法律彙編

【焦點話題】

美國民主黨總統候選人希拉蕊於2015年3月驚爆電郵門事件(Emailgate)，據悉她在2009年至2013年間擔任國務卿一職期間，未曾使用美國政府配發的公務信箱，而是使用伺服器設在自家的私人郵件帳戶，收發與儲存相關公務信件，恐有違反聯邦檔案法相關規定，引發爭議。事件發生一週後，希拉蕊親自出面說明，強調使用私人信箱收發郵件是貪圖方便，但絕無不法。其後，希拉蕊為平息輿論質疑並回應公眾監督聲浪，在同年8月決定將私人信箱6萬2,320封往返郵件中，涉及公務事務的3萬餘封電子郵件提交予國務院檢視。

儘管希拉蕊提交的電子郵件資料內容，尚有待聯邦調查局進一步分析是否涉及國家機密，但美國情報體監察長(Inspector General of Intelligence Community)表示，在國務院允許他調查的電子郵件範圍中，已發現五封機密文件，當中還有兩封是絕對機密，且都未明確標註分類機密等級。監察長指出「有些文件應該被標註機密，且透過受保護的系統傳送，可是顯然沒有。」國務院保守估計，至少有上百封郵件是屬於機密文件。

【資料來源：風傳媒 104/8/12】

【重點摘要】

1. 公務人員以其私人信箱傳輸涉及公務的內容，即可能因私人電子郵件系統未有適當安全防護措施，而違反機關資訊安全管理規範，並提高機密外洩之疑慮。
2. 公務人員以私人電子郵件信箱收發涉及公務內容，可能規避機關主管監督，並導致公務執行紀錄無法確實保存或配合調閱，而有礙檔案保存與備查。

【法律觀點】

美國於1950年通過的聯邦檔案法[1]，要求政府官員應妥善記錄並保存涉及決策、程序及機關重要活動等相關紀錄，美國總統歐巴馬嗣於2014年簽署通過總統暨聯邦紀錄法修正草案(Presidential and Federal Records Act Amendments of 2014)，該法修正後已明確定義所謂聯邦紀錄包含電子或數位格式，並要求聯邦政府官員若非以公務電子郵件系統傳送資料時，須同時副本至公務信箱，或於寄送後20日內將原信件轉寄至公務信箱[2]，以保存該信件紀錄並確實揭露相關公務活動。鑒於希拉蕊擔任國務卿期間，聯邦法令並未明確禁止官員使用私人信箱[3]，然而美國國家檔案局(National Archives and Records Administration)於2011年電子紀錄管理規定中的「電子郵件紀錄管理之其他要求」[4]，已規定「允許職員使用非由機關維運的電子郵件系統收發信件」的機關，必須確保以其他郵件系統收發的聯邦紀錄，能夠由該機關本身檔案管理系統歸檔保存，希拉蕊擔任國務卿期間顯然未遵守該規範。而希拉蕊卸任後，聯邦法令進一步明文要求官員須將涉及公務內容的紀錄，須於指定期限內提供機關存檔備查，以致希拉蕊電郵門事件是否違反當時聯邦關於紀錄保存的規定，引發爭議。

公務機關通常會配發所屬人員使用機關網域的公務信箱，然而因垃圾郵件管理機制或檔案容量上限等因素，公務人員可能仍有使用私人電子郵件收發涉及公務活動信件的情形。而希拉蕊電郵門事件即曝露出政府官員使用私人電子郵件處理公務時，可能發生公務機密保護不足、難以滿足公眾監督需求與政府文書紀錄保存未盡完整等問題。

我國法令雖未明文禁止公務人員使用私人信箱，然而部分機關針對公務電子郵件信箱使用，訂定申請程序與相關使用限制等管理規範，並禁止人員使用公務信箱傳送私人信件[5]，以維護機關資訊安全，且確保公務人員從事公務紀錄能夠完整存檔備查。又依「行政院及所屬各機關資訊安全管理要點」第27條[6]，已明文禁止機關人員原則上不得以電子方式傳輸機密檔案，至於有傳輸敏感性資料與文件之必要時，機關所屬人員應採取相當安全防護機制。因此，公務人員以其私人信箱傳輸涉及公務的內容，即可能因私人電子郵件系統伺服器或傳輸過程本身，未有適當安全防護措施，而提高公務機密或其他敏感資料外洩風險，以致違反機關資訊安全管理規範。

另，依我國政府資訊公開法關於「政府資訊」之定義，是指政府機關於職權範圍內作成或取得之各種訊息[7]，因此私人電子郵件是否構成政府資訊，須視個別信件具體內容，是否係基於職權範圍作成或取得而定。再者，信件是否適用檔案法相關規定須統一歸檔，並於法定期間內保存，亦須視信件內容或夾帶檔案，是否涉及機關指定保存的檔案類型。然而，公務人員以私人電子郵件信箱收發涉及公務內容，已可能規避機關主管或公眾監督，並導致公務執行紀錄無法確實保存或配合調閱，恐已違反資訊公開揭櫫的公眾監督意旨，是機關逐步邁向電子化作業環境時，應注意此一資訊管理議題。

【管理Tips】

組織宜在資訊政策中，明確告知同仁電子郵件的分類及管理，以及釐清得否使用私人郵件信箱處理公務或相關限制。另電子郵件之資料分類等級，應考量電子郵件的內容而加以區隔，如果涉及機敏性資料，檔案宜加密或使用密碼保護，避免因為電子郵件的控管不當，導致電子郵件被未經授權的人員取得。

