卷首語
「法律遵循」漸漸成為台灣企業不得不重視的議題;否則,一旦企業從事跨國經營活動時,就容易墜入法網。正因如此,本期《眾律觀點》鑑於資安問題已成為企業日常交易的重中之重,特別是動輒使用大數據的金融業,因此撰寫了〈資訊安全如何成為公司治理之一部—以資訊安全長之角色定位為例〉、〈評析台灣金融資安行動方案的應然面和實然面〉和〈業者該如何適應跨國資訊安全相關法規及其守法方法〉合計三篇文章。分別探討資安長如何化為公司治理下資安治理的一部以及金融業資安行動方案的實施情況等。
其次,從〈探討傳統製造業與高科技業在法遵方法上之差異〉一文中,探討傳產業與科技技業,彼此法遵方法的差異性。並以〈如何避免專利被認定有專利壟斷之虞—以標準必要專利為中心〉一文突出標準必要專利對企業的重要性和其預防之道。
最後,以〈如何避免商標間混淆誤認—兼論企業的品牌戰略〉一文結束本期的專題研討,除了教戰跨國企業如何避免商標間混淆誤認外,更重要的是,制定企業品牌戰略的大方向!
眾律國際法律事務所
范國華博士/主持律師
第一章 資訊安全如何成為公司治理之一部—以資訊安全長之角色定位為例
范國華/主持律師、吳尊傑/法務專員
近年來,隨著資安議題不斷延燒,又以2021年發生的「Log4shell」事件為例,堪稱是企業資訊安全「核彈級」的威脅,故迫使主管機關不得不採取行動(例如公布金融業資安行動方案)。
所謂「log4」,指的是當你在撰寫網站後台的程式碼時,會有不同的程式語言可供選擇(例如:Python、JavaScript、PHP或是Java等),而前述程式碼都有人幫你寫好,你只需套用即可。但為何會導致如此嚴重的資安漏洞?其一,由於log4j是用來記錄東西的,加之使用人數極多,因此一旦使用了Java,幾乎都會用這個套件來紀錄log;其二、觸發方式容易,也就是說只要記錄某些特定格式的文字,乃觸發一個功能來執行程式碼。而漏洞一旦被觸發,駭客就有機會自你的伺服器上偷走資料,或是透過偷裝挖礦軟體來加強其算力等。1
因此,這激發了晚近許多企業對資訊安全的疑慮,因為作為身處在網絡時代的企業,每天都要透過互聯網滿足遠距離辦公、交易等需求,惟企業資訊往往是由各種與合作廠商、客戶資料、專利技術、公司金流紀綠等屬於資訊安全保護範疇的資料匯集而成的商業機密,故一旦識遭到竊取,將導致有價值的資訊被外部人掌握,掌握愈多,風險也就愈大。
實務上,被廣泛採納的維護企業資訊的安全架構基礎——「資安鐵三角」,乃指由以下三個原則所導出相關策略或評估來回應潛在的威脅與漏洞(諸如:網絡安全、系統安全、應用程式安全、資料加密暨身份認證授權、雲論運算安全等):2
- 機密性,即針對企業數據進行保密;換言之,限制未經授權的資料的訪問與修改權,以確保資料的隱密性及降低資料受威脅的概率。
- 完整性,即數據未經任何私自的篡改,旨在確保資料在整個生命週期內的一致性與精確性。
- 可用性,指已啟動或正在運行的程式,授權者可以即時地訪問相關資源;然而,當某系統、應用程式或數據無法及時授權使用者進行使用時,則該資訊就無法最大化企業的價值。
其中,以上市櫃公司和金融業為例,由於牽涉到龐大投資者群體的利益。因此,金融監督管理委員會於2021年5月27日指出,為推動「金融資安行動方案」,銀行、保險、證券期貨等符合條件的金融機構要指派「副總經理以上或職責相當之人」兼任資訊安全長,並且必須在法規發布後6個月內完成設置;換句話說,包括38家銀行、8家保險公司、13家券商、2家期貨商以及4家投信需在2021年底前完成設置資訊安全長。3
現在,讓我們來了解一下所謂「資訊安全長」及其在公司治理中應扮演如何之角色?
