法律彙編

【焦點話題】       

甲為最高法院檢察署檢察總長，指揮監督最高法院檢察署檢察官及高等法院以下各級法院及分院檢察署 檢察官。甲明知全民電通更一審關說案仍在偵查中，卻仍將最高法院檢察署專案報告，內容包含全民電通更一審偽證案之研究、本案通訊監察譯文及全民電通更一審 關說案的後續偵查方向等依法應秘密之資料(下稱專案報告)，洩漏並交付予總統，嗣後又向行政院長報告並交付與專案報告內容相同的資料。又甲明知該關說案未 經承辦檢察官以犯罪嫌疑不足為由而為不起訴之處分，亦未以未涉有犯罪嫌疑為由簽結，卻為使外界知悉關說案論證依據，竟指示下屬將通訊監察譯文的通話時間與 通話內容，製作為新聞稿並於記者會上公告，台北地檢署依刑法洩密罪、違反通訊保障及監察法起訴。

本案法院認為，甲分別向總統與行政 院長報告，並交付偵查所得資料與監察通訊所得譯文，嗣後又召開記者會洩漏上開資料的行為，均已違反通訊保障及監察法第27條公務員洩漏、交付監察通訊所得 應秘密資料罪，與刑法第132條第1項公務員洩漏國防以外機密罪，故判處甲執行刑1年2個月有期徒刑。

【資料來源：臺北地方法院102年度矚易字第1號判決】

【重點摘要】

1. 監聽對於人民的隱私權侵害嚴重，偵查機關實施通訊監察，應符合通保法對於監聽事由之限制，並就通訊監察所得資料依法採取保存與銷燬。
2. 通訊監察所得資料，原則上應僅能於監察之目的範圍內始能使用，縱有涉及行政調查之必要，亦僅能提供給具有調查或審議評鑑權限之機關。

【法律觀點】

憲 法第12條規定：「人民有秘密通訊之自由」，保護人民就通訊之有無、對象、時間、方式及內容等事項，有不受國家及他人任意侵擾的權利。因此，國家採取限制 手段時，除應有法律依據外，限制之要件應具體明確，不得逾越必要範圍，所採取的程序亦應合理正當，始符合憲法保護人民秘密通訊自由之意旨。而通訊保障及監 察法(以下簡稱通保法)之立法，除為確保國家安全與維持社會秩序等目的外，亦在保障人民秘密通訊自由及隱私權不受非法侵害。對於人民不願公開的對話或資 訊，在未得通訊當事人同意下即予以監聽，且實施監聽時蒐集的資訊內容與範圍亦不易控制，長時間監聽對於人民的隱私權侵害程度相當嚴重。因此，通保法明文限 定實施通訊監察的事由，並規定通訊監察所得資料的保存與銷燬方式[1]，課與國家事後嚴格限制使用範圍的方式，以免通訊監察所得之內容遭不當濫用。

通保法第18條已明確限制通訊監察所得資料，原則上應僅能於監察之目的範圍內始能使用[2]， 亦即原則上僅刑事偵查、審判機關於追訴第5條等規定列舉之犯罪，或監察院、檢察官評鑑委員會等具有依法調查、懲罰行政不法等責任之機關，為究責行政不法之 目的，行使其調查權以取得通訊監察所得的資料，始能予以使用。本案所涉關說案，縱然已偵查終結並為不起訴處分，偵查機關仍有繼續維持保護證述內容的秘密 性，以保護涉案當事人名譽，並避免妨礙後續行政調查之必要，故通訊監察所得資料，應僅能提供予具有調查或審議評鑑權限的機關。是以，本案法院認為甲分別將 通訊監察所得監聽譯文交付總統與行政院長，甚至以召開記者會公布新聞稿的方式洩漏，均非向權責機關為追訴或究責該關說案行政不法責任之用，顯與上開通保法 18條規定的使用範圍有別，均已構成犯通保法第27條公務員洩漏、交付監察通訊所得應秘密資料罪[3]與刑法第132條第1項公務員洩漏國防以外機密罪[4]，從一重論以通訊保障及監察法第27條之罪而判處執行刑1年2個月有期徒刑。

