美國一家公司協助大陸上網民眾對抗網路資訊封鎖

機關實體安全維護現行法制與實務運作之研析（下） 科技法律研究所 2013年08月25日 貳、澳洲防護性安全政策架構：機關實體安全維護政策暨相關規範 一、「防護性安全政策架構」概說 　　防護性安全政策架構（Protective Security Policy Framework）[1]由澳洲司法部（Attorney-General’s Department）發布，最新版本修訂於101年12月，其宗旨在協助機關有效鑑別安全風險容忍度的等級、達成安全維護之要求並因應各機關業務目標發展適合的安全文化，同時也能達到預期的行政效能、獲得人民及國際間的信任。其架構設計成四個層次。 　　最上層為「政府業務安全性指令（Directive on the security of government business）」，屬於防護性安全政策架構的基石，訂明機關及委外廠商的安全性要求。第二層進一步訂定「核心政策/法定強制要求（Core Policies/Mandatory Requirements）」，核心政策從三大面向出發：人員安全、資訊安全及實體安全。第三層則分別就三大核心政策制訂細節性的實施指引、安全保護措施和風險管理文件的範本，包含應用標準，使所有機關作法具一致性，使跨部門的業務執行更加順暢。最末層則為「機關特定防護安全政策與程序（Agency-Specific Protective Security Policies& Procedures）」，協助機關發展出合乎自身特性和業務需求的專屬政策和程序，同時補充和支援其他機關的的營運程序。 二、機關實體安全管理指引：管制區及風險減輕控制[2] 　　本指引的規範客體為政府機關內所有人員及接受政府機關委外安全維護服務的承包商（contractor）及個人。保護範圍涵蓋所有政府設備設施、實體資產及機關人員駐點場所，但若澳洲法律有比本指引更嚴格的要求，應優先遵守。規範內容可分成四大項：降低風險與確保措施（risk mitigation and assurance measure）、管制區方法論及要求（the security zones methodology and requirements）、個別控制要素（detail of individual control measures）、行政管理上的實體安全要素（Physical security elements in administrative security）。 （一） 降低風險與確保措施 　　機關應依指定之標準和要求進行風險評估[3]及風險管理[4]。風險評估是設計安全維護措施的基礎，且至少每兩年便應重新評估。又機關可能因為某些特別的原因易生潛在的特定威脅，需要額外的加強實體安全性，機關可以透過檢視自己業務是否具爭議性、辦公場所地區犯罪發生率、出入訪客數量及以往發生衝突的機率、是否因持有特定資訊或資產而易於成為攻擊目標、設施是否與民間企業共構及其他誘因等進行風險評估。 　　接著，機關應依風險程度差異區分不同安全等級的工作區，或區分上下班時間，評估可能遇到不同的風險。例如，上班時間會有洽公民眾或訪客，需特別注意內部威脅；下班後則要特別注意外部入侵問題。又辦公室動線的設計與有效的安全控制攸關，故可以考慮進行「關鍵路徑規劃（Critical path）」，亦即在動線設計上，讓可能的外來危險入侵到辦公場所核心領域的成功時間盡可能延長，使應變小組有時間偵測、延遲並能及時回應跟阻止入侵。最後，機關若能擁有獨立建物時，於設計時需考量「透過環境設計預防犯罪（Crime prevention through environmental design/CPTED ）」，避免建物有太多死角而易於進行不法或犯罪行為[5]。 （二）管制區方法論及要求 　　管制區（Security Zone）共分為五個安全等級，也就是依風險評估劃分工作區，並賦予相應的控管措施[6]。機關得按自身需求決定要設置幾個等級的管制區。例如，一級管制區指公眾可出入的場所、車輛會不斷進出的作業區，故得使用、儲存的資訊及資產敏感性不得超過一定等級；二級管制區是所有員工及委外廠商的自由出入的區域，公眾在一定條件下得出入，通常是指標準辦公場所、機場工作區或具一定隔離、出入管制措施的訪客區或展示區；三級以上管制區則對於能進出的內部人員的資格益加限縮，且外部人士或委外廠商可能需由專人全程護送，同時也能使用或儲存高重要性的資產和資訊，如情報機構本身即屬五級管制區。 （三）個別控制要素 　　此部分在提供機關判斷、選擇控制措施的準則，機關可以根據風險評估的結果選擇相應的安全控制措施，共分為15項，主要包括了澳洲安全建設及設備委員會（The Security Construction Equipment Committee/SCEC）認可的產品目錄清單及產品選擇標準的指導手冊、建築物安全配備的標準、警報系統與相關設備、門禁管制、訪客管控、警衛與保全人員的聘用、安全置物箱或保險庫及周遭環境的安全管制（Perimeter access control）等。 　　又警衛與保全人員之聘用，必須擇用有證照者。