根據OECD公司治理守則,乃可分為六大原則:其一,確立有效公司治理架構之基礎;其二,股東權益、公允對待股東與重要所有權功能;其三,機構投資人、證券市場及其他中介機關;其四,利害關係人在公司治理扮演之角色;其五,資訊揭露和透明以及;其六,董事會責任。4簡單來說,就是架構有效的「內部治理機制」以及「外部防護機制」。前者涉及公司股東、投資人、利害關係人和中介機關等與公司董事會間互動關係以及組織內控系統之建置;至於後者,則是指公司對外部人有資訊適度揭露的義務和需維護利害關係人的利益。
由上可知,「資安長」則更像是前者(即內部治理機制之建置),乃是負責企業組織資訊和資料安全。但與傳統上「資訊長」(推動資訊系統使用的便利性)不同的是,「資安長」在公司治理中扮演的角色,乃是確保公司資訊的機密性、完整性和可用性。5最後,兩者雖然有本質上的差異,但亦應彼此協力及互補。
第二章 業者該如何適應跨國資訊安全相關法規及其守法方法
范國華/主持律師、吳尊傑/法務專員
進入無遠弗屆的網絡時代後,企業無不透過互聯網來開展跨境的貿易往來。當中,少不免要牽涉到巨量資料的傳輸和網絡基礎設備的架設。也由於進入互聯網時代,資料的傳遞愈來愈容易。因此,引起了世界各國的關注,諸如:歐盟在2016年發布了《歐盟網路與資訊系統安全指令》(Network and Information Security Directive, NIS Directive)、美國在2014年提出了《聯邦資訊安全現代化法》(Federal Information Security Modernization Act of 2014, FISMA 2014)、日本在2014年通過了《網路資訊安全基本法》、德國聯邦議會於2015年通過了《資訊科技安全法》、中國大陸於2017年6月實施了《網絡安全法》、英國於2018年公布了《電子通訊網路與資訊系統規則》(The Network and Information Systems Regulations 2018)、韓國資訊安全署在2016年提出了《資訊與通訊基礎設施保護法》(Laws on the Internet and Information Security of Korea)。至於台灣,行政院於2018年6月6日公布了《資通安全管理法》,以對跨境的資料流通進行規管。6
過去的法遵方法
在當今全球化時代,企業的跨國移動,勢必伴隨資料的傳輸而有抵觸到所在國或地區訂定之網絡安全或資訊安全法規。過去,針對各種法遵議題的實踐,大多數企業都會從各自的法務部門著手,而部分提供資訊服務的公司,則會由資訊部門承擔。但實務上,不管是教導法務人員懂資訊科技,抑或教導資訊科技人員懂法律,兩者的難度一樣大。7
突顯企業設置資訊安全長的重要性
資訊安全長(Chief information security officer, CISO; 下稱「資安長」)是主要負責開發和實施資訊安全計劃的高級管理人員,其中包括旨在保護企業通訊、系統和資產免受內部和外部威脅的程序和政策。
除了應對數據洩露和其他安全事件外,資安長還負責預測、評估和積極管理新出現的威脅;其又必須與不同部門的其他高管合作,以使安全計劃與更廣泛的業務目標保持一致,並減輕各種安全威脅對組織使命和目標構成的風險。
資安長的職責還可能包括進行員工資安意識的教學訓練、開發安全的業務和通信實踐、確定安全目標和指標、從供應商處選擇和購買安全產品、確保公司遵守相關機構的規則、強制遵守安全實踐、確保公司的數據隱私安全、管理計算機安全事件回應團隊、進行電子發現以及數位取證調查等等。8
台商的跨域數據傳輸:以中國大陸為例
據2020年統計顯示,台灣的第一大出口市場是中國大陸(含香港),占總體出口比重43.9%,較2019年增加14.6%;而進口方面,台灣的第一大來源地同樣為中國大陸(含香港),占整體進口比重22.6%,相較2019年增加了10.8%。9基此,中國大陸在2016年6月1日起施行的《網路安全法》和2021年9月陸續施行的《數據安全法》及《個人信息保護法》等,就值得台商的注意,未來也勢必將對在中國大陸經營的台商企業造成重大影響,尤其是資安認證僅可經由中國大陸境內認證機構進行認證10、中國大陸境內個人資料與重要數據必須在境內儲存11、以及資訊之跨境移轉受到限制12等,相關資安措施都將導致業者成本增加,包含為配合不同標準之生產成本、重複檢驗時間、財務及人力成本,以及每次檢驗之不確定性成本。13
除此之外,緊追美國法律與監管之最新發展
隨著網絡事件的威脅和影響的增長,立法者一直在積極嘗試通過監管來解決這種普遍的風險及其影響。如今,幾乎所有美國州和許多國家或地區,都要求實體將涉及其個人身份資訊的安全漏洞,通知受影響的個人。
拜登政府和美國證券交易委員會最近也都採取了行動。例如在2021年5 月發布了一項關於改善國家網絡安全的行政命令,以激發公共和私人部門的努力,以幫助識別、阻止、防範、檢測和應對持續不斷且日益複雜的惡意網絡活動。正因為如此,美國證交會採取了一些與違規資訊揭露不充分有關的執法行動。除此之外,網絡揭露已列入美國證交會2022年的議程。14作為台灣第三大貿易夥伴的美國,台商亦應緊追美國對於網路安全及跨境傳輸之最新立法動態,藉以減輕任何的法律風險。
代結論:資安法遵成為台商未來的決勝關鍵
最後,本文以高度監管的金融業作小結,由於其牽涉到金融業龐大客戶數據的流通,例如:銀行、證券、保險等業者透過互聯網協助客戶進行跨境的投資行為。因此,往往在無國界的虛擬世界中誤觸法網而不知。有鑑於此,金管會晚近出台的《金融資安行動方案》,乃旨在推動所有上市櫃公司和金融機構須一定期間內設置資安長,藉以構築企業的內部資安防火牆。展望未來,隨著大數據、雲計算、人工智慧等的進一步發展,跨境數據的生產、加工、存儲、挖掘、流通、交易等將會出現新特徵和監理模式。但儘管如此,在界分數據類型基礎上,確認和保護數據財產和財產性利益仍將是資安法律保護制度的重要內容及重點所在。因此,台商應未雨綢繆地推動資訊安全作為公司治理的一部!