另就實務作業而言，電子郵件同樣需要依照規定進行備份作業，除了防止系統發生異常狀況時，可以利用備份資料迅速恢復正常作業，同時對於電子郵件的使用，亦應保有適當的進出紀錄與軌跡資料。如果有需要調閱過往郵件紀錄的情形，也必須依照內部的作業程序進行調閱，以確保郵件的使用受到適當的保護，並且能留存完整的資訊。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.5.1.1  資訊安全政策

資訊安全政策應由管理階層定義並核准，且對所有員工及相關外部各方公布及傳達。

A.8.2.1資訊之分級A.12.3.1 資訊備份

應依議定之備份政策，定期取得資訊、軟體及系統的影像備份複本，並測試之。

A.13.2.3 電子傳訊

應適切保護電子傳訊時所涉及之資訊。

A.13.2.4 機密性或保密協議

宜識別、定期審查及文件化，以反映組織對資訊保護之需要的機密性或保密協議之要求事項。

【焦點話題】

行政院國家發展委員會(以下簡稱國發會)於104年7月27日發布新版政府資料開放授權條款第1版，藉以取代102年4月26日所訂定之舊版授權條款。參與新版條款訂定的中央研究院資訊科技創新研究中心資深顧問表示：「行政院國發會符合國際開放定義的第一版政府資料開放授權條款終於上線！自此以後中央政府釋出資料的利用規則，悉以條款來論，而不用擔心平臺規範可能隨時遭到變更」。

另外，本次改版重點在於釐清著作權利用範圍與相關限制，明確約定授權不會撤回，並容許使用者不限時間、地域及目的之利用，且允許再轉授權，必要時得直接轉換為國際通用的Creative Commons BY 4.0(以下簡稱創用CC BY 4.0)此開放授權條款，進行利用。由於創用CC BY 4.0的通用性較廣，有助於達到多源共工的大數據加值應用。

【資料來源：iThome 104/8/9】

【重點摘要】

1. 我國政府資料開放授權條款修正後，已明訂與「創用CC授權姓名標示4.0國際版本」相容。
2. 採取開放授權條款有助於降低授權門檻與使用成本，進一步促進政府開放資料後續加值利用。

【法律觀點】

依我國著作權法規定，著作權歸屬於著作權人所有，因此對於尚在著作財產權保護期間的作品，從事合理使用範圍以外的著作利用行為時，利用者均需事先取得著作權人的授權。但這樣的規範架構對於希望著作能獲得快速流通分享，甚至歡迎他人逕為改作、共同激盪創意的著作權人而言，反而造成阻礙。因此，美國非營利組織Creative Commons提出「保留部分權利」(Some Rights Reserved)的相對思考與作法，透過「姓名標示」、「非商業性」、「禁止改作」及「相同方式分享」等四大授權要素的排列組合，提供六種開放授權條款[3]，任何人只要遵守著作權人所設定的授權條件下，即可自由使用以創用CC授權的著作，俾以藉由自願分享且授權條件明確的機制，促進內容資源的交流分享。

因此，我國政府開放資料平台即因應國際上鼓勵開放授權的風潮，在政府資料開放授權條款明訂「本條款與『創用CC授權姓名標示4.0國際版本』相容」[4]，採取相對更為寬鬆的授權條款，亦即任何人只要標註授權機關或其指定名稱，無論其利用需求屬於出版、付費軟體服務等營利行為，或有進一步編寫、修改情形等，均可自由運用。是以，我國政府開放資料平台上之資料集，若循新版條款釋出，所有利用者只要符合授權條件即可自行利用，無庸再尋求機關授權，有助於降低授權門檻與使用成本，並能進一步促進政府開放資料後續加值利用。惟在新版授權條款下，利用者應注意在使用政府機關釋出的資料集時，應依「顯名聲明」要求之方式，明確標示原資料提供機關之相關聲明[5]，以避免未能符合授權條件，而有回歸到該利用方式是否符合著作權法上合理使用之疑慮。

【管理Tips】

就實務面而言，因新版授權條款較舊版為寬鬆，組織在建置相關程序時，務必確認新、舊法規之差異性，而後予以適用。從另一個角度來看，在新版條款下，組織開放資料之使用頻率，勢必高於過往，因而組織如何確保提供資料的正確性，即更顯得重要；因為一旦提供不正確的資料，就有可能不斷地被錯誤引用。是以，組織在開放資料運用時，一定要增加並優先執行資料正確性的確認步驟，以確保組織的公信力。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.18.1.1 適用之法規及契約的要求事項之識別

對每個資訊系統及組織、應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。

A.18.1.2 智慧財產權

應實作適切程序，以確保遵循與智慧財產權及專屬軟體產品使用相關之法律、法令、法規及契約的要求事項。

【焦點話題】

一名張姓男子行經高速公路收費站時，因繳費機帳戶餘額不足扣款失敗，共計積欠6筆通行費用。張姓男子原須於民國103年1月27日前繳納完畢，惟其遲至同年2月12日始繳清款項；在這段期間當中，由於○○公司門市人員之疏忽，該筆款項並未正確入帳及銷帳，致使張姓男子持續接到催繳通知，甚至被國道公路警察以同年1月28日起違規為由開單處罰。案件發生後，張姓男子先至○○公司門市請求協助查詢繳費情形，惟因一時找不到繳費收據而遭到拒絕。

