十四卷一期 2012年1月出刊

• 訂閱電子報
• 取消電子報
• 訂閱PDF版本電子報

本期內文

論雲端運算環境下的個人資料保護

黃于珊 律師

雲端運算(Cloud Computing)是目前最熱門的話題,尤其當2011年6月6日Apple公司在「全球研發者大會」(Apple Worldwide Developers Conference,WWDC)中發表眾所矚目的雲端服務iCloud後,除宣告「雲端服務」與「行動通訊」結合之新時代的來臨外,也將雲端運算服務推向另一波的高峰。然而,其中伴隨而來的「個人資料外洩」及「隱私權侵害」等問題也將因此更形嚴重,所以,如何兼顧資訊便利與個人資料保護將成為雲端運算服務下的重要議題。

壹、 雲端運算概述

雲端運算這個名詞最早是由Google與IBM所提出,他們在2007年10月建立藍雲全球資料中心,並開始在美國大學校園推廣雲端運算的計畫,希望能降低分散式運算技術在學術研究方面的成本,並為這些大學提供相關的軟硬體設備及技術支援,此後「雲端運算」一詞正式誕生(註1)

一、 雲端運算的定義

雲端運算其實有兩個面向:一個是雲端運算前端所提供的服務(Cloud Computing Services);另一個是雲端運算背後複雜的資訊技術(Cloud Computing Technologies),包括虛擬化以及自動化管理等技術(註2)。根據美國國家標準暨技術機構(US National Institutes of Standards & Technology, NIST)資訊科技實驗室(Information Technology Lab)在2011年1月發表的「定義雲端運算的草案(The NIST definition of cloud computing Draft)」記載:雲端運算是一種模式,能夠依照需求而方便的透過網路來存取已設定之共享運算資源池(如網路、伺服器、儲存裝置、應用程式和各類服務),同時可使用最少的管理工作或服務供應商互動,來達到迅速的配置與發佈(註3)

二、 雲端運算的服務模式

美國國家標準暨技術機構於前述文件,依雲端運算所提供的資訊服務內容,區分為下列三種類型(註4)

1. 軟體即服務(Software as a Service, SaaS):係透過網際網路提供商業應用軟體的一種新興服務模式。對使用者來說,其不需在個人電腦下載或安裝任何程式,即可透過瀏覽器存取雲端應用程式所提供的軟體功能與服務。且因服務提供商會進行軟體的管理和維護,因此該服務之使用者無須對軟體進行更新維護,而可降低管理的成本與負擔。以Salesforce為例,其客戶關係管理系統的硬體管理與軟體設定都是由Salesforce.com公司來負責,使用者只須存取Salesforce所提供的服務即可(註5),此外如Google應用程式、Microsoft Office Live、Facebook等,也都是屬於此種類型的雲端運算服務。

2. 平台即服務(Platform as a Service, PaaS):係透過雲端基礎設施資源,支援不同功能的雲端應用,並透過整合的應用程式介面(Application Programming Interface, API),提供平台或服務解決方案。使用者可利用雲端伺服器平台開發、測試、部署及使用其所需的應用程式,而無須管理或控制雲端設備(包含網路設備、伺服器等)及作業系統,故能有效降低軟硬體底層架構之採購及管理成本。以Google App Engine為例,其在雲端提供程式設計平台,程式設計者只要透過網路連到該網址,即可在該平台上開發及執行他們所擁有的程式,此外如Windows Azure平台也是屬此種類型的雲端運算服務。

3. 架構即服務(Infrastructure as Service: IaaS):又稱為「公用運算」(Utility Computing),係將運算、儲存及網路等資源虛擬轉化為標準服務,提供內外部使用者存取之用。使用者可租用處理器、儲存裝置、網路設備等基礎設施及服務,自行建置其作業平台,因此使用者不需管理基礎設施底層的雲端架構,但能掌控作業系統、儲存空間、網路元件及所部署的應用程式。其中,如Amazon Elastic Compute Cloud所提出的虛擬機器概念,用戶也可以選擇適合的硬體環境,再依其所選擇的方案來付費,此外,如IBM Trivoli Services Automation Manager、Amazon Web Service等也都是屬此種類型的雲端運算服務。

三、 雲端運算的部署模型

不論前述何種雲端運算服務類型,其皆可使用不同的部署方式,美國國家標準暨技術機構於前述文件,即依雲端運算之部署方式區分為下列四種類型(註6)