第三章 探討傳統製造業與高科技業在法遵方法上之差異
范國華/主持律師、吳尊傑/法務專員
首先,就傳統產業和高科技產業在法遵方法上的不同,應先釐清其定義,以下分述之:
傳統產業VS高科技產業
相關研究顯示15,行政院主計總處對傳統產業的定義,是指包括食品業、飲料業、菸草業、紡織業、成衣及服飾品業、皮革、毛皮及其製品業、木竹製品業、紙漿、紙及紙製品業、印刷及資料儲存媒體複製業、石油及煤製品業、化學材料業、化學製品業、藥品業、橡膠製品業、塑膠製品業、非金屬礦物製品業、基本金屬業、金屬製品業、機械設備業、汽車及其零件業、其他運輸工具業、家具業、其他製造業與產業用機械設備維修及安裝業。
除此之外,就是非傳統製造業(即高科技產業),乃指包括電子零組件、電腦電子產品及光學製品、電子設備製造業。
一般的法遵方法
一般的法遵方法,乃指不管是傳統產業抑或高科技產業,皆圍繞著經合組織OECD的公司治理守則來展開企業日常法令遵循流程。具體而言,包括釐清董事的職責及其監督義務、法遵部門的設立、訂定企業的內控規範並謹慎實施企業的內部稽核、財務報告暨外部審計、落實吹哨者制度與規則、配合外部執法單位定期進行內部調查、資安與網路安全管理、建立跨國法律團隊以控管境內外法律風險和於企業內部推行誠信制度與公司治理。16但如果是金融機構,則尤其應關注各往來對象所屬國家的金融法令、反洗錢規定以及跨境資料傳輸的管制性規定。
高科技業的法遵方法
以半導體產業的晶圓龍頭台積電為例,作為高度資本密集的公司,台積電自有其一套方法。端看其董事會和執行團隊之構成,以下分述之:
首先,台積電董事會的構成依其公司章程規定17,須由7到10人的董事組成(含獨立董事至少3人)。乃具備不同產業、學術及法律等專業背景的4名董事:董事長劉德音、副董事長兼總裁魏哲家、龔明鑫以及曾繁城;和6名獨立董事:彼得‧邦菲爵士、陳國慈女士、麥克‧史賓林特先生、摩西‧蓋弗瑞洛夫先生、海英俊先生以及拉斐爾‧萊夫博士所組成。18
姓名 | 現職 | 經歷 |
劉德音電機博士 | 董事長 | 台積電總經理暨共同執行長 |
魏哲家電機博士 | 總裁暨副董事長 | 台積電總經理暨共同執行長 |
龔明鑫經濟博士 | 董事(行政院國發基金管理會代表人) | 行政院政務委員、台杉投資管理顧問公司董事 |
曾繁城電機博士 | 董事 | 台積副董事長、台積中國和創意電子的董事長、世界先進副董事長 |
彼得‧邦菲爵士 工程學士 | 獨立董事 | 英國電信公司執行長、英國皇家工程院士等職 |
陳國慈法律學士 | 獨立董事、審計委員會暨薪酬委員會委員 | 前台積電法務長,擁有英國、新加坡以及美國加州的律師資格 |
麥克‧史賓林特 電機碩士 | 獨立董事、審計委員會委員、薪酬委員會主席 | 美國應用材料公司執行長及董事長 |
摩西‧蓋弗瑞洛夫 電腦科學碩士 | 獨立董事、審計委員會暨薪酬委員會委員 | 美國賽靈思公司總經理暨執行長 |
海英俊 國際企業管理碩士 | 獨立董事、審計委員會暨薪酬委員會委員 | 歷任台達電副董事長、執行長、董事長以及經營策略管理委員會主任委員 |
拉斐爾‧萊夫 電機博士 | 獨立董事、審計委員會暨薪酬委員會委員 | 前美國麻省理工學院校長 |
表一、台積電現任董事會成員(眾律製表)
圖一、董事會各學位的占比 圖二、董事會各成員專業領域占比
其次,來到台積電公司的經營團隊,除了董事長劉德音和總裁魏哲家外,尚有何麗梅、羅唯仁、Rick Cassidy、秦永沛、米玉傑、林錦坤、王建光、侯永清、張曉強、方淑華、馬慧凡、王英郎、余振華、張宗生、吳顯揚、曹敏、廖德堆、廖永豪、章勳明、黃仁昭、游秋山、何軍、葉主輝、林宏達、李俊賢、莊子壽、魯立忠和徐國晉。
姓名 | 現職 | 經歷 |
劉德音電資博士 | 董事長 | 台積電總經理暨共同執行長 |
魏哲家電機博士 | 總裁 | 台積電總經理暨共同執行長 |
何麗梅商學碩士 | 歐亞業務資深副總經理 | 台積公司財務資深副總經理暨財務長兼發言人、德碁半導體公司副總經理暨財務長 |
羅唯仁化學博士 | 研究發展資深副總經理 | 台積公司營運組織製造技術副總經理等 |
Rick Cassidy西點軍校工程學士 | 企業策略辦公室資深副總經理 / TSMC Arizona執行長暨總經理 | 台積公司資深副總經理暨北美子公司執行長等 |
秦永沛電機碩士 | 營運資深副總經理 | 台積公司產品發展資深副總經理等 |
米玉傑電機博士 | 研究發展資深副總經理 | 台積公司研究發展副總經理 |
林錦坤教育學士 | 資訊技術及資材暨風險管理資深副總經理 | 台積公司六吋暨八吋廠及製造技術中心副總經理等 |
王建光化工碩士 | 企業規劃組織資深副總經理 | 台積公司晶圓廠營運資深副總經理等 |
侯永清電機電腦博士 | 歐亞業務資深副總經理 | 台積公司技術發展資深副總經理等 |
張曉強電機博士 | 業務開發資深副總經理 | 台積公司業務開發副總經理、研究發展 / 設計暨技術平台副總經理;美商英特爾公司技術與製造副總經理 |
