资讯安全法律与伦理.ppt

资讯安全法律与伦理资讯安全法律与伦理4.1 前言前言n n資訊與網路發達的時代，在享受方便之餘卻也帶來許多網資訊與網路發達的時代，在享受方便之餘卻也帶來許多網路犯罪的問題。例如，透過部落格張貼與引用他人的資料，路犯罪的問題。例如，透過部落格張貼與引用他人的資料，可能在無意間觸犯了法令可能在無意間觸犯了法令 違反智慧財產權相關的法律。違反智慧財產權相關的法律。利用網路與資訊科技處理個人資料，也需要小心謹慎，以利用網路與資訊科技處理個人資料，也需要小心謹慎，以免觸犯相關法令。免觸犯相關法令。n n由於網路的興起，促使相關的法令也應運而生，例如，由於網路的興起，促使相關的法令也應運而生，例如，電子簽章法的立法與推動，賦予電子簽章的法律效力，電子簽章法的立法與推動，賦予電子簽章的法律效力，有利於電子商務的發展。有利於電子商務的發展。n n在網路上進行交易行為，例如購買股票，當買賣雙方有了在網路上進行交易行為，例如購買股票，當買賣雙方有了交易爭議時，單單依靠交易交易爭議時，單單依靠交易log log 紀錄並不能當做法律證據，紀錄並不能當做法律證據，但如果有交易的電子簽章則可以作為法律之證據。但如果有交易的電子簽章則可以作為法律之證據。n n美國計算機倫理協會制定了美國計算機倫理協會制定了資訊十戒資訊十戒，提醒每一位資，提醒每一位資訊科技的使用者要遵循相關的禮儀規範。訊科技的使用者要遵循相關的禮儀規範。2 24.2 智慧財產權智慧財產權 n n智慧財產權智慧財產權(Intellectual Property Right(Intellectual Property Right；IPRIPR），如），如圖圖 4-1 4-1，包括商標權、專利權、著作權與營業秘密法等，包括商標權、專利權、著作權與營業秘密法等，是透過立法以保護這些人類精神智慧的產物，賦予創作人是透過立法以保護這些人類精神智慧的產物，賦予創作人專屬享有之權利。專屬享有之權利。圖4-1智慧財產分類3 34.3 著作權著作權n n著作權著作權(Literary Property)(Literary Property)是為保護著作者的權益，是為保護著作者的權益，不被非授權複製與使用。原則上，著作者完成著作時即取不被非授權複製與使用。原則上，著作者完成著作時即取得著作權，不需要任何形式之申請與聲明。著作權不分年得著作權，不需要任何形式之申請與聲明。著作權不分年齡，任何年紀完成之作品均享有著作權。例如圖齡，任何年紀完成之作品均享有著作權。例如圖4-24-2，完，完成一篇文章即擁有著作權。成一篇文章即擁有著作權。圖4-2 完成一篇文章即擁有著作權4 44.3 著作權著作權n n當消費者購買了一幅畫，他當消費者購買了一幅畫，他(她她)並不擁有著作權，消費並不擁有著作權，消費者僅擁有這一幅畫的物權，不可以複製，但可以轉售。者僅擁有這一幅畫的物權，不可以複製，但可以轉售。另外，員工受雇於公司，在工作中所開發完成的軟體程式，另外，員工受雇於公司，在工作中所開發完成的軟體程式，其著作權是屬於雇主，並不屬於開發程式的員工。其著作權是屬於雇主，並不屬於開發程式的員工。n n著作權分為著作人格權與著作財產權，如圖著作權分為著作人格權與著作財產權，如圖4-34-3。著作人格權即是著作人就其著作享有公開發表之權利。著著作人格權即是著作人就其著作享有公開發表之權利。著作財產權是作品重製、表演、播送、散佈等權利。著作人作財產權是作品重製、表演、播送、散佈等權利。著作人格權隨著作者死亡而消滅，著作財產權則存續於著作者生格權隨著作者死亡而消滅，著作財產權則存續於著作者生存期間以及其死亡後五十年。存期間以及其死亡後五十年。圖4-3 著作權的分類5 54.3 著作權著作權n n個人購買版權軟體或合法個人購買版權軟體或合法MP3 MP3 音樂，個人可使用在音響音樂，個人可使用在音響播放，也可複製在隨身聽上播放，這是屬於合理使用原則。播放，也可複製在隨身聽上播放，這是屬於合理使用原則。但如果將但如果將MP3 MP3 分享給別人使用，就違反著作權法。分享給別人使用，就違反著作權法。n n另外，購買合法版權的電腦軟體，僅能安裝在一部電腦上另外，購買合法版權的電腦軟體，僅能安裝在一部電腦上使用，如果多部電腦都安裝同一套授權軟體，並不是合理使用，如果多部電腦都安裝同一套授權軟體，並不是合理使用範圍。使用範圍。