澳洲依行政區有不同的保全證照制度與規定[7]，以澳洲首都區（ACT）為例，主要係依2003年保全業法（Security Industry Act 2003）[8]、2011年保全業修正法（Security Industry Amendment Act 2011）[9]及2003保全業規則（Security Industry Regulation 2003）[10]，證照共分五種：保全公司證照、保全人員證照、保全教官證照、見習保全證照及臨時保全證照。保全證照每三年需換發一次。另外，若在販賣酒精的場所工作或需使用槍枝，則需另外取得許可。 　　澳洲保全業的主管機關為法制服務辦公室（Office of Regulatory Service），職掌教育訓練、監督與查核、自我規範、資訊分享及強制執行。主要查核項目為定期檢查及工時外的抽查（afterhours inspection），前者著重於申訴案，證照的暫時中止或撤銷懲處；後者著重於高風險事件，例如非法經營的保全公司、不適當行為及保全業非法雇用未成年人員等[11]。 （四）行政管理上的實體安全要素 　　在行政作業程序上，機關得運用一些實體設備設施達成安全管理的需求，例如在傳遞小量的實體資產或資訊（如公文紙本）至其他機關，應使用保險箱、集裝箱；又銷毀機密紙本時使用碎紙機或水銷方式等。 三、防護性安全管理指引：委外服務與職能安全性 [12] 　　本指引在協助機關將業務委外時，如何建立完善的委外政策和擬定契約，詳述防護性安全政策架構4.12節以及機關要如何遵守政策架構下第12條規定：「機關必須確定委外服務廠商遵守本政策架構及所有的防護性安全規則書（protective security protocols）的要求」。由於委外服務的執行人員能夠進入機關內部辦公場所、接近機關資訊資產，故機關有責任建立人員安全控管程序（necessary personnel security procedures），管理委外服務的安全性風險。本指引提供一個持續性、結構性的方法幫助機關決定：委外廠商經營場所應有的安全維護措施、委外廠商使用人員的安全調查程序（security clearance requirements）及契約中安全管理措施的約定（protective security management arrangements）[13]。 　　契約中必須明訂委外廠商應遵守的相關法律規定、機關所需的必要安全維護要求與遵守期間、規律和持續性的監督辦法（例如機關代表可進入委外廠商的經營場所進行查核，檢視各項紀錄或設備設施）及危安事件發生時廠商的通報義務。機關依防護性安全政策架構所擬訂獨有的政策與程序，其內容必須於契約中明確的約定，不允許概括約定委外廠商必須遵守防護性安全政策架構。又機關的安全性要求可能會隨時間而變化，所以該部分的約定宜與本約分開，以利日後修正與變更。 　　若委外廠商的執行人員因業務得接近機密或敏感性資訊資產，必須通過安全查核程序（Security Clearance）[14]；若不需接受安全查核，則需簽署保密條款（Non-Disclosure Agreement），機關應諮詢法律專業意見制訂屬於機關本身特定的保密條款[15]，有複委外情形時亦同。機關可以從澳洲政府安全調查局（Australian Government Security Vetting Agency /AGSVA）調出相關人員的安全調查資料，如果該人員擁有尚未逾期且屬機關需求等級的安全資格，機關就不需要再做一次調查。 參、建議與結語 　　藉由對澳洲立法例之研析，可發現澳洲對於機關的辦公場所、設備設施及出入之內外部人員的控管，有嚴謹縝密的管理機制與具體標準供機關依循。相較於此，我國相關法制框架尚有強化空間，建置更明確性、細節性之規範及標準作業流程。例如我國法制上僅有「責任區」的概念，可考慮引進「管制區」及「關鍵路徑規劃」等項目。其次，機關宜將自訂的安全維護機制確實內化至與委外保全業者的契約內，訂明權利義務關係、落實監督管理辦法、監控畫面資料儲存、備份和刪除方式及保密義務範圍（如機關監視系統配置、巡邏時間）等，另考量當機關日後對於安全性要求之修正與變更可能，委外契約與安全性要求的細部文件宜分開訂立。至人員管控部分，應重視預防勝於治療之概念，於適當時（例如對負責監控機關內部監視系統或夜間巡邏等對機關生態、人員活動及弱點相當清楚者）採取如澳洲的安全查核程序，對人員擔任保全工作的適性程度進行評價，而不僅以保全業法所訂之資格條件作為唯一判準。 　　末者，機關之實體安全維護，是否適合全權委外保全業者，尤以本身屬高重要性的機敏機關而言，值得再斟酌，在保全人員素質頗受爭議與警政機關因業務繁重而無法有效輔導管理保全業的困境下，或可考慮是否有必要在組織內編列專職維安人員。 [1]Australian Government: Attorney-General’s Department （2012, December）. Protective Security Policy Framework-securing Government business. Version1.5. Retrieved from http://www.protectivesecurity.gov.au/pspf/Documents/Protective%20Security%20Policy%20Framework%20amended%20December%202012.pdf （last accessed May.29,2013） [2]Australian Government: Attorney-General’s Department （2011, June）, Physical security management guidelines: Security zones and risk mitigation control measures, Retrieved from http://www.protectivesecurity.gov.au/physicalsecurity/Documents/Security-zones-and-risk-mitigation-control-measures.pdf ,下稱「本指引」. [3]Australian Standard AS/NZS ISO 31000:2009 Risk Management–Principles and guidelines, Australian Standards HB 167:2006 Security risk management. [4]Australian Standards HB 167:2006 Security risk management . [5]相關建議可參考以下連結：Designing Out Crime: crime prevention through environmental design,Crime Prevention through Environmental Design Guidelines for Queensland. [6]詳細規定由機關安全顧問（Agency security advisers /ASAs）發布，請參本指引第15至20頁 [7]Australian Security Industry Association Limited （n.d.）. Information about security licensing requirements and regulators in each state or territory. Retrieved from http://www.asial.com.au/Whoshouldholdasecuritylicence.（last accessed June.4,2013）. [8]ACT Government（n.d.）. Security Industry Act 2003..Retrieved from http://www.legislation.act.gov.au/a/2003-4/default.asp（last accessed June.4,2013） . [9]ACT Government（n.d.）. Security Industry Amendment Act 2011. Retrieved from http://www.legislation.act.gov.au/a/2011-37/ （last accessed June.4,2013）.其他相關規範請參http://www.ors.act.gov.au/industry/security_industry/legislation （last accessed June.4,2013）. [10]ACT Government（n.d.）. Security Industry Regulation 2003. Retrieved from http://www.legislation.act.gov.au/sl/2003-30/default.asp （last accessed June.4,2013）. [11]ACT Government（n.d.）.Security Industry Licensing Practice Manual. Retrieved from http://www.ors.act.gov.au/publication/view/1689/title/security-industry-licensing-practice-manual （last accessed June.4,2013）. [12]Australian Government: Attorney-General’s Department （2011, September）. Protective security governance guidelines-security of outsources services and functions. Version1.0. Retrieved from http://www.protectivesecurity.gov.au/governance/contracting/Pages/Supporting-guidelines-for-contracting.aspx （last accessed June.7, 2013）. [13]「防護性安全措施」Protective security依澳洲政府所發佈的「專門術語詞彙表」（glossary of security terms）的定義，指一套包括程序、實體、人員及資訊四大方向的安全維護措施，保護資訊、機關機能運作、內部人員和外部訪客。請參http://www.protectivesecurity.gov.au/pspf/Pages/PSPF-Glossary-of-terms.aspx [14]請參PSPF Australian Government personnel security core policy – PERSEC 1.。 [15]請參本指引第11頁的附件A：NDA範本。