張姓男子認為此項事件造成自己名譽受損，家庭因此爭吵不斷，因而向法院提起訴訟，請求○○公司賠償新臺幣30萬元。經由審理，一審判決判命○○公司賠償張姓男子3,000元，○○公司不服提起上訴，二審法院之理由雖有不同，惟仍維持同一判決結果。

【資料來源：103/9/7中時電子報】

【重點摘要】

1. 組織應自行確保組織營運資訊之正確性，遇客戶異議或投訴時，負有盡速調取內部留存資料，以查明事實真偽之注意義務。
2. 倘因組織營運資訊之錯誤，對客戶或消費者造成財產或精神上損害，對於客戶或消費者所受損害應負有損害賠償責任。

【法律觀點】

私人權利受到侵害或發生糾紛時，通常可透過民事法律相關規定來保障權利。就本案之情形，張姓男子係主張○○公司之催繳行為，對其名譽造成侵害，此情形原則上可依民法第184條第1項前段規定請求損害賠償[8]，如屬情節重大者，另可就所受非財產上之損害，依民法第195條規定請求精神慰撫金[9]。除此以外，由於張姓男子與○○公司間簽訂有「電子收費服務契約」，因而○○公司之錯誤催繳行為，已涉及違反契約義務，因而張姓男子尚可依民法第227條及第227條之1規定[10]，主張契約上的損害賠償責任。

在本案，張姓男子乃依上開規定向○○公司請求賠償30萬元。在一審判決中，法院認為○○公司固因門市員工疏失而未將款項正確入帳與銷帳，惟6張違規罰單事後均已銷單，張姓男子並無財產上損害，因而無法就其財產上損害請求賠償；至於家庭失和部分，由於該結果與○○公司疏失行為間欠缺因果關係，因而張姓男子亦無法請求慰撫金。然而，○○公司曾在一審審理過程中，主動提出願意「補償」張姓男子3,000元，故一審法院判決○○公司應給付張姓男子3,000元[11]。

其後，○○公司提起上訴。二審法院認為張姓男子業已繳費，惟○○公司仍直接對交通部臺灣區國道高速公路局，間接對國道公路警察局為不實陳述，此種不實陳述所傳達之資訊，有表彰張姓男子經催繳仍不願繳款之意思，可能讓第三人聽聞而對張姓男子之誠實、信用產生質疑，進而使其在社會上之評價受到貶損，因而認為○○公司應就其疏失行為對張姓男子造成之損害，「賠償」3,000元[12]。本案一、二審之判決理由雖有不同，惟其判決結果皆認為○○公司應負民事責任。是以，組織應建立相關機制，以確保客戶資訊之即時性與正確性，並於客戶異議或投訴時，盡速調取內部留存資料，以查明事實真偽，否則一旦發生疏失行為，致客戶受有經濟損害，或其社會評價受到貶損時，將可能因此負有民事責任。

【管理Tips】

就組織而言，必須要確保所提供資料的正確性，尤其是所提供之資料，與法律條文或契約有關時，更應特別注意。如果發現已經提供不正確之資料，須盡速將資料更正並尋求補救，以避免造成彼此雙方的權益損失。

以本案為例，如有發生資料錯誤導致影響當事人權益時，除了要將資料即時更正外，同時也需要將相關案例及改善措施，做為後續教育訓練的教材，以避免日後再度發生相同的事件，亦可增加日常作業控管的參考。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.7.2.2 資訊安全認知、教育及訓練

組織所有員工及相關之承包者，均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練，並定期更新。

A.18.1.1 適用之法規及契約的要求事項之識別

對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。

A.18.1.3 紀錄之保護

應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。

【焦點話題】

一名女子逛書店回家後，在包包內發現一張寫有e-mail和想要認識她等語的紙條，女子好奇而寫信問對方是誰。男子自稱「小帥帥」，詢問女子的住處和基本資料，女子拒絕回答，對方卻以許多情緒性言語回應。女子被罵的莫名其妙，因此在PTT發表「在高雄遇到神經病！！」一文，附上紙條照片、男子的e-mail帳號與e-mail的內容。後來有網友提供在其他書局發生過同樣事件的影片，女子也一併加入其發表的文章，提醒其他女性小心。

男子發現後，陸續對女子與網友提出公然侮辱、殺人未遂等刑事告訴，但均不成立。男子又另提民事訴訟，主張女子侵害其人格權、著作人格權及著作財產權。一般人格權部分，法院認為女子是對可受公評之事發表評論，發表之內容無法特定男子是何人，亦未直接披露足以識別其個人之資料，並沒有侵害男子之人格權。但侵害著作權方面，法院認為電子郵件是具有原創性之文字著作，受著作權法之保護。女子公開電子郵件侵害男子著作人格權及著作財產權，應負損害賠償責任，並判賠新台幣1萬1千元。

【資料來源：蘋果日報 104/9/16】

【重點摘要】

1. 著作只要有最低程度的創意，可認為作者的精神作用已達到相當程度，足以表現其個性或獨特性，著作權法即予保護。
2. 信件具有著作權，如為非法公開或未經當事人同意而公開，恐違反著作權法規定而負有民事責任。

