WTO歐盟生技產品案解析（下）

　　為達到二○一○年二氧化碳排放量比一九九○年降低百分之十的目標，瑞士政府已決定明年開徵取暖用油稅，及提高汽油與柴油進口稅。瑞士環境部長勒恩伯格警告，假如溫室氣體排放程度不能降低，可能會課徵更多的燃料捐。 　　 瑞士的「二氧化碳法(CO2 LAW)」奠定了永續能源政策及氣候變遷政策，規定到二○一○年，石化燃料排放的二氧化碳必須比一九九○年水準低百分之十，超過京都議定書的百分之八。瑞士當局已決定，二○○六年起，每公升取暖用油將課徵稅收九分瑞士法郎，汽油與柴油進口稅每公升增加一點六分。 　　 在去年十月，瑞士政府提出四種不同課稅建議，經過諮商，多數贊同取暖用油稅，因為百分之六十的二氧化碳排放來自取暖用油。勒恩伯格表示，這項稅收是公平的，已採取減少二氧化碳排放措施的個人與公司受到的影響較小，「污染者付稅」將可鼓勵採取有利於環境的措施。 　　 瑞士政府並認為，其他溫室氣體排放也會因此降低，健康衛生的開支也因此下降。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　Rightscorp, Inc.成立於2011年，總部位於美國洛杉磯，該公司與網際網路服務提供者合作（Internet Service Provider, ISP），監控以P2P方式所進行之非法下載行為，並依數位千禧年著作權法（Digital Millennium Copyright Act）之規定，代理權利人與當事人和解（下載一非法檔案的和解金額是20美元）或透過訴訟以保護權利人之智慧財產權，近年越來越多大學甚至是華納兄弟（Warner Bros.）、唱片公司BMG使用Rightscorp這樣第三方公司的服務來監控非法網路活動。 　　年初（2015）在喬治亞州（City of Monroe, Georgia），該公司因未得消費者同意以電話留言或者發送簡訊、email的方式威嚇消費者達成非法著作權下載之和解，被控訴違反「電話消費者保護法」（Telephone Consumer Protection Act），原告Brown和Ben Jenkin主張針對每一筆非法之通訊連絡請求損害賠償，總額估算可能會超過千元美元。 　　去年（2014），Rightscorp在加州聯邦法院（California federal court）面臨之集體訴訟仍在進行中，原告方指出Rightscorp並未提供非法下載之債務有效證明且濫用美國千禧年著作權法（DMCA）的通知機制，控訴該公司違反「電話消費者保護法」（TCPA）、「公平債務催收行為法案」（Fair Debt Collection Practice Act ）和「濫用訴訟權利」（Abuse of Process）。 　　Rightscorp的商業模式，對權利人來說，確實可以有效追蹤侵權行為人，某種程度上可適當地遏止非法下載行為，但手段上也影響到當事人的權利，妥適性有待商榷。惟可預見的是，後續判決結果將可能影響類似公司在防範網路非法下載時的相關反制措施。

　　歐盟執委會人工智慧高級專家小組（High-Level Expert Group on Artificial Intelligence）於2019年4月8日公布「具可信度之人工智慧倫理指引」（Ethics Guidelines For Trustworthy AI）。該指引首先指出，具可信度之人工智慧需具備三個關鍵特徵：（1）合法（Lawful）：應遵守所有適用於人工智慧之法規；（2）合乎倫理（Ethical）：確保人工智慧符合倫理原則與價值；（3）健全（Robust）：自技術與社會層面觀之，避免人工智慧於無意間造成傷害。 　　該指引並進一步指出人工智慧應遵守以下四項倫理原則： (1) 尊重人類之自主權（Respect for Human Autonomy）：歐盟之核心價值在於尊重人類之自由與自主，與人工智慧系統互動之個人，仍應享有充分且有效之自我決定空間。因此，人工智慧之運用，不應脅迫、欺騙或操縱人類，人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害（Prevention of Harm）：人工智慧不應對人類造成不利之影響，亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性，技術上則應健全，且確保不會被惡意濫用。此外，弱勢族群應於人工智慧運用中受到更多關注，並被視為服務對象。 (3) 公平（Fairness）：人工智慧系統之開發、布建與利用，必須具備公平性。除了透過實質承諾與規範，進行平等與公正之利益與成本分配外，亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害，並可對人工智慧之自動化決策結果提出質疑，且獲得有效之補救。 (4) 可解釋性（Explicability）：人工智慧應盡量避免黑箱（Black Box）決策，其系統處理程序須公開透明，並盡可能使相關決策結果具備可解釋性，分析特定訊息可能導致之決策結果，此外亦需具備可溯性且可接受審核。