1. 公有雲端(Public cloud):係將雲端的基礎設備提供給一般民眾使用,其可透過網際網路共享單一服務供應商所提供的資源,並依其需求來付費使用,而無需自行投資建造資訊基礎建設。因此,公有雲端作為一般運算資源、資料存取或資訊服務平台的解決方案,既有彈性,又具備成本效益,惟其缺點為缺乏完整的控制資料、網路與安全等機制。

2. 私有雲端(Private cloud):係企業自行建置且使用的雲端運算環境,僅提供企業或組織內部成員來使用該雲端環境所提供的資源。因此,私有雲端不僅具備公有雲端有彈性、具備成本效益、適合提供資訊服務等優點,亦可提供更高的安全性。

3. 混合雲端(Hybrid cloud):係結合公有雲端及私有雲端的使用模式,除在企業內部建立並提供私有雲端服務外,也將部分資訊服務需求透過公有雲端來取得。

4. 社區雲端(Community cloud):係將雲端的基礎設備共享給一些組織和關注特定議題的特定團體來使用。

貳、 雲端運算與個人資料保護

一、 雲端運算對於個人資料安全之衝擊

1、 個人資料外洩

根據前述雲端運算的服務類型及部署模型可知,許多的資源與資訊將高度集中於雲端運算服務提供者,故其稍有不慎即可能造成大量資料(包含個人資料)的外洩,因此「個人資料外洩」係雲端運算關於個人資料安全的第一個衝擊。

一般而言,雲端運算服務造成個人資料外洩的原因可能有下列幾種:

(1) 外部駭客入侵雲端運算服務系統以竊取個人資料:Sony遊戲網路服務PlayStation Network與串流音樂服務Qriocity在2011年4月17至19日間遭駭客入侵,導致7,700萬名用戶的個人資料遭到竊取,即屬此類型。

(2) 雲端運算服務提供者內部管理不善,或是內部人員惡意的行為,造成個人資料的遺失或外洩:IBM公司受託管理美國醫療保險業者Health Net公司的資訊系統,卻不慎遺失9個包含會員個人資料的伺服器硬碟,即屬此類型。

(3) 使用者傳輸個人資料時,未採取安全的傳輸方式,致個人資料外洩,此問題在公有雲端將更加嚴重。

2、 非法蒐集個人資料

當使用者使用雲端運算服務中的「軟體即服務(SaaS)」時,將透過瀏覽器存取雲端應用程式所提供的軟體與服務,因此,雲端運算服務提供者即可透過這些軟體,未經使用者的同意,即逕行蒐集各該使用者的個人資料。其中著名的案例包括:Google公司的流動廣告子公司被指稱,涉嫌未經其用戶同意,即擅自透過手機廣告平台收集用戶的位置訊息,以及Apple公司的iphone手機,涉嫌未經其用戶同意,即透過其作業系統擅自搜集用戶的定位資訊。因此「非法蒐集個人資料」係雲端運算對於個人資料安全的第二個衝擊。

二、 依我國個人資料保護法規定分析相關案例

我國政府為因應社會對於隱私權保護之期待,已於2010年4月27日經立法院三讀通過「個人資料保護法」(以下簡稱「個資法」,施行日期尚待行政院定之),規範公務機關及非公務機關(包括任何自然人、法人或團體)對於個人資料之蒐集、處理及利用原則,以及因其違反相關規定,致個人資料遭不法蒐集、處理、利用時,所需負擔之民事、刑事及行政責任,並擴大對於個人資料的保護。

又由前述說明可知,雲端運算服務對於個人資料安全之衝擊,主要係以「個人資料外洩」以及「非法蒐集個人資料」為主,故本文僅以下列二個事例,說明依我國個資法之規定,當企業或個人涉及「個人資料外洩」或「非法蒐集個人資料」時,可能面對的法律風險以及因應之道,以作為相關業者預防及善後的參考。

1、 醫療保險業者Health Net公司遺失伺服器硬碟事件

美國知名的醫療保險業者Health Net公司係委託IBM公司負責該公司的資訊技術系統,2011年1月間Health Net公司接獲IBM公司通知,發現遺失了9個伺服器硬碟,當中存放該公司會員、員工與健康醫療供應商的姓名、住址、健康資訊、社會安全碼及金融資訊等個人資料將近兩萬筆。本事件主要涉及Health Net公司將用戶的個人資料儲存於IBM公司所提供的「私有雲端」時,所可能產生的「個人資料安全維護」相關問題,茲依我國個資法分析如下:

