資通安全法律案例宣導彙編 第3輯

美國證券交易委員會（United States Securities and Exchange Commission，下稱SEC）於2022年12月8日發布「致公司有關近期加密資產市場發展之樣本函（Sample Letter to Companies Regarding Recent Developments in Crypto Asset Markets）」指引文件（下稱本指引），指導公司應針對自身業務涉及近期加密資產市場動盪事件（如虛擬貨幣交易所破產等），進行直接或間接影響之風險揭露，以符合聯邦證券法規之資訊揭露（如風險及風險暴露等）義務。SEC轄下之企業金融處（Division of Corporation Finance，以下簡稱金融處）認為公司應向投資者提供具體且量身訂製之市場動盪事件報告、揭露公司在動盪事件中之狀況以及可能對投資者造成之影響。爰此，本負有常態報告義務的公司應據此考量現有的揭露內容是否須進行更新。 金融處說明，為加強並監督公司對資訊揭露要求之遵守狀況，爰依據1933年證券法（Securities Act of 1933）及1934年證券交易法（Securities Exchange Act of 1934）內涵，要求公司亦須針對應作出聲明的實際狀況，進一步揭露相關重大訊息，且不得進行誤導。本指引所要求公司明確揭露加密資產市場發展的重大影響，包括公司對競爭對手及其他市場參與者之風險暴露；與公司流動資金及獲取融資能力相關的風險；及與加密資產市場法律程序、調查或監管影響相關的風險等。 值得注意的是，本指引並未列出公司應考量問題的詳細清單，個別公司應視自身情況評估已存在之風險，或是否可能受到潛在風險事項的影響。由於公司所揭露之文件事前通常不會經過金融處審查，因此金融處也敦促各公司應自主依循本指引進行相關文件準備。

　　隨著新冠肺炎（COVID-19）帶來的影響，以及自動駕駛車輛（Autonomous Vehicle，下稱自駕車，自動駕駛稱為自駕）應用情境發展，美國佛羅里達州（State of Florida，下稱佛州）自2021年07月01日起正式讓低速自駕貨車（Low-Speed Autonomous Delivery Vehicle）可於其境內道路上行駛。 　　美國佛州首先在其州法典（Florida Statutes）有關全州統一性之車輛定義中，新增低速自駕貨車之定義，即配備毋須人類駕駛之自駕系統，且非設計作為載客運輸之車輛；此外，其須符合聯邦法規法典（Code of Federal Regulation, CFR）定義中之低速車輛（Low-Speed Vehicle），且須配備頭燈、剎車燈、方向燈、尾燈、反光設備以及車輛識別號碼，但不適用於該州其他低速車輛相關限制法規。惟如相關規定有與國家公路交通安全管理局（National Highway Traffic Safety Administration，即NTHSA）另外採用之聯邦規範相衝突時，則依NTHSA採用之規範。 　　此外，在該州法典亦明示低速自駕貨車在其境內道路上行駛之限制與條件： 1.低速自駕貨車原則僅能在速限低於時速為35英里以下之道路或街道上行駛。（但如該道路與速限超過時速35英里者相交，亦不影響低速自駕貨車穿越該相交路口） 2.低速自駕貨車在以下特定情形，可於速限為時速45英里以下之道路或街道上行駛： (1)低速自駕貨車在該等路段不會連續行駛超過1英里，不過該等路段之管轄單位有權針對連續行駛超過1英里的部分裁量是否放寬限制。 (2)低速自駕貨車並非為了轉向目的而獨立地在右側車道上行駛。 (3)在低速自駕貨車行駛於兩線道的道路或街道上，且後方有5輛以上的車輛時，後方車輛倘若因超車而可能駛入對向車道，或可能導致其他非安全之情境下，低速自駕貨車可在有充分安全駛離之處，自該兩線道的道路或街道駛離至限為時速45英里以下之道路或街道，以利後方車輛得繼續行駛。 3.低速自駕貨車之所有人、其遙控系統（Teleoperation System）之所有人、遠端操作人員（Remote Human Operator）或前開人員之組合式，必須為低速自駕貨車投保符合州法典明文之自駕車相關保險。

　　「合成資料」（synthetic data）的出現，是為了保護原始資料所可能帶有的隱私資料或機敏資料，或是因法規或現實之限制而無法取得或利用研究所需資料的情況下，透過統計學方法、深度學習、或自然語言處理等方式，讓電腦以「模擬」方式生成研究所需之「合成資料」並進行後續研究跟利用，透過這個方法，資料科學家可以在無侵犯隱私的疑慮下，使合成資料所訓練出來的分類模型（classifiers）不會比原始資料所訓練出來的分類模型差。 　　在合成資料的生成技術當中，最熱門的研究為運用「生成對抗網路」（Generative Adversarial Network, GAN）形成合成資料（亦有其他生成合成資料之方法），生成對抗網路透過兩組類神經網路「生成網路」（generator）與辨識網路（discriminator）對於不同真偽目標值之反覆交錯訓練之結果，使其中一組類神經網路可生成與原始資料極度近似但又不完全一樣之資料，也就是具高度複雜性與擬真性而可供研究運用之「合成資料」。 　　英國國防科技實驗室（Defense Science and Technology Laboratory, DSTL）於2020年8月12日發布「合成資料」技術報告，此技術報告為DSTL委託英國航太系統公司（BAE Systems）的應用智慧實驗室（Applied Intelligence Labs, AI Labs）執行「後勤科技調查」（Logistics Technology Investigations, LTI）計畫下「資料科學與分析」主題的工作項目之一，探討在隱私考量下（privacy-preserving）「合成資料」當今技術發展情形，並提供評估技術之標準與方法。 　　技術報告中指出，資料的種類多元且面向廣泛，包含數字、分類資訊、文字與地理空間資訊等，針對不同資料種類所適用之生成技術均有所不同，也因此對於以監督式學習、非監督式學習或是統計學方法生成之「合成資料」需要採取不同的質化或量化方式進行技術評估；報告指出，目前尚未有一種可通用不同種類資料的合成資料生成技術或技術評估方法，建議應配合研究資料種類選取合適的生成技術與評估方法。

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）（舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security）於2020年2月4日發布資通安全驗證標準化建議（Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act），以因應2019/881歐盟資通安全局與資通安全驗證規則（簡稱資通安全法）（Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act）所建立之資通安全驗證框架（Cybersecurity Certification Framework）。 　　受到全球化之影響，數位產品和服務供應鏈關係複雜，前端元件製造商難以預見其技術對終端產品的衝擊；而原廠委託製造代工（OEM）亦難知悉所有零件的製造來源。資通安全要求與驗證方案（certification scheme）的標準化，能增進供應鏈中利害關係人間之信賴，降低貿易障礙，促進單一市場下產品和服務之流通。需經標準化的範圍包括：資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 　　ENISA認為標準化發展組織或業界標準化機構，在歐盟資通安全之協調整合上扮演重要角色，彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎： ISO/IEC 15408/18045–共通準則與評估方法：由ISO/IEC第1共同技術委員會（JTC1）及第27小組委員會（SC27）進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分：作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全：由歐洲電信標準協會（ETSI）所建立，並與歐洲標準委員會（CEN）、歐洲電工標準化委員會（CENELEC）協議共同管理。 　　然而，資通訊產品、流程與服務種類繁多，實際需通過哪些標準檢驗才足以證明符合一定程度的安全性，則有賴驗證方案的規劃。為此，ENISA亦提出資通安全驗證方案之核心構成要件（core components）及建構方法論，以幫助創建歐盟境內有效的驗證方案。