韓國「電子文件認證管理系統」（Certified E-Document Authority System）法制化之簡介

　　歐盟資通安全局（European Union Agency for Cybersecurity, ENISA）（舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security）於2020年2月4日發布資通安全驗證標準化建議（Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act），以因應2019/881歐盟資通安全局與資通安全驗證規則（簡稱資通安全法）（Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act）所建立之資通安全驗證框架（Cybersecurity Certification Framework）。 　　受到全球化之影響，數位產品和服務供應鏈關係複雜，前端元件製造商難以預見其技術對終端產品的衝擊；而原廠委託製造代工（OEM）亦難知悉所有零件的製造來源。資通安全要求與驗證方案（certification scheme）的標準化，能增進供應鏈中利害關係人間之信賴，降低貿易障礙，促進單一市場下產品和服務之流通。需經標準化的範圍包括：資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。 　　ENISA認為標準化發展組織或業界標準化機構，在歐盟資通安全之協調整合上扮演重要角色，彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎： ISO/IEC 15408/18045–共通準則與評估方法：由ISO/IEC第1共同技術委員會（JTC1）及第27小組委員會（SC27）進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分：作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全：由歐洲電信標準協會（ETSI）所建立，並與歐洲標準委員會（CEN）、歐洲電工標準化委員會（CENELEC）協議共同管理。 　　然而，資通訊產品、流程與服務種類繁多，實際需通過哪些標準檢驗才足以證明符合一定程度的安全性，則有賴驗證方案的規劃。為此，ENISA亦提出資通安全驗證方案之核心構成要件（core components）及建構方法論，以幫助創建歐盟境內有效的驗證方案。

國家技術標準之制定政策 -由英國BSI觀國家技術標準制定政策 科技法律研究所 法律研究員　徐維佑 2014年12月03日 壹、前言 　　所謂技術標準（standards），指透過法規、私人企業、或者產業慣例形成的統一技術或特定規格，包括重量、大小、品質、材料或技術特徵（technical specifications），以使商品、服務、製造或製造程序方法能有共通的設計或相容性[1]；由特定標準制定組織要求市場上商品或服務應符合一定品質者，亦為技術標準，例如確保農產品符合人體食用的健康安全標準。 　　制定技術標準不但具有降低生產成本、促進創新、加強消費者選擇性、增進公共健康及安全等優點，更是國際貿易的基礎。以技術日新月異的ICT資訊通信產業而言，標準更是搶佔市場的利器。 貳、英國國家標準制定政策 　　成立於西元1901年之英國標準協會（British Standards Institution，以下簡稱BSI）為英國標準制定組織，亦是全球第一個國家標準機構，專門提供企業解決方案，將最佳實務模式（best practice）轉換成日常表現標準。BSI非政府機構，但透過與英國政府商業、創新與技術部門（Department for Business, Innovation and Skills, BIS）簽訂備忘錄，BSI成為英國國家標準制定組織，而其特色與任務大致如下： 一、以整體產業為考量之標準制定機構 　　BSI標準制定業務範圍[2]，除國家、區域、國際標準外，亦為私人企業、企業聯盟制定企業內部或企業聯盟間私人標準。標準制定之作法，係由產業界提名各領域之專業人員，及少數之政府部會官員成立標準制定委員會，各委員並非代表公司立場，而係以整體產業最有利立場參與會議；而BIS政府官員功能僅為傳達目前政府部會投入發展方向；標準制定委員會下，則設有技術委員會，委員各為特定技術領域之專家。BSI的原則為取得各界意見的平衡，在技術委員會成員組成上會避免單一勢力獨大，並盡力避免標準中包含特定權利人之智慧財產。 二、協助技術發展之階段式標準制定工作 　　BSI對於英國國內之技術研究、發展活動，採階段式引導標準化制定工作： 1、基礎研究階段：即早整合各利害關係人共識，建立共同發展對話基礎； 2、驗證技術可行性階段：藉由建立專家小組，發展初期測試方法與安全管理之共同觀點； 3、技術整合階段：即早為市場作準備，統一規格與測試方法，以及日後之技術升級方法； 4、原型製作階段：建立產業間行為準則，同時廣納消費者觀點，提昇該技術於市場之接受度； 5、應用測試、系統驗證階段：連結該技術與市場上產品、或其他服務、亦或其他標準組織制定之標準。 　　值得強調的是，BSI於研究發展活動各階段制定之標準提案草案皆會公佈於網站上，提供平台予大眾針對草案表示意見。 三、快速形成產業標準之PAS共通規範 　　BSI設有「可公開獲得的規範（publicly available specification, PAS）[3]」，相較於一般國家標準、國際標準，開發PAS時程較短，其目的為在英國國家標準或國際標準形成前，作為提早提供市場參考、使用之共通規範，國際標準如ISO亦有此制度。當技術共通規範成為PAS後，每3年接受技術委員會確認是否延續，或轉將其提案為國際標準。 　　私人企業可向BSI付費委託發展PAS共通規範。BSI會派專業人員指導企業如何撰寫PAS共通規範提案相關文件，集合內部專家團隊協助完成PAS共通規範提案。完成後對外召集內外部專家檢視PAS提案，包括標準制定委員會成員、政府官員、相關產業人員與消費者團體，並將檢視結果建議回饋給BSI內部專家團隊決定最終版本，公佈予給各界參考使用，公佈後之成果亦作為日後發展國家標準、國際標準之基礎。 參、結論 　　英國國家標準制定組織BSI，不遺餘力的協助產業自願性形成共識作為國家標準主軸，由產業推舉之專業人員與政府各領域官員作為技術委員會成員，平衡各界意見以整體產業發展為考量。藉由研究發展各階段性標準化工作，公開標準草案廣納各界意見，並盡力避免標準包含特定人之智慧財產權。並且，BSI協助國內企業發展PAS共通規範，除加速國內產業共識的形成外，更建立發展國際標準之良好基礎，摃動英國產業發展，並保障社會、環境、消費者之權益，值得我國學習。 [1]Mark A. Lemley, Intellectual Property Rights and Standard-Setting Organizations, 90 Calif. L. Rev. 1889, 1910-1911 (2002), available at http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1392&context=californialawreview (last visited Aug. 28, 2014) [2]筆者親自訪談Daniel Mansfield政策主任，BSI Group總部，英國倫敦（2014/10/15）。 [3]ISO, ISO/PAS Publicly Available Specification (2014), http://www.iso.org/iso/home/standards_development/deliverables-all.htm?type=pas (last visited: 2014/10/01)