(1) Health Net公司會員、員工與健康醫療供應商的姓名、住址、健康資訊、社會安全碼及金融資訊等,皆屬個資法第2條第1款所規定之個人資料,因此這些資料的蒐集、處理及利用皆應受到個資法所規範。又其中的「健康資訊」若涉及醫療、基因、健康檢查等資料,則屬於個資法第6條第1項所規定的「特種資料」,原則上不得收集、處理或利用,而只有符合保險法第177-1條第1項(註7)規定之情形,且經本人書面同意後,才可以蒐集、處理或利用這些病歷、醫療、健康檢查之個人資料。

(2) IBM公司是受Health Net公司的委託來負責該公司的資訊技術系統,依個資法第4條之規定,IBM公司遺失伺服器硬碟致Health Net公司會員、員工與健康醫療供應商之個人資料可能外洩的行為,將視同Health Net公司的行為,因此,若Health Net公司會員、員工與健康醫療供應商的個人資料,因為這些硬碟的遺失而外洩,Health Net公司將需對此負擔損害賠償責任。

(3) 因為這些硬碟的遺失,可能導致Health Net公司會員、員工與健康醫療供應商之個人資料外洩之結果,因此Health Net公司應依個資法第12條之規定,應於查明後以適當方式通知這些會員、員工與健康醫療供應商,其中,「適當方式通知」依目前公告之個資法施行細則草案第18條係指,即時以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之,但通知需耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。且其「告知的內容」應包括個人資料被侵害之事實,及已採取之因應措施。

(4) 若Health Net公司會員、員工與健康醫療供應商的個人資料,因為這些硬碟的遺失而外洩,則依個資法第29條之規定,除非Health Net公司能證明其無故意或過失,否則即需對於上述會員、員工與健康醫療供應商負擔損害賠償任。又關於損害賠償金額,因被害人事實上很難證明其實際損害金額,個資法為保障被害人,特別在第28條第3項規定,可依侵害情節以每人每一事件新臺幣500元以上2萬元以下來計算損害賠償金額,此外,同法第28條第4項亦規定對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣2億元為限。因此,Health Net公司會員、員工與健康醫療供應商若無法證明其實際損害金額,可請求法院依侵害情節以每人新臺幣500元以上2萬元以下來計算損害賠償金額,同時Health Net公司之賠償總額係以新臺幣2億元為限。

(5) 又Health Net公司若要主張其對於該硬碟之遺失並無故意或過失,則須證明其對於「個資之安全維護」係符合個資法之相關規定,其第27條第1項規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏,其中,「適當之安全措施」依目前公告之個資法施行細則草案第9條應包括:(1)成立管理組織,配置相當資源;(2)界定個人資料之範圍;(3)個人資料之風險評估及管理機制;(4)事故之預防、通報及應變機制;(5)個人資料蒐集、處理及利用之內部管理程序;(6)資料安全管理及人員管理;(7)認知宣導及教育訓練;(8)設備安全管理;(9)資料安全稽核機制;(10)必要之使用紀錄、軌跡資料及證據之保存;(11)個人資料安全維護之整體持續改善。此外,金管會亦公佈有「保險業個資檔案安全維護計畫標準」,規定保險業保有個人資料檔案者,應指定專人(1)辦理安全維護事項,防止個資被竊取、竄改、毀損、滅失或洩露;(2)負責管理電腦設備,並加強安全防護措施;(3)管理儲藏個資檔案之磁碟、磁帶等媒體,並建立備援制度;(4)管理各項個資之建檔、更新、更正或刪除,同時,應建立個資檔案稽核制度。因此本案中,除非受Health Net公司委託的IBM公司已踐行前述安全維護規定,否則Health Net公司將被推定有過失,而需負擔損害賠償責任。

(6) 因Health Net公司所遺失的硬碟中包含其會員、員工與健康醫療供應商的個人資料,甚至可能包含醫療、基因、健康檢查等極為敏感的特種資料,一旦外洩即可能造成這些會員、員工與健康醫療供應商非常嚴重的損害,因此,不論是Health Net公司或是IBM公司都應踐行嚴格的「個資安全維護」計畫、指定專人或專責機關負責維護管理,並留下完整的紀錄與證據,否則一旦這些個人資料遭到外洩,將可能面臨巨額的損害賠償。