【管理Tips】

就資訊保護的角度，從此一案例組織應體認到，對於組織所擁有、管理的資料及其內容，相關的權責機關或特殊關注方（如政府單位、目的事業主管機關、合作夥伴、民眾等），皆可能對與其有關的資訊內容應受到適當保護有合理的期待。

因此組織對於資訊及資訊處理設施除應有適當的保護措施之外，對於資訊的合理使用，應在不逾越法律、法令、法規及契約的要求下，訂定明確的使用規則，以避免資訊被誤用及濫用。

【相關標準】

• ISO 27001：2013（CNS 27001）

A.8.1.3　資產之可被接受使用

對與資訊及資訊處理設施相關聯之資訊及資產，應識別、文件化及實作可被接受使用之規則。

A.18.1.1適用之法規及契約的要求事項之識別

對每個資訊系統及組織，應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項，以及組織為符合此等要求之作法。

【焦點話題】

A電信台中、東山等4個加盟服務中心區域聯網「超可愛討論區」獎金區，把客戶姓名、電話號碼及費率等資料全都露，輸入電話號碼可查一年來洽辦門號的客戶資料，違反個人資料保護法。

市 議員陪同受害人B男召開記者會，B男說日前看到售屋廣告，以手機撥打該仲介電話問價錢，隨後接到回撥報價，卻直呼他母親的名字，驚訝之餘詢問仲介如何得知 母親名字（手機門號以母親名義申請），仲介告知上網輸入手機號碼，便可在討論區看到。B男即按照該房仲講的程序操作，在Google搜尋，果然發現母親姓 名、使用費率及申辦時間等個資出現在「超可愛討論區」一月份A電信獎金區中。討論區內還有A電信台中市其他服務中心近一年來的獎金區，每月每筆申辦門號資 料一覽無遺。

市議員表示門市業者的作法，很容易淪為詐騙集團竊取使用，應徹底解決。A電信則回應，設定內部討論區時，因疏忽未予鎖碼而公開，獲知後已馬上鎖掉討論區，至於留在google的暫存檔，正設法聯繫。

【資料來源：自由時報102/09/25】

【重點摘要】

1. 公司內部討論區應採取權限管控，並為必要遮蔽之適當安全防護措施，以避免任何人得透過網路檢索取得相關資料。
2. 公司發生個資外洩事故後，應採取補救措施，並將事故原因及已採取之因應措施等通知受害當事人。

【法律觀點】

民眾辦理申請或續約門號事宜時，電信公司依法須核對、登錄其姓名、身分證字號及住址等資料[5]， 已屬非公務機關蒐集個人資料之行為，應依個人資料保護法（下稱個資法）相關規範辦理。而為了擴大服務區域，電信公司多會約定由各獨立經營的通訊行，協助辦 理手機門號申辦或續約等電信服務，使通訊行成為加盟商，本件的加盟服務中心即屬此類。是以，加盟服務中心如係以A電信之名義，蒐集、處理或利用其用戶姓 名、手機號碼或費率等資訊，即應視同委託機關，依A電信應適用之規定為之[6]，並僅得於A電信指示的範圍內蒐集、處理或利用個人資料[7]。至於A電信則須負適當的監督責任，包括受託者即加盟服務中心預定蒐集、處理或利用個人資料的範圍、類別、特定目的及其期間、應採取的適當安全維護措施、事故發生的通知及補救措施等，並須定期確認受託者的執行狀況[8]。

在本案例中，各加盟服務中心建置內部討論區，並於討論區公開用戶資料之行為，倘若已逾越A電信的指示範圍時，A電信基於委託監督義務，自得要求加盟服務中心停止此行為。又加盟服務中心因受A電信委託蒐集、處理或利用個人資料，亦應對個人資料檔案採取適當安全維護措施[9]，於建置內部討論區時，對其網路或軟、硬體設備有無系統漏洞應定期檢視，避免遭駭客入侵或攻擊，對於該內部討論區亦應採行權限控管等[10]安全維護措施，以避免發生任何人可透過網路搜尋功能，取得個人資料之情形。

