Содержание
- 2. 大 綱 壹、前言 貳、本文 一、電子簽章法 二、個人資料保護法 三、營業秘密 四、電子病歷 五、健保IC卡
- 3. 大 綱 六、軟體授權(契約)書 七、雇主與員工電子郵件 八、人肉搜索 九、學生學籍(成績)資料 十、數據保密標準(DES) 十一、資(通)安全密碼技術 十二、數位鑑識
- 4. 大 綱 参、結論與建議 一、法條競合 二、私人資訊集中或分散保管 三、告知資料來源 四、資訊隱私權與資訊自決權 五、雲端安全 六、資(通)安檢視規範
- 5. 壹、前 言 個資法舊法(電腦處理個人資料保護法)與新法(個人資料保護法) 新聞自由或知的權利與隱私權之界限 本次「個人資料保護法」之修正重點 比較受影響之產業 新興雲端資安需求 職權分離(Segregation of Duties,SOD) 雲端資安委外(Outsourcing)
- 6. 一、電子簽章法 有鑑於國家資訊基礎建設(National Information Infrastructure, NII )之發展,經濟部於1997年委託資策會數位簽章法之研究,用以釐清電子文件與數位簽章彼此間之法律關係[1]。 為推動電子交易之普及運用,確保電子交易之安全,促進電子化政府及電子商務之發展,特制定本(電子簽章)法 [2]。
- 7. 一、電子簽章法 本法用詞定義如下: 一、電子文件:指文字、聲音、圖片、影像、符號或其他資料,以電子或其他以人之知覺無法直接認識之方式,所製成足以表示其用意之紀錄,而供電子處理之用者。 二、電子簽章:指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。 三、數位簽章:指將電子文件以數學演算法或其他方式運算為一定長度之數位資料,以簽署人之私密金鑰對其加密,形成電子簽章,並得以公開金鑰加以驗證者。
- 8. 一、電子簽章法 四、加密:指利用數學演算法或其他方法,將電子文件以亂碼方式處理。 五、憑證機構:指簽發憑證之機關、法人。 六、憑證:指載有簽章驗證資料,用以確認簽署人身分、資格之電子形式證明。 七、憑證實務作業基準:指由憑證機構對外公告,用以陳述憑證機構據以簽發憑證及處理其他認證業務之作業準則。 八、資訊系統:指產生、送出、收受、儲存或其他處理電子形式訊息資料之系統[36]。
- 9. 一、電子簽章法 技術中立原則:所謂技術中立,係指法律制定採「電子簽章」(Electronic Signature )法為立法方向,使任何可確保資料在傳輸或儲存過程中之完整性及鑑別使用者身分之技術,在所訂定之法制環境中皆可適用,並不以「數位簽章」( Digital Signature )為限,以免阻礙其他技術應用發展。依循技術中立原則,任何電子技術製作之電子簽章及文件,只要其功能與簽名蓋章、書面文件相當,皆可使用,如此將有利於日後諸如生物科技等電子鑑別技術之創新發展。
- 10. 一、電子簽章法 契約自由原則:對於民間之電子交易行為,宜在契約自由原則下,由交易雙方當事人自行約定採行何種適當之安全技術、程序及方法作成之電子文件及電子簽章,作為雙方共同信賴及遵守之依據,同時作為事後相關法律責任之基礎;是以,不宜以政府公權力隨意介入交易雙方契約關係;交易雙方應可自行約定共同信守之技術作成電子簽章及文件。憑證機構與其使用者之間,亦可以契約方式規範雙方之權利及義務。
- 11. 一、電子簽章法 市場導向原則:市場導向原則是指政府對於憑證機構管理及電子認證市場發展,採取最低度的必要之規範,電子認證機制之建立及電子認證市場之發展,宜由民間主導發展各項電子交易所需之電子認證服務及相關標準[3]。
- 12. 一、電子簽章法
- 13. 二、個人資料保護法 個資法舊法(電腦處理個人資料保護法,【民國84年8月11日】)時期,消費者面臨個資外洩情事,需舉證用以證明某公司(企業組織或個人)洩露其資料,然該舉證對一般人而言,常是Mission Impossible;而個資法新法(【制定/修正日期】民國99年4月27日,【公布/施行日期】民國99年5月26日,本法規部分或全部條文尚未生效)實施後,有爭議時,企業負有舉證之義務,亦即企業必需舉證說明並非其過失。有鑑於此,企業如何事先避免或事後提出有利證據用以保護其內控,殆為當務之急[4]。