【法律觀點】

依著作權法第3條第1項第3款規定，著作的定義是「屬於文學、科學、藝術或其他學術範圍之創作」，又依經濟部智慧財產局對於著作權的保護提出「四必一沒有」的五個要件[13]：(1)必須是人類精神力作用的成果；(2)必須經「表達」而外顯；(3)必須獨立創作且具有「創作性」：只要有最低程度的創意，可認為作者的精神作用已達到相當程度，足以表現其個性或獨特性，就給予保護，此為「美學不歧視原則」；(4)必須屬於文學、科學、藝術或其他學術範圍：指相對於「實用性」，創作需具有「文藝性」，價值在所不論；(5)不屬於著作權法第9條的類型[14]。以這五個要件來檢視書信，不論是著名作家還是普通人寫的信，基於美學不歧視原則，都屬於著作的範疇。本案法院即係認為電子郵件將男子思想表現出來，顯現其個性或獨特性，具有最低程度的創意，是具有原創性的著作。

因此，在本案中男子對電子郵件享有著作權的保護。依著作權法，若是侵害著作人格權將依第85條負損害賠償責任[15]，侵害著作財產權則依第88條負損害賠償責任[16]。雖然本案的被告女子主張她是依著作權法第52條[17]及第55條[18]規定的合理使用，但這兩條均以「已公開發表之著作」為要件。本案e-mail僅在兩造之間傳遞，並未公開發表[19]，亦無同法第15條第2項的推定公開發表的情形[20]，因此法院認為女子公布信件內容非屬合理使用。

本案判決一出受到許多外界的批評，也有人質疑保障此類信件的內容是否符合著作權法保護文化發展的立法目的，惟本案當事人已表示考慮提起上訴，故仍有待觀察二審法院見解。

【管理Tips】

就本案而言，信件是受到著作權法保護。在實務作業中，除非是已取得當事人授權外，否則就他人受著作權保護之著作，尚不得自行對外首次公開或從事逾越合理使用範圍的利用行為。就管理層面如何降低組織利用著作時侵害他人智慧財產權的法律風險，可思考在利用該資訊前，增加事前審核的機制，亦即由專責人員進行權利盤點與授權範圍檢核，以確保所揭露的資料，均為授權範圍內的使用，除有助於組織遵守法令規範要求外，亦能進一步避免資料遭到不當揭露。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.18.1.2 智慧財產權

應實作適切程序，以確保遵循與智慧財產權及專屬軟體產品使用相關之法律、法令、法規及契約的要求事項。

A.18.1.3 紀錄之保護

應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。

A.18.1.4 個人可識別資訊之隱私及保護

應依適用之相關法令、法規中之要求，以確保個人可識別資訊之隱私與保護。

【焦點話題】

A公司日前針對某商品推出行銷活動，開放民眾於某日凌晨撥打電話訂購商品。活動舉辦當日，A公司訂購電話專線完全塞爆，某產品順利在數小時內銷售一空。在這同時，軟體開發商B公司在知名社群網站上，公布用戶在活動期間撥打電話搶購該商品的相關數據，以12小時內訂購電話被撥打次數約250萬為計，平均一人就撥打了126次電話。B公司原本希望搶搭新聞話題為自己造勢，沒想到卻意外自爆B公司擅自存留與分析用戶去電紀錄，包括發話端與受話端之時間、地點、當時網路環境及手機型號等資料，反倒令用戶驚覺自己隱私遭到侵害，因而引發輿論撻伐。事發之後，B公司解釋其存留與分析用戶去電紀錄乃是為了過濾不明電話，避免用戶誤撥惡意電話；而針對隱私條款與政策說明不清之處則承諾將會改進，並將致力強化用戶隱私之保障。

【資料來源：自由時報104/9/5】

【重點摘要】

1. 電話撥打時間、地點及電話型號等，屬於社會活動範疇中之資料，而有個人資料保護法之適用。
2. 組織透過應用程式或其他工具收集用戶資訊，並分析用戶行為，應事先告知並符合蒐集個資之其一事由，否則將涉及隱私權或個人資料之侵害。

【法律觀點】

有關本案所涉及之「發話端之時間地點、受話端之時間地點、當時網路環境及手機型號」等資料，是否屬於個人資料，依照法務部歷來函釋見解，因此等資料可透過與其他資料結合或連結而達到間接識別之效果，性質上屬於社會生活範疇之個人資料，而應符合個人資料保護法(以下簡稱個資法)之相關規定[21]。

在本案中，B公司可否留存與分析用戶去電紀錄等資料，除應視其行為是否依個資法第8條規定為明確告知[22]，並符合同法第19條第1項規定個資蒐集或處理之法定事由外[23]，如涉及特定目的外利用時，尚應取得經當事人書面同意，或符合同法第20條第1項規定之其他各款事由[24]。此外，個人資料之蒐集、處理或利用，並應尊重當事人之權益，依誠實及信用方法為之，並與蒐集之目的具有正當合理之關聯[25]。對此，B公司雖曾公告隱私政策與相關條款，惟其內容對於資料種類並未逐一清楚指明，也沒有完整告知蒐集目的與利用用途，更非對客戶以個別方式進行告知[26]，因而B公司就此等資料之蒐集、處理及利用之適法性，是否與原蒐集目的間具有合理關聯，以及該利用是否符合特定目的，恐衍生爭議。B公司之利用行為一旦被認定為侵害個資，且對用戶造成損害時，恐須負民事賠償責任。

另B公司以「此等資料均已去識別化」為由作為抗辯，試圖減輕外界疑慮，惟B公司對於個資之蒐集、處理或利用，若不符法定事由，或與蒐集目的間不具正當合理關聯時，尚不會因B公司係以去識別化方式公布統計資料，即可脫免相關責任，併予說明。