n n如果擅自以重製之方法侵害他人之著作財產權者，依照著如果擅自以重製之方法侵害他人之著作財產權者，依照著作權法第作權法第9191條規定，處三年以下有期徒刑、拘役，或科或條規定，處三年以下有期徒刑、拘役，或科或併科新台幣七十五萬元以下罰金。併科新台幣七十五萬元以下罰金。6 64.2.2 商標與商標權商標與商標權n n商標商標(Trademark)(Trademark)是使用文字、標語、和標誌，去辨識是使用文字、標語、和標誌，去辨識公司、個人、產品、或服務，主要目的在使其商品或服務公司、個人、產品、或服務，主要目的在使其商品或服務獲得肯定，達到經濟效益，並阻止假冒相同或類似標記，獲得肯定，達到經濟效益，並阻止假冒相同或類似標記，不正當之競爭。商標註冊後，商標註冊人享有商標專用權，不正當之競爭。商標註冊後，商標註冊人享有商標專用權，圖形為圖形為 ，表示某個商標經過註冊，並受法律之保，表示某個商標經過註冊，並受法律之保護。護。n n商標與專利不一樣，專利需要具有發明、新型及新式樣等商標與專利不一樣，專利需要具有發明、新型及新式樣等三種。商標是一個圖樣，或文字，或符號，或顏色，或聲三種。商標是一個圖樣，或文字，或符號，或顏色，或聲音。如果要行銷產品，要讓客戶看到我的標誌，就連想到音。如果要行銷產品，要讓客戶看到我的標誌，就連想到我的產品，這是商標。但因商標具有象徵的意義，因此就我的產品，這是商標。但因商標具有象徵的意義，因此就需要藉由商標法的保護，來讓相關的消費者在市場上能據需要藉由商標法的保護，來讓相關的消費者在市場上能據以識別其來源、品質及商譽。以識別其來源、品質及商譽。7 74.2.2 商標與商標權商標與商標權n n此外，同一類或類似商品不可與他人構成相同或近似的商此外，同一類或類似商品不可與他人構成相同或近似的商標名稱，也不可以他人著名的商標作為自己的商標名稱。標名稱，也不可以他人著名的商標作為自己的商標名稱。例如，德國愛迪達體育用品公司控告美國威名百貨銷售的例如，德國愛迪達體育用品公司控告美國威名百貨銷售的佩雷斯運動鞋有三條線，與愛迪達運動鞋商標類似，涉嫌佩雷斯運動鞋有三條線，與愛迪達運動鞋商標類似，涉嫌仿冒，非法使用其愛迪達商標。雖然佩雷斯運動鞋沒仿冒，非法使用其愛迪達商標。雖然佩雷斯運動鞋沒有使用三條線，但有時使用兩條線，有時使用四條線，與有使用三條線，但有時使用兩條線，有時使用四條線，與愛迪達商標類似，被愛迪達告上法院，美國法院判處佩雷愛迪達商標類似，被愛迪達告上法院，美國法院判處佩雷斯鞋業公司賠償愛迪達公司三億零五百萬美元。斯鞋業公司賠償愛迪達公司三億零五百萬美元。8 84.2.3 專利與專利權專利與專利權n n專利專利(Patent)(Patent)法是為鼓勵、保護、利用發明與創作，以法是為鼓勵、保護、利用發明與創作，以促進產業發展，所制定的法律。專利權是對發明授予的權促進產業發展，所制定的法律。專利權是對發明授予的權利，對專利權人之發明予以保護，保護權利在一段期間內利，對專利權人之發明予以保護，保護權利在一段期間內有效，一般期限為有效，一般期限為2020年。年。n n近代由於電腦軟體持續發展，其重要性與日俱增，歐美日近代由於電腦軟體持續發展，其重要性與日俱增，歐美日各國紛紛通過審查電腦軟體成為專利的相關立法。各國紛紛通過審查電腦軟體成為專利的相關立法。n n我國亦於我國亦於8787年，由經濟部智慧財產局發布電腦軟體相關年，由經濟部智慧財產局發布電腦軟體相關發明專利審查基準。發明專利審查基準。n n電腦軟體之發明分為物之發明與方法發明，如圖電腦軟體之發明分為物之發明與方法發明，如圖4-44-4。依照電腦軟體相關發明專利審查基準，以電腦。依照電腦軟體相關發明專利審查基準，以電腦軟體與硬體結合型之發明專利，稱為物之發明軟體與硬體結合型之發明專利，稱為物之發明 ；而；而以執行的步驟主張的稱為方法發明以執行的步驟主張的稱為方法發明 。9 94.2.3 專利與專利權專利與專利權n n早期的觀念，將電腦軟體及各種電腦程式視為印刷品，電早期的觀念，將電腦軟體及各種電腦程式視為印刷品，電腦軟體的儲存媒體是無法申請專利的。然而在今日，儲存腦軟體的儲存媒體是無法申請專利的。然而在今日，儲存媒體因其中之軟體與電腦之互動，具有實際之交互作用，媒體因其中之軟體與電腦之互動，具有實際之交互作用，也可以成為專利保護之標的物。也可以成為專利保護之標的物。