此外，本件加盟服務中心因疏忽未將內部討論區鎖碼，使他人可藉由網路輕易搜尋獲取用戶個人資料，致生個資外洩情形，事發後加盟服務中心雖已緊急鎖掉討論區，並為處理暫存檔而聯繫Google，亦須依個資法第12條[11]與個資法施行細則第22條[12]規定，應將個人資料被侵害之事實與已採取之因應措施，通知A電信與被害當事人。而A電信除能證明其無故意或過失外，遭資料外洩的用戶亦可要求A電信負損害賠償責任[13]。

【管理Tips】

本案例為電信業者之加盟服務中心，於公開網路所建立之網路社群進行內部資訊交換與分享，由於未留意該討論區屬公開性質而未進行鎖碼，以致客戶之個人資料被意外揭露。

本 案例雖為加盟服務中心之行為，然業者仍需負起必要之責任。因此組織對於委託或授權外部單位（如廠商）處理、維運組織之重要資訊或系統，應透過適當的方式或 途徑，確保其了解組織對於資料保護及資訊安全的要求，必要提供其所需的教育訓練，尤其是對於透過公共網路進行的（個人）資料分享、傳輸活動，更應要求注意 資訊保密的保護事項，以避免資料遭不當揭露而淪為詐欺活動或非法利用的工具。

另一方面，組織一旦發生資安或個資事故，應有適切的管道通報相關事件，以避免組織因無法快速掌握事由而致事態及影響擴大。同時為保護組織以及受影響之當事人，組織應建立必要之事故回應及處理程序，針對事故進行處理，必要時亦應通知受影響之當事人。

【相關標準】

• ISO 27001：2013（CNS 27001）

A.14.1.2保全公共網路之應用服務

應防範於公共網路上傳送的應用服務中涉及之資訊，免於詐欺活動、契約爭議及未經授權揭露與修改。

A.14.1.2保全公共網路之應用服務

應防範於公共網路上傳送的應用服務中涉及之資訊，免於詐欺活動、契約爭議及未經授權揭露與修改。

A.16.1.2通報資訊安全事件

應循適切之管理管道，儘速通報資訊安全事件。

A.16.1.5對資訊安全事故之回應

應依文件化程序，回應資訊安全事故。

【焦點話題】

A男於民國（下同）99年至101年間，任職於Ｈ不動產經紀股份有限公司（下稱Ｈ公司），負責不動產之仲介銷售 業務，且曾簽署H公司員工規範及人事保證書，同意對任職期間，透過職務所獲取及建立的秘密、因職務取得的客戶資料，或於職務上所完成之著作及相關無形權 利，皆以Ｈ公司為所有人及著作人，其所知的秘密及智慧財產權皆歸Ｈ公司所有，非經Ｈ公司的同意，不得擅加使用洩漏與他人。

然而，A男卻於 100年間將客戶委託H公司仲介買賣的不動產銷售總價額，包括底價、物件編號與地址等訊息，透過電腦發送簡訊方式，傳送「a213989，底390，OO 路二段183號10F之2，a217361，底570，OO路225巷36號」、「a219111，底1180，OO街32巷17之1 號，a216793，底1137，OO街68號10F」等訊息予已自H公司離職，改任職於Y公司的B男，使B男獲知相關物件之底價。後因H公司資訊人員檢 索公司內部系統時始知悉上情，並提起告訴，法院認A男雖犯行明確，但因犯後態度良好，判處拘役40日，並得易科罰金。