- 14. 二、個人資料保護法 新聞自由或知的權利與隱私權之界限,其劃定標準應在於「事」而非在於「人」,故有認為「公共利益」已足供作為判斷標準並簡單明確,此亦與中華民國報業道德規範宗旨相符。是以,「個人資料保護法」考量個人資訊隱私權與資料合理流通間之利益衡平,爰增訂媒體業者基於新聞報導之公益目的而蒐集個人資料可免除告知義務(第9條第2項第5款);明定非公務機關可基於公共利益或自一般可得之來源蒐集或處理個人資料(第19條第1項第6款、第7款);明定非公務機關可基於公共利益對個人資料為特定目的外之利用(第20條第1項第2款)。
- 15. 二、個人資料保護法 個人資料保護法修正條文第51條第1項:「有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」
- 16. 二、個人資料保護法 本次「個人資料保護法」之修正,計有下列重點:擴大保護客體、普遍適用主體、增修行為規範(特種資料、書面同意、告知義務、更正補充通知義務、拒絕接受行銷權利)、強化行政監督(行政檢查、聲明異議)、調整責任內涵(刑事主觀要件、領域外犯罪適用、提高損害賠償總額、提高非公務機關罰鍰額度),修法幅度不可謂不大,在新法規範體制下,公務機關及非公務機關應如何強化個人資料之管理?未來非公務機關取消行業別限制後,個人也將納入適用,究應如何因應[5]?
- 17. 二、個人資料保護法 個人資料保護法之「個人資料」指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料[6]。
- 18. 二、個人資料保護法 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約 限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除[7]。
- 19. 二、個人資料保護法 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
- 20. 二、個人資料保護法 有下列情形之一者,得免為前項之告知 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容[8]。
- 21. 二、個人資料保護法 (非)公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任(但能證明其無故意或過失者,不在此限)。但損害因天災、事變或其他不可抗力所致者,不在此限。被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
- 22. 二、個人資料保護法 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制[9]。
- 23. 二、個人資料保護法 (倘若)銀行爾後依據個人資料保護法(施行細則)向客戶蒐集個人資料時,必須明確告知蒐集目的、類別、個人資料利用期間、地區、對象和方式等,可能造成銀行作業成本增加;目前金控公司之金融機構可發揮銀行存款、購買基金、賣保險、股票下單等交叉行銷之綜效,新法實施後,經營績效恐將無法自由運用相關客戶資料而下降。 假如當事人有意犯罪而在短時間內向多家公司高額且/或密集投保,現行作法乃壽險公會及保險犯罪防制中心會主動收集相關保險資料,或立即通報投保資訊,期以防堵保險犯罪之情事發生;然個資法實施後,(前述情事)通報須取得當事人同意,並告知當事人資料使用之目的。
- 24. 二、個人資料保護法 尤有甚者當事人欲投保醫療險,保險人為核保其就醫之真確性,了解其病例(情)、醫療診斷書等資料恐將面臨個資法而難以阻絕(將進行)保險犯罪。壽險公會擬提案修改「保險法」,爭取將壽險業排除在個資法適用範圍外,以遂行其壽險行銷、核保及通報之權益。 行銷公司於收集消費者資料時,(依據個資法)有告知其原因、項目和應用範圍等情事,此舉易受其懷疑,徒增行銷之難度;而消費者透過網路使用購物或免費郵件等各項服務,必須提供個人資料,甚至信用卡號碼等資料,相關業者是否已作好遵循個資法之心理準備[10]?
