書一開就開宗明義講說，我們是管資訊安全的，不是管法律，也許會接觸到相關資訊，請全權交由專業律師顧問處理!

法律是保障懂法律的人! 我要至少要知道跟資訊相關的條文。

參考資訊安全與法律特訓教材

一樣先上個架構圖
https://coggle.it/diagram/W69jugWWyfzNI6XC/t/laws-and-regulations/86064ce06bebb30598dba601cb57dd17142c32fe7893f0928ab8575fb927a095

資訊所有權

Intellectual property right(IPR) , 智慧財產權

Patent 專利

效力最強

Trademark 商標

較難制定各國有所不同

Copyright 著作權

相較專利舉證不易，但不需要申請，年限較長

Trade secret 營業秘密

不能公開，不用申請，沒有年限

Privacy 隱私權

不算在智財權內
近期大家最關注的議題就是隱私權了，大數據AI分析技術的進步，可以在廣告上取得相當大的利益，所以各公司從種方式收集

網頁

GDPR的關係，很多網頁都增加這個告示

手機操作

可以拿來做人流分析

收信內容

Google再也不會偷看你的郵件來投放廣告

資訊安全處理步驟

分類 - 區分輕重、類型(惡意、駭客、意外)做通報(需通報組織管理後由上層決定治安單位介入
調查 - 鑑識、收集證據(Chain of Custody監管鍊 - 確保證據值得信任)，確定問題來龍去脈
隔離 - 避免擴散或維護完整爭取調查時間
分析 - 找出root cause
復原 - 恢復(避免破壞證據)並紀錄(避免之後再發生)，消除疑慮建立信心

OECD->GDPR

https://eugdpr.org/the-process/how-did-we-get-here/
GDPR是由OECD演進，因為發現各公司濫用收集到的個資，因此訂了一個相當嚴苛的規則，有幾個重點

1. 擴大適用範圍
2. 擴大個資定義
3. 明確當事人同意
4. 加重企業責任
5. 強化當事人權利
6. 限制個資跨境傳輸

參考https://www.ndc.gov.tw/Content_List.aspx?n=49C4A38DD9249E3E

APEC-亞太經濟合作會議隱私權保護架構

PCI-DSS 支付卡產業資料安全標準

因為不是法律條款，違背不會入獄，但是會被經濟處罰或取消資格

2017鐵人賽的前輩有介紹
https://ithelp.ithome.com.tw/articles/10186307
控制目標要求

1. 安裝並維護防火牆配置以保護持卡人數據
2. 不要將供應商提供的默認值用於系統密碼和其他安全性參數
3. 保護存儲的持卡人數據
4. 加密持卡人數據在開放的公共網絡上的傳輸
5. 使用並定期更新防病毒軟件
6. 開發和維護安全的系統和應用程序
7. 根據業務需要限制對持卡人數據的訪問
8. 為具有計算機訪問權限的每個人分配唯一的ID
9. 限制對持卡人數據的物理訪問
10. 跟踪和監控對網絡資源和持卡人數據的所有訪問
11. 定期測試安全系統和流程
12. 維護一項解決所有人員信息安全的政策

資訊相關刑法

刑法　第359條
無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。
第 362 條
製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之罪，致生損害
於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以下罰
金。
刑法　第363條
第三百五十八條至第三百六十條之罪，須告訴乃論。

營業秘密法 Trade Secrets Act

第 13-1 條
意圖為自己或第三人不法之利益，或損害營業秘密所有人之利益，而有下
列情形之一，處五年以下有期徒刑或拘役，得併科新臺幣一百萬元以上一
千萬元以下罰金：
一、以竊取、侵占、詐術、脅迫、擅自重製或其他不正方法而取得營業秘
密，或取得後進而使用、洩漏者。
二、知悉或持有營業秘密，未經授權或逾越授權範圍而重製、使用或洩漏
該營業秘密者。
三、持有營業秘密，經營業秘密所有人告知應刪除、銷毀後，不為刪除、
銷毀或隱匿該營業秘密者。
四、明知他人知悉或持有之營業秘密有前三款所定情形，而取得、使用或
洩漏者。

案例: 離職工程師涉洩密陸科技公司 台積捍衛營業秘密從不寬容

美國:經濟間諜法Economic Espionage Act of 1996