方淑華比較法學碩士 | 法務副總經理暨法務長 / 公司治理主管 | 台灣營業秘密保護促進協會理事長、副法務長、法務處處長、台灣國際專利法律事務所資深法務專員 |
馬慧凡國企碩士 | 人力資源副總經理 | 台積公司人力資源組織長、趨勢科技人力資源資深副總經理 |
王英郎電子工程博士 | 營運 / 晶圓廠營運一 副總經理 | 台積公司研究發展 / 技術發展副總經理、晶圓十四B廠資深廠長 |
余振華材料博士 | 台積卓越科技院士、 Pathfinding for System Integration副總經理 | 台積公司Integrated Interconnect & Packaging副總經理等 |
張宗生電機博士 | 台積科技院士、營運 / 先進技術暨光罩工程副總經理 | 台積公司產品發展副總經理等 |
吳顯揚電機博士 | 研究發展 / 平台研發 副總經理 | 台積公司研究開發組織3奈米平台研發處資深處長 |
曹敏物理博士 | 研究發展 / Pathfinding 副總經理 | 曹敏博士在積體電路技術領域共擁有36項專利。曹博士曾在許多委員會擔任重要職務,包括國際電子元件會議(IEDM)和國際VLSI技術和電路專題研討會。曹敏博士畢業於上海復旦大學電子工程學系,後於美國史丹佛大學物理學系取得博士學位。 |
廖德堆材料博士 | 營運 / 先進封裝技術暨服務 副總經理 | 台積公司營運組織後段技術暨服務處資深處長、新加坡特許半導體公司副總經理、美商應用材料公司技術經理 |
廖永豪化工碩士 | 營運 / 晶圓廠營運二 副總經理 | 台積公司營運副總經理等 |
章勳明材料博士 | 研究發展 / 先進設備暨模組發展 副總經理 | 台積公司先進設備暨模組發展處資深處長 |
黃仁昭企管碩士 | 財務副總經理暨財務長兼發言人 | 台積公司副財務長和財務處資深處長;英國霸菱銀行企業財務副總經理、美國大通銀行企業財務副總經理、美商信孚銀行企業財務副總經理 |
游秋山化工博士 | 研究發展 / 特殊技術 副總經理 | 在半導體營運管理方面擁有超過30年的實務經驗,於2008年榮獲「國家傑出經理獎」,表揚其開發出全球最先進、良率最佳的光罩技術。游秋山博士帶領的團隊於2017年成功開發出極紫外光(EUV)光罩及光罩保護膜,協助台積公司領先業界順利導入EUV生產技術。 |
何軍材料博士 | 品質暨可靠性副總經理 | 何軍博士擁有36項全球專利,其中28項為美國專利,並在國際會議及同業專家審核的技術期刊共發表超過50篇論文。何軍博士於美國聖塔芭芭拉加利福尼亞大學取得物理學士及材料科學博士學位。 |
葉主輝電機電腦博士 | 研究發展 / 平台研發 副總經理 | Senior Director, Platform Development Division, TSMC |
林宏達電資博士 | 企業資訊技術副總經理暨資訊長 | 台積公司企業資訊技術資訊長、美國摩茲公司資訊技術副總經理、美國臉書公司企業平台架構處長、賽門鐵克工程暨架構營運副總經理 |
李俊賢企管碩士 | 企業規劃組織副總經理 | 台積公司策略規劃資深處長 |
莊子壽土木博士 | 營運/廠務副總經理 | 營運組織廠務處資深處長 |
魯立忠資工博士 | 台積科技院士、研究發展/設計暨技術平台副總經理 | 魯博士於2012年榮獲國家傑出經理獎,並獲選為台積科技院士。魯博士擁有超過100項美國及國際專利,也是台積公司的多產發明人之一 |
徐國晉科管碩士 | 研究發展/ Integrated Interconnect & Packaging副總經理 | 台灣美光公司董事長、WaferTech LLC總經理 |
表二、現任台積電公司的經營團隊19
圖三、經營團隊各學位的占比 圖四、各成員專業領域占比
由上可知,向來以公司治理聞名的台積電,不論其董事會或經營團隊的組成,皆不乏來自全球知名的商業領袖、業界名流以及學界精英。值得一提的是,董事會及其經營團隊皆有超過50%的成員具有博士學位,當中尤以具電機、資訊背景者為主,其次則是材料、化工等。據報導,台積電一年四次(以一連串的會議及宴會進行的)董事會,每次董事會是由「會前會」和「正式會」所組成:前者為連續兩天的會議,旨在凝聚共識、提出議案;而後者,乃是各董事發表其針對「會前會」形成的各議案看法的結論。20換言之,董事會在台積電只是一個形式,惟表決結果在「正式會」之前既已得知。
代結論:公司發展戰略需契合產業未來發展趨勢
依台灣公司法相關規定,公司是採「董事會優位主義」,也就是說公司實際上的經營權乃由董事會所掌控,而董事會是由股東會選出;因此,觀察一家公司制定的發展戰略是否契合產業未來趨勢,其董事會構成員就是箇中關鍵。以台積電為例,其晶圓代工技術高居全球領先地位,故吸引相關領域的領軍性人物進入董事會任職,對維繫其所在行業的「技術話語權」,就顯得必要。必要者,能牽動對整體產業競爭力與國家安全的影響。
不過,亦要先符合各國對上市櫃公司的基本公司治理要求,畢竟連一般法遵要求都達不到者,如何要求其建構符合產業未來發展趨勢之董事會?
