第四章 資訊安全法律與倫理 本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

Presentation on theme: "第四章 資訊安全法律與倫理 本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。"— Presentation transcript:

1 第四章 資訊安全法律與倫理 本投影片（下稱教用資源）僅授權給採用教用資源相關之旗標書籍為教科書之授課老師（下稱老師）專用，老師為教學使用之目的，得摘錄、編輯、重製教用資源（但使用量不得超過各該教用資源內容之80%）以製作為輔助教學之教學投影片，並於授課時搭配旗標書籍公開播放，但不得為網際網路公開傳輸之遠距教學、網路教學等之使用；除此之外，老師不得再授權予任何第三人使用，並不得將依此授權所製作之教學投影片之相關著作物移作他用。

2 第四章 資訊安全法律與倫理 電腦與網路技術的進步一日千里，也然成為現代生活必備的工具，為使資訊科技的應用能夠維持常軌，當我們利用電腦與網路處理資訊時，必須遵守相關的法律與倫理的規範。本章介紹網路上涉及的法律問題，以及電腦犯案時數位證據的蒐集和鑑識，並介紹資訊倫理相關議題，以建立井然有序的資訊國度。 前言 智慧財產權 網際網路相關的法律 電腦鑑識與數位證據 資訊倫理

3 4.1 前言 資訊與網路發達的時代，在享受方便之餘卻也帶來許多網路犯罪的問題。例如，透過部落格張貼與引用他人的資料，可能在無意間觸犯了法令─違反智慧財產權相關的法律。利用網路與資訊科技處理個人資料，也需要小心謹慎，以免觸犯相關法令。 由於網路的興起，促使相關的法令也應運而生，例如，『電子簽章法』的立法與推動，賦予電子簽章的法律效力，有利於電子商務的發展。 在網路上進行交易行為，例如購買股票，當買賣雙方有了交易爭議時，單單依靠交易log 紀錄並不能當做法律證據，但如果有交易的電子簽章則可以作為法律之證據。 美國計算機倫理協會制定了『資訊十戒』，提醒每一位資訊科技的使用者要遵循相關的禮儀規範。

4 4.2 智慧財產權 智慧財產權 (Intellectual Property Right；IPR），如圖 4-1，包括商標權、專利權、著作權與營業秘密法等，是透過立法以保護這些人類精神智慧的產物，賦予創作人專屬享有之權利。 圖4-1智慧財產分類

5 4.3 著作權 著作權 ( Literary Property ) 是為保護著作者的權益，不被非授權複製與使用。原則上，著作者完成著作時即取得著作權，不需要任何形式之申請與聲明。著作權不分年齡，任何年紀完成之作品均享有著作權。例如圖4-2，完成一篇文章即擁有著作權。 圖4-2 完成一篇文章即擁有著作權

6 4.3 著作權 當消費者購買了一幅畫，他 (她) 並不擁有著作權，消費者僅擁有這一幅畫的『物權』，不可以複製，但可以轉售。另外，員工受雇於公司，在工作中所開發完成的軟體程式，其著作權是屬於雇主，並不屬於開發程式的員工。 著作權分為『著作人格權』與『著作財產權』，如圖4-3。著作人格權即是著作人就其著作享有公開發表之權利。著作財產權是作品重製、表演、播送、散佈等權利。著作人格權隨著作者死亡而消滅，著作財產權則存續於著作者生存期間以及其死亡後五十年。 圖4-3 著作權的分類

7 4.3 著作權 個人購買版權軟體或合法MP3 音樂，個人可使用在音響播放，也可複製在隨身聽上播放，這是屬於合理使用原則。但如果將MP3 分享給別人使用，就違反著作權法。 另外，購買合法版權的電腦軟體，僅能安裝在一部電腦上使用，如果多部電腦都安裝同一套授權軟體，並不是合理使用範圍。 如果擅自以重製之方法侵害他人之著作財產權者，依照著作權法第91條規定，處三年以下有期徒刑、拘役，或科或併科新台幣七十五萬元以下罰金。

8 4.2.2 商標與商標權 商標 (Trademark) 是使用文字、標語、和標誌，去辨識公司、個人、產品、或服務，主要目的在使其商品或服務獲得肯定，達到經濟效益，並阻止假冒相同或類似標記，不正當之競爭。商標註冊後，商標註冊人享有商標專用權，圖形為 『®』，表示某個商標經過註冊，並受法律之保護。 商標與專利不一樣，專利需要具有發明、新型及新式樣等三種。商標是一個圖樣，或文字，或符號，或顏色，或聲音。如果要行銷產品，要讓客戶看到我的標誌，就連想到我的產品，這是商標。但因商標具有象徵的意義，因此就需要藉由商標法的保護，來讓相關的消費者在市場上能據以識別其來源、品質及商譽。