【資料來源：台灣高等法院台中分院102年度上易字第1077號判決】

【重點摘要】

1. 不動產買賣之實際委託銷售總價額，攸關賣方獲利、仲介利潤、與買方磋商空間，及仲介業者往後之商譽評價，因非一般人可輕易得知，且多採取合理保密措施，已屬工商秘密範疇。
2. 賣方縱委託數家仲介業者處理不動產銷售事宜，其實際委託銷售總價額仍因涉及利潤、報酬等因素，非屬一般人得輕易知悉的資料，不因授權多家業者而喪失其秘密性。

【法律觀點】

A 男任職於H公司期間，已簽署員工規範及人事保證書，同意就任職期間因職務所獲取或建立的秘密、客戶資料、智慧財產權等，負有保密義務，卻擅自將客戶委託不 動產買賣之銷售總價額（即底價）洩漏給他人，似涉洩漏工商秘密行為。而我國營業秘密法於102年1月30日公布增訂刑事責任，因A男行為發生於修法前，尚 不適用營業秘密法刑罰之規範。是以，本案關鍵在於不動產買賣的實際委託銷售總價額，是否屬於刑法上的工商秘密。

刑法第317條[14]雖規定，行為人依法令或契約有保守工商秘密之義務，卻無故洩漏時，構成洩漏工商秘密罪而負有刑責，但並未對工商秘密加以定義。本案法院認營業秘密法已對營業秘密加以定義[15]，即「非一般涉及該類資訊之人所知者、因其秘密性而具有實際或潛在之經濟價值者、所有人已採取合理之保密措施者之方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊」，可資參酌作為本案判斷的基礎。

是 以，法院認A男所洩漏者，乃是客戶委託仲介買賣不動產的實際委託銷售總價額，除影響買方開價成交的價格外，亦涉及委託人所得利潤高低與仲介業者之服務報 酬。仲介業者基於受託關係，自會竭力達到委託人期待，同時提高服務報酬，自不可能任意向買方公開底價，故此價額屬一般人不得輕易知悉，且因其秘密性具有實 際或潛在的經濟價值。此外，H公司採取須以公司人員身分並使用公司電腦登錄查詢之機制，已具合理保密措施，足認該價額屬工商秘密的範疇。A男未經H公司同 意，將該價額無故洩漏予他人，已構成刑法第317條的洩漏工商秘密罪。

一般不動產仲介網站或傳單上對物件所標示的底價，多作為廣告性質，以 公開方式促發買方意願，與賣方委託仲介買賣不動產的實際委託銷售總價額，因涉及賣方與仲介業者的利益，且為保留與買方磋商空間，自不會輕易公開的特性不 同。縱使賣方基於成本等考量，委託數家業者處理銷售事宜，並提供予各家不同的實際委託銷售總價額，仍涉及利潤或磋商空間等因素，一般人無法輕易得知，與前 開廣告性質的底價自有不同，仍可認為屬工商秘密的範疇。受僱人倘已承諾負職務上保密義務者，自不可無故洩漏，以免涉犯刑責。

【管理Tips】

本案例係員工違反與公司簽立之員工規範及人事保證書，擅自將關係公司利益之營業機密傳送給競爭對手。在此案例中，該公司之機敏資料外洩，除了該員工違反與公司約定之誠信原則是主要原因之外，該公司對於資料之保護亦有可再改善加強之處。

由 於該員工是以電腦傳送相關資訊，若組織對於機敏資料之保護有其必要，應將資訊之存取控制政策以及資訊及資訊處理設備的相關使用規則予以明確規範，確保人員 知悉其職責範圍內的責任與義務，並應謹慎管理資訊之存取權限，評估是否有採用及部署資料外洩防護 (Data Loss Prevention)技術工具的必要，以管制及偵測對資料的存取行為和提供必要的資料保護。