第四章 如何避免專利被認定有專利壟斷之虞—以標準必要專利為中心
范國華/主持律師、吳尊傑/法務專員
觀看專利法的四個立法目的,分別是鼓勵、保護、利用和促進產業發展(專利法第1條)。進一步來說,專利制度是對合於專利要件的創作,給予一段期間之排他權利,防止智慧財產權遭人仿冒、盜用,藉以保障個人或企業因創作所承擔的資本風險,鼓勵企業或個人積極投入研發活動。
對專利權人來說,因為賦予他/她們一定期間的排他權利,使發明者有公開其技術的誘因,一來避免重複研發;二來促第三人研究其發明而再為發明,並得經由專利授權機制(或待專利權期間屆滿或消滅後)來運用這一技術。21因此,專利權之積極行使,對產業發展有其正面意義。相反,益生限制競爭的不利益。
「標準必要專利」對產業發展之反面意義
台灣專利法並無「標準必要專利」之規定,而依專利法第2條,專利可分為發明專利、新型專利和設計專利。惟當專利成為標準必要專利後,基本上無法避免「誰擁有專利,誰就可以控制產業鏈、價值鏈、供應鏈…」的問題,其常見的爭點,諸如:必要性、禁制令、證據、權利金比率、管轄權、FRAND承諾效力、不當行為、專利濫用、反托拉斯法等。
因此,為了規避以上問題對產業造成不良影響,國際上標準制定組織(Standard Setting Organization, SSO)通常會要求公司在提出技術方案時適當揭露內容,並依「公平、合理、無歧視」(Fair, Reasonable and Non-discriminatory, 下稱「FRAND條款」)條款承諾授權,以免標準必要專利權人借以索取高額權利金,致使無法推動相關技術標準之發展。22
國際上標準制定組織的分類
依據標準制定者身分之不同,可分為(1)法律上標準;(2)事實上標準。前者是指由官方組織、行業組織或學術論壇等正式組織所制定(歐洲三大標準制定組織、英國標準協會和美國國家標準和技術研究機構等),並有相應歸責執行的技術或技術組合。而後者,則是由單一企業或具獨占地位的極少數企業建立的標準(私人標準制定組織),又可稱為「形成的標準」或「創設的標準」。23
企業需依FRAND條款進行授權承諾
由上可知,標準的建立主要是由產業經相當時間接受的結果,亦可能是標準制定組織制定的結果。惟一旦所有專利成為標準制定組織的技術標準的一部時,該專利權人就有可能成為市場支配者,並產生危害產業競爭的結果的疑慮。因此,以歐盟的「水平合作協議處理原則」(Guidelines for the Assessment of Horizontal Cooperation Agreements)為例,其認為標準制定組織應採明確且均衡的「智慧財產權宣言」(IPR. policy),並確保參與該標準的專利權人就該標準必要專利權,可以FRAND條款授權第三人使用,如此就沒有限制競爭的效果。24
FRAND承諾的法律定性
FRAND承諾又可稱為FRAND原則,當標準制定組織以標準必要專利人向標準專利實施者授權專利時,應以「公平、合理、無歧視」原則向實施者收取授權費為專利納入標準的前提條件。學說上,有單獨法律行說、第三人利益契約說、強制締約說、要約邀請說之分:25
國際間不同的學說 | FRAND承諾的法律定性 | 代表案例 |
單獨法律行為說 | FRAND承諾由標準必要專利權人作出之後,使未來任意第三人相信專利權人對符合條件者,會按照FRAND承諾的內容「公平、合理、無歧視」實施授權,若專利權人違背此承諾,第三人的信賴利益會受到損失。 | 中國大陸的西電索尼案 |
第三人利益契約說 | 是指契約雙方當事人約定,由契約中一方當事人向契約以外第三人為給付的契約。該契約突破了傳統契約的雙方結構,屬於三方結構。利益第三人契約分為真正的利益第三人契約與不真正的利益第三人契約,主要區別在於第三人是否對債務人有契約上請求權。相似於一般契約,都需經過要約和承諾階段,但是此契約的成立無需第三人同意。第三人利益契約通常具有以下特點:契約中的協力廠商僅享有純獲利益的權利;契約雙方指定的第三人是特定人;第三人利益契約的條款應當具體明確可履行。 | 在美國的微軟訴摩托羅拉一案中,美國法院大部分認為標準必要專利權人所作的FRAND承諾在其與標準制定組織間成立利益第三人契約關係。 |
強制締約說 | 標準必要專利權人對標準實施者負有專利實施授權義務,該授權須秉持FRAND承諾的要求,並且與供水、供電、供氣等獨占型事業所負擔的強制締約義務一樣不得拒絕授權。 | 華為訴IDC案 |
要約邀請說 | 該說認為FRAND承諾在標準必要專利權人與標準實施者之間並未成立專利授權契約,相反,當標準實施者申請專利授權時,標準必要專利權人承擔按照FRAND承諾的內容開展專利授權活動的義務,這是標準必要專利權人提出的要約邀請,而FRAND承諾構成要約請求權的基礎。 | 要約邀請說主要盛行在歐洲,並且在相關國家已有司法實踐。 |
FRAND承諾在法律上不同的定性(眾律製表)
代結論:標準必要專利權人如何避免有危害競爭之虞
綜上所述,不管是法律上抑或事實上的技術標準,企業的相關技術專利皆有可能被納入成為法律上標準或事實上標準,如此勢必遵循各大標準組織訂定的「FRAND」條款,乃以「公平、合理、無歧視」承諾授權實施專利之人;否則,將被各國競爭法相關限制競爭條款相繩。
另一方面需注意的是,就FRAND條款的法律定性而言,法院的見解不一益生不一樣的法律效果。因此,企業在擬訂標準必要專利技術授權契約時,除遵循FRAND條款外,更重要的是,需從訴訟場域思考契約對FRAND條款的法律定性,務令讓契約雙方信服。
分頁符號
第五章 評析台灣金融資安行動方案的應然面和實然面
范國華/主持律師、吳尊傑/法務專員
首先,Why 資安?