圖4-4 電腦軟體發明之分類10104.2.4 營業秘密與競業禁止營業秘密與競業禁止n n營業秘密營業秘密(Trade Secret)(Trade Secret)是指不爲公衆所知悉，能爲權是指不爲公衆所知悉，能爲權利人帶來經濟利益，具有實用性並對權利人採取保密措施利人帶來經濟利益，具有實用性並對權利人採取保密措施的技術資訊和經營資訊。例如，可口可樂配方、的技術資訊和經營資訊。例如，可口可樂配方、Microsoft Windows Microsoft Windows 原始程式碼等。原始程式碼等。n n我國於民國我國於民國8585年，通過營業秘密法，依據營業秘密法年，通過營業秘密法，依據營業秘密法第第2 2條規範，營業秘密係指方法、技術、製程、配方、程條規範，營業秘密係指方法、技術、製程、配方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件者：左列要件者：非一般涉及該類資訊之人所知者。非一般涉及該類資訊之人所知者。因其秘密性而具有實際或潛在之經濟價值者。因其秘密性而具有實際或潛在之經濟價值者。所有人已採取合理之保密措施者。所有人已採取合理之保密措施者。n n以上為營業秘密之三要件：具有未普及知悉、具有經濟價以上為營業秘密之三要件：具有未普及知悉、具有經濟價值、與具有私密性。依照上述的規定，例如，眾所週知的值、與具有私密性。依照上述的規定，例如，眾所週知的製作冰淇淋之方法，並無法取得營業秘密權。製作冰淇淋之方法，並無法取得營業秘密權。11114.2.4 營業秘密與競業禁止營業秘密與競業禁止n n營業秘密可分為，技術機密與商業機密。技術機營業秘密可分為，技術機密與商業機密。技術機密偏向於經研究、設計、製造而成，屬於技術性之秘密。密偏向於經研究、設計、製造而成，屬於技術性之秘密。例如，製造晶片之特別處理程序，可以提高製程良率者屬例如，製造晶片之特別處理程序，可以提高製程良率者屬於此類機密。商業機密，則是凡涉及與商業經營有關之資於此類機密。商業機密，則是凡涉及與商業經營有關之資料。例如，商業客戶往來資料、下一代手機之樣式與價格料。例如，商業客戶往來資料、下一代手機之樣式與價格資料等，屬於商業機密。資料等，屬於商業機密。n n營業秘密法屬於民法之特別法，無刑責處罰，營業秘密權營業秘密法屬於民法之特別法，無刑責處罰，營業秘密權是對營業秘密製造者或創造者的保護措施。是給予一種低是對營業秘密製造者或創造者的保護措施。是給予一種低度的保護措施，營業秘密所有人可以禁止他人用不正當手度的保護措施，營業秘密所有人可以禁止他人用不正當手段取得營業秘密。但是用正當手段取得相同技術內容時，段取得營業秘密。但是用正當手段取得相同技術內容時，營業秘密法並沒有禁止。營業秘密法並沒有禁止。12124.2.4 營業秘密與競業禁止營業秘密與競業禁止n n所謂競業禁止是勞動者在勞動契約存續中，曾參與顧所謂競業禁止是勞動者在勞動契約存續中，曾參與顧客、來源、製造、與銷售過程等機密，運用此機密對雇主客、來源、製造、與銷售過程等機密，運用此機密對雇主可能會造成重大危險或損失。在勞動契約結束後，給予該可能會造成重大危險或損失。在勞動契約結束後，給予該勞動者禁止競業的義務。勞動者禁止競業的義務。n n換言之，就是員工在職期間，不能同時又提供資金、資訊、換言之，就是員工在職期間，不能同時又提供資金、資訊、諮詢等資源該公司的競爭對手，損及該公司之利益。此外，諮詢等資源該公司的競爭對手，損及該公司之利益。此外，員工離職後如果利用所知的營業秘密另行創業或是投靠原員工離職後如果利用所知的營業秘密另行創業或是投靠原僱主的競爭對手，也將會造成公司一定的損害。因此，有僱主的競爭對手，也將會造成公司一定的損害。因此，有些僱主透過僱傭契約，要求員工在離職後一定期間之內，些僱主透過僱傭契約，要求員工在離職後一定期間之內，不從事與其原任職相同的工作。不從事與其原任職相同的工作。13134.2.4 營業秘密與競業禁止營業秘密與競業禁止n n競業禁止的規範需要合理的範圍與時間，以免影響受雇者競業禁止的規範需要合理的範圍與時間，以免影響受雇者的生存權。如果規定十年都不能從事相關行業，禁止時間的生存權。如果規定十年都不能從事相關行業，禁止時間顯然過長，欠缺合理性。顯然過長，欠缺合理性。n n另外，因為競業禁止的限制，受雇者往往受到損失，所以，另外，因為競業禁止的限制，受雇者往往受到損失，所以，也應有相關之措施。