【相關標準】

ISO 27001：2013（CNS 27001）

A.8.1.3　資產之可被接受使用

對與資訊及資訊處理設施相關聯之資訊及資產，應識別、文件化及實作可被接受使用之規則。

A.9.1.1　存取控制政策

存取控制政策應依據營運及資訊安全要求事項，建立、文件化及審查之。

【焦點話題】

監察委員日前發現監察院秘書長於民國(下同)100年6月指示辦理「監察院調查案件檔卷清理計畫」，就監察院已 歸檔且未逾保存年限，以及需要永久保存的調查案與行政案卷，逕自抽取部分內容銷毀，總計有1654件檔案「無從查考」。秘書長擅自銷毀高達161.5公 尺，相當於新光大樓高度的檔案，遭到監察院彈劾，並將其移送公務員懲戒委員會懲戒。

秘書長解釋「檔案的數量太大，為節省空間，才清理檔案」，監察委員表示表示，「整個院內的檔案被銷毀將近三分之一，且沒有留下備份與電子存檔，這是何其嚴重的事情！」。惟監察院彈劾審查會102年6月10日以4票對7票，未通過彈劾案，監察委員表示將提出第二次彈劾。

【資料來源：東森新聞雲102/6/10】

【重點摘要】

1. 定期保存之檔案，未逾法定保存年限或未依法定程序，不得銷毀。將屆保存年限之檔案，應依法製作檔案銷毀目錄並訂定銷毀計畫，始得辦理銷毀事宜。
2. 經核定為機密的檔案，未經解密，不得逕予銷毀，經解密後始得依檔案法相關規定辦理銷毀。

【法律觀點】

依我國檔案法規定，檔案依其保存年限，可分為永久保存或定期保存，定期保存的檔案未逾法定保存年限或未依法定程序，不得銷毀[16]。又依監察院檔案管理要點規定，各單位處理公務或因公務產生之結案文件及附件、各種會議紀錄及人事任免銓審獎懲之紀錄等文件，均應送檔案管理單位歸檔，並於文卷歸檔時，依案情填明保存年限[17]。監察院就業已歸檔之文件應依檔案法規定加以管理，且定期保存之檔案，於法定保存年限內應妥善保存。除非因情況急迫，檔案有變質、散發有毒物質而嚴重危害人體，或是遭遇戰爭、暴動或事變，為保護國家安全或利益而須即時銷毀之情形外，尚不得任意銷毀[18]。

再者，縱使檔案已屆保存年限，公務機關亦應依機關檔案保存年限及銷毀辦法的相關規定，辦理銷毀事宜，包含製作檔案銷毀目錄後送會相關業務單位表示意見，並訂定銷毀計畫，且執行銷毀時應由檔案管理單位會同相關單位派員全程監控[19]。若經核定銷毀的檔案，在仍有保存價值等必要情形時，仍應先經電子儲存，始得銷毀。此外，檔案若涉及核定為機密之文件，尚須由公務機關的檔案管理單位會商業務承辦單位辦理解密後，始得銷毀[20]，以確實落實政府機關檔案管理。

本 案中，監察院秘書長指示並核定辦理「監察院調查案件檔卷清理計畫」時，就監察院已歸檔的未逾保存年限，以及應永久保存的調查案與行政案卷，逕予抽除部分內 容並銷毀，致有大量監察院調查檔卷內容遭抽除而無從查考。因此，監察院秘書未依檔案法相關規定辦理檔案銷毀事宜，恐將因違反檔案法規定而負有刑責[21]。

【管理Tips】

本案例中，由於人員未依規定逕行銷毀組織之資料，導致組織重要資料永久無法回復，嚴重影響資訊（料）之完整性。

無論是政府機關（構）或一般民間企業組織，對於各種型態的資料保管與處置，大多有一定的規範，不論是外部法令法規的規定，或者是內部作業的要求，都會要求對資料本身及保存資料的媒介提供適當且必要的保護，並在保管至規定的期限後，始得以依程序予以處置或銷毀。

對組織而言，所持有的資料在其資料生命週期，無論資料是以何種型態存在，或存在何種介質媒體上，除應確保其安全之外，對於資料的相關活動，如存取、複製、傳輸、刪除、汰除、銷毀，都應依程序加以限制。

