊與網(wǎng)路發(fā)達的時代，在享受方便之餘卻也帶來許多網(wǎng)路犯罪的問題。例如，透過部落格張貼與引用他人的資料，可能在無意間觸犯了法令違反智慧財產權相關的法律。利用網(wǎng)路與資訊科技處理個人資料，也需要小心謹慎，以免觸犯相關法令。n由於網(wǎng)路的興起，促使相關的法令也應運而生，例如，電子簽章法的立法與推動，賦予電子簽章的法律效力，有利於電子商務的發(fā)展。n在網(wǎng)路上進行交易行為，例如購買股票，當買賣雙方有了交易爭議時，單單依靠交易log 紀錄並不能當做法律證據(jù)，但如果有交易的電子簽章則可以作為法律之證據(jù)。n美國計算機倫理協(xié)會制定了資訊十戒，提醒每一位資訊科技的使用者要遵循相關的禮儀規(guī)範。 4.2 n智慧財

2、產權 (intellectual property right；ipr），如圖 4-1，包括商標權、專利權、著作權與營業(yè)秘密法等，是透過立法以保護這些人類精神智慧的產物，賦予創(chuàng)作人專屬享有之權利。圖4-1智慧財產分類4.3 n著作權 ( literary property ) 是為保護著作者的權益，不被非授權複製與使用。原則上，著作者完成著作時即取得著作權，不需要任何形式之申請與聲明。著作權不分年齡，任何年紀完成之作品均享有著作權。例如圖4-2，完成一篇文章即擁有著作權。圖4-2 完成一篇文章即擁有著作權4.3 n當消費者購買了一幅畫，他 (她) 並不擁有著作權，消費者僅擁有這一幅畫的物權，不

3、可以複製，但可以轉售。另外，員工受雇於公司，在工作中所開發(fā)完成的軟體程式，其著作權是屬於雇主，並不屬於開發(fā)程式的員工。n著作權分為著作人格權與著作財產權，如圖4-3。著作人格權即是著作人就其著作享有公開發(fā)表之權利。著作財產權是作品重製、表演、播送、散佈等權利。著作人格權隨著作者死亡而消滅，著作財產權則存續(xù)於著作者生存期間以及其死亡後五十年。圖4-3 著作權的分類4.3 n個人購買版權軟體或合法mp3 音樂，個人可使用在音響播放，也可複製在隨身聽上播放，這是屬於合理使用原則。但如果將mp3 分享給別人使用，就違反著作權法。n另外，購買合法版權的電腦軟體，僅能安裝在一部電腦上使用，如果多部電腦都安

4、裝同一套授權軟體，並不是合理使用範圍。n如果擅自以重製之方法侵害他人之著作財產權者，依照著作權法第91條規(guī)定，處三年以下有期徒刑、拘役，或科或併科新臺幣七十五萬元以下罰金。4.2.2 n商標 (trademark) 是使用文字、標語、和標誌，去辨識公司、個人、產品、或服務，主要目的在使其商品或服務獲得肯定，達到經濟效益，並阻止假冒相同或類似標記，不正當之競爭。商標註冊後，商標註冊人享有商標專用權，圖形為 ，表示某個商標經過註冊，並受法律之保護。n商標與專利不一樣，專利需要具有發(fā)明、新型及新式樣等三種。商標是一個圖樣，或文字，或符號，或顏色，或聲音。如果要行銷產品，要讓客戶看到我的標誌，就連想到

5、我的產品，這是商標。但因商標具有象徵的意義，因此就需要藉由商標法的保護，來讓相關的消費者在市場上能據(jù)以識別其來源、品質及商譽。4.2.2 n此外，同一類或類似商品不可與他人構成相同或近似的商標名稱，也不可以他人著名的商標作為自己的商標名稱。例如，德國愛迪達體育用品公司控告美國威名百貨銷售的佩雷斯運動鞋有三條線，與愛迪達運動鞋商標類似，涉嫌仿冒，非法使用其愛迪達商標。雖然佩雷斯運動鞋沒有使用三條線，但有時使用兩條線，有時使用四條線，與愛迪達商標類似，被愛迪達告上法院，美國法院判處佩雷斯鞋業(yè)公司賠償愛迪達公司三億零五百萬美元。 4.2.3 n專利 (patent) 法是為鼓勵、保護、利用發(fā)明與創(chuàng)作