9 4.2.2 商標與商標權 此外，同一類或類似商品不可與他人構成相同或近似的商標名稱，也不可以他人著名的商標作為自己的商標名稱。例如，德國愛迪達體育用品公司控告美國威名百貨銷售的佩雷斯運動鞋有三條線，與愛迪達運動鞋商標類似，涉嫌仿冒，非法使用其『愛迪達』商標。雖然佩雷斯運動鞋沒有使用三條線，但有時使用兩條線，有時使用四條線，與愛迪達商標類似，被愛迪達告上法院，美國法院判處佩雷斯鞋業公司賠償愛迪達公司三億零五百萬美元。

10 4.2.3 專利與專利權 專利 (Patent) 法是為鼓勵、保護、利用發明與創作，以促進產業發展，所制定的法律。專利權是對發明授予的權利，對專利權人之發明予以保護，保護權利在一段期間內有效，一般期限為20年。 近代由於電腦軟體持續發展，其重要性與日俱增，歐美日各國紛紛通過審查電腦軟體成為專利的相關立法。 我國亦於87年，由經濟部智慧財產局發布『電腦軟體相關發明專利審查基準』。 電腦軟體之發明分為『物之發明』與『方法發明』，如圖4-4。依照『電腦軟體相關發明專利審查基準』，以電腦軟體與硬體結合型之發明專利，稱為『物之發明』 ；而以執行的步驟主張的稱為『方法發明』 。

11 4.2.3 專利與專利權 早期的觀念，將電腦軟體及各種電腦程式視為印刷品，電腦軟體的儲存媒體是無法申請專利的。然而在今日，儲存媒體因其中之軟體與電腦之互動，具有實際之交互作用，也可以成為專利保護之標的物。 圖4-4 電腦軟體發明之分類

12 4.2.4 營業秘密與競業禁止 營業秘密 ( Trade Secret )是指不爲公衆所知悉，能爲權利人帶來經濟利益，具有實用性並對權利人採取保密措施的技術資訊和經營資訊。例如，可口可樂配方、Microsoft Windows 原始程式碼等。 我國於民國85年，通過『營業秘密法』，依據營業秘密法第2條規範，營業秘密係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件者： 非一般涉及該類資訊之人所知者。 因其秘密性而具有實際或潛在之經濟價值者。 所有人已採取合理之保密措施者。 以上為營業秘密之三要件：具有未普及知悉、具有經濟價值、與具有私密性。依照上述的規定，例如，眾所週知的製作冰淇淋之方法，並無法取得營業秘密權。

13 4.2.4 營業秘密與競業禁止 營業秘密可分為，『技術機密』與『商業機密』。技術機密偏向於經研究、設計、製造而成，屬於技術性之秘密。例如，製造晶片之特別處理程序，可以提高製程良率者屬於此類機密。商業機密，則是凡涉及與商業經營有關之資料。例如，商業客戶往來資料、下一代手機之樣式與價格資料等，屬於商業機密。 營業秘密法屬於民法之特別法，無刑責處罰，營業秘密權是對營業秘密製造者或創造者的保護措施。是給予一種低度的保護措施，營業秘密所有人可以禁止他人用不正當手段取得營業秘密。但是用正當手段取得相同技術內容時，營業秘密法並沒有禁止。

14 4.2.4 營業秘密與競業禁止 所謂『競業禁止』是勞動者在勞動契約存續中，曾參與顧客、來源、製造、與銷售過程等機密，運用此機密對雇主可能會造成重大危險或損失。在勞動契約結束後，給予該勞動者禁止競業的義務。 換言之，就是員工在職期間，不能同時又提供資金、資訊、諮詢等資源該公司的競爭對手，損及該公司之利益。此外，員工離職後如果利用所知的營業秘密另行創業或是投靠原僱主的競爭對手，也將會造成公司一定的損害。因此，有些僱主透過僱傭契約，要求員工在離職後一定期間之內，不從事與其原任職相同的工作。

15 4.2.4 營業秘密與競業禁止 競業禁止的規範需要合理的範圍與時間，以免影響受雇者的生存權。如果規定十年都不能從事相關行業，禁止時間顯然過長，欠缺合理性。 另外，因為競業禁止的限制，受雇者往往受到損失，所以，也應有相關之措施。例如，在職期間薪水比較高，或離職後有補償措施。