2、 Android瀏覽器漏洞遭駭客利用事件

英國資安專家Cannon於2010年11月發現,Android 2.2內建的瀏覽器可能會被用來竊取使用者的檔案,亦即當使用者開啟惡意網頁時,網頁會傳送惡意程式到SD記憶卡,而讓駭客可利用手機瀏覽器竊取手機SD記憶卡中存放的資料。雖然Cannon發現後馬上將該漏洞提報給Google公司,同時Google公司也承諾會在Android 2.3中修補該漏洞,但美國北卡羅萊州立大學電腦科學系的助理教授蔣旭憲(Xuxian Jiang)卻發現Android 2.3中的修補程式並沒有完全修好該漏洞,仍舊可以被繞道入侵,他們以Nexus S手機來實驗,發現仍然能夠開採該漏洞並竊取使用者資訊,包括可存取使用者在手機上安裝的應用程式列表,可上傳應用程式到遠端伺服器上,也能讀取或上傳使用者儲存於SD卡中的所有檔案。本事件主要涉利用「行動通訊設備」非法蒐集個人資料之相關問題,茲依我國個資法之規定分析如下:

(1) 駭客利用Android 瀏覽器漏洞所竊取的手機SD記憶卡資料,若不屬於「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」等個資法第2條第1款所規定之個人資料,則該駭客竊取資料的行為將與個資法無關。

(2) 然而,若該駭客所竊取的手機SD記憶卡資料,為個資法第2條第1款所規定之個人資料,甚至是「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料」,例如性愛照片、健康檢查報告等,則其竊取這些個人資料或特種資料的行為,將違反個資法第19條非公務機關對個資之蒐集或處理的規定或同法第6條不得蒐集、處理或利用特種資料之規定,除需依第29條之規定對於被害人負擔損害賠償責任外,中央目的事業主管機關或直轄市、縣(市)政府也可依第47條處新臺幣5萬元以上50萬元以下罰鍰,同時,還可能依第41條第1項之規定,被處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。

(3) Google公司所提供的Android 瀏覽器雖然存在安全上的漏洞,而讓駭客可藉此竊取手機SD記憶卡中存放的資料,然而因Google公司並沒有非法蒐集、處理或利用個人資料的行為,所以不會直接構成個資法的違反。但是若Google公司知悉該漏洞後,一直未提出具體的改善計畫,仍可能與竊取資料的駭客構成共同侵權行為,而需負擔損害賠償責任。

面對雲端運算環境下的新時代,企業除需更有效利用科技進步所帶來的資訊便利及龐大商機之外,更應積極規劃資訊安全保護策略,以及個人資料收集、處理、利用準則,以因應個資法的相關規範,獲得消費者的充分信任,才能如行雲流水般成功地推動各種雲端與行動商務模式,成為雲端運算時代的大贏家。

※ 註釋:

1.江政哲、張迺貞,初探雲端運算,http://ir.lib.ntnu.edu.tw/retrieve/20838/metadata_0108000_02_002.pdf (最後瀏覽日期:2012/1/12)

2.彭秀琴、張念慈,雲端運算下資訊安全之探討,http://www.cepd.gov.tw/dn.aspx?uid=9857(最後瀏覽日期:2012/1/12)

3.Could computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications. And services) that can be rapidly provisioned and released with minimal management effort or service provider interaction.

4.彭心儀、施明賢,雲端運算與隱私保護,http://www.sypeng.idv.tw/download.php?filename=63_b9c55d6f.pdf&dir=archive&title=%E9%9B%B2%E7%AB%AF%E9%81%8B%E7%AE%97%E8%88%87%E9%9A%B1%E7%A7%81%E4%BF%9D%E8%AD%B7 (最後瀏覽日期:2012/1/12)

5.蘇碩鈞,動態虛擬私人網路架構在私有雲之研究,大同大學資訊經營研究所碩士論文,民國一百年,第7頁。

6.戴言同,歐盟資訊與通訊技術政策與規範之研究─檢視我國雲端政策之問題,國立雲林科技大學科技法律研究所碩士論文,民國一百年,第37至38頁。

7.保險法第177-1條第1項:符合下列各款規定之一者,於經本人書面同意,得蒐集、處理或利用病歷、醫療、健康檢查之個人資料:一、依本法經營或執行業務之保險業、保險代理人、經紀人、公證人。二、協助保險契約義務之確定或履行而受保險業委託之法人。三、辦理爭議處理、車禍受害人補償業務而經主管機關許可設立之保險事務財團法人。