6、，以促進產業(yè)發(fā)展，所制定的法律。專利權是對發(fā)明授予的權利，對專利權人之發(fā)明予以保護，保護權利在一段期間內有效，一般期限為20年。n近代由於電腦軟體持續(xù)發(fā)展，其重要性與日俱增，歐美日各國紛紛通過審查電腦軟體成為專利的相關立法。n我國亦於87年，由經濟部智慧財產局發(fā)布電腦軟體相關發(fā)明專利審查基準。n電腦軟體之發(fā)明分為物之發(fā)明與方法發(fā)明，如圖4-4。依照電腦軟體相關發(fā)明專利審查基準，以電腦軟體與硬體結合型之發(fā)明專利，稱為物之發(fā)明 ；而以執(zhí)行的步驟主張的稱為方法發(fā)明 。4.2.3 n早期的觀念，將電腦軟體及各種電腦程式視為印刷品，電腦軟體的儲存媒體是無法申請專利的。然而在今日，儲存媒體因其中之軟體與電

7、腦之互動，具有實際之交互作用，也可以成為專利保護之標的物。圖4-4 電腦軟體發(fā)明之分類4.2.4 n營業(yè)秘密 ( trade secret )是指不爲公衆(zhòng)所知悉，能爲權利人帶來經濟利益，具有實用性並對權利人採取保密措施的技術資訊和經營資訊。例如，可口可樂配方、microsoft windows 原始程式碼等。n我國於民國85年，通過營業(yè)秘密法，依據(jù)營業(yè)秘密法第2條規(guī)範，營業(yè)秘密係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件者： 非一般涉及該類資訊之人所知者。 因其秘密性而具有實際或潛在之經濟價值者。 所有人已採取合理之保密措施者。n以上為營業(yè)秘密之三要

8、件：具有未普及知悉、具有經濟價值、與具有私密性。依照上述的規(guī)定，例如，眾所週知的製作冰淇淋之方法，並無法取得營業(yè)秘密權。4.2.4 n營業(yè)秘密可分為，技術機密與商業(yè)機密。技術機密偏向於經研究、設計、製造而成，屬於技術性之秘密。例如，製造晶片之特別處理程序，可以提高製程良率者屬於此類機密。商業(yè)機密，則是凡涉及與商業(yè)經營有關之資料。例如，商業(yè)客戶往來資料、下一代手機之樣式與價格資料等，屬於商業(yè)機密。n營業(yè)秘密法屬於民法之特別法，無刑責處罰，營業(yè)秘密權是對營業(yè)秘密製造者或創(chuàng)造者的保護措施。是給予一種低度的保護措施，營業(yè)秘密所有人可以禁止他人用不正當手段取得營業(yè)秘密。但是用正當手段取得相同技術內容時，

9、營業(yè)秘密法並沒有禁止。 4.2.4 n所謂競業(yè)禁止是勞動者在勞動契約存續(xù)中，曾參與顧客、來源、製造、與銷售過程等機密，運用此機密對雇主可能會造成重大危險或損失。在勞動契約結束後，給予該勞動者禁止競業(yè)的義務。n換言之，就是員工在職期間，不能同時又提供資金、資訊、諮詢等資源該公司的競爭對手，損及該公司之利益。此外，員工離職後如果利用所知的營業(yè)秘密另行創(chuàng)業(yè)或是投靠原僱主的競爭對手，也將會造成公司一定的損害。因此，有些僱主透過僱傭契約，要求員工在離職後一定期間之內，不從事與其原任職相同的工作。 4.2.4 n競業(yè)禁止的規(guī)範需要合理的範圍與時間，以免影響受雇者的生存權。如果規(guī)定十年都不能從事相關行業(yè)，禁

10、止時間顯然過長，欠缺合理性。n另外，因為競業(yè)禁止的限制，受雇者往往受到損失，所以，也應有相關之措施。例如，在職期間薪水比較高，或離職後有補償措施。4.3 n本節(jié)介紹一些與網(wǎng)路相關的法律規(guī)範與議題，包含：電子簽章法、通訊保障及監(jiān)察法、企業(yè)監(jiān)聽、隱私權、與個人資料保護等。4.3.1 n傳統(tǒng)上，依據(jù)我國民法的規(guī)範，僅承認以印章或簽名所做的簽章為合法的，在訂立契約時，需要蓋章或簽名後，才具有法律的效力。民法第三條第二項規(guī)定，如有用印章代簽名者，其蓋章與簽名同等之效力。n隨著網(wǎng)路交易時代的來臨，傳統(tǒng)的簽名或蓋章已經無法滿足當今社會的需求了。要建立一個值得信賴的網(wǎng)路交易環(huán)境，電子簽章法賦予電子文件和電子簽

