無所不在的間諜軟體

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

加拿大隱私專員辦公室（Office of the Privacy Commissioner of Canada, OPC）於2026年2月10日，更新《個人資訊保護與電子文件法》（the Personal Information Protection and Electronic Documents Act, PIPEDA）的解釋公告（Interpretation Bulletin），於該解釋公告中OPC將「神經資料」（neural data）與健康、財務、基因及生物識別資料並列，正式納入PIPEDA意義下的敏感資訊（sensitive information）清單中，賦予更高程度的保護。 其中，神經資料被列為敏感資訊的可能原因為以下： 1.深度私密性：神經資料有深度私密性，其可能揭露當事人不自知或不預期揭露的健康狀況、認知狀態或情緒反應。 2.不可變更性：不同於密碼可以重置或信用卡號可以更換，大腦的神經模式一旦外洩無法重置或輕易更換。 神經資料被列為敏感資訊後會有更高程度的保護要求包括： 1.強化同意要求：在加拿大PIPEDA的架構下，資料的敏感性直接決定了蒐集方式。對於神經資料，組織必須獲得更充分且具實質意義的明示同意，不能僅依賴默示同意，為獲得有意義的同意，組織必須嚴格定義使用目的。 2.提升安全防護的等級：法律要求安全防護措施必須與資料的敏感度成正比。由於神經資料被列為高度敏感，組織必須採取較高等級的安全保護措施。 3.風險評估標準：在發生資料外洩時，資料的「敏感性」是評估是否構成「重大損害風險」的關鍵因素。將神經資料列為敏感資訊，意味著涉及此類資料的外洩事件將面臨更嚴格的通報與法律責任。 總結而言，加拿大將神經資料列為敏感資訊，標誌著法律監管從傳統個資延伸到了人類的意識領域，要求相關科技企業在開發監測專注力、疲勞或情緒的消費性產品時，必須承擔與醫療紀錄同等的法律責任與保護義務。

　　三月上旬甫於美國新奧爾良舉行的毒物學學會研討會，多數的論文將重點放在肺部暴露於奈米微粒的影響。例如來自美國太空總署休士頓太空中心的John T. James與其同僚，將奈米微粒噴入老鼠的呼吸道，於一週與三個月後再進行檢驗，結果發現儘管類似煤煙的碳奈米球狀物不會造成傷害，可是相當質量的商品化碳奈米管卻會顯著的損及肺部組織，甚至殺死幾隻老鼠。研究人員發現巨噬細胞(macrophages)會困住奈米管，不過隨之死亡。James認為研究小組所使用的劑量並不是非常不切實際，他估計在目前的美國聯邦碳吸入量法規限制下，相對於人體重量，工作人員在17天之內會吸入相等的劑量。 　　 美國西維吉尼亞州國家職業安全與健康協會的Petia Simeonova與其同事，也觀察到接受類似劑量碳奈米管的老鼠會產生富含微粒的肺肉芽腫(granulomas)，研究人員也對心臟與主動脈的粒線體DNA進行損害檢查，粒線體傷害為發生動脈硬化(atherosclerosis)的先兆。 　　 日本鳥取大學 (Tottori University )Akinori Shimada報告了首例奈米微粒從肺部移動到血液的系列圖像，碳奈米管一接觸到老鼠肺部極細小的氣管，即湧入穿過表面細胞的微小間隙，並且鑽入毛細血管，Shimada推測此會造成凝集甚至血栓。 　　 羅徹斯特大學Alison Elder報告兔子吸入碳奈米球之後，增大了血液凝塊的敏感性。為了模擬糟糕的都市空氣污染，研究人員給予兔子每立方米包含70微克奈米球體微粒的空氣超過三小時，再觀察發生血液凝塊的時間，結果呼吸奈米微粒的兔子，一天之內即發生血液凝塊現象。因為發生的很快，所以Alison Elder認為奈米微粒是從肺部移動進入血流，而非從肺部送出凝血劑(clotting agents )。

美國商務部於2023年3月21日對《晶片與科學法》（CHIPS Act）獎勵計畫中的國家安全護欄條款（guardrails）提出法規草案預告（Notice of Proposed Rulemaking, NPRM），並對外徵詢公眾意見，確保美國和盟友間的技術協調合作，促進共同國家安全利益。CHIPS作為國家安全倡議，以重建和維持美國在全球半導體供應鏈中的領導地位為目標，並確保CHIPS所補助的資金及尖端技術，不會直接或間接使中華人民共和國、俄羅斯、伊朗和北韓等特定國家受益或用於惡意行為，若CHIPS受補助者參與限制交易，政府可以收回全部資金補助。護欄條款對受補助者實施限制說明如下： 1.限制在特定國家擴張先進設施：自獲得補助起10年內，禁止對特定國家或地區的尖端和先進半導體設施為重大投資、協助擴大半導體製造能力。投資金額達100,000美元定義為重大交易，將設施生產能力提高5%為擴大半導體製造能力。 2.限制在特定國家擴建傳統設施：禁止在特定國家擴充半導體新生產線或將傳統半導體設施的生產能力擴大超過10%。若半導體設施的產出「主要服務」於該國國內市場（超過85%），則允許建造新的傳統設施，但最終產品只能在該國家或地區銷售。 3.半導體屬對國家安全至關重要項目：擬將一系列晶片歸類為涉及國家安全，並與國防部和情報局協商制訂清單管制，包括用於量子運算、輻射密集環境，和其他專業軍事能力的新進和成熟製程晶片。 4.加強美國出口管制：透過出口管制和CHIPS國家安全護欄條款，調整對儲存晶片的技術門檻限制並加強控制。對邏輯晶片應用，會設定比出口管制更加嚴格的門檻。 5.限制聯合研究和技術授權：限制與特定外國實體就引起國家安全問題的技術或產品進行聯合研究和技術授權工作。聯合研究定義為由兩人或多人進行的任何研究和開發，技術授權為向另一方提供專利、營業秘密或專屬技術的協議。