回到標題

方法及電腦可讀媒體請求項是否為專利適格標的之判斷方式—CyberSource Corporation v. Retail Decisions, Inc.案介紹

張玲誼

一、 前言

美國最高法院已於2010年6月28日對In re Bilski案作出判決(相關內容可參考本所智慧財產權實務報導2010年12月號刊之「由美國最高法院對於In re Bilski案之判決審視專利適格標的判斷方式」一文),認定該案系爭之專利請求的方法是一抽象概念(abstract idea)而不符合美國專利法第101條之規定,即不為專利適格標的。美國聯邦巡迴上訴法院(United States Court of Appeals for the Federal Circuit,下稱CAFC)於2011年8月16日對CyberSource Corporation v. Retail Decisions, Inc.案所作出的判決中,即根據上述最高法院之判決來判斷本案所請求的方法是否為專利適格標的,並據此來判斷本案所請求的電腦可讀媒體是否為專利適格標的。本文針對CyberSource Corporation v. Retail Decisions, Inc.案的判決內容作一簡介,以供了解方法及電腦可讀媒體是否為專利適格標的之判斷方式。

二、 案情簡介

CyberSource公司(下稱CyberSource)所擁有的美國專利第6029154號(下稱’154專利)請求一種用於偵測透過網際網路於消費者與銷售者間信用卡交易之詐欺的方法及系統。’154專利的說明書說明習知的信用卡詐欺偵測系統通常依賴帳單地址及個人認證資訊,在面對面之交易及銷售者實際運送包裹到消費者地址之交易之情形下可運作良好,然而對於所購買的產品是可下載的內容之線上銷售而言,地址和認證資訊並不足以驗證購買物品的消費者是信用卡的實際擁有者。’154專利藉由使用網際網路位址資訊(IP位址、MAC位址、電子郵件位址等),來決定相關於特定交易的網際網路位址是否與利用相同信用卡的交易中所使用的其它網際網路位址一致,以解決此問題。

CyberSource於2004年8月11日對Retail Decisions有限公司(下稱Retail Decisions)提起侵害’154專利的訴訟。之後,Retail Decisions提出’154專利的單造複審(ex parte reexamination),且在美國專利商標局(Patent and Trademark Office,下稱PTO)進行審查時,地方法院暫停進行訴訟程序。在PTO於2008年8月5日對已修正請求項的’154專利重新發證(reissue)後,地方法院繼續進行訴訟程序。在CAFC於2008年10月30日對In re Bilski案作出全院聯席判決(相關內容可參考本所智慧財產權實務報導2009年5月號刊之「由In re Bilski案審視美國之專利適格標的判斷方式」一文)之後,Retail Decisions提出基於美國專利法第101條之專利無效的簡易判決請求。地方法院認定’154專利請求項第3項請求一種用於收集資料及給予數值權重的心智步驟(mental process),其不會因為將網際網路商務加入其中而變得具可專利性,且進一步認定’154專利請求項第2項僅附加「一種包含用於…之程式指令的電腦可讀媒體」到方法請求項係不足以使其由非專利適格之標的變為法定專利適格之標的,因此同意無效的簡易判決。

CyberSource於2009年4月上訴到CAFC。在最高法院同意審理In re Bilski案之後,CAFC同意CyberSource對於暫停進行訴訟程序的申請。在最高法院對In re Bilski案作出判決後,CAFC於2010年10月28日繼續進行訴訟程序,並於2011年8月16日作出判決。

三、 CAFC對於’154專利方法請求項之見解

(一) ’154專利請求項第3項之內容

在複審期間經修正後的’154專利請求項第3項請求「一種用於驗證透過網際網路的一信用卡交易之有效性的方法,包含以下步驟:

a) 獲得關於其它交易的資訊,該等其它交易利用與該信用卡交易相同的一網際網路位址;

b) 基於該等其它交易建立一信用卡號碼地圖;及

c) 利用該信用卡號碼地圖以決定該信用卡交易是否有效。」(註1)

CyberSource承認步驟(a)中所述的「網際網路位址」可以是例如用於該特定信用卡交易的IP位址或電子郵件位址,以及步驟(b)中所述的「信用卡號碼地圖」可以簡單地為關於一特定IP位址的信用卡交易列表。最後,步驟(c)並未限制請求項第3項到任何特定的詐欺偵測公式或數學演算法,而是廣泛地包括任何利用該信用卡號碼地圖以決定該信用卡交易是否有效的手段(means)。