11、章的法律效力。n我國於2002年制定通過電子簽章法，以強化網(wǎng)路交易之安全性與完整性。電子簽章法的訂立，採用技術中立的原則，目前之電子簽章法僅規(guī)範數(shù)位簽章技術 (digital signature)。數(shù)位簽章，是指將電子文件以數(shù)學演算法或其它方式運算為一定長度之資料，再以簽署人之私密金鑰對其加密，而形成的一種電子簽章，並得以公開金鑰加以驗證。4.3.1 n電子簽章的簽章與驗證流程如下，如圖4-5：4.3.1 圖4-5 電子簽章的簽章與驗證流程4.3.1 n圖4-6，為我國政府憑證管理中心 (government certification authority ; gca ) 的入口網(wǎng)站，政府憑證

12、管理中心負責簽發(fā)電子化政府相關業(yè)務之電子憑證，以利政府服務業(yè)務電子化之推展。圖4- 6政府憑證管理中心4.3.1 n在早期的網(wǎng)路股票交易業(yè)務，客戶只使用帳號與密碼，即可以完成股票下單交易。近年來，因木馬程式泛濫，帳號與密碼經常被駭客竊取，或有不削之股市交易員，冒用客戶名義下單，引發(fā)很多的交易糾紛。n電子簽章法通過後，電子簽章的應用具有法律效力，網(wǎng)路股市交易獲得更佳的保障，客戶使用自我保存之私密金鑰，進行下單交易，可減少很多網(wǎng)路冒名交易所產生之糾紛。 4.3.2 n我國於民國 88 年公佈通訊保障及監(jiān)察法，其目的是為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序所制訂的法律。n

13、依通訊保障及監(jiān)察法之規(guī)範，允許政府經法院核可下，以各種器材或方法截取他人通訊的行為，一般我們稱為 監(jiān)聽，其範圍規(guī)範在該法第三條：4.3.2 n政府執(zhí)法機關為追查人犯、掌握犯罪證據(jù)，可以取得法院許可後，對於特定對象監(jiān)聽，取得重要證據(jù)。其立法目的係為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序而制定。n有些企業(yè)為了保護內部的營業(yè)秘密，監(jiān)聽員工通訊與網(wǎng)路的資訊，並不在通訊保障及監(jiān)察法之範圍，是否侵犯員工隱私權？n依刑法的觀點，刑法第315條規(guī)範無故開拆或隱匿他人之封緘信函、文書或圖畫者。刑法315-1條也規(guī)範無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者

14、。根據(jù)這兩條法規(guī)的重點在於無故，如果有正當理由則不在此限，因此企業(yè)主為了執(zhí)行公司政策，維護公司的營業(yè)秘密，並不觸犯刑法315-1條。n此外，如果在電子佈告欄（bbs）或電子郵件網(wǎng)站上，網(wǎng)管人員為了滿足個人窺視目的而窺視他人的信件，則觸犯刑法315-1條。但刑法315-1條是屬於告訴乃論，被害者提出告訴，才會進入法律程序，檢察官不會主動偵辦。4.3.3 n隱私權 ( the right of privacy ) 是享受生活的權利與不受干擾的權利，也是個人對於自身事務相關資訊公開的權利，以保障個人之思想、情緒、與感受，不受非法侵犯。n隱私權是二十世紀才出現(xiàn)的法律概念，起源於美國。早期隱私權著重人格

15、權不受侵犯，但資訊與網(wǎng)路發(fā)達以後，衍生出資訊隱私權觀念，資訊隱私權應屬於隱私權的延伸。n我國於民國84年完成電腦處理個人資料保護法 (簡稱個資法) 的立法，以保護個人的資訊隱私權。個資法第3條規(guī)範個人資料，指自然人之姓名、出生年月日、身分證統(tǒng)一編號、特徵、指紋、婚姻、家庭、教育、職業(yè)、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。n個資法規(guī)範之事業(yè)包括電信、徵信、醫(yī)院、學校、金融、證券、保險及大眾傳播等八種事業(yè)。4.4 n隨這電腦科技的發(fā)展，與電腦相關的犯罪事件層出不窮，因此需要以科學方法有系統(tǒng)的收集與辨識犯罪證據(jù)，以便提供法庭參考。 電腦鑑識 ( computer forensi