近五年以來,金融機構屢屢發生ATM當機事件,例如中國信託於2018年6月23日發生的ATM交易回堵逾時、2018年8月18日財金公司發生的大型主機連線管理系統程式異常、2020年5月5日國泰世華銀行發生的ATM間歇性連線中斷情況、2020年10月11到12日台北富邦銀行接連發生的中斷ATM現金交易或跨行轉帳交易、2020年12月17日因應台灣銀行ATM換版作業所導致服務中斷等情形,讓金管會和業者不得不正視潛在的資安課題。26
相較於傳統銀行業,隨著晚近業務擴大、資訊發展迅速,故加速了金融機構跨域整合的機會,也就是說潛在暴露的風險就會增大。金管會對資安的重視,起於2017年推動建置的金融資安資訊分享與分析中心(F-ISAC),乃由財金公司負責營運,旨在將每一家金融機構的受資安影響的資訊集中,進行整體分析後提供給其他會員機構參考。27爾後在2018年,金管會針對金融業的:(1)金融機構成為國際駭客攻擊的標的;(2)供應鏈成為駭客攻擊的跳板;(3)具針對性的攻擊常潛伏期長、影響大;(4)國家級金融犯罪組織持續活動等四大資安威脅劃分「金融資安行動方案」四大構面,也就是:(1)強化資安監理;(2)深化資安治理;(3)精實金融韌性;以及(4)發揮資安聯防的四大面向共36項資安措施;其中,要求資產逾1兆元的17家銀行、8家保險公司,實收資本額200億元的3家證券公司及3家純網銀,在2021年底前要設立專責資安單位和副總級以上資安長。28
金融資安行動方案的應然面
在2020年8月公布的〈金融資安行動方案〉中,從上述四大構面展開,具體的工作包括:型塑金融機構重視資安的組織文化、完備資安規範、強化資安監理職能、加強金融資安檢查、加強資安管理、強化資安監控、強化資安監理職能、加強資安人才培育、增強營運持續管理量能、加強資安演練、建構資料保全避風港、資安情資分享與合作、建立金融資安事件應變體系以及建立金融資安事件監控體系。主管機關預計執行前述工作項目的期程從1到4年不等。至於部分涉及公司內部資安治理或國際合作等事項,則沒有時間上的限制。
金融資安行動方案的實然面
近來31家金融機構,包括17家銀行、8家保險公司和3家證券公司,已於2021年底前設置副總經理層級的資安長。29晚近,除了金融機構外,金管會擴大要求上市櫃公司需循序漸進設立資安長及資安專責單位,並請台灣證券交易所及櫃買中心發布〈上市上櫃公司資通安全管控指引〉,明確鼓勵上市櫃公司及證券商透過分享資安資訊情資,達成聯合防禦效能,依規定通報主管機關及透過金融資安資訊分享與分析中心(F-ISAC)情資分享管理辦法分享資安情資。30由此可見,進入後資訊安全時代,就相關法治準備,台灣已準備就緒!
個案研究:玉山銀行
觀看玉山銀行的落實資安措施的經驗,玉山銀乃以程序、人員和科技三大面向著手進行。首先,在程序面,玉山銀行於2012年便擁抱國際標準,建立ISMS資訊安全管理系統的運作機制,隔年正式取得ISO 27001認證,成為資訊科技團隊運作的基礎。
其次,在人員部分,玉山銀行提供各式各樣的員工教學訓練課程,並以情境模擬的方式提高員工資安意識。最末,在科技方面,由於資安產品多不勝數,唯有多參與相關領域的研討會、展覽,以便與國內外廠商進行交流,如此方能找出最符合企業需求的資安方案。31
個案研究:永豐金控
關於永豐金控的資安治理方法,乃是以設立數位科技處為推動其數位治理目標的手段。這是因為在金融資安的治理層面上,不僅僅是資訊安全、法律遵循、風控部門,還需另外加上數位科技部門,以解決新型態資安風險的議題。除此之外,資安治理須先將權責和義務劃分清楚,比方說一些金控在設立資安長的同時,也成立了資訊安全管理委員會,以求整合所有相關資安議題。32
代結論
隨著金融業的跨國交易愈來愈普遍,當中尤其牽涉到數據的跨境移動。如此,就突顯了落實相關資安措施的重要性。所幸的是,金管會已積極推動台灣金融機構、上市櫃公司需設置資安單位和資安長。除此之外,就是加強企業間資安情資的交流以及相關國際合作。基此,借以構築韌性的金融資訊安全防護網。
第六章 如何避免商標間混淆誤認—兼論企業的品牌戰略
范國華/主持律師、吳尊傑/法務專員
所謂「商標間混淆誤認」,參見商標法第30條第1項第10款「相同或近似於他人同一或類似商品或服務之註冊商標或申請在先之商標,有致相關消費者混淆誤認之虞者。但經該註冊商標或申請在先之商標所有人同意申請,且非顯屬不當者,不在此限」以及第11款「相同或近似於他人著名商標或標章,有致相關公眾混淆誤認之虞,或有減損著名商標或標章之識別性或信譽之虞者。但得該商標或標章之所有人同意申請註冊者,不在此限」前者是申請在先的商標與申請後的商標產生混淆誤認,屬「一般規定」;至於後者,則是指針對「著名商標」或「著名標章」而言,屬「特殊規定」。
商標如何表彰商品或服務的價值?
這個問題,本文可以首先從商品經濟的角度切入。其一般具有市場性、自發性和競爭性的三個特性:33
「市場性」是指市場乃商品經濟產生和發展基礎,沒有市場的話,商品或服務的生產者就無從取得相應的經濟利益。
「自發性」指的是商品或服務生產者個人或經濟個體的相對獨立性在市場關係中的必然形式。也就是說,假如缺乏一個由內在利益機制所推動的自行運行的經濟過程,則商品經濟就不復存在。
「競爭性」是指商品或服務生產者個人或經濟個體,為取得更大的利益、爭取更有利的產銷條件,必然進行市場競爭。因此,如果失去了商品經濟賴以為生的競爭性的話,那麼將扭曲商品或服務生產者個人或經濟個體之間相互競爭的過程,競爭關係一旦扭曲,也連帶削弱商品經濟的整體發展。
商標的「自發性」與品牌發展戰略的關係
商標法第2條規定「欲取得商標權、證明標章權、團體標章權或團體商標權者,應依本法申請註冊」因此,台灣是採商標註冊或先申請主義。就商標所表彰商品或服務的價值而言,企業需「自發」地發展與其商品或服務有關的品牌戰略。也就是說,當企業欲為其商品或服務申請註冊商標時,需先注意以下的8項判斷商標有沒有混淆誤認可能的參考因素:
- 商標識別性的強弱程度?
- 申請商標是不是與先申請商標存在近似及其近似的程度?
- 商標或服務是不是類似及該類似的程度?
- 先商標權利人有沒有存在多角化經營的情況?
- 在市場上,相關消費者對各商標熟悉的程度?
- 能否證明後商標申請人的申請行為是屬於善意行為?
- 有沒有存在其他可能被舉發存在混淆誤認的因素?