【管理Tips】

就本案而言，B公司使用的應用系統記錄用戶電話撥打時間、地點等資訊，由於上述資料符合個人資料的定義，因而應遵守個資法相關規範。為確保當事人的權益，在蒐集個人資料時，應依照相關法令進行告知，並依照所告知的目的進行個人資料的利用，除非符合法律規定外，不得[RAE1] 從事逾越原先告知目的範圍以外的利用。如果未依照既定的程序執行，恐有違反個資法等相關規定。

就實務面而言，組織如果因開創新種業務而需蒐集個人資料，在設計作業流程時，就必須要將個人資料的蒐集、處理及利用等，一併納入考量。組織在考量新種業務時，宜取得法務等相關人士的意見，並且經過核可後，才可正式蒐集個人資料，如果有與蒐集目的不符合的利用，亦不具備其他得為特定目的外利用的法定事由時，必須要取得當事人的同意後才可以執行，以避免個人資料的不當蒐集與利用。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.18.1.1 適用之法規及契約的要求事項之識別

對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。

A.18.1.4 個人可識別資訊之隱私及保護

應依適用之相關法令、法規中之要求，以確保個人可以識別資訊之隱私及保護。

【焦點話題】

荷蘭公司A以自動化程式，擷取廉價航空公司B網站上的航班資料，作為本身經營網路比價服務使用。B公司表示，此舉違反其禁止使用者基於商業目的使用網站資料的服務條款；而A公司則主張依歐盟資料庫指令，可自由運用他人資料庫中屬於單純事實部分的資料。

歐盟法院受理本案後，認為廉價航空公司B網站提供的航班資料，尚無法受到著作權法或資料庫特別權利的保護，並進一步肯定當網站經營者就其本身資料內容，無法透過智慧財產權排除他人未經授權使用時，仍得以服務條款限制其他企業以擷取方式自動抓取、蒐集網站資料的行為。故法院裁決認定廉價航空公司B得以服務條款，禁止A公司以自動化程式抓取網站資料後轉為商業使用[27]。

【資料來源：OUT-Law.com 104/1/15】

【重點摘要】

1. 航空公司提供查詢的航班資料，雖不受歐盟資料庫指令適用範圍或受著作權法保護，但航空公司得以服務條款，限制使用者的利用行為。
2. 歐盟法院認定使用者以自動化程式擷取網站資料，恐違反網站服務條款而負賠償責任，此將影響自動比價服務開發與巨量資料應用。

【法律觀點】

依歐盟資料庫指令(Directive 96/9/EC)[28]，資料庫內容本身屬事實資訊時，雖不受著作權保護，但資料庫本身就資料選擇或編排具有精神創作性時，可受著作權保護；另外，若資料庫所有人就資料的取得、確認或呈現，在質量上係耗費相當時間精力與技術建置時，該指令亦賦予其所有權人享有特別的資料庫權利(Sui Generis Database Rights)，享有特別資料庫權利者，除在特定情形時不得限制使用者抽繹或再利用資料以外[29]，得禁止他人以任何方法或形式將資料庫之全部或部分重要內容，移轉於其他資料媒介。因此，本案歐盟法院裁決即是針對在歐盟資料庫保護指令架構下，對於資料庫內容本身不受著作權法保護，亦不符合資料庫特別權利保護要件的資料庫所有者，認定其仍得依一般契約關係，以網站服務條款限制使用者擷取資料庫內容，從事逾越特定目的的利用。

這項歐盟法院裁決對於有從第三方蒐集、擷取資料自行使用的業者，尤其是透過網路爬蟲或其他自動化程式，從各家資料來源網站抓取資料，提供分析或加值應用服務的資訊服務業者，無寧造成重大影響。因為依歐盟法院見解，資料來源網站縱使無法基於著作權，排除此類業者未經事先授權的利用行為，仍能夠以服務條款限制他人從事特定目的外利用。故資訊服務業者為確保資訊供應穩定並降低法律風險，恐須與資料來源網站簽訂授權協議，避免資料來源網站以違反契約條款請求損害賠償，或採取拒絕連線等排除侵害手段。

我國並未基於資料庫建立耗時費力而賦予其特別權利，資料庫為資料的集合體，依我國著作權法屬於編輯著作，因此只有在資料選擇及編排具有創作性時，資料庫設計或架構本身受著作權法保護[30]。至於資料庫內容本身，是否受著作權法保護則須個別認定，若資料屬於不具有創作性的新聞事實或我國法令，即不受著作權法保護[31]。但資料庫所有者對於使用者擷取網站中不受著作權保護的內容，雖無法以著作權排除侵害，惟使用者之利用行為如涉及榨取其他事業努力成果、造成網站系統設備干擾或違反網站服務條款，致生他人損害時，資料庫或網站所有者仍可能依其他法律循求救濟[32]。歐盟法院此裁決即指出，資料來源網站在特定情形下，得以契約條款限制使用者抽繹或再利用資料，我國實務見解是否採納仍有待觀察，但此歐盟法院見解勢必促使某些以抓取其他網站資料提供資訊加值服務的業者，為避免動輒遭到網站拒絕連線或請求賠償，而須重新思考其經營策略，並評估尋求授權或建立合作夥伴關係的成本。

【管理Tips】

由於科技進步日新月異，組織在推動業務時，需要了解新種科技對業務的影響。網路爬蟲程式是否允許使用，或是可以使用的範圍，除了必須符合法令與資料利用相關契約條款的要求外，組織也應該定期檢視科技的影響，並決定原有的作業方式是否需要調整。要思考新科技對業務的影響，避免因為不了解法令或科技，而導致業務的執行出現與實際斷層的情況。