16、cs ) 即是研究如何進行標準採集證據(jù)流程、將證據(jù)加以保存、進行分析、比對與還原事件等的科學，以呈現(xiàn)法庭做為偵辦案件之參考。n我國調查局於95年成立資安鑑識實驗室接受執(zhí)法機關刑事與民事之鑑識要求。n對於電腦犯罪案件之偵辦，包含智慧財產竊取案件、企業(yè)機密外洩案件、經濟犯罪案件與網(wǎng)路犯罪案件等，其證據(jù)之收集需要有標準程序，如果只是根據(jù)電腦的入侵偵測紀錄或系統(tǒng)的log 紀錄，是不足以為證據(jù)的，因為此項紀錄是可以修改的，並不具有不可否認之特性。n關於電腦鑑識工作進行的流程，通常會先找律師，並尋求電腦鑑識專家的協(xié)助，以進行採證，經蒐集、檢驗分析後提出鑑識報告，電腦鑑識專家在法庭上擔任專家證人，證明數(shù)位證

17、據(jù)是可靠的與可信賴的。資訊社會下資訊倫理的衝突凡是探索人類使用資訊行為對與錯的問題，都是資訊倫理4.5 n倫理是人與人相處之間的規(guī)範與準則，是一種道德規(guī)範，與法律不一樣，違反法律，將會受到相關法條規(guī)定的懲誡，違反道德不一定會受到懲誡。例如，使用電子郵件，對收信者表現(xiàn)出不禮貌的稱呼與語氣，沒有尊重收信者的感受，這是違反資訊倫理 (information ethics)，但並不會接受法律的懲誡。n電腦與網(wǎng)路使用者，經常會有意或無意地侵犯他人隱私或權利，美國計算機倫理協(xié)會制定了資訊十戒，讓電腦使用者遵循相關禮儀與規(guī)範，以促進資訊社會人與人之間的和諧，資訊十戒的內容如下： 資訊十戒 不可使用電腦傷害他

18、人。 不可干擾他人在電腦上的工作。 不可偷看他人的檔案。 不可利用電腦偷竊財物。 不可使用電腦造假。 不可拷貝或使用未付費的軟體。 未經授權，不可使用他人的電腦資源。 不可侵佔他人的智慧成果。 在設計程式之前，先衡量其對社會的影響。 使用電腦時必須表現(xiàn)出對他人的尊重與體諒。4.5 n例如，使用電腦網(wǎng)誌或部落格 (blog)，發(fā)表傷害他人之言論，是違反資訊倫理的行為；或使用 p2p 軟體，如圖 4-7，下載有版權之音樂或影片；或將自己購買的音樂與影片，放置於自己電腦之網(wǎng)路分享區(qū)，供其他人下載使用，這些都是違反資訊倫理，更是侵犯智慧財權的行為。圖4-7 p2p 軟體從網(wǎng)路下載檔案4.5 n我國教育

19、部所建置的臺灣學術網(wǎng)路 ( tanet ) ，是以協(xié)助學生學習為目的，支援臺灣地區(qū)學校及研究機構間之教學研究活動，互相分享資源並提供合作機會。臺灣學術網(wǎng)路也提出使用網(wǎng)路的相關禮儀規(guī)範，並設置網(wǎng)路規(guī)範與委員會制定網(wǎng)路使用之規(guī)範。n該使用規(guī)範，提醒網(wǎng)路使用者要尊重智慧財產權，並呼籲學校應宣導校園網(wǎng)路使用者避免下列可能涉及侵害智慧財產權之行為：4.5 n此外，教育部並訂立規(guī)範禁止濫用網(wǎng)路系統(tǒng)，呼籲網(wǎng)路使用者不得從事下列之行為：延伸學習健康保險可攜性與責任法案（hipaa）與個人隱私權保護hipaan美國國會在19968月通過健康保險可攜性與責任法案，其中規(guī)範資訊安全性與機密性，以及符合保護個人隱私的

20、需求，並明定資訊系統(tǒng)應有的安全機制。如何在醫(yī)機構中進有效的醫(yī)資訊安全與隱私保護，讓與人員都有正常資訊管制法規(guī)與保護為的依據(jù)hipaa的內容n四大範疇： 管程序(administrative procedure)、 實體防護(physical safeguards)、 技術安全服務(technical security services）、 技術安全機制(technical security mechanisms)管程序 n係指為保護資所採取的安全衡，並據(jù)此指定專責人員執(zhí)資保護工作，並記載於正式文件上。包含12項規(guī)範： 認證、聯(lián)盟間安全協(xié)議（為保障資料交換，需簽署保密合約）、應變計畫（使災害發(fā)生後能持續(xù)營運）、處理記錄的正式機制（資料處理的政策和程序，需登載於正式文件）、使用者權限、內部稽核、人員安全（由專責人員負責管制其它員工的授權程序、保留記錄與建立離職後移除授權的程序）、安全組態(tài)管理（測試安全機制、偵測病毒）、安全事件處理程序與保留記錄、安全管理程序（建立、管理、監(jiān)督與預防機制）、結束程序（員工離職時的正式文件指引，包