商標的「市場性」與品牌發展戰略的關係
品牌發展戰略,也就是商標的市場化戰略,指的是企業能否讓購買其商標所表彰的商品或服務的消費者產生較強的商標識別性。商標法第5條亦有相關規定,即商標需以行銷為目的來行使:(1)將商標用於商品或其包裝容器;(2)持有、陳列、販賣、輸出或輸入印有商標的商品;(3)將商標用於與提供服務有關的物品;(4)將商標用於與商品或服務有關的商業文書或廣告;(5)除前述推廣方式外,尚有以數位影音、電子媒體、網絡或其他媒介的行銷手段。
因此,企業在從設計到申請商標的過程中,事前必須考慮到商標所使用的文字、圖形、記號、顏色、立體形狀、動態、全像圖、聲音等元素如何結合來提高商標對消費者的識別性,以及減低商標於消費者有近似於其他商標或類似於其他商標所表彰的商品或服務。以上都是企業主事前要做的市場調查。
商標的「競爭性」與品牌發展戰略的關係
商標法第1條和第92條分別指出「為保障商標權、證明標章權、團體標章權、團體商標權及消費者利益,維護市場公平競爭,促進工商企業正常發展……」及「……不得移轉、授權他人使用,或作為質權標的物。但其移轉或授權他人使用,無損害消費者利益及違反公平競爭之虞,經商標專責機關核准者,不在此限」隨著商品經濟的發達,商品或服務的品種越來越多,商標的使用也就越來越廣泛,因而對商標種類的劃分標準和角度更趨向多元。
良性商標間競爭固然可起到以下作用:區別同類商品的不同生產者和經營者、區別不同生產者生產商品質量的不同、便於消費者進行認購選貨、有利於商品進行廣告宣傳、有利於美化商品、有利開拓國際貿易等,但須注意的是,商標的搭便車行為,常見的是後商標(弱勢商標)攀附前商標(強勢商標)的搭便車的行為。惟實務上,亦有可能出現相反的情形,即後商標透過品牌戰略來使用其商標所導致的結果。
正因為如此,企業應對商標進行廣泛的使用(多角化),把企業推向市場,而企業則成功地運用商標取得明顯經濟效益,同時鼓勵企業提高商品質量、增加品種,創立並維持著名商標。
代結論:兼論企業的品牌戰略
總之,由商標本身的市場性、競爭性以及自發性觀之,企業欲發展其商品或服務所表彰的品牌戰略,從設計LOGO到申請LOGO為註冊商標,需分別進行事前(市場調查)、事中(制定與商品或服務有關的品牌戰略)、事後(維持商標的多角化使用潛力及保持商標在消費者心中的價值)。基此,縱使被舉發有近似於他商標的可能,但經法院以七項因素來作出有利於系爭商標的認定。
1 Cymetrics,投稿文,〈從監視攝影機理解 Log4j 跟 Log4Shell 漏洞〉,《資安人》,2021年12月20日。https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9631。最後瀏覽日:2022年3月7日。
2 洪明楓,〈企業「資安防護」大全!有哪些常見漏洞,又該怎麼補上?〉,《數位時代》,2022年3月3日。https://www.bnext.com.tw/article/67921/corp-inform-security-pedia。最後瀏覽日:2022年3月7日。
3 魏喬怡、彭禎伶,〈65家金融機構要設資安長〉,《工商時報》,2021年5月28日。https://ctee.com.tw/news/finance/466586.html。最後瀏覽日:2022年3月7日。
4 金管會證期局,〈公司治理簡介〉。https://www.sfb.gov.tw/ch/home.jsp?id=882&parentpath=0%2C8。最後瀏覽日:2022年3月7日。
5 陳映璇,〈欣興電子、台泥都要增設!資安長是什麼?跟資訊長不一樣在哪?〉,《數位時代》,2022年2月23日。https://www.bnext.com.tw/article/67766/company-how-to-cybersecurity-protection。最後瀏覽日:2022年3月7日。
6 May,〈各國家對資通安全立法與管理概述〉,《科技產業資訊室(iKnow)》,2021年10月15日。https://iknow.stpi.narl.org.tw/Post/Read.aspx?PostID=18377。最後瀏覽日:2022年3月8日。
7 黃彥棻,〈【大話資安:GDPR答客問首部曲】GDPR後的隱私保護策略〉,《IThome》,2018年8月9日。https://www.ithome.com.tw/news/124968。最後瀏覽日:2022年3月8日。
8 Emily McLaughlin, CISO (chief information security officer), TechTarget.
https://www.techtarget.com/searchsecurity/definition/CISO-chief-information-security-officer. Last visited 8 March 2022.
9 行政院,來源:經濟部,「進出口貿易量」,2021年3月23日。https://www.ey.gov.tw/state/6A206590076F7EF/8b5032af-1a67-4c02-bd16-8791aa459cd2。最後瀏覽日:2022年3月8日。
10 參見中國大陸《網路安全法》第23條。
11 參見中國大陸《網路安全法》第37條。
12 參見中國大陸《網路安全法》第66條。
13 陳孟君,〈中國大陸網路安全法之WTO適法性分析〉,《中華經濟研究院WTO及RTA中心》,2019年9月19日。https://web.wtocenter.org.tw/mobile/page.aspx?pid=329463&nid=126。最後瀏覽日:2022年3月8日。
14 Sean Joyce and Catie Hall, Overseeing Cyber Risk, Harvard Law School Forum on Corporate Governance, 24 February 2022. https://corpgov.law.harvard.edu/2022/02/24/overseeing-cyber-risk-2/. Last visited 8 March 2022.