(二) ’154專利請求項第3項不符合機器或轉換測試法的任何分支

CAFC首先利用其在In re Bilski案所選定的機器或轉換測試法(machine-or-transformation test)來判斷’154專利請求項第3項是否為專利適格標的,即其是否依附在一特定機器或裝置上,或其是否轉換一特定物品至另一狀態或事物。請求項第3項的方法僅收集及組織關於信用卡號碼及網際網路位址的資料,並不足以符合該測試法的「轉換」分支,且請求項第3項的文字亦沒有要求該方法由一特定機器或甚至一機器來執行。不管網際網路是否能被視為機器,顯然網際網路不可能執行請求項第3項的詐欺偵測步驟。請求項第3項也沒有要求侵權者使用網際網路來獲得資料。網際網路僅被描述為資料來源。CAFC之判例已認定,只包含資料收集之步驟不可能使非法定適格的請求項變成法定適格。

(三) ’154專利請求項第3項是不可專利的抽象概念

最高法院於In re Bilski案的判決中認定機器或轉換測試法不是決定一方法發明是否為專利適格標的之唯一測試法,即專利請求項不符合機器或轉換測試法並不表示就不符合專利法第101條之規定,因此CAFC繼續對’154專利請求項第3項進行分析。

最高法院的判決提出專利法第101條廣義專利適格原則的三種特定例外:自然法則(laws of nature)、物理現象(physical phenomena)及抽象概念,且闡明自然現象(即使剛被發現)、心智步驟及抽象智力觀念均是不可專利的,因為它們是科學及科技工作的基本工具。CAFC認為’154專利請求項第3項的方法步驟全部都能在人類心智內執行,或由人類使用筆和紙執行。請求項第3項沒有限制其範圍到任何特定的詐欺偵測演算法,且’154專利沒有揭露任何演算法。請求項第3項的寬廣範圍實質上延伸到基於使過去交易相關到一特定網際網路位址的資訊之任何偵測信用卡詐欺的方法,甚至到可在人類心智執行的方法。這種可由人類思想單獨執行的方法僅是抽象概念,且基於專利法第101條不屬專利適格標的。可全由人類心智執行的方法之所以不可專利,原因不在於請求心智步驟作為包含非心智步驟之方法的部分是錯誤的,而在於可全由人類心智執行的計算方法是實現科學及科技工作之基本工具的方法類型,這些基本工具是開放給所有人,而非保留給特定人。

四、 CAFC對於電腦可讀媒體請求項之見解

(一) ’154專利請求項第2項之內容

在複審期間經修正後的’154專利請求項第2項請求「一種包含用於偵測透過網際網路的一使用者與一銷售者間之一信用卡交易中的詐欺之程式指令的電腦可讀媒體,其中由一電腦系統的一或多個處理器執行該等程式指令使得該一或多個處理器實現以下步驟:

a) 獲得關於來自該使用者之交易的信用卡資訊;及

b) 基於多個參數的值,及認證該使用者且可指示該信用卡交易是否為詐欺的資訊,驗證該信用卡資訊;

其中該等參數間的每個值在驗證步驟中根據由銷售者所決定的該值對該信用卡交易的重要性被加權,以提供該銷售者該信用卡交易是否為詐欺的一可量化指示;

其中由一電腦系統的一或多個處理器執行該等程式指令使得該一或多個處理器還實現以下步驟:

[a] 獲得關於其它交易的資訊,該等其它交易利用與該信用卡交易相同的一網際網路位址;

[b] 基於該等其它交易建立一信用卡號碼地圖;及

[c] 利用該信用卡號碼地圖以決定該信用卡交易是否有效。」(註2)

雖然請求項第2項較請求項第3項包含更多之請求內容,但是從被強調的文字明顯可知請求項第2項請求一種包含用於執行請求項第3項方法之程式指令的電腦可讀媒體。

(二) ‘154專利請求項第2項被視為方法請求項來判斷是否為專利適格標的

不管請求項文義上屬於專利法第101條的方法、機器、製品及物之組成這些法定範疇中的哪一個,應根據真正的發明來判斷請求項是否為專利適格標的。在In re Abele案(註3)中,系爭專利的請求項第5項請求一種顯示資料的方法,包含以下步驟:計算兩個數字間的差異,及顯示該數值,請求項第7項請求一種用於顯示資料的裝置,包含用於計算兩個數字間之差異的手段及用於顯示該數值的手段。CAFC認定請求項第5項因請求抽象概念而不是專利適格標的。雖然請求項第7項文義上屬於一種裝置,但由於其寬廣及被功能性地定義的本質,將請求項第7項視為裝置請求項會讓其流於形式,因為其實際上是關於方法或功能系列本身,故CAFC將其視為方法請求項來進行專利法第101條的分析。因此,法院判定申請人有責任證明請求項實際上係關於有別於能執行相同功能之其它裝置的一特定裝置。