例如，在職期間薪水比較高，或離職也應有相關之措施。例如，在職期間薪水比較高，或離職後有補償措施。後有補償措施。14144.3 網際網路相關的法律網際網路相關的法律n n本節介紹一些與網路相關的法律規範與議題，包含：電子簽章法、通訊保障及監察法、企業監聽、隱私權、與個人資料保護等。15154.3.1 電子簽章法電子簽章法n n傳統上，依據我國民法的規範，僅承認以印章或簽名所做傳統上，依據我國民法的規範，僅承認以印章或簽名所做的簽章為合法的，在訂立契約時，需要蓋章或簽名後，才的簽章為合法的，在訂立契約時，需要蓋章或簽名後，才具有法律的效力。民法第三條第二項規定，如有用印章具有法律的效力。民法第三條第二項規定，如有用印章代簽名者，其蓋章與簽名同等之效力。代簽名者，其蓋章與簽名同等之效力。n n隨著網路交易時代的來臨，傳統的簽名或蓋章已經無法滿隨著網路交易時代的來臨，傳統的簽名或蓋章已經無法滿足當今社會的需求了。要建立一個值得信賴的網路交易環足當今社會的需求了。要建立一個值得信賴的網路交易環境，電子簽章法賦予電子文件和電子簽章的法律效力。境，電子簽章法賦予電子文件和電子簽章的法律效力。n n我國於我國於20022002年制定通過電子簽章法，以強化網路交年制定通過電子簽章法，以強化網路交易之安全性與完整性。電子簽章法的訂立，採用技術中立易之安全性與完整性。電子簽章法的訂立，採用技術中立的原則，目前之電子簽章法僅規範數位簽章技術的原則，目前之電子簽章法僅規範數位簽章技術(Digital (Digital Signature)Signature)。數位簽章，是指將電子文件以數學演算法。數位簽章，是指將電子文件以數學演算法或其它方式運算為一定長度之資料，再以簽署人之私密金或其它方式運算為一定長度之資料，再以簽署人之私密金鑰對其加密，而形成的一種電子簽章，並得以公開金鑰加鑰對其加密，而形成的一種電子簽章，並得以公開金鑰加以驗證。以驗證。16164.3.1 電子簽章法電子簽章法n n電子簽章的簽章與驗證流程如下，如圖電子簽章的簽章與驗證流程如下，如圖4-54-5：傳送端的傳送者：傳送端的傳送者：n n傳送者將文件，經由雜湊函數處理後，產生訊息摘要。傳送者將文件，經由雜湊函數處理後，產生訊息摘要。n n接著將訊息摘要使用私密金鑰，利用公開金鑰簽章演算接著將訊息摘要使用私密金鑰，利用公開金鑰簽章演算法做加密運算法做加密運算(即是簽章即是簽章)，以產生數位簽章。，以產生數位簽章。n n傳送原始文件與數位簽章至接收端。傳送原始文件與數位簽章至接收端。接收端的接收者：接收端的接收者：n n接收原始文件與數位簽章。接收原始文件與數位簽章。n n將原始文件，以雜湊函數處理後，產生訊息摘要。將原始文件，以雜湊函數處理後，產生訊息摘要。n n將傳送端之數位簽章，利用公開金鑰簽章演算法，經公將傳送端之數位簽章，利用公開金鑰簽章演算法，經公開金鑰將之解密開金鑰將之解密(解簽章解簽章)，產生訊息摘要。，產生訊息摘要。n n將原始文件之訊息摘要與解簽章之訊息摘要比對，如果將原始文件之訊息摘要與解簽章之訊息摘要比對，如果完全符合，表示文件由傳送方所傳送，沒有被修改過。完全符合，表示文件由傳送方所傳送，沒有被修改過。17174.3.1 電子簽章法電子簽章法圖4-5 電子簽章的簽章與驗證流程18184.3.1 電子簽章法電子簽章法n n圖圖4-64-6，為我國政府憑證管理中心，為我國政府憑證管理中心(Government (Government Certification Authority;GCA)Certification Authority;GCA)的入口網站，政府憑的入口網站，政府憑證管理中心負責簽發電子化政府相關業務之電子憑證，以證管理中心負責簽發電子化政府相關業務之電子憑證，以利政府服務業務電子化之推展。利政府服務業務電子化之推展。圖4-6政府憑證管理中心19194.3.1 電子簽章法電子簽章法n n在早期的網路股票交易業務，客戶只使用帳號與密碼，即在早期的網路股票交易業務，客戶只使用帳號與密碼，即可以完成股票下單交易。近年來，因木馬程式泛濫，帳號可以完成股票下單交易。近年來，因木馬程式泛濫，帳號與密碼經常被駭客竊取，或有不削之股市交易員，冒用客與密碼經常被駭客竊取，或有不削之股市交易員，冒用客戶名義下單，引發很多的交易糾紛。