【相關標準】

• ISO 27001：2013（CNS 27001）

A.8.3.2　媒體之汰除

當不再需要媒體時，應使用正式程序加以安全汰除。

A.18.1.3紀錄之保護

應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。

【焦點話題】

S科學研究院技士兼軟體發展小組小組長A男，4年前因上班「摸魚」，竟登入電腦門禁系統，更改工作出勤時間及刪 除休假紀錄逾百次。A男依規定每天工作需滿8小時，但他為了縮短上班時間，竟使出偷吃步，利用因職務所知悉的系統資料庫及考勤系統的帳號與密碼，在民國 （下同）99年1月到8月間以電腦登入門禁及考勤系統，篡改上班打卡時間，把打卡時間提前10多分鐘，以便早點下班，甚至還把別人的上班打卡時間改成自己 的。此外，他也刪除休假紀錄，前後刪改電磁紀錄共104次，後來遭人抓包。

法院以證人證詞及電腦相關紀錄等證據，認A男犯行明確，並審酌A 男擅用電腦篡改其到、退勤時間及休假紀錄，嚴重影響S科學研究院對門禁考勤的正確性，且A男犯後未思悔悟，矢口否認犯行，遂依偽造、變造私文書罪判處有期 徒刑10月。A男雖提起上訴，但最高法院維持二審判決，駁回A男上訴。

【資料來源：中時電子報103/10/01】

【重點摘要】

1. 行為人為縮短上班時間，以帳密登入門禁與考勤系統，篡改出缺勤及休假紀錄，其偽、變造電磁紀錄的行為，構成刑法偽（變）造私文書罪。
2. 使用電腦門禁或考勤系統，應採取帳密權限分級、定期檢視與變更帳密，及留存軌跡資料等措施，以提升資安程度，避免發生資料外洩或竄改事件。

【法律觀點】

過去企業或政府機關為了人力資源管理，多會透過紙本簽到等方式，由人員記錄出缺勤時間或休假，作為管理依據。隨著科技普及，出缺勤或請假作業多改以電腦系統方式進行，雖可節省撰擬、整理紙本等投入的成本，但系統所儲存的電磁紀錄[22]，仍可能因遭人破解或盜用帳號而侵入系統，存有遭到竄改的風險。

依我國刑法第210條規定，「偽造、變造私文書，足以生損害於公眾或他人者，處五年以下有期徒刑。」所謂文書，是指在紙上或物品上之文字、符號、圖畫、照像，依習慣或特約，足以為表示其用意之證明者[23]。又因現代社會對電腦的使用，日趨普遍，且逐漸取代紙本文書的製作，故我國刑法明文規定，電磁紀錄係藉機器或電腦之處理所顯示之聲音、影像或符號，足以為表示其用意之證明者，亦屬文書[24]。從而，對電磁紀錄為偽造或變造者，亦構成偽造、變造私文書之犯罪行為。

法 院認為本件A男擔任S科學研究院軟體發展小組的小組長，由於該組組員負責出缺勤及休假系統的管理，A男進而得知門禁系統管理人的帳密，於是利用該帳密登入 門禁與考勤系統，除了更改自己的到勤時間、刪除休假之退勤時間外，亦更改他人識別號的到、退勤時間為己用時間，使該些遭更改的資料顯示於電腦螢幕上，用以 表彰其為系統管理人之意。是以，前開資料性質上屬電磁紀錄與刑法上的準文書，A男的行為已構成偽造、變造私文書罪。此外，A男因職務知悉門禁與考勤系統之 帳密，卻擅自以該帳密登入上開系統，若其所刪除或變更的電磁紀錄，包括不具文義性的電子檔案如某些系統檔時，亦可能另涉犯屬告訴乃論之刑法第359條破壞 電磁紀錄罪[25]。