- 25. 三、營業秘密 第二條 本(營業秘密)法所稱營業秘密,係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊,而符合左列要件者: 一、非一般涉及該類資訊之人所知者。 二、因其秘密性而具有實際或潛在之經濟價值者。 三、所有人已採取合理之保密措施者。 第三條 受雇人於職務上研究或開發之營業秘密,歸雇用人所有。但契約另有約定者,從其約定。 受雇人於非職務上研究或開發之營業秘密,歸受雇人所有。但其營業秘密係利用雇用人之資源或經驗者,雇用人得於支付合理報酬後,於該事業使用其營業秘密。
- 26. 三、營業秘密 1.新進員工:告知本企業重視營業秘密,與新進員工簽訂保密合約時,合約應訂有相關義務與損害賠償之條文,要求員工知悉並遵守營業秘密法。盡量以不引入競爭廠商員工為原則,縱使引入,請其填寫包括其專長、技能且/或有無專利權或著作權等智慧財產權之人事資料,俾利爾後判斷爭議之營業秘密,究係企業所有或為員工所自行研發者。 2.落實研發人員之管理:舉凡研發工作之掌控均應有配套措施,諸如研發工作日誌之管理等。如此,可為他日(若有必要然不期待發生)於對簿公堂之佐證參考。此外,亦須告知該員工不可洩漏或使(誤)用他人所有之營業秘密。
- 27. 三、營業秘密 3.員工異動:瞭解員工異動職務(或離職)之本意,告知其異動職務後仍需遵守營業秘密法,與該員工之新僱主保持聯繫,請其尊重且不可侵害本企業所有之營業秘密[14]。
- 28. 四、電子病歷 醫療機構電子病歷製作及管理辦法[15]: 第二條:醫療機構以電子文件方式製作及貯存之病歷(以下簡稱電子病歷),符合本辦法之規定者,得免另以書面方式製作。 第四條: 電子病歷依本(醫療)法第六十八條所為之簽名或蓋章,應以電子簽章方式為之。 前項電子簽章,應於病歷製作後二十四小時內完成之。(代理Proxy簽章、群體Group簽章、門檻Threshold簽章等簽章管理?)
- 29. 五、健保IC卡 一、加強健保IC 卡之健保憑證意義和身份辨識證件兩者之間的意義區隔,澄清民眾的混淆所在 二、適當汲取比較法制的經驗,並且慎重分辨實行健保IC 卡制度的國家和我國現狀不同之處 三、強化個資法等相關法令之規範密度和規範強度,儘速確立健保IC卡計畫的相關法律基礎
- 30. 五、健保IC卡 四、健保IC 卡建置計畫契約中相關權利義務事項規定的修正和加強 (一)、以資訊安全透明度強化資訊安全 (二)、以強化資訊自主控制落實資訊隱私之保護 (三)、健全資訊稽核制度的建立和加強資訊倫理教育訓練 (四)、非常之緊急狀況下不應亂求藥方,誤將健保IC 卡當做醫療衛生政策之萬靈丹
- 31. 六、軟體授權(契約)書 合法軟體使用之政府政令的範本 1. 各個行政機關應儘全力防止並打擊電腦軟體的盜版行為 2.每個行政機關都應確定電腦軟體及資料處理所需的相關預算包括了充分的經費 3. 每個行政機關都應建立系統與管制體系
- 32. 六、軟體授權(契約)書 4. 關於電腦軟體的取得及使用,每個行政機關的主管應該: a) 建立並維持一個通盤的軟體管理政策以及一個有效的計畫 b) 確認機關所有與保護電腦軟體的智慧財產權相關的政策、程序、及業務 c) 確認機關已建立機關之間的架構與程序 d) 建立成效度量標準 e)對機關內與電腦軟體智慧財產權,及本機關所採行的政策與程序有關的人員,給予指導並支援專設的訓練,以榮耀他們。
- 33. 六、軟體授權(契約)書 5. 對於所有的第三人承包商,與申請由機關管理的經費之申請人,每個行政機關都應: a) 要求申請人證明他們已有專用的系統與管制體系 b) 如果發現任一位申請人在機關經費支援的相關計畫中,使用非法電腦軟體時,當然要將機關的經費予以扣押,直到他們使機關的稽查人員相信已採行合理的步驟 6. 每個機關應完全合作以履行此命令,且應分享可用來打擊使用無適當授權電腦軟體的適用資訊[16] 。
- 34. 七、雇主與員工電子郵件 甲、原告陳述: 原告李**等七人均受僱於被告○○公司,於九十一年一月十六日接獲被告總經理邱**發送主旨為「調薪」之電子郵件後,分別轉寄予其配偶及摯友;詎邱**於九十一年一月十八日,竟透過電子郵件於公司內部公告:原告將調薪資訊以電子郵件轉寄至公司外部,觸犯公司「工作規則」,逕行解僱原告。
- 35. 七、雇主與員工電子郵件 原告於九十一年一月二十三日向臺北市政府勞工局申請調解系爭勞資爭議,並以被告解僱不合法,違反勞動契約或勞工法令情節重大,致有損害勞工權益之虞為由,依勞基法第十四條第六款,終止兩造間之勞動契約並請求被告給付資遣費,惟調解不成立。 (被告)監看員工電子郵件係侵害原告之隱私權,有損害勞工權益之虞。 被告之工作規則並未約定員工不得將公司業務資訊轉寄他人,且公司之秘密是有管制的,並非所有的資料都屬秘密,原告所寄發的內容是否為公司之機密事項,是否可能造成損害,都有疑義。
