資通安全法律案例宣導彙編 第1輯

　　立法強制 ISP 業者記錄客戶使用狀況以供日後調查之用，此等呼聲近來日形高漲。部分行政部門官員業已表態支持此一作為；另有數位國會議員亦主張，應儘速推動聯邦層級之立法，以協助執法部門對付兒童色情（ child pornography ）問題；甚至在科羅拉多州，目前已有相關法案進入該州參議會接受審理。 　　立法強制業者留存資料或記錄的作法，固然對於揭發犯罪繩之以法甚有裨益，但由於可能會讓警方得以取得電郵往來、網頁瀏覽、聊天記錄等向來可能經過幾個月之後就會刪除的資料，以致隱私保障人士以及 ISP 業者普遍對此甚感憂慮。歸納而言，其理由主為以下三點：第一，何人始有權限近用相關資料，探查他人上網行為之紀錄，仍待釐清；第二，存留該等資料所需空間勢必可觀，費用究竟由誰支應，亦屬未定；最後，現行法制是否對於警方辦案確實造成障礙，同樣有待探討。 　　美國司法部（ the U.S. Department of Justice ）去年即已逐步開始推動相關立法，而歐洲議會（ the European Parliament ）去年 12 月審議相關條文增修，要求 ISP 業者以及電信業者就其經手傳輸之所有電子訊息以及通話，均須保存相關紀錄 6 個月至 2 年之譜，更是引發諸多關注及討論。美國眾議院（ the U.S. House of Representatives ）能源商務委員會（ the Committee on Energy and Commerce ）監控調查組（ the Subcommittee on Oversight and Investigations ）預計本月 27 日將召開另一次聽證會，持續就此議題詳加探討。

　　 自2011年歐巴馬政府頒布《食品安全現代化法》(Food Safety Modernization Act, FSMA)以來，美國食品藥物管理局（Food and Drug Administration, FDA）研擬多項配套法規和施行細則藉以強化FSMA食品安全標準之具體落實。此外，為形成產業、工協會各方之修法共識，FDA開啟為期一年之意見徵集期間。另於今年度（2013）11月15日，美國全國農民工會（National Farmers Union, NFU）正式向美國食品藥物管理局提交食品安全現代化法案（Food Safety Modernization Act, FSMA）具體意見書，該項意見書要點歸納如下： 1.全國農民工會表示此修法方向，有助於事前預防食源性疾病（foodborne illness）擴散與食品風險之控管，有效達成法規建構之目的。 2.由於配套法規涉及食品鏈供應商、農民與生產者之具體責任，建議政府應評估多階段意見諮詢期（comment period）之規劃，廣納各利益相關者具體建議。 3.全國農民工會針對農業用水的品質標準、檢測措施與規範提出不同之見解，亦建議縮短農產品禁用生物土壤改良劑的時間。