16 4.3 網際網路相關的法律 本節介紹一些與網路相關的法律規範與議題，包含：電子簽章法、通訊保障及監察法、企業監聽、隱私權、與個人資料保護等。

17 4.3.1 電子簽章法 傳統上，依據我國民法的規範，僅承認以印章或簽名所做的簽章為合法的，在訂立契約時，需要蓋章或簽名後，才具有法律的效力。民法第三條第二項規定，『如有用印章代簽名者，其蓋章與簽名同等之效力』。 隨著網路交易時代的來臨，傳統的簽名或蓋章已經無法滿足當今社會的需求了。要建立一個值得信賴的網路交易環境，『電子簽章法』賦予電子文件和電子簽章的法律效力。 我國於2002年制定通過『電子簽章法』，以強化網路交易之安全性與完整性。電子簽章法的訂立，採用技術中立的原則，目前之電子簽章法僅規範數位簽章技術 (Digital Signature)。數位簽章，是指將電子文件以數學演算法或其它方式運算為一定長度之資料，再以簽署人之私密金鑰對其加密，而形成的一種電子簽章，並得以公開金鑰加以驗證。

18 4.3.1 電子簽章法 電子簽章的簽章與驗證流程如下，如圖4-5： 傳送端的傳送者： 接收端的接收者：
傳送者將文件，經由雜湊函數處理後，產生訊息摘要。 接著將訊息摘要使用私密金鑰，利用公開金鑰簽章演算法做加密運算 (即是簽章)，以產生數位簽章。 傳送原始文件與數位簽章至接收端。 接收端的接收者： 接收原始文件與數位簽章。 將原始文件，以雜湊函數處理後，產生訊息摘要。 將傳送端之數位簽章，利用公開金鑰簽章演算法，經公開金鑰將之解密(解簽章)，產生訊息摘要。 將原始文件之訊息摘要與解簽章之訊息摘要比對，如果完全符合，表示文件由傳送方所傳送，沒有被修改過。

19 4.3.1 電子簽章法 圖4-5 電子簽章的簽章與驗證流程

20 4.3.1 電子簽章法 圖4-6，為我國政府憑證管理中心 (Government Certification Authority ; GCA ) 的入口網站，政府憑證管理中心負責簽發電子化政府相關業務之電子憑證，以利政府服務業務電子化之推展。 圖4- 6政府憑證管理中心

21 4.3.1 電子簽章法 在早期的網路股票交易業務，客戶只使用帳號與密碼，即可以完成股票下單交易。近年來，因木馬程式泛濫，帳號與密碼經常被駭客竊取，或有不削之股市交易員，冒用客戶名義下單，引發很多的交易糾紛。 電子簽章法通過後，電子簽章的應用具有法律效力，網路股市交易獲得更佳的保障，客戶使用自我保存之私密金鑰，進行下單交易，可減少很多網路冒名交易所產生之糾紛。

22 4.3.2 通訊保障及監察法 我國於民國 88 年公佈『通訊保障及監察法』，其目的是為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序所制訂的法律。 依通訊保障及監察法之規範，允許政府經法院核可下，以各種器材或方法截取他人通訊的行為，一般我們稱為 『監聽』，其範圍規範在該法第三條： 利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲音或其他信息之有線及無線電信。 郵件及書信。 言論及談話。

23 4.3.2 通訊保障及監察法 政府執法機關為追查人犯、掌握犯罪證據，可以取得法院許可後，對於特定對象監聽，取得重要證據。其立法目的係為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序而制定。 有些企業為了保護內部的營業秘密，監聽員工通訊與網路的資訊，並不在通訊保障及監察法之範圍，是否侵犯員工隱私權？ 依刑法的觀點，刑法第315條規範『無故開拆或隱匿他人之封緘信函、文書或圖畫者』。刑法315-1條也規範『無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者』。根據這兩條法規的重點在於「無故」，如果有正當理由則不在此限，因此企業主為了執行公司政策，維護公司的營業秘密，並不觸犯刑法315-1條。 此外，如果在電子佈告欄（BBS）或電子郵件網站上，網管人員為了滿足個人窺視目的而窺視他人的信件，則觸犯刑法315-1條。但刑法315-1條是屬於告訴乃論，被害者提出告訴，才會進入法律程序，檢察官不會主動偵辦。

24 4.3.3 隱私權與個人資料保護 隱私權 ( The Right of Privacy ) 是享受生活的權利與不受干擾的權利，也是個人對於自身事務相關資訊公開的權利，以保障個人之思想、情緒、與感受，不受非法侵犯。 隱私權是二十世紀才出現的法律概念，起源於美國。早期隱私權著重人格權不受侵犯，但資訊與網路發達以後，衍生出『資訊隱私權』觀念，資訊隱私權應屬於隱私權的延伸。 我國於民國84年完成『電腦處理個人資料保護法』 (簡稱個資法) 的立法，以保護個人的資訊隱私權。個資法第3條規範個人資料，『指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料』。 個資法規範之事業包括電信、徵信、醫院、學校、金融、證券、保險及大眾傳播等八種事業。