組織以網站方式提供他人利用本身資訊服務時，宜先行評估此類資訊是否符合我國著作權或營業秘密保護範圍，以利訴諸此類法令保護本身保有的資訊，另組織亦得透過網站服務條款，明確約定使用者利用範圍與方式，以利組織於使用者利用行為違反網站服務條款時，得採取終止服務、排除侵害或請求違約損害賠償等方式，以維護自身權益。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.18.1.1 適用之法規及契約的要求事項之識別

對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。

A.18.1.3 紀錄之保護

應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。

A.18.2.2 安全政策及標準之遵循性

管理人員應以適切之安全政策、標準及所有其他安全要求事項，定期審查其責任範圍內之安全處理及程序的遵循性。

【焦點話題】

內政部警政署刑事警察局日前破獲國內首宗智慧型手機簡訊惡意程式詐騙案件。警方調查，從民國102年8月起，發現國內大批民眾陸續收到詐騙簡訊，例如「聚會相片」、「宅急便通知」、「電費通知」、「快遞簽收單」及「新北市政府警察局通知」等社交工程手法，騙取民眾以智慧型手機點擊連結網址，手機因此遭植入惡意程式，手機會自動發送大量惡意簡訊到其他用戶，造成被害人產生額外電信費用。

電信警察分析中毒的手機發現，詐騙集團利用遭感染手機向電信業者申請小額付款，並操縱該手機發送更多簡訊給通訊錄內親友。民眾除負擔小額付款費用外，還會增加額外大量發送簡訊費用。此惡意程式每隔6秒左右更會回傳手機內的個資。因此，民眾若有利用手機登入網路銀行或使用信用卡，帳號密碼也會傳回至詐騙集團架設的伺服器。

警方分析發現，警方發現全臺遭植入木馬惡意程式的智慧型手機最少逼近10萬支，單周發送惡意簡訊超過1,600萬則，影響範圍相當深遠。

【資料來源：蘋果日報，104/10/12】

【重點摘要】

1. 為降低手機資訊安全風險，民眾本身亦須達到某程度注意義務，避免下載不明軟體或點選簡訊提供的可疑網址，並定期更新手機防毒軟體。
2. 駭客撰寫並散布惡意程式，以入侵他人電腦或其相關設備，除涉及我國刑法妨害電腦罪章以外，亦可能同時構成詐欺、竊取他人營業秘密或違法蒐集他人個資情事等，而負有刑責。

【法律觀點】

隨著科技日新月異，智慧手機成為民眾日常生活中不可或缺的工具，無論通訊、行動支付、透過行動應用程式訂票，或線上查閱資料等，都加深民眾對於手機的依賴程度。然而，行動網路與應用服務趨於普及下，也提升手機感染病毒或遭到惡意程式攻擊的威脅，以致民眾可能因資料遭到竊取，或遭犯罪集團利用手機發送社交詐騙、小額支付驗證等簡訊，而受有損害。因此，為降低民眾手機資訊安全風險，不僅有賴行動應用程式開發者或服務供應商強化行動版作業環境的安全性，提供適當安全程度，避免民眾在使用過程，資料易遭犯罪集團擷取或破解；另一方面，民眾本身亦須擔負某程度注意義務，避免下載不明軟體或點選簡訊提供的可疑網址，並定期更新手機防毒軟體。

就駭客撰寫並散布惡意程式，以入侵他人電腦或其相關設備，除涉及我國刑法妨害電腦罪章以外[33]，視駭客竊取手機資料的內容，更可能同時構成以不法手段竊取他人營業秘密[34]，或不法蒐集他人個資情事[35]等而負有刑責。此外，駭客以木馬程式控制他人手機，並以他人名義偽造同意申辦電信小額付款或確認支付款項之電磁紀錄，亦可能構成刑法上偽造文書；另，駭客以社交工程方法寄發簡訊，誘使民眾點選後誤為提供帳號密碼或直接匯付款項時，尚可能分別構成詐欺取財或詐欺得利罪[36]，若駭客截取民眾收到的帳號密碼開通簡訊，或利用民眾回傳的驗證碼等資料，輸入電腦設備以執行線上授權交易或轉帳，而造成民眾存款金額減少，則另可能構成不法偽造紀錄取得他人財物罪[37]。鑒於我國刑法對此類犯罪手法已有相關規範，有心人士應考量法律風險，避免觸法。

【管理Tips】

現今社交工程詐騙的管道，已經從傳統的電子郵件，逐步演進到智慧型手機及社群軟體。雖然利用不同的平台與媒介，但基本原理都還是一致，藉由人們的好奇心及對科技的不了解，進而騙取所需的資料，如利用手機簡訊，騙取民眾點選不當連結發送大量簡訊。

組織應將相關社交工程的案例，藉由教育訓練的方式，讓同仁能夠提高警覺，對於來路不明的郵件或是簡訊，不要任意的點選或開啟。如果認為有必要保存的資訊，可以在網路上尋找相關的連結後再進入，而不要直接連結其所附的路徑。

此外，組織應明確的定義，未經授權不得任意安裝軟體。組織內所有軟體的安裝，都必須事先經過測試，確認軟體版本正確以後才可以進行安裝，以防止不肖人員藉由程式的安裝，進而取得未經授權的資料。

【相關標準】

• ISO/IEC 27001：2013(CNS 27001)

A.7.2.2 資訊安全認知、教育及訓練

組織所有員工及相關之約用人員，均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練，並定期更新。

A.12.5.1 對運作中系統之軟體安裝

應實作各項程序，以控制對運作中系統之軟體安裝。

A.12.6.2 對軟體安裝之限制

應建立並實作使用者安裝軟體之管控規則。

[1] 44 U.S. Code § 3101 - Records management by agency heads; general duties.