日本經產省與環境省共同發布《促進循環經濟與永續金融之揭露及對話指導》 資訊工業策進會科技法律研究所 2021年06月10日 壹、背景目的 　　伴隨全球人口增加，除了提高資源需求，亦造成大量廢棄物產生，導致氣候變化等環境問題日益嚴重，為從過去大量生產、大量消費、大量廢棄的線性經濟轉型為循環經濟，日本經濟產業省（下稱經產省）與環境省於2021年1月19日共同公布「促進循環經濟與永續金融之揭露及對話指導[1]」（サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス）。該指導旨在促進企業與投資者、金融機構之間在資源循環領域順利進行對話，期能通過企業適當地揭露資訊，推展企業技術及商業模式創新，共同創造價值達成永續企業與永續社會的轉型。 貳、事件摘要 　　「促進循環經濟與永續金融之揭露及對話指導」參考「環境社會治理」（Environmental, Social, Governance，簡稱ESG）公開框架及「氣候相關財務揭露建議書」（Task Force on Climate-related Financial Disclosures，TCFD）[2]，主要著眼於六項重點，除了ESG公開框架與循環經濟特徵共通的「風險與機會」、「策略」、「指標與目標」以及「治理」四者之外，再併入屬於企業經營方針的「價值觀」、「商業模式」兩者。根據上述六項重點，分為三個階層說明彼此關係：（1）首先在「上位方針」階層，「價值觀」作為統合企業實行循環經濟措施的理念與願景，為判斷企業的執行力及實現商業模式可能性的重要因素；而「商業模式」是指企業應分析目前市場環境與未來中長期動向，以及企業採取循環經濟措施對於其在市場地位的競爭優勢，並說明其商業模式所產生的附加價值及確保競爭優勢的差別化因素，使投資者得以適當評價企業進行投資判斷。（2）其次在「實行」階層，「風險與機會」主要包含政策法規、技術、市場及評價四個面向，企業應整理有關依賴線性經濟可能的風險與對財務潛在的影響，以及向循環經濟轉型的機會；並設定相對應的「指標與目標」，檢視商業模式與策略執行的狀況。（3）最後在「PDCA」階層，企業制定「策略」，以確保、強化支撐其商業模式競爭優勢的經營資源、無形資產等；並透過企業規律的「治理」運作，包括企業經營層與董事會積極參與過程，藉由PDCA方法論衡量策略達成情形，並重新進行評估審視[3]。 　　另一方面，循環經濟涵蓋多種類型，主體主要有（1）本身事業活動採取循環經濟措施的「採用者」（Adopters）；抑或（2）通過提供技術、解決方案以提高社會整體循環性的「推動者」（Enablers）。具體而言，即分為企業在本身事業活動中採用循環經濟措施，或是通過提供技術、解決方案對循環經濟措施做出貢獻，並有助於提高社會整體循環性的兩種方式。而循環經濟採取之措施則主要有（1）減量（Reduce），有助於節約資源、抑制廢棄物產生的措施；（2）再使用（Reuse），有助於產品長期使用、有效利用的措施；（3）再循環（Recycle），有助於資源循環利用、再生利用的措施；（4）可再生（Renewable），有助於可再生資源利用的措施[4]。此外，企業在經營事業活動時，應考量循環性，針對產品生命週期，從設計、生產、利用、廢棄等供應鏈所有階段中，根據其業態選擇所適合之循環經濟措施。 參、簡析 　　隨著ESG投資在國際逐年擴大，且國際供應鏈亦逐步要求企業採行循環經濟措施，日本本次發布「促進循環經濟與永續金融之揭露及對話指導」，即針對循環經濟與永續金融作出政策性宣示，為日本國內企業點明投資發展方向。對於企業而言，除了提供更具循環性的產品、服務，在企業價值創造故事中結合「價值觀」、「商業模式」，同時藉由企業年度報告將六項重點向投資者展示企業價值；對於投資者而言，除了關注投資效益，亦應以中長期的角度看待企業採取循環經濟措施對實現永續社會的價值，並對其進行適當評價與投資。 　　近年來我國政府與企業亦逐步向循環經濟轉型，於2018年12月通過「循環經濟推動方案[5]」，並在經濟部設立「循環經濟推動辦公室[6]」，以推動循環產業化、產業循環化，促進產業循環共生及轉型。而行政院環保署亦擬訂了「資源回收再利用推動計畫[7]」(2018至2020年），擬定有關如何有效利用資源與廢棄物適當處理之策略。由於推動循環經濟仍需要民間企業與投資者的支持，我國政府得參考日本作法訂定相關政策法規。且由於我國並未針對循環經濟制定專法，在資源利用方面，同時可能有「廢棄物管理法」及「資源回收再利用法」二者之適用，造成國內業者在推行創新商業模式遭遇法規障礙，不利於國內企業轉型循環經濟。故建議政府得因應政策變遷及經濟發展需求，通盤性建置循環經濟專法之制度框架，並滾動式調整相關規範，促進循環經濟產業發展，實現企業創新商業模式與新興合作關係，在永續金融方面則透過企業返還投資利潤予投資者，確立經濟與環境之間的良性循環，將有助於國內產業推行永續企業之循環經濟轉型。 　　 [1]「サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス」を取りまとめました，日本經濟產業省，https://www.meti.go.jp/press/2020/01/20210119001/20210119001.html ；環境省，https://www.env.go.jp/press/108893.html（最後瀏覽日：2021/6/10）。 [2]Task Force on Climate-related Financial Disclosures, Recommendations of the Task Force on Climate-related Financial Disclosures, https://www.fsb-tcfd.org/publications/final-recommendations-report/ （last visited June 10, 2021）. [3]サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス（本文），日本經濟產業省與環境省，頁6-7，https://www.meti.go.jp/shingikai/energy_environment/ce_finance/pdf/20200119_2.pdf（最後瀏覽日：2021/6/10）。 [4]同前註，頁12-13。 [5]行政院經濟能源農業處，循環經濟推動方案，https://www.ey.gov.tw/Page/448DE008087A1971/dc1de106-4298-4ad1-a9c7-f5b800f283cb （最後瀏覽日：2021/6/10）。 [6]經濟部工業局，循環經濟推動辦公室，https://cepo.org.tw/Default.aspx （最後瀏覽日：2021/6/10）。 [7]行政院環保署，資源回收再利用推動計畫，https://www.epa.gov.tw/Page/72968DDF9105BE07 （最後瀏覽日：2021/6/10）。

日本經濟產業省（下稱經產省）於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》（サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書），主張共享資安攻擊受害資訊，掌握資安攻擊全貌，防止損害範圍擴大。經產省提出具體建議如下： 1.促進各專門組織間之資訊共享：藉由專門組織間的資訊共享，及早採取適當因應措施，避免損害持續擴大，並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商，與依法令成立從事資安事件諮詢與分析之非營利組織，例如：一般社團法人日本電腦網路危機處理暨協調中心（一般社団法人JPCERTコーディネーションセンター），以及一般財團法人日本網路犯罪對策中心（一般財団法人日本サイバー犯罪対策センター）等。 2.共享無從識別受害組織之資訊：為加快資訊共享，經產省建議將資料去識別化至無從識別受害組織之程度，即可不經受害組織同意而共享資訊。 3.提出《攻擊技術資訊處理與活用指引草案》（攻撃技術情報の取扱い・活用手引き（案））：為提升專門組織共享資訊成效，經產省於指引中彙整受害組織資料去識別化作法，以及各專門組織間共享攻擊技術資訊之具體策略。 4.於保密協議中加入免責條款：經產省建議於受害組織與專門組織簽訂之保密協議中，加入專門組織免責條款，使專門組織具有利用或揭露攻擊技術資訊裁量權，對於利用或揭露資訊，致生受害組織被識別等損害時，非因故意或重大過失不須負擔法律責任，以利推動資訊共享。