- 36. 七、雇主與員工電子郵件 被告未事先告知原告本件電子郵件是否屬於密件,於事後才告知,被告之工作規則要求保密的範圍是薪資中的薪資明細;依被告制定之電子郵件管理辦法,電子郵件是為非正式訊息所設置,如果是密件應依營業秘密法特別標示,否則員工無法分辨。
- 37. 七、雇主與員工電子郵件 乙、被告陳述: 被告經營高科技產業,營業內容涉及高度機密,對於規範員工使用公司電子郵件與員工保密義務之要求嚴格,以免員工因不當使用電子郵件而侵害公司機密而對公司造成損害。 原告任職被告公司時,已簽署保密同意書,對公司資訊有保密義務,且依被告○ ○公司工作規則明定,員工應遵守公司之「薪資保密」政策,對外應保守業務上之機密,不得對外洩漏(且)明定員工無故洩漏本公司技術上、營業上之秘密,致本公司受有損害者,得不經預告終止僱傭關係。
- 38. 七、雇主與員工電子郵件 被告相關之電子郵件使用規範,原告已充分瞭解被告對於員工之保密要求與被告監看員工電子郵件之傳遞及任意以電子郵件洩密者將受解僱之嚴懲。 本件「調薪」電子郵件係屬保密同意書之範圍,該「調薪」文件屬薪資事項,已明確於公司工作規則內列入應保密事項。 原告洩漏之薪資資訊因攸關公司營運,亦為勞動關係上之重大資訊,屬勞動契約及工作規則約定之保密事項,足以影響公司之經營秩序,被告以原告轉寄調薪電子郵件以外部第三人,嚴重影響公司經營、保密原則,並違反保密同意書及工作規則情節重大,自得解僱原告。
- 39. 七、雇主與員工電子郵件 被告○ ○公司為保護營業秘密,對員工使用電子郵件設有監看措施,以防止資訊外洩,被告○ ○公司從未事前允許或事後同意原告林**將公司郵件轉寄至其私人帳號信箱,公司內部亦無該等申請、核准之作業流程。
- 40. 七、雇主與員工電子郵件 丙、判決理由摘要: 員工違反勞動契約或工作規則,須達情節重大之程度,雇主始得不經預告終止勞動契約,倘員工違反勞動契約或工作規則,尚未達情節重大之程度,而雇主別有其他對勞工權益影響較輕微之懲處措施足以維持企業內部秩序者,即不得捨此而逕行解雇。 參酌被告所提一一一一人力銀行就企業對員工不當使用網際網路之處置措施問卷調查結果,仍有五成以上之公司,認為員工將公司內部文件以電子郵件對外傳播,不須採取解僱之手段,其中半導體及科技產業,亦有將近四成認為不須解僱,有四分之三以上之企業,實際上採取解僱或資遣以外之措施,有被告所提調查報告在卷可稽。
- 41. 七、雇主與員工電子郵件 公司監看員工之電子郵件,是否侵害員工之言論自由、秘密通訊自由或隱私權等基本權利,應視員工是否能對其在公司中電子郵件通訊之隱私有合理期待,若公司對於員工電子郵件之監看政策有明確宣示,或是員工有簽署同意監看之同意書,則難以推論員工對於自身電子郵件隱私有一合理期待。又若無法有合理期待,則應另視有無法律明文禁止雇主監看員工之電子郵件[11] 。
- 42. 八、人肉搜索 具爭議之事件(影片等)流傳於社會(網路)之時,網友們以透過彼此討論、相互搜尋諸般手段,於相對較短時間內將所獲得資料整合,歸納特定對象之實體身分稱之人肉搜索。 法律爭議點: 個資法之適用 出發點具備公益且/或不違法目的 誠信原則及比例原則適用於網友使用手段與達成之目的之間[17]
- 43. 九、學生學籍(成績)資料 **補習班的老闆洪○○得知霍**在某校教務處工讀,工作方便經手該校全體學生之個人資料,表示願意僱用霍生為該補習班之駐校專員,然需霍同學提供該校學生之個人姓名、就讀系級等資訊,每一筆資料價值新台幣※元。 霍同學就讀之校方,對學生個人資料有保護措施之責任[18]
- 44. 十、數據保密標準(DES) The Data Encryption Standard (DES) is a block cipher) is a block cipher that uses
- 45. 十一、資(通)安全密碼技術 美國加州洛杉磯情治單位進入民宅與密碼 921地震前二天美國解除46位元加密出口之管制 Key Escrow Key Recovery 廠商A告知客戶B其系統可以很快產生RSA之合成數 廠商A無告知客戶B其系統(植基於離散對數)其基底g非原根(Primitive Element) DSS(Digital Signature Algorithm)之分析(Cryptanalysis)[22] 雲端運算供應商之加(解)密、數位簽章機制(專利)是否公開?