[2] Presidential and Federal Records Act Amendments of 2014, Sec 2209: Disclosure requirement for official business conducted using non-official electronic messaging accounts.

[3] 美國國家檔案局於2013年9月公告「機關職員管理電子郵件帳號等聯邦紀錄，與避免聯邦紀錄遭未經授權移除之指引」，以供聯邦機關參考。該指引第5點指出，聯邦職員不應廣泛使用私人電子郵件帳號從事公務活動，但在公務信箱無法登入的緊急情況，或該職員係私人電子郵件初次接洽等情形，機關得授權使用私人郵件帳號。惟機關職員在此情形，必須確保所有在私人郵件帳號涉及聯邦紀錄的信件收發，符合機關檔案管理作業。查詢自NARA Bulletin 2013-03, September 9, 2013, available at http://www.archives.gov/records-mgmt/bulletins/2013/2013-03.html (last visited: 2015/10/5)

[4] 36 CFR 1236.22 - What Are The Additional Requirements For Managing Electronic Mail Records?, available at http://www.gpo.gov/fdsys/pkg/CFR-2011-title36-vol3/pdf/CFR-2011-title36-vol3-sec1236-22.pdf (last visited:2015/10/4)

[5]例如司法院、總統府、監察院及臺南市政府環境保護局等均自行訂有機關電子郵件信箱管理要點。

[6]行政院及所屬各機關資訊安全管理要點第27條：「各機關應訂定電子郵件使用規定，機密性資料及文件，不得以電子郵件或其他電子方式傳送。機密性資料以外之敏感性資料及文件，如有電子傳送之需要，各機關應視需要以適當之加密或電子簽章等安全技術處理。機關業務性質特殊，須利用電子郵件或其他電子方式傳送機密性資料及文件者，得採用權責主管機關認可之加密或電子簽章等安全技術處理。」

[7] 政府資訊公開法第3條：「本法所稱政府資訊，指政府機關於職權範圍內作成或取得而存在於文書、圖畫、照片、磁碟、磁帶、光碟片、微縮片、積體電路晶片等媒介物及其他得以讀、看、聽或以技術、輔助方法理解之任何紀錄內之訊息。」

[8] 民法第184條第1項：「因故意或過失，不法侵害他人之權利者，負損害賠償責任。故意以背於善良風俗之方法，加損害於他人者亦同。」

[9] 民法第195條第1項：「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額。其名譽被侵害者，並得請求回復名譽之適當處分。」

[10] 民法第227條：「因可歸責於債務人之事由，致為不完全給付者，債權人得依關於給付遲延或給付不能之規定行使其權利。因不完全給付而生前項以外之損害者，債權人並得請求賠償。」同法第227-1條：「債務人因債務不履行，致債權人之人格權受侵害者，準用第192條至第195條及第197條之規定，負損害賠償責任。」

[11] 參臺灣士林地方法院103年湖簡字574號民事判決。

[12] 參台灣士林地方法院103年度簡上字第171號民事判決。

[13] 經濟部智財局，著作權基本概念，http://www.tipo.gov.tw/ct.asp?xItem=219594&ctNode=7561&mp=1，（最後瀏覽日期：2015年10月5日）

[14] 著作權法第9條第1項：「下列各款不得為著作權之標的：一、憲法、法律、命令或公文。二、中央或地方機關就前款著作做成之翻譯物或編輯物。三、標語及通用之符號、名詞、公式、數表、表格、簿冊或時曆。四、單純為傳達事實之新聞報導所作成之語文著作。五、依法令舉行之各類考試試題及其備用試題。」

[15] 著作權法第85條第1項：「侵害著作人格權者，負損害賠償責任。雖非財產上之損害，被害人亦得請求賠償相當之金額。」

[16] 著作權法第88條第1項前段：「因故意或過失不法侵害他人之著作財產權獲致版權者，負損害賠償責任。」

[17] 著作權法第52條：「為報導、評論、教學、研究或其他正當目的之必要，在合理範圍內，得引用已公開發表之著作。」

[18] 著作權法第55條：「非以營利為目的，為對觀眾或聽眾直接或間接收取任何費用，且未對表演人支付報酬者，得於活動中公開口述、公開播送、公開上映或公開演出他人已公開發表之著作。」

[19] 著作權法第3條第1項第15款：「公開發表：指權利人以發行、播送、上映、口述、演出、展示或其他方法向公眾公開提示著作內容。」

[20] 著作權法第15條第2項：「依第11條第2項及第12條第2項規定，由雇用人或出資人自始取得尚未公開發表著作之著作財產權者，因其著作財產權之讓與、行使或利用而公開發表者，視為著作人同意公開發表其著作。」