如 前所述，企業或政府機關透過電腦系統管理人員出缺勤等紀錄，雖可節省成本，但為避免發生資料外洩或遭人竄改資料等情形，對於相關系統應採取適當安全措施， 例如帳密保管權限分級、定期檢視權限與帳密變更之必要性、留存登錄的軌跡資料等，以降低資安風險，並建立事後追蹤的資料紀錄。

【管理Tips】

本案例為當事人因個人私利，進而篡改個人之上下班打卡時間與休假之電磁紀錄，並偽造不實資訊，後因東窗事發而遭開除。

從 本案例中可以發現幾點組織能夠引以為鑑或討論的管理缺失。首先就是對於職務的區隔仍有改善的空間，該員雖然負責單位資訊工程業務，但並不代表其可以存取所 有的資訊系統，因此組織應針對人員於職責內所能接觸、存取的系統或資訊做適當的區隔，以免因權責不清而被有心人士利用從事不法行為，如偷窺、篡改、資料竊 盜等。另一方面，該單位人員對於存取系統之秘密鑑別資訊（如帳號密碼）之保管亦不夠周延，而使該員得以取得門禁及考勤系統資料庫的帳號密碼，組織宜再教育 人員確實保管使持有之帳號密碼等秘密鑑別資訊，如不告知他人、不分享及共用等，以及提供秘密鑑別資訊必要的安全保護，如加密、安全儲存等。

其 次，對系統有存取權限、以及具有特殊存取權限（如管理者）之人員，應定期審查授予其對資訊或系統存取權限的必要性，以避免人員職務異動後仍具有相關權限， 增加資訊遭不當使用或洩漏的風險。而在此一案例中，也可以體會到記錄稽核軌跡的重要性，人員或許可利用個人權限存取系統或資訊，但若有適當的相關存取活動 之事件記錄機制，將所有的存取活動予以記錄，或可遏阻人員的不法意圖，以及在必要時提供資安事故的追蹤線索或佐證。

【相關標準】

• ISO 27001：2013（CNS 27001）

A.6.1.2　職務區隔

衝突之職務及責任範圍應予以區隔，以降低組織資產遭未經授權或未蓄意修改或誤用之機會。

A.9.2.3　具特殊存取權限之管理

應限制及控制具特殊存取權限之配置及使用。

A.9.2.5　使用者存取權限之審查

資產擁有者應定期審查使用者之存取權限。

A.9.3.1　秘密鑑別資訊之使用

於使用秘密鑑別資訊時，應要求使用者遵循組織之實務規定。

A.12.4.1事件存錄

應產生、保存並定期審查記錄使用者活動、異常、錯誤及資訊安全事件之事件日誌。

A.18.1.3紀錄之保護

應依法令、法規、契約及營運要求保護紀錄，免於遺失、毀損、偽造、未經授權存取及未經授權發布。

【焦點話題】

A男於民國（下同）100及101年間在T公司網路銷售部門擔任時薪員工，每天負責上傳3C產品的廣告文宣到T 公司的網路商城。A男卻盜取P公司購物網站關於L牌筆電圖片，與P公司人員發想的圖說「人體工學巧克力鍵盤」等廣告詞，放在T公司網路商城上使用，被P公 司發現憤而提告。T公司委任律師表示P公司拍的照片「沒有任何光影變化」，「沒有構圖等主觀創意」，認為並不符合著作權法中保障的原創性要件，但法官卻未 採納。

一審法官審酌A男犯行，認為他薪資不高，每天卻要上傳100件商品和廣告文宣到T公司網站，工作量太大，一時思慮欠周才會犯案，因此 給予緩刑；反觀T公司是每年實際營收高達16億元的大公司，卻讓時薪員工負責這麼龐大的業務，監督不周，判罰金25萬元還要賠P公司40萬元。惟A男與T 公司不服該判決結果，提起上訴，二審法院卻認P公司廣告文宣的文字敘述，與某部落格所用的文字相同，且圖文說明僅單純的產品圖文介紹，認為不具原創性，不 受著作權法保護，改判A男與T公司無罪。