- 46. 十二、數位鑑識 採嚴謹之方法以及程序予以保存、識別、抽取、記錄、解譯電腦與網路媒體證據進而分析其成因之科學 完整性:不異動或干擾證物之情況下取得原始證物 正確性:所抽取證物來自扣押證物可證明其因果關係 一致性:分析與研究證物不影響證物之保存[23]
- 47. 十三、競業禁止 競業禁止之契約或特約之有效要件,至少應包括下列各點: 1、企業或雇主需有依競業禁止特約保護之利益存在,亦即雇主的固有知識和營業秘密有保護之必要。 2、勞工或員工在原雇主或公司之職務及地位。關於沒有特別技能、技術且職位較低,並非公司之主要營業幹部,處於弱勢之勞工,縱使離職後再至相同或類似業務之公司任職,亦無妨害原雇主營業之可能,此時之競業禁止約定應認拘束勞工轉業自由,乃違反公序良俗而無效。 3、限制勞工就業之對象、期間、區域、職業活動之範圍,需不超逾合理之範疇。
- 48. 十三、競業禁止 4、需有填補勞工因競業禁止之損害之代償措施,代償措施之有無,有時亦為重要之判斷基準,於勞工競業禁止是有代償或津貼之情形,如無特別之情事,此種競業特約很難認為係違反公序良俗。 5、離職後員工之競業行為,是否具有顯著背信性或顯著的違反誠信原則,亦即當離職之員工對原雇主之客戶、情報大量篡奪等情事,或其競業之內容及態樣,較具惡質性,或競業行為出現有顯著之背信性或顯著的違反誠信原則時,此時該離職違反競業禁止之員工自屬不值保護[12] 。
- 49. 十三、競業禁止 上訴人陳**,被上訴人**科技股份有限公司 兩造不爭事實: (一)被上訴人主張上訴人自八十六年十月二十七日起,受僱於被上訴人之業務部門,擔任業務專員,負責公司各項軟體產品之國內外銷售業務;兩造簽定之僱傭契約第七條,約定上訴人於離職後半年內,不得直接或間接從事,與被上訴人產品研發、營業利益及業務相關或相似工作之事實,業據上訴人提出聘僱契約書為證,亦為被上訴人所自認。 (二)被上訴人復主張上訴人於八十八年六月九日,自被上訴人公司離職之事實,復據上訴人提出員工離職申請單為證,亦為被上訴人所不爭執。
- 50. 十三、競業禁止 兩造爭執之爭點: 至上訴人另主張上訴人於八十八年六月九日,自被上訴人公司離職後,即自被訴人之競爭對手美商○ ○公司工作,違反兩造所約定之競業禁止條款,應依僱傭契約之約定,負擔賠償懲罰性違約金之部分,則被上訴人否認之,並以前揭情詞抗辯之。是本件兩造爭執之爭點即在於: (一)上訴人是否於離職後,即至美商○ ○公司工作? 雖上訴人抗辯稱自被上訴人公司離職後,係至美國遊學。然於本件審理中,上訴人均未能提出至美國求學之相關資料,上訴人此部分之抗辯,自無足採。
- 51. 十三、競業禁止 上訴人於離職後之競業禁止期間,即從事與被上訴人類似行業之美商英特維公司任職,自屬違反前述聘僱契約書第五條,有關競業禁止條款部分之約定。 依兩造所簽定之聘僱契約書第五條,有關競業禁止條款部分約定:「甲方(即上訴人)同意於受僱期間內,不得直接或間接從事與乙方(即被上訴人)產品研發、營業利益及業務相關或相似之工作、投資、兼職或其他與乙方利益衡突之任何行為。甲方於離職後半年內,仍應繼續遵守本條款之規定。」
- 52. 十三、競業禁止 (二)該聘僱契約書第五條之競業禁止條款,是否有效? 依憲法第十五條規定:「人民之生存權、工作權及財產權,應予保障。」惟此規定,係規定於我國憲法第二章人民之權利義務部分,性質上屬於公法上之基本人權。而依基本人權之性質,係為防止國家濫用公權力,致侵害人民之基本權利,始為規定。是該基本人權係為規範國家之公權力,人民僅得對於國家主張基本權利,於私人間,並不得直接主張基本權利。本件上訴人為一自然人,被上訴人為經合法設立之公司,性質上屬於私法人,則本件兩造均屬於私人之性質,上訴人自不得直接引用憲法之規定,對於被上訴人主張基本權利。