戶名義下單，引發很多的交易糾紛。n n電子簽章法通過後，電子簽章的應用具有法律效力，網路電子簽章法通過後，電子簽章的應用具有法律效力，網路股市交易獲得更佳的保障，客戶使用自我保存之私密金鑰，股市交易獲得更佳的保障，客戶使用自我保存之私密金鑰，進行下單交易，可減少很多網路冒名交易所產生之糾紛。進行下單交易，可減少很多網路冒名交易所產生之糾紛。20204.3.2 通訊保障及監察法通訊保障及監察法n n我國於民國我國於民國 88 88 年公佈通訊保障及監察法，其目的是年公佈通訊保障及監察法，其目的是為保障人民秘密通訊自由，不受非法侵害，並確保國家安為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序所制訂的法律。全，維護社會秩序所制訂的法律。n n依通訊保障及監察法之規範，允許政府經法院核可下，以依通訊保障及監察法之規範，允許政府經法院核可下，以各種器材或方法截取他人通訊的行為，一般我們稱為各種器材或方法截取他人通訊的行為，一般我們稱為 監聽，其範圍規範在該法第三條：監聽，其範圍規範在該法第三條：利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲音或其他信息之有線及無線電信。音或其他信息之有線及無線電信。郵件及書信。郵件及書信。言論及談話。言論及談話。21214.3.2 通訊保障及監察法通訊保障及監察法n n政府執法機關為追查人犯、掌握犯罪證據，可以取得法院許可後，對政府執法機關為追查人犯、掌握犯罪證據，可以取得法院許可後，對於特定對象監聽，取得重要證據。其立法目的係為保障人民秘密通訊於特定對象監聽，取得重要證據。其立法目的係為保障人民秘密通訊自由，不受非法侵害，並確保國家安全，維護社會秩序而制定。自由，不受非法侵害，並確保國家安全，維護社會秩序而制定。n n有些企業為了保護內部的營業秘密，監聽員工通訊與網路的資訊，並有些企業為了保護內部的營業秘密，監聽員工通訊與網路的資訊，並不在通訊保障及監察法之範圍，是否侵犯員工隱私權？不在通訊保障及監察法之範圍，是否侵犯員工隱私權？n n依刑法的觀點，刑法第依刑法的觀點，刑法第315315條規範無故開拆或隱匿他人之封緘信函、條規範無故開拆或隱匿他人之封緘信函、文書或圖畫者。刑法文書或圖畫者。刑法315-1315-1條也規範無故利用工具或設備窺視、條也規範無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者。根據這兩竊聽他人非公開之活動、言論、談話或身體隱私部位者。根據這兩條法規的重點在於無故，如果有正當理由則不在此限，因此企業條法規的重點在於無故，如果有正當理由則不在此限，因此企業主為了執行公司政策，維護公司的營業秘密，並不觸犯刑法主為了執行公司政策，維護公司的營業秘密，並不觸犯刑法315-1315-1條。條。n n此外，如果在電子佈告欄（此外，如果在電子佈告欄（BBSBBS）或電子郵件網站上，網管人員為了）或電子郵件網站上，網管人員為了滿足個人窺視目的而窺視他人的信件，則觸犯刑法滿足個人窺視目的而窺視他人的信件，則觸犯刑法315-1315-1條。但刑法條。但刑法315-1315-1條是屬於告訴乃論，被害者提出告訴，才會進入法律程序，檢條是屬於告訴乃論，被害者提出告訴，才會進入法律程序，檢察官不會主動偵辦。察官不會主動偵辦。22224.3.3 隱私權與個人資料保護隱私權與個人資料保護n n隱私權隱私權(The Right of Privacy)(The Right of Privacy)是享受生活的權利與是享受生活的權利與不受干擾的權利，也是個人對於自身事務相關資訊公開的不受干擾的權利，也是個人對於自身事務相關資訊公開的權利，以保障個人之思想、情緒、與感受，不受非法侵犯。權利，以保障個人之思想、情緒、與感受，不受非法侵犯。n n隱私權是二十世紀才出現的法律概念，起源於美國。早期隱私權是二十世紀才出現的法律概念，起源於美國。早期隱私權著重人格權不受侵犯，但資訊與網路發達以後，衍隱私權著重人格權不受侵犯，但資訊與網路發達以後，衍生出資訊隱私權觀念，資訊隱私權應屬於隱私權的延生出資訊隱私權觀念，資訊隱私權應屬於隱私權的延伸。伸。n n我國於民國我國於民國8484年完成電腦處理個人資料保護法年完成電腦處理個人資料保護法(簡稱簡稱個資法個資法)的立法，以保護個人的資訊隱私權。