2016年8月底，歐洲電子通傳監管機構（Body of European Regulators for Electronic Communications, BEREC）根據歐洲議會（European Parliament）與歐盟理事會（Council of the European Union）通過的第2015/2120號規章（下稱2120號規章）第5條第3項的規定，推出規範歐盟各會員國國家監管機構（national regulatory authorities, NRAs）落實網路中立性原則的指南，為歐洲近年積極鼓吹數位人權運動寫下勝利的一頁。 該指南主要針對2120號規章以下幾條進行細部說明： 1. 第一條：規範主體與範圍； 2. 第二條：定義； 3. 第三條：網路中立權利的保障； 4. 第四條：確保網路中立的資訊透明措施； 5. 第五條：監管機制； 6. 第六條：罰則； 7. 第十條：規章實施與過渡條款。 指南補充說明了原先規章中，各條條文的相關細部規範。BEREC不只對各條規範中較為模糊的敘述提供明析的論述，同時也強化NRAs規範網路服務供應商（internet service provider, ISP）應提供網路中立服務的拘束力。 該指南的立場旨在希望歐洲網路終端用戶近用網路的權利受到更為完善的保障，且為了達成這樣的目標而為ISPs所提供的服務設下了更為嚴苛的門檻。不過BEREC也表示，ISPs可以在不影響其他終端用戶的權利及傳輸速率下，為特定服務提供特別的服務方案，例如：即時醫療服務（real-time health services）。當然，針對這些特定服務，各國NRAs必須加以監管以確保其他網路終端用戶的權利。 雖然該指南對歐盟各會員國的NRAs有行政指導上的指標意義，不過有趣的是，英國通訊傳播管理局（Office of Communications, Ofcom）身為BEREC的會員，但英國已非歐盟會員，Ofcom是否會提出適用英國自己的網路中立性規範，以及歐盟各會員國對於該指南的適用狀況值得繼續追蹤。