- 53. 十三、競業禁止 是上訴人抗辯稱兩造簽定之聘僱契約書第五條競業禁止條款約定,違反憲法第十五條保障人民工作權之規定,應屬無效,自屬無據。 依民法第七十一條規定:「法律行為,違反強制或禁止之規定者,無效。但其規定並不以之為無效者,不在此限。」然有關個人任職之競業禁止,依目前法律和授權命令,均無強制禁止相關競業禁止之規定。再依民法第七十二條規定:「法律行為,有背於公共秩序或善良風俗者,無效。」是參酌該聘僱契約書第五條競業禁止條款之約定,目的在保護被上訴人之營業秘密,防止員工於離職後為同業服務及同業間惡性競爭,互相挖角之不當行為,是該聘僱契約書第五條競業禁止條款之約定,應屬有效[13] 。
- 54. 参、結論 (一、法條競合) 法條競合:一行為同時觸犯數個刑罰法規時,該刑罰法規彼此間有重疊且互為包含之現象,如僅就其中一個刑罰規範論之,即足以涵蓋其他刑罰規範[24]。 立法院財委會初審通過保險法部分條文修正案,主要目的是排除個資法限制,讓保險業可因本業經營或執行業務所需,在取得客戶本人書面同意下,蒐集病歷、醫療、健康檢查的個人資料[25]。財委會並通過附帶決議,要求金管會訂定規範,禁止金控運用這些個人資料,以保障民眾權益[26]。
- 55. 二、私人資訊集中或分散保管 職權分離 (Segregation of Duties,SOD) :企業於內部控管機制過程中,為達到監督與制衡效果,而把(重要)工作由不同人員共同負責。 職權分離可適用於企業內部之私人雲端且/或企業外部之公共雲端。應用於內部雲端的案例之一,乃營業單位須落實機敏資料之(變更)控管,適當之人員控制與管理相關資料之存取。資料保護之強化,有助於身分與存取管理 (Identity and Access Management,簡稱 IAM) 解決方案,其能促成營業單位使用者存取其資料,且能防止 IT 系統管理員不當存取。
- 56. 三、告知資料來源 建議企業落實取得(或應用)當事人(資料)同意之程序 一、先行確認蒐集資料之目的、個資項目、類別、其利用方式與對象為何? 二、資料蒐集符合法令否? 三、明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、資料來源等相關事項(個人資料保護法第八條)。 四、企業蒐集非由當事人提供之個人資料時,應於處理或利用前,向當事人告知個人資料之來源及上揭相關事項(個人資料保護法第九條)。
- 57. 四、資訊隱私權與資訊自決權 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人(個人資料保護法第二十條第五項)。非公務機關對個人資料之利用,得為特定目的外之利用。 只要資料之使用無從識別特定知當事人,則基於公共利益為統計或學術研究,可成為資料利用必須限定在蒐集之特定目的範圍內該原則之例外事由,而不需要再徵得原始個人之同意。
- 58. 四、資訊隱私權與資訊自決權 無從識別特定之當事人資料其使用方式,於形式上已切斷資料與個人間之關連性,理當不存在個人資訊自主決定是否遭受侵害之疑義,然其利用與人有關之資料進行相關處理,進而衍生對個人主體性發生形塑作用之知識,此係資訊隱私需有監督制衡之所在。吾人擔心芸芸大眾大抵以為資訊隱私即為資訊自主決定,亦即資訊安全之簡易思考,形塑個人內在主體性之外在力量監督制衡資訊隱私權似仍有努力之空間[27]。