個資法第的立法，以保護個人的資訊隱私權。個資法第3 3條規範個人資料，指自然人之姓名、出生年月日、身分條規範個人資料，指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之康、病歷、財務情況、社會活動及其他足資識別該個人之資料。資料。n n個資法規範之事業包括電信、徵信、醫院、學校、金融、個資法規範之事業包括電信、徵信、醫院、學校、金融、證券、保險及大眾傳播等八種事業。證券、保險及大眾傳播等八種事業。23234.4 電腦鑑識與數位證據電腦鑑識與數位證據n n隨這電腦科技的發展，與電腦相關的犯罪事件層出不窮，隨這電腦科技的發展，與電腦相關的犯罪事件層出不窮，因此需要以科學方法有系統的收集與辨識犯罪證據，以便因此需要以科學方法有系統的收集與辨識犯罪證據，以便提供法庭參考。提供法庭參考。電腦鑑識電腦鑑識 (Computer Forensics(Computer Forensics)即是研究如何進行標準採集證據流程、將證據加以保存、即是研究如何進行標準採集證據流程、將證據加以保存、進行分析、比對與還原事件等的科學，以呈現法庭做為偵進行分析、比對與還原事件等的科學，以呈現法庭做為偵辦案件之參考。辦案件之參考。n n我國調查局於我國調查局於9595年成立資安鑑識實驗室接受執法機關年成立資安鑑識實驗室接受執法機關刑事與民事之鑑識要求。刑事與民事之鑑識要求。n n對於電腦犯罪案件之偵辦，包含智慧財產竊取案件、企業對於電腦犯罪案件之偵辦，包含智慧財產竊取案件、企業機密外洩案件、經濟犯罪案件與網路犯罪案件等，其證據機密外洩案件、經濟犯罪案件與網路犯罪案件等，其證據之收集需要有標準程序，如果只是根據電腦的入侵偵測紀之收集需要有標準程序，如果只是根據電腦的入侵偵測紀錄或系統的錄或系統的log log 紀錄，是不足以為證據的，因為此項紀錄紀錄，是不足以為證據的，因為此項紀錄是可以修改的，並不具有不可否認之特性。是可以修改的，並不具有不可否認之特性。n n關於電腦鑑識工作進行的流程，通常會先找律師，並尋求關於電腦鑑識工作進行的流程，通常會先找律師，並尋求電腦鑑識專家的協助，以進行採證，經蒐集、檢驗分析後電腦鑑識專家的協助，以進行採證，經蒐集、檢驗分析後提出鑑識報告，電腦鑑識專家在法庭上擔任專家證人，證提出鑑識報告，電腦鑑識專家在法庭上擔任專家證人，證明數位證據是可靠的與可信賴的。明數位證據是可靠的與可信賴的。2424資訊社會下資訊倫理的衝突凡是探索人類使用資訊行為對與錯的問題，都是資訊倫理25254.5 資訊倫理資訊倫理n n倫理是人與人相處之間的規範與準則，是一倫理是人與人相處之間的規範與準則，是一種道德規範，與法律不一樣，違反法律，將會受種道德規範，與法律不一樣，違反法律，將會受到相關法條規定的懲誡，違反道德不一定會受到到相關法條規定的懲誡，違反道德不一定會受到懲誡。例如，使用電子郵件，對收信者表現出不懲誡。例如，使用電子郵件，對收信者表現出不禮貌的稱呼與語氣，沒有尊重收信者的感受，這禮貌的稱呼與語氣，沒有尊重收信者的感受，這是違反資訊倫理是違反資訊倫理(Information Ethics)(Information Ethics)，但並不，但並不會接受法律的懲誡。會接受法律的懲誡。n n電腦與網路使用者，經常會有意或無意地侵犯他電腦與網路使用者，經常會有意或無意地侵犯他人隱私或權利，美國計算機倫理協會制定了資人隱私或權利，美國計算機倫理協會制定了資訊十戒，讓電腦使用者遵循相關禮儀與規範，訊十戒，讓電腦使用者遵循相關禮儀與規範，以促進資訊社會人與人之間的和諧，資訊十戒的以促進資訊社會人與人之間的和諧，資訊十戒的內容如下：內容如下：2626資訊十戒 不可使用電腦傷害他人。不可使用電腦傷害他人。不可干擾他人在電腦上的工作。不可干擾他人在電腦上的工作。不可偷看他人的檔案。不可偷看他人的檔案。不可利用電腦偷竊財物。不可利用電腦偷竊財物。不可使用電腦造假。不可使用電腦造假。不可拷貝或使用未付費的軟體。不可拷貝或使用未付費的軟體。未經授權，不可使用他人的電腦資源。未經授權，不可使用他人的電腦資源。不可侵佔他人的智慧成果。不可侵佔他人的智慧成果。在設計程式之前，先衡量其對社會的影響。在設計程式之前，先衡量其對社會的影響。使用電腦時必須表現出對他人的尊重與體諒。