15 王素彎等(2012),〈傳統產業維新策略之研究〉,《行政院經濟建設委員會》,頁10、11。
16 王文宇(2021),〈公司治理與法令遵循〉,《元照出版公司》,頁268-388。
17 參見《台積電公司章程》第19條。
18 台積電,董事會組織。https://investor.tsmc.com/chinese/board-of-directors#view-id-directors_biographies。最後瀏覽日:2022年3月9日。
19 台積電,經營團隊。https://www.tsmc.com/chinese/aboutTSMC/executives。最後瀏覽日:2022年3月9日。
20 書房編輯,〈如何經營董事會?以公司治理聞名的台積電這樣做〉,《工商時報》,2021年12月2日。https://ctee.com.tw/bookstore/selection/553463.html。最後瀏覽日:2022年3月10日。
21 經濟部智慧財產局,〈專利法逐條釋義〉,2021年6月版,頁5、6。
22 莊弘鈺,〈標準必要專利—競爭法管制之分與合〉,《公平交易委員會電子報第153期》,頁1。https://www.ftc.gov.tw/upload/1090819-1.pdf。最後瀏覽日:2022年3月14日。
23 湯亦敏(2006),〈標準制定組織之智慧財產保護政策及競爭法問題探討〉,《國立政治大學智慧財產研究所碩士論文》,頁18、19。
24 王銘勇,〈標準必要專利與競爭法〉,《第21屆競爭政策與公平交易法學術研討會論文集》,頁37。 25 劉天一(2021),〈FRAND承诺性质争鸣与辨析〉,《争议解决7卷1期》。https://m.hanspub.org/journal/paper/39933。最後瀏覽日:2022年3月15日。
26 魏喬怡、彭禎伶,〈國銀ATM頻出包 金管會祭三招防範〉,《工商時報》,2021年12月16日。https://ctee.com.tw/news/finance/565785.html。最後瀏覽日:2022年3月10日。
27 李靜宜,〈【臺灣資安大會直擊】金管會主委黃天牧:金融業不只要情資共享還將應變聯防,更要鼓吹健康資安文化,才能強化金融集體韌性〉,《iThome》,2020年8月21日。https://www.ithome.com.tw/news/139530。最後瀏覽日:2022年3月10日。
28 彭禎伶、魏喬怡,〈金融四資安威脅 金管會示警〉,《工商時報》,2020年8月7日。https://www.chinatimes.com/newspapers/20200807000287-260205?chdtv。最後瀏覽日:2022年3月10日。
29 葉憶如,〈31家金融業 須設資安長〉,《經濟日報》,2021年5月10日。https://money.udn.com/money/story/5613/5445400。最後瀏覽日:2022年3月11日。
30 林資傑,〈《金融》金管會強化管理上市櫃公司及券商資安〉,《中國時報》,2022年2月7日。https://www.chinatimes.com/realtimenews/20220207000686-260410?chdtv。 最後瀏覽日:2022年3 月11日。另請參考,台灣證交所新聞稿,〈協助上市公司強化資安防護及管理,證交所發布「上市上櫃公司資通安全管控指引」〉,2021年12月23日。 31 李靜宜,〈【臺灣資安大會直擊】玉山銀行如何落實資安有效性?資安長揭露3大關鍵〉,
《iThome》,2021年5月19日。https://www.ithome.com.tw/news/144499。最後瀏覽日:2022年3月11日。
32 李靜宜,〈【臺灣資安大會直擊】永豐金控數位科技長萬幼筠:金融資安出現6大典範轉移,數位金融更將成為資安治理最大挑戰〉,《iThome》,2020年8月27日。https://www.ithome.com.tw/news/139628。最後瀏覽日:2022年3月11日。
33 參見《MBA智庫百科》,〈商品經濟〉。https://wiki.mbalib.com/zh-tw/%E5%95%86%E5%93%81%E7%BB%8F%E6%B5%8E。最後瀏覽日:2022年3月11日。
相關出版聲明
免責聲明(Disclaimer)
本期報告是針對一般性議題彙整相關資訊,並非針對特定個案表示任何專業意見,閱讀本期報告者不宜在未取得特定專業意見下,直接採用本期報告之任何資訊。「眾律國際法律事務所」、「眾律國際商務數位智權有限公司」和「眾律國際專利商標事務所」,包括其管理當局(合夥人)、員工及所委任之顧問,不對本期報告資訊的正確及完整與否負任何保證責任,亦不對本期報告承擔任何義務或責任。閱讀本期報告者因使用本期報告資訊所引發之任何損失、損害或任何性質之費用,「眾律國際法律事務所」、「眾律國際商務數位智權有限公司」和「眾律國際專利商標事務所」亦不負任何責任。
智財權聲明(Copyright Disclaimer)
本刊物是由「眾律國際法律事務所」、「眾律國際商務數位智權有限公司」和「眾律國際專利商標事務所」製作並擁有著作權。本刊物所有著作內容未經「眾律國際法律事務所」、「眾律國際商務數位智權有限公司」和「眾律國際專利商標事務所」書面同意,請勿修訂或翻印,侵害必究。
授權聲明
本刊物不代表「眾律國際法律事務所」、「眾律國際商務數位智權有限公司」和「眾律國際專利商標事務所」的觀點。文字內容及版式的著作權為「眾律國際法律事務所」、「眾律國際商務數位智權有限公司」和「眾律國際專利商標事務所」所有,需要使用本刊作品之個人、機構或媒體,須先與本刊編輯部門聯繫獲得書面授權。
編輯團隊
眾律國際法律事務所
眾律國際專利商標事務所
眾律國際商務數位智權有限公司
范國華 主持律師/研究主持人員
吳尊傑 法務專員/協同研究人員
毛紹儒 所內專員/平面設計人員
媒體合作
聯絡人:吳尊傑 法務專員 電郵:kitson.wu@zoomlaw.com.tw
www.zoomlaw.online
©2021 ZoomLaw. All rights reserved.ZoomLaw refers to the ZoomLaw network and/or one or more of its affiliated firms, each of which is a separate legal entity. Please see www.zoomlaw.online for further details. This content is for general information purposes only, and should not be used as a substitute for consultation with professional advisors.