- 59. 五、雲端安全
- 60. 五、雲端安全 新興雲端資安需求:雲端內容安全與威脅管理、雲端安全與弱點管理、雲端資料與隱私保護、身分認證與存取管理等[28]。 為達到職權分離以避免日後可能存在雲端供應商和客戶之間衝突,勿將金鑰管理之責任交給提供代管服務之雲端供應商[29]。 安全議題是一般企業對雲端持猶抱琵琶半遮面之所在,渠等擔心將營運(機敏)資料放置於他人虛擬機器上,是否讓人放心?因之產生建立私有雲之構思[30]。
- 61. 五、雲端安全 如何防止委外廠商將企業機敏資料隨意放置於雲端上? (一) 將雲端上之流程與資訊分類,諸如重要性、時間序列等 (二) 資料精簡而不累贅(避免被破解之機率提高) (三)加密(Encryption)與數位簽章(Digital Signature)[31]
- 62. 六、資(通)安檢視規範 資安檢視規範:資訊安全檢視表、校內(以台灣學術網路為例)資訊安全檢視項目、資安檢視程序等規範應與下列管理互為呼應: 主機伺服器管理、例行作業、個人資安指南、備份作業、帳號密碼管理程序、弱點掃瞄、政策、文件管制 、機房門禁管制程序、病毒防範、緊急應變處理程序、計網中心門禁管制程序、資安事件處理、資安事件通報機制、資訊安全組織[32]
- 63. 七、電子法庭 目前,各國司法機構都為了提高審判效率,節約有限的資金與投入而在探索有效的解決途徑。(大陸)國內也有不少法院在高科技與審判工作的結合方面做了嘗試,如網上立案、電子證據的使用等等。這些無疑都會大大促進審判效率的提高。但是如何處理好公正與效率的關係,電子高科技與法院審判管理之間還有許多問題值得關注和研究[33]。
- 64. 伍、討論 2001年「**電子」公司,部分員工轉發董事長至全體員工之公開信,因而信件內容在短時間之內傳遍竹科園區,該企業高階管理者追查,藉由檢查員工電子郵件之內容,找出相關員工並予以解雇。無獨有偶,「。。電訊」公司亦以監看員工電子郵件之方式,查出員工利用電子郵件,和企業外部之友人討論公司機密(該企業認為調薪與年終獎金政策係機密),將該名員工開除。 思考:企業開除員工之舉止於法有據?企業私自(未經員工同意或員工被迫同意)監看員工私密資料,與隱私權之問題[34]?
- 65. 伍、討論 第一次世界大戰後,法國軍方開始研究如何防禦德國和意大利入侵。1930年,法德和法意邊境建造了一係列防禦工事,這就是舉世聞名的“馬其諾防線”。 1940年5月,德軍攀越阿登山區,經比利時繞過馬其諾防線,很快佔領了法國全境。被神話般信奉的馬其諾防線最終成了無用的擺設和對戰敗者的諷刺,並在日後成為法國著名的旅遊景點[35]。
- 66. 伍、討論 DES(Data Encryption Standard) 美國加州洛杉磯情治單位進入民宅與密碼 921地震前二天美國解除46位元加密出口之管制 Key Escrow、Key Recovery 廠商A告知客戶B其系統可以很快產生RSA之合成數 廠商A無告知客戶B其系統(植基於離散對數)其基底g非原根(Primitive Element) DSS(Digital Signature Algorithm)之分析(Cryptanalysis)[22] 雲端運算供應商之加(解)密、數位簽章機制(專利)是否公開?
- 67. 伍、討論 雲端運算供應商之預設密碼? 個人資料之保護策略與企業組織營運策略? SSL, IPSEC等安全通訊協定讓人放心? ISO 27001?用水洗菜? 第三方(Third Party)之安全稽核?