使用電腦時必須表現出對他人的尊重與體諒。27274.5 資訊倫理資訊倫理n n例如，使用電腦網誌或部落格例如，使用電腦網誌或部落格(blog)(blog)，發表傷害他人之，發表傷害他人之言論，是違反資訊倫理的行為；或使用言論，是違反資訊倫理的行為；或使用 P2P P2P 軟體，如圖軟體，如圖 4-74-7，下載有版權之音樂或影片；或將自己購買的音樂與，下載有版權之音樂或影片；或將自己購買的音樂與影片，放置於自己電腦之網路分享區，供其他人下載使用，影片，放置於自己電腦之網路分享區，供其他人下載使用，這些都是違反資訊倫理，更是侵犯智慧財權的行為。這些都是違反資訊倫理，更是侵犯智慧財權的行為。圖4-7 P2P 軟體從網路下載檔案28284.5 資訊倫理資訊倫理n n我國教育部所建置的台灣學術網路我國教育部所建置的台灣學術網路(TANeT)(TANeT)，是，是以協助學生學習為目的，支援台灣地區學校及研究機構間以協助學生學習為目的，支援台灣地區學校及研究機構間之教學研究活動，互相分享資源並提供合作機會。台灣學之教學研究活動，互相分享資源並提供合作機會。台灣學術網路也提出使用網路的相關禮儀規範，並設置網路規術網路也提出使用網路的相關禮儀規範，並設置網路規範與委員會制定網路使用之規範。範與委員會制定網路使用之規範。n n該使用規範，提醒網路使用者要尊重智慧財產權，並呼籲該使用規範，提醒網路使用者要尊重智慧財產權，並呼籲學校應宣導校園網路使用者避免下列可能涉及侵害智慧財學校應宣導校園網路使用者避免下列可能涉及侵害智慧財產權之行為：產權之行為：使用未經授權之電腦程式。使用未經授權之電腦程式。違法下載、拷貝受著作權法保護之著作。違法下載、拷貝受著作權法保護之著作。未經著作權人之同意，將受保護之著作上傳於公開之網站上。未經著作權人之同意，將受保護之著作上傳於公開之網站上。BBSBBS或其他線上討論區上之文章，經作者明示禁止轉載，而仍或其他線上討論區上之文章，經作者明示禁止轉載，而仍然任意轉載。然任意轉載。架設網站供公眾違法下載受保護之著作。架設網站供公眾違法下載受保護之著作。其他可能涉及侵害智慧財產權之行為。其他可能涉及侵害智慧財產權之行為。29294.5 資訊倫理資訊倫理n n此外，教育部並訂立規範禁止濫用網路系統，呼籲網路使用者不得從此外，教育部並訂立規範禁止濫用網路系統，呼籲網路使用者不得從事下列之行為：事下列之行為：散布電腦病毒或其他干擾或破壞系統機能之程式。散布電腦病毒或其他干擾或破壞系統機能之程式。擅自截取網路傳輸之訊息。擅自截取網路傳輸之訊息。以破解、盜用或冒用他人帳號及密碼等方式，未經授權使用網路資源，以破解、盜用或冒用他人帳號及密碼等方式，未經授權使用網路資源，或無故洩漏他人之帳號及密碼。或無故洩漏他人之帳號及密碼。無故將帳號借予他人使用。無故將帳號借予他人使用。隱藏帳號或使用虛假帳號。但經明確授權得匿名使用者不在此限。隱藏帳號或使用虛假帳號。但經明確授權得匿名使用者不在此限。窺視他人之電子郵件或檔案。窺視他人之電子郵件或檔案。以任何方式濫用網路資源，包括以電子郵件大量傳送廣告信、連鎖信以任何方式濫用網路資源，包括以電子郵件大量傳送廣告信、連鎖信或無用之信息，或以灌爆信箱、掠奪資源等方式，影響系統之正常運或無用之信息，或以灌爆信箱、掠奪資源等方式，影響系統之正常運作。作。以電子郵件、線上談話、電子佈告欄（以電子郵件、線上談話、電子佈告欄（BBSBBS）或類似功能之方法散布）或類似功能之方法散布詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。詐欺、誹謗、侮辱、猥褻、騷擾、非法軟體交易或其他違法之訊息。利用學校之網路資源從事非教學研究等相關之活動或違法行為。利用學校之網路資源從事非教學研究等相關之活動或違法行為。3030延伸學習健康保險可攜性與責任法案（HIPAA）與個人隱私權保護3131HIPAAn n美國國會在19968月通過健康保險可攜性與責任法案，其中規範資訊安全性與機密性，以及符合保護個人隱私的需求，並明定資訊系統應有的安全機制。