25 4.4 電腦鑑識與數位證據 隨這電腦科技的發展，與電腦相關的犯罪事件層出不窮，因此需要以科學方法有系統的收集與辨識犯罪證據，以便提供法庭參考。『 電腦鑑識 』( Computer Forensics ) 即是研究如何進行標準採集證據流程、將證據加以保存、進行分析、比對與還原事件等的科學，以呈現法庭做為偵辦案件之參考。 我國調查局於95年成立『資安鑑識實驗室』接受執法機關刑事與民事之鑑識要求。 對於電腦犯罪案件之偵辦，包含智慧財產竊取案件、企業機密外洩案件、經濟犯罪案件與網路犯罪案件等，其證據之收集需要有標準程序，如果只是根據電腦的入侵偵測紀錄或系統的log 紀錄，是不足以為證據的，因為此項紀錄是可以修改的，並不具有不可否認之特性。 關於電腦鑑識工作進行的流程，通常會先找律師，並尋求電腦鑑識專家的協助，以進行採證，經蒐集、檢驗分析後提出鑑識報告，電腦鑑識專家在法庭上擔任專家證人，證明數位證據是可靠的與可信賴的。

26 4.5 資訊倫理 『倫理』是人與人相處之間的規範與準則，是一種道德規範，與法律不一樣，違反法律，將會受到相關法條規定的懲誡，違反道德不一定會受到懲誡。例如，使用電子郵件，對收信者表現出不禮貌的稱呼與語氣，沒有尊重收信者的感受，這是違反資訊倫理 (Information Ethics)，但並不會接受法律的懲誡。 電腦與網路使用者，經常會有意或無意地侵犯他人隱私或權利，美國計算機倫理協會制定了『資訊十戒』，讓電腦使用者遵循相關禮儀與規範，以促進資訊社會人與人之間的和諧，資訊十戒的內容如下： 不可使用電腦傷害他人。 不可干擾他人在電腦上的工作。 不可偷看他人的檔案。 不可利用電腦偷竊財物。 不可使用電腦造假。 不可拷貝或使用未付費的軟體。 未經授權，不可使用他人的電腦資源。 不可侵佔他人的智慧成果。 在設計程式之前，先衡量其對社會的影響。 使用電腦時必須表現出對他人的尊重與體諒。

27 4.5 資訊倫理 例如，使用電腦網誌或部落格 (blog)，發表傷害他人之言論，是違反資訊倫理的行為；或使用 P2P 軟體，如圖 4-7，下載有版權之音樂或影片；或將自己購買的音樂與影片，放置於自己電腦之網路分享區，供其他人下載使用，這些都是違反資訊倫理，更是侵犯智慧財權的行為。 圖4-7 P2P 軟體從網路下載檔案

28 4.5 資訊倫理 我國教育部所建置的『台灣學術網路』 ( TANeT ) ，是以協助學生學習為目的，支援台灣地區學校及研究機構間之教學研究活動，互相分享資源並提供合作機會。台灣學術網路也提出使用網路的相關禮儀規範，並設置『網路規範與委員會』制定網路使用之規範。 該使用規範，提醒網路使用者要尊重智慧財產權，並呼籲學校應宣導校園網路使用者避免下列可能涉及侵害智慧財產權之行為： 使用未經授權之電腦程式。 違法下載、拷貝受著作權法保護之著作。 未經著作權人之同意，將受保護之著作上傳於公開之網站上。 BBS或其他線上討論區上之文章，經作者明示禁止轉載，而仍然任意轉載。 架設網站供公眾違法下載受保護之著作。 其他可能涉及侵害智慧財產權之行為。

29 4.5 資訊倫理 此外，教育部並訂立規範禁止濫用網路系統，呼籲網路使用者不得從事下列之行為： 散布電腦病毒或其他干擾或破壞系統機能之程式。
擅自截取網路傳輸之訊息。 以破解、盜用或冒用他人帳號及密碼等方式，未經授權使用網路資源，或無故洩漏他人之帳號及密碼。 無故將帳號借予他人使用。 隱藏帳號或使用虛假帳號。但經明確授權得匿名使用者不在此限。 窺視他人之電子郵件或檔案。 以任何方式濫用網路資源，包括以電子郵件大量傳送廣告信、連鎖信或無用之信息，或以灌爆信箱、掠奪資源等方式，影響系統之正常運作。 以電子郵件、線上談話、電子佈告欄（BBS）或類似功能之方法散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。 利用學校之網路資源從事非教學研究等相關之活動或違法行為。