- 68. 伍、討論 競業禁止:A廠商向B廠商員工張三挖腳, A廠商將員工張三登記為與其以往不相關之工作部門,並辦妥相關勞健保手續,然張三實質上卻從事相同工作?又張三投奔至第三國,我國司法之執行? 代理簽章(Proxy Signature) 群體簽章(Group Signature) 門檻簽章(Threshold Signature) 簽章管理(Signature Management)
- 69. 參考出處 [1]余啟民,國際電子簽章法相關立法發展趨勢之淺析 ,電子商務法治環境, http://gcis.nat.gov.tw/eclaw/e28_Body.asp?PageCode=docu_2_06,2011/07/04 [2]電子簽章法第一條 [3]經濟部,電子簽章法的立法原則為何?常見問答集, http://stlc.iii.org.tw/eclaw/publish/book9/03-1-3.htm[3]經濟部,電子簽章法的立法原則為何?常見問答集, http://stlc.iii.org.tw/eclaw/publish/book9/03-1-3.htm,[3]經濟部,電子簽章法的立法原則為何?常見問答集, http://stlc.iii.org.tw/eclaw/publish/book9/03-1-3.htm,2011/07/04 [4]黃荷婷,用生命保護個資研討會,台北六福皇宮B3永康殿,2010/6/22
- 70. 參考出處 [5]尋求個人資料隱私權保護與新聞自由間之衡平,法務部「個人資料保護法施行細則」修法公聽會會議資料。 http://www.moj.gov.tw/public/Attachment/06210241333.doc,2011/7/10 [6]個人資料保護法第二條第一項 [7]個人資料保護法第三條 [8]個人資料保護法第八條 [9]個人資料保護法第二十八條、第二十九條 [10]薛翔之、孫中英、彭慧明,新版個資法 衝擊金融、保險業, A5,聯合報,2010/9/20
- 71. 參考出處 [11]臺灣臺北地方法院九十一年度勞訴字第一三九號民事判決,轉載黃程貫,雇主監看員工電子郵件之合法界限--臺北地院九十一年度勞訴字第一三九號民事判決評釋,台灣勞動法學會學報,頁1-32 ,2007/06 [12]臺灣高等法院九十一年度勞上字第二七號民事判決 [13]臺灣臺北地方法院八十九年度簡上字第六五九號民事判決
- 72. 參考出處 [14]台灣勞資網, 企業應如何具體防止員工洩露營業祕密? 2002/05/11, http://www.twlabor.net/phpBB2/viewtopic.php?t=307&start=0&postdays=0&postorder=asc&highlight=&sid=1dea8fe85fee96cb273028e14ec9eaba [15]中華民國九十八年八月十一日行政院衛生署衛署醫字第0980261732號令修正發布全文8條;並自發布日施行 [16]政府部門之軟體管理手冊, http://www.dgbas.gov.tw/public/Data/08385702.pdf ,2011/07/09
- 73. 參考出處 [17]簡榮宗、宋宛儒,人肉搜索,侵犯隱私?台灣法律網,http://www.lawtw.com/article.php?template=article_content&area=free_browse&parent_path=,1,4,&job_id=171753&article_category_id=15&article_id=96683,2011/7/9 [18]案例(15 )網路上不得違法收集利用個人資料,教育部電算中心,http://www.edu.tw/moecc/content.aspx?site_content_sn=5383,2011/7/9
- 74. 參考出處 [19] Data Encryption Standard, Wikipedia, http://en.wikipedia.org/wiki/Data_Encryption_Standard, 2011/7/10 [20] DESCHALL Project, Wikipedia, http://en.wikipedia.org/wiki/DESCHALL_Project, 2011/7/10 [21]张晓晶,世界震惊 王小云破解全球两大密码算法,
- 75. 參考出處 [22] Digital Signature Standard (DSS), COMPUTER SECURITY, http://csrc.nist.gov/publications/fips/fips186-3/fips_186-3.pdf, 2011/7/10 [23] R. Laubscher1, M.S. Olivier2, H.S.
- 76. 參考出處 [24] 「想像競合」與「法條競合」(法規競合)之主要差異, http://webcache.googleusercontent.com/search?q,2010/01/18 [25] 彭禎伶,保險法修正 排除個資法,工商時報, 2011-05-19 [26] 李淑慧、邱金蘭,保險業可調閱保戶病歷,經濟日報,2011/05/19 [27]邱文聰, 2006-2007 2006-2007台灣資訊隱私權的發展,2006-2007年台灣人權報告(台權會出版),2008/02/10
- 77. 參考出處 [28]經濟部,雲端運算產業發展方案 ,行政院經濟建設委員會, http://www7.www.gov.tw/policy/2010new/page_03-01.html,2010.04.29 [29]Todd Thiemann,雲端運算安全趨勢*藉由分離來降低風險:雲端內的職權分離,Trend 雲端運算安全趨勢Blog部落格,11十月,2010。 [30]Blue,專家談雲端:每個環節都有安全問題,資安之眼,http://www.itis.tw/node/4201,2010/8/10 [31]Dan Crowe,您可知道…,Trend雲端運算安全趨勢BLOG1部落格,08十一月,2010。
- 78. 參考出處 [32]江通儒、郭真祥、張瑞益、許凱平,學術機關資訊安全管理建置成熟度模型, www.powercam.cc/home/read_attach.php?id=25,2011/7/10 [33]任鳴、李國慧,國際刑事審判機構中的“電子法庭”,法律適用(北大法律網),第五期, http://cdn851.todayisp.net:7751/journal.chinalawinfo.com/Article_Info.asp?Id=112833,2011/7/10 [34]職場倫理課程規劃組,991職場倫理課程:個案分析資料庫,龍華科技大學 通識教育中心, 99年09月04日修訂
- 80. Скачать презентацию