如何在醫機構中進有效的醫資訊安全與隱私保護，讓與人員都有正常資訊管制法規與保護為的依據3232HIPAA的內容n n四大範疇：管程序管程序(Administrative Procedure)(Administrative Procedure)、實體防護實體防護(Physical Safeguards)(Physical Safeguards)、技術安全服務技術安全服務(Technical Security(Technical Security ServicesServices）、）、技術安全機制技術安全機制(Technical Security(Technical Security Mechanisms)Mechanisms)3333管程序 n n係指為保護資所採取的安全衡，並據此指定係指為保護資所採取的安全衡，並據此指定專責人員執資保護工作，並記載於正式文件專責人員執資保護工作，並記載於正式文件上。包含上。包含1212項規範：項規範：認證、聯盟間安全協議（為保障資料交換，需簽署保認證、聯盟間安全協議（為保障資料交換，需簽署保密合約）、應變計畫（使災害發生後能持續營運）、密合約）、應變計畫（使災害發生後能持續營運）、處理記錄的正式機制（資料處理的政策和程序，需登處理記錄的正式機制（資料處理的政策和程序，需登載於正式文件）、使用者權限、內部稽核、人員安全載於正式文件）、使用者權限、內部稽核、人員安全（由專責人員負責管制其它員工的授權程序、保留記（由專責人員負責管制其它員工的授權程序、保留記錄與建立離職後移除授權的程序）、安全組態管理錄與建立離職後移除授權的程序）、安全組態管理（測試安全機制、偵測病毒）、安全事件處理程序與（測試安全機制、偵測病毒）、安全事件處理程序與保留記錄、安全管理程序（建立、管理、監督與預防保留記錄、安全管理程序（建立、管理、監督與預防機制）、結束程序（員工離職時的正式文件指引，包機制）、結束程序（員工離職時的正式文件指引，包括更換門禁密碼、移除員工帳號）、安全訓練。括更換門禁密碼、移除員工帳號）、安全訓練。3434實體防護n n硬體防護目的在維護資完整性、機密性與有效性。n n硬體防護計有指定安全責任、媒體控管、實體使用控制（實體設施使用控制的政策和程序）及工作站管政策等四項3535技術安全服務 n n技術安全服務目的亦在維護資完整性、機密性與可用性，並包括保護、控制及監督使用資訊的程序。n n技術安全服務計有使用權限控制、稽核控制、授權控制、資確認及實體確認等五項3636技術安全機制 n n技術安全機制目的在建防範透過網未授權使用資作業的程序，主要有網控管一項，其內容包括：n n(i)完整性控制。n n(ii)訊息確認。n n(iii)使用權控制或加密。3737推動HIPAA：軟硬體支援技術n n實際推動實際推動HIPAAHIPAA的軟硬體要素可以包括：的軟硬體要素可以包括：電子化醫交與編碼標準電子化醫交與編碼標準(Transactions and Code(Transactions and Code Set,TCS)Set,TCS)：醫業者必須使用預先訂定的通訊與交：醫業者必須使用預先訂定的通訊與交的電子化交換標準。的電子化交換標準。隱私權規範：隱私權規定解釋在所有特定情況下，可隱私權規範：隱私權規定解釋在所有特定情況下，可以使用或公開個人醫資訊以使用或公開個人醫資訊(PHI)(PHI)；保護病患對自己醫；保護病患對自己醫資訊保密的權，並且讓他們可以控制資訊保密的權，並且讓他們可以控制PHIPHI的使用方的使用方式，以及公開的條件。式，以及公開的條件。安全規範：醫服務單位遵守法規的期限，範提供在安全規範：醫服務單位遵守法規的期限，範提供在電子化環境中保護電子化環境中保護PHIPHI的技術需求與運作程序。的技術需求與運作程序。唯一別碼：醫保健交使用四種別碼，用以唯一別碼：醫保健交使用四種別碼，用以別員工、醫計畫、業者及病患。各個醫保健機構別員工、醫計畫、業者及病患。各個醫保健機構將會有獨特的別碼，而且將會使用集中化的系統進將會有獨特的別碼，而且將會使用集中化的系統進分配與管。分配與管。3838延伸探討n n請分析關鍵報告中所使用的科技工具，對電請分析關鍵報告中所使用的科技工具，對電影情節所形成的因、果進行分析；影情節所形成的因、果進行分析；n n分析的內容圍繞以下幾個主題：分析的內容圍繞以下幾個主題：資訊安全、隱私、資訊素養、電腦犯罪、資訊倫理與資訊安全、隱私、資訊素養、電腦犯罪、資訊倫理與法律、道德法律、道德n n此為個人報告，請於此為個人報告，請於4/44/4前繳交至老師在系辦的前繳交至老師在系辦的信箱。信箱。3939