在In re Abele案之後的In re Alappat案(註4)中,CAFC認定一般而言,若程式化通用電腦以執行一演算法會「產生新的機器」,因為一旦通用電腦基於來自程式軟體的指令被程式化以執行特定功能,其實際上變成特定用途電腦。但這並非表示只請求使用電腦來執行可全由人類心智執行的演算法會落入In re Alappat案的規則中。

在本案中,CyberSource沒有盡到責任去證明’154專利請求項第2項實際上關於一特定電腦可讀媒體,而不是內含的信用卡詐欺偵測方法。因此,基於In re Abele案,僅管其電腦可讀媒體請求項的形式,CAFC仍將’154專利請求項第2項視為方法請求項來判斷是否為專利適格標的。

(三) ‘154專利請求項第2項不符合機器或轉換測試法的任何分支

CAFC認為’154專利請求項第2項所請求的方法以邏輯方式處理並組織資料,從而額外的詐欺測試可被執行。然而,只處理或重新組織資料並不符合機器或轉換測試法的「轉換」分支。因此,請求項第2項不符合轉換測試。

在In re Bilski案中,CAFC提到為了使一不可專利的方法因被連結到一機器而由非專利適格變成專利適格,該機器的使用必須加入有意義的限制到請求項範圍。換句話說,根據SiRF Tech., Inc. v. Int’l Trade Comm’n案(註5)的判決,機器必須在所請求方法的執行中扮演重要部分。在本案中,附帶使用電腦來執行’154專利請求項第3項的心智方法沒有加入充份有意義的限制於請求項範圍。因此,’154專利請求項第2項的電腦可讀媒體限制並未使不可專利的方法變成合於專利法第101條規定之專利適格。In re Abele案的判決闡明關於抽象概念之方法請求項的基本特性不會藉由只請求其由電腦執行而改變,或藉由請求該方法實現為電腦可讀媒體上之程式指令而改變。因此,單純請求以電腦軟體實施原可不使用電腦執行之純心智方法不符合機器或轉換測試法的「機器」分支。

(四) ‘154專利請求項第2項是不可專利的抽象概念

CAFC首先舉出幾個案件說明最高法院認定純心智方法即使由電腦執行仍可能是不可專利的。在Gottschalk v. Benson案(註6)中,最高法院認為程式化一通用電腦以轉換BCD數字為純二進位的方法請求項是不可專利的,不僅因為將BCD數字轉換為純二進位數字可由心智完成,且因為該方法是如此抽象且廣泛而涵蓋BCD至純二進位轉換的已知及未知使用。即使請求項第8項明確地請求使用電腦可讀媒體,包括諸如儲存BCD信號於一移位暫存器這種實體電腦記憶元件中的步驟,仍被認定為演算法除了與數位電腦連結之外沒有實質上的實際應用。因此,請求項第8項是關於不可專利的抽象概念。

在Gottschalk v. Benson案之後的Parker v. Flook案(註7)及In re Bilski案中,最高法院認定其它方法請求項因為關於抽象概念而基於專利法第101條是無效的。在這樣的認定中,最高法院並未表示,可藉由只要求一電腦來執行該方法,或藉由請求包含用於執行該方法之程式指令的電腦可讀媒體,來避免該等方法請求項基於專利法第101條的無效性。

CAFC接著舉出幾個必須使用電腦來執行所請求方法的案件。在SiRF Tech., Inc. v. Int’l Trade Comm’n案中,CAFC認定用於計算一GPS接收器之絕對位置及接收到衛星訊號之絕對時間的方法請求項係為專利適格標的,因該方法不能不由機器執行,且沒有證據證明計算可全由人類心智執行。

在Research Corp. Techs v. Microsoft Corp.案(註8)中(相關內容可參考本所智慧財產權實務報導2011年1月號刊之「由RCT v. Microsoft案續論美國專利法第101條爭議—Bilski案最高法院判決後第一個關於專利標的適格性的CAFC判決介紹」一文),CAFC確認所請求的用於藉由逐一畫素比對一數位影像與一藍雜訊遮罩產生該數位影像之一半色調影像之方法的可專利性。因為該方法要求處理電腦資料結構(例如數位影像之像素及已知為遮罩之二維陣列)及輸出經修改的電腦資料結構(半色調數位影像),該方法不可能全由人類心智執行。