[21] 法務部法律決字第 10303506500號函：「判斷住家或行動電話號碼是否為得以直接或間接方式識別特定個人，無一致性標準，宜從個案審認。倘蒐集之資料型態已可識別電話號碼屬某學校學生，雖在電話行銷時未直接指名道姓，但一經揭露仍足以識別為特定人，要難謂非個人資料保護法適用對象」、法務部法律字第10203502260號函：「個人資料保護法第2、51條等規定參照，蒐集者如能將行動電話號碼與其他資料對照、組合、連結而得識別特定個人，即屬個人資料而有該法適用，又行動電話用戶蒐集、處理及利用個人資料行為，如係基於自然人單純為個人活動目的而為者，則無該法適用。」，再參法務部法律決字第10100122870號函：「電腦處理個人資料保護法第3條等規定參照，該法所稱『個人資料』係指足資識別特定個人之資料，是否足資識別特定個人，宜就具體個案事實審認，如非得足資識別特定個人者，則亦無該法適用。」

[22] 個資法第8條第1項：「公務機關或非公務機關依第15條或第19條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。」個資法施行細則第16條規定：「依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。」

[23] 個資法第19條第1項：「非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：一、法律明文規定。二、與當事人有契約或類似契約之關係。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。五、經當事人書面同意。六、與公共利益有關。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。」

[24] 個資法第20條第1項：「非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。六、經當事人書面同意。」

[25] 個資法第5條：「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」，另參照法務部法律決字第10300631830號函之要旨節錄：「非公務機關對個人資料之蒐集或處理，應有特定目的並符合個人資料保護法第19條各款規定所稱法定情形之一；如為特定目的外利用則應符合同法第20條但書各款事由之一。除應符合個資法規定外，非公務機關可否蒐集或處理個人資料，應視有無其他法律規定為依據。」，以及法務部法檢字第10304504440號函之要旨節錄：「資料蒐集、處理或利用仍應受『必要範圍』及『正當合理關聯』限制。」。

[26] 參照法務部102年1月21日法律字第 10103111060 號函、102年2月25日法律字第10100669890號函、102年7月3日法律字第 10203507170號函參：「法務部非公務機關依本法第 19 條規定蒐集個人資料時，應『明確告知』當事人上開條文所列應告知事項。又上開規定所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之(本法施行細則第 16 條參照)，亦即任何足以使當事人知悉或可得知悉之方式，均屬之。此一告知並未要求當事人須簽署相關文件，亦未限制不得與其他文件(例如契約)併同為之。惟為達到『明確告知』之目的，蒐集者仍應以個別通知之方式使當事人知悉，不得以單純擺設(張貼)公告或上網公告之概括方式為之，而需足以使當事人知悉或可得知悉該公告內容之方式」。

[27] Case C‑30/14, preliminary ruling on Ryanair Ltd v. PR Aviation BV, 15 January 2015, see http://curia.europa.eu/juris/document/document.jsf?docid=161388&doclang=EN (last visited: 2015/10/05)

[28] Directive 96/9/EC of the European Parliament and of the Council of 11 March 1996 on the legal protection of databases

[29] Article 9, Member States may stipulate that lawful users of a database which is made available to the public in whatever manner may, without the authorization of its maker, extract or re-utilize a substantial part of its contents:(a) in the case of extraction for private purposes of the contents of a non-electronic database; (b) in the case of extraction for the purposes of illustration for teaching or scientific research, as long as the source is indicated and to the extent justified by the non-commercial purpose to be achieved; (c) in the case of extraction and/or re-utilization for the purposes of public security or an administrative or judicial procedure.

[30] 著作權法第7條：「就資料之選擇及編排具有創作性者為編輯著作，以獨立之著作保護之。編輯著作之保護，對其所收編著作之著作權不生影響。」

[31] 著作權法第9條：「下列各款不得為著作權之標的︰一、憲法、法律、命令或公文。二、中央或地方機關就前款著作作成之翻譯物或編輯物。三、標語及通用之符號、名詞、公式、數表、表格、簿冊或時曆。四、單純為傳達事實之新聞報導所作成之語文著作。五、依法令舉行之各類考試試題及其備用試題。前項第一款所稱公文，包括公務員於職務上草擬之文告、講稿、新聞稿及其他文書。」

[32]公平交易法第25條：「除本法另有規定者外，事業亦不得為其他足以影響交易秩序之欺罔或顯失公平之行為。」刑法第360條：「無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。」

[33]參刑法第358條：「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處3年以下有期徒刑、拘役或科或併科10萬元以下罰金。」、「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科20萬元以下罰金。」同法第362條：「製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科20萬元以下罰金。」

[34]營業秘密法第13-1條：「意圖為自己或第三人不法之利益，或損害營業秘密所有人之利益，而有下列情形之一，處五年以下有期徒刑或拘役，得併科新臺幣100萬元以上1000萬元以下罰金：一、以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘密，或取得後進而使用、洩漏者。」

[35] 個人資料保護法第41條：「違反…第19條…足生損害於他人者，處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新臺幣100萬元以下罰金。」

[36] 刑法第339條：「意圖為自己或第三人不法之所有，以詐術使人將本人或第三人之物交付者，處5年以下有期徒刑、拘役或科或併科50萬元以下罰金。以前項方法得財產上不法之利益或使第三人得之者，亦同。前二項之未遂犯罰之。」

[37] 刑法第339-3條：「意圖為自己或第三人不法之所有，以不正方法將虛偽資料或不正指令輸入電腦或其相關設備，製作財產權之得喪、變更紀錄，而取得他人之財產者，處七年以下有期徒刑，得併科70萬元以下罰金。以前項方法得財產上不法之利益或使第三人得之者，亦同。前二項之未遂犯罰之。」