【資料來源：蘋果日報103/01/23】

【重點摘要】

1. 作品如係作者獨立創作而非抄襲所得，且具有少量足以表達出作者個性或獨特性之創意時，即可認已具原創性，應受著作權法之保護。
2. 編輯著作須就資料的選擇及編排具有創作性，始能以獨立的著作受到保護，故廣告文宣倘僅就產品進行圖文說明，未具創作性時，將不受著作權法保護。

【法律觀點】

我 國著作權法所保護的著作，是指屬於文學、科學、藝術或其他範圍之創作，而創作係指具原創性之精神上創作，包含原始性與創作性的概念。前者是指著作人獨立創 作，未抄襲他人著作；後者所稱創作性，雖無須達到完全獨創的地步，但至少須少量創意，以表現出作者的個性或獨特性。倘創作內容與他人作品雖屬酷似或雷同， 但其間並無模仿或盜用的關係時，仍可認具原創性而受保護[26]。

本件爭議在於P公司的廣告文宣，包括若干圖片與文字敘述，並以圖片選擇、文字與圖片的編排或配置等作為表達方式，是否已屬著作權法所保護的語文著作與編輯著作，以及A男與T公司是否構成抄襲等。

本案法院認為[27]，P 公司廣告文宣的文字敘述部分，與某部落格於99年介紹L牌筆電之文字相同，甚至連錯字都一樣，明顯是抄襲而來，且其內容僅單純介紹產品輕薄、書本外型等特 性與規格，並使用與該部落格類似的形容字詞，未有依實際使用經驗，對功能、設計或外觀為主觀描述等，以表現作者的個性與創意之處，難認具有原創性，自非屬 著作權法所保護的語文著作。至於該文宣畫面編排部分，P公司廣告文宣雖已就產品圖片進行選擇，並對文字與圖片進行編排或配置，但因其使用的圖片與L牌官網 及其他購物中心所使用者相同，且圖文編排上，不論是產品全貌或局部的圖片，均對應著產品外型或規格等文字敘述，足認其資料選擇及編排僅是進行單純的產品介 紹，未能表達出作者對於圖片選擇及圖文編排之個性或獨特性，應非屬著作權法所保護的編輯著作。

傳統廣告文宣多採取圖文說明方式，即利用文字敘述產品規格、品質或產地等特性，並將產品全貌或局部圖片放置於對應的文字旁，加強說明效果。而我國著作權法亦規定[28]， 編輯著作須就資料之選擇及編排具有創作性者，始受著作權保護。是以於設計廣告文宣時，如採取傳統圖文說明的編排方式，恐難認為具有原創性，故廣告創作者應 依使用產品經驗加入主觀感受的文字描述，或於圖文選擇及編排上加入創意，以表達出作者之個性或獨特性，始能認為具原創性，而屬受著作權法保護的語文著作與 編輯著作。

【管理Tips】

本案例除當事人因為盜用競爭對手之產品文宣，導致個人及公司需承擔當法律及賠償責任，凸顯該公司及員工對於尊重智慧財產權之意識不足外，另一方面，該公司於作業流程的管理上也有不夠嚴謹之處。

組 織對於變更作業之管理，包括變更作業之規劃、申請、影響評估、審核、變更計畫（執行內容、測試結果、復原程序等）擬訂、執行、變更後的檢核等流程，若缺乏 適當的作業程序規定，或未依作業程序確實執行，除可能增加執行變更時的風險，也可能使人員有便宜行事之心態，增加出錯的機率。因此，組織對於足以影響資訊 安全之變更作業，無論是資訊系統或資訊內容的變更，都應建立必要的管理程序並遵守及落實。

【相關標準】

• ISO 27001：2013（CNS 27001）

A.12.1.2變更管理

應控制對影響資訊安全之組織、營運過程、資訊處理設施及系統的變更。

A.18.1.2智慧財產權

應實作適切程序，以確保遵循與智慧財產權及專屬軟體產品使用相關之法律、法令、法規及契約的要求事項。