在本案中,CAFC認為顯然可以心智地執行’154專利請求項第2、3項內含的詐欺偵測方法,因為該方法只包括以下步驟:獲得關於利用網際網路位址之信用卡交易的資訊,及以某種未定義的方式使用該資訊以決定信用卡交易是否有效。因為請求項第2、3項企圖獲取不可專利的心智步驟(即抽象概念),它們依專利法第101條規定是無效的。

五、 結論

CyberSource Corporation v. Retail Decisions, Inc.案的判決重申最高法院於In re Bilski案中對於方法請求項的判斷方式,即方法請求項沒有落入專利法第101條廣義專利適格原則的三種特定例外(自然法則、物理現象及抽象概念)時才屬專利適格標的,且認定電腦可讀媒體請求項的真正發明在於方法,應以方法請求項的判斷方式來判斷電腦可讀媒體內含的方法是否為專利適格標的,若是,則電腦可讀媒體是專利適格標的,否則電腦可讀媒體不是專利適格標的。因此,專利申請人應注意方法請求項及電腦可讀媒體請求項之撰寫方式,讓其內含的方法沒有落入上述三種特定例外,以避免因為該方法被認定為是不可專利的而導致該方法請求項及該電腦可讀媒體請求項被認定為不是專利適格標的。

※註釋:

1.A method for verifying the validity of a credit card transaction over the Internet comprising the steps of:

a) obtaining information about other transactions that have utilized an Internet address that is identified with the credit card transaction;

b) constructing a map of credit card numbers based upon the other transactions; and

c) utilizing the map of credit card numbers to determine if the credit card transaction is valid.

2.A computer readable medium containing program instructions for detecting fraud in a credit card transaction between a consumer and a merchant over the Internet, wherein execution of the program instructions by one or more processors of a computer system causes the one or more processors to carry out the steps of:

a) obtaining credit card information relating to the transactions from the consumer; and

b) verifying the credit card information based upon values of plurality of parameters, in combination with information that indentifies the consumer, and that may provide an indication whether the credit card transaction is fraudulent;

wherein each value among the plurality of parameters is weighted in the verifying step according to an importance, as determined by the merchant, of that value to the credit card transaction, so as to provide the merchant with a quantifiable indication of whether the credit card transaction is fraudulent;

wherein execution of the program instructions by one or more processors of a computer system causes that one or more processors to carry out the further steps of:

[a] obtaining information about other transactions that have utilized an Internet address that is identified with the credit card transaction;

[b] constructing a map of credit card numbers based upon the other transactions; and

[c] utilizing the map of credit card numbers to determine if the credit card transaction is valid.

3.In re Abele, 684 F.2d 902 (CCPA 1982).

4.In re Alappat, 33 F.3d 1526, 1545 (Fed. Cir. 1994).

5.SiRF Tech., Inc. v. Int’l Trade Comm’n, 601 F.3d 1319, 1333 (Fed. Cir. 2010).

6.Gottschalk v. Benson, 409 U.S. 63, 67 (1972).

7.Parker v. Flook, 437 U.S. 584 (1978).

8.Research Corp. Techs v. Microsoft Corp., 627 F.3d 859 (Fed. Cir. 2010).

回到標題

 

聖島國際法律事務所

TEL:(02)2775-1823 FAX:(02)8773-6131 ADD:台北市松山區南京東路三段248號12樓之2
E-mail:siiplo@mail.saint-island.com.tw
Web-Site:www.saint-island.com.tw

聖島國際專利商標聯合事務所

TEL:(02)2775-1823 FAX:(02)2740-2810 ADD:台北市松山區南京東路三段248號11樓之1
E-mail:siiplo@mail.saint-island.com.tw
Web-Site:www.saint-island.com.tw
台北所 台中所 台南所 嘉義聯絡處 高雄所
TEL:(02)7702-8299 TEL:(04)2328-8218 TEL:(06)274-2266 TEL:(05)285-1586 TEL:(07)216-3721
FAX:(02)7702-8289 FAX:(04)2328-8318 FAX:(06)238-0527 FAX:(05)285-1595 FAX:(07)216-2588

ADD:台北市中山區敬業一路99號2樓

ADD:台中市臺灣大道二段220號32樓

ADD:台南市裕農路375號6樓

ADD:嘉義市垂楊路505號6樓之1

ADD:高雄市中正四路211號14樓之1