　　2015年10月27日歐洲議會通過電信網路新修規章(Regulation 2015/2120)，內容包括網路中立(Net Neutrality)條款，該規章將拘束歐盟全體會員國之資訊通信法規，並確立歐盟境內之網路中立原則。在本次立法之前，歐盟境內未建立統一的網路中立法規，僅荷蘭、斯洛維尼亞及芬蘭制定國內網路中立法規。 　　網路中立係指各種網路應用、內容或服務，均應受到平等對待，網路服務業者 (Internet Service Provider，以下簡稱ISP)不得任意實施差別待遇，例如攔阻(blocking)、延後傳送順序或降速(throttling)等。依據歐盟新修規章第3(3)條規定，ISP應平等處理所有網路流量，但同條之例外條款允許ISP在特定條件下，採取合理的流量管制措施。ISP流量管制之標的必須係基於因技術上服務需求之差異，所客觀形成之不同類別，換句話說，ISP不得因商業考量而對個別網路使用者產生差別待遇，僅得針對客觀的類別進行流量差異管制，例如點對點(Peer-to-Peer，P2P)傳輸軟體下載與語音電話，因流量傳輸需求不同，屬於不同的類別，是故，對於這兩種類別可採取不同之傳輸速度。同時，ISP的管制措施必須符合透明、非歧視性及比例原則。ISP亦不得監看特定內容，而管制期間不得超過必要之期限。 　　除了上述因客觀類別所採取之差別待遇之外，該規章亦賦予ISP得因特定法定事項而採取流量管制，該法定事項包括： 1.基於法律規範或執法需要而進行管制：包括符合歐盟法或會員國國內法之規定、以及法院或行政機關之命令或授權。 2.為了維持網路服務之完整性及安全性所採取之管制，包括網路、透過網路提供之服務或終端使用者(個人及企業)之終端設備。 3.防止即將產生之網路塞車或減輕網路塞車情況，但其前提為相同之網路服務類別必須給予平等之待遇。 　　歐盟之新修規章試圖在網路中立原則下，建立合理的管制措施規範。但該規章仍存有一些爭議性，包括： 1.為了讓醫療用途等網路流量能被優先處理，該規章允許ISP針對類別差異給予不同傳輸速度。但類別之區分方式仍不夠明確，可能導致ISP得恣意實施差別待遇。 2.法條未限制網路公司與電信業者結盟，ISP可依據商業契約讓某些網路使用不計入資費的使用量(zero rating)，可能導致大公司占據競爭優勢，不利新興公司的發展。 3.有關加密資料之類別決定，ISP須進行解密查看才知道該加密資料符合何種傳輸類別，但此舉會引發資料保護之問題，因此加密資料之傳輸問題仍尚待解決。 4.為了促使網路暢通，該規章允許網路塞車時或有塞車之虞時，ISP可進行流量管制。但後續必須清楚界定網路塞車之虞的情況，以避免賦予ISP過多管制權限。 　　歐盟新修規章已完成立法，後續將交由歐盟電信管制機關(Body of European Regulators for Electronic Communications，BEREC)訂立細部辦法，以拘束歐盟各會員國的網路服務業者，同時各會員國也必須修改國內相關法規，以符合該規章之規範。

　　當含有大量個人敏感性特質個資之郵件不小心發送到陌生人的電子信箱時，將可能對當事人帶來無法預估的損害。加拿大隱私委員Daniel Therrien在國際隱私日時（1/28）提醒各企業，不要忽略隱私控管工作對企業競爭力帶來之影響。然這樣的理念不僅僅只適用在大型的企業，加拿大有98%的企業員工少於100人，對於這些成千上萬的小規模企業而言更是重要。 　　Daniel Therrien說：「我能理解資源有限的小規模企業每天面臨高壓的業務需求，但就相關反饋資料顯示，加拿大當地居民較傾向與具有良好隱私實踐工作之企業進行交易。」因此，良好的隱私實踐工作不僅是有助於消費者，更可協助企業符合加拿大個人資料保護與電子文件法（Personal Information Protection and Electronic Documents Act）之規定。 　　為協助小規模企業採取積極措施，以保障消費者資料及隱私不被外洩，提高競爭力，加拿大提供相關關鍵步驟供企業參考：(1)不逾越產品或服務目的之資料蒐集；(2)提供顧客清晰易懂之隱私權政策，以便顧客了解資料為何被蒐集，及如何處理、利用；(3)了解蒐集哪些資料、資料儲存期間及方式、有權限接觸之人及刪除方式； (4)對員工進行隱私保護教育訓練；(5)除非必要，否則請避免蒐集如健康狀況、財務資訊等具敏感性之資料；(6)企業應設置窗口或指定專人，針對顧客權利主張或提出與隱私有關之疑問時進行回應。

　　日本總務省於2014年10月31日公布了「電信創生計畫（モバイル創生プラン）宣示其對電信產業改革之決心。鑒於智慧型手機已成為日本國民生活中不可或缺的一環，加上以智慧型手機為行動中心，另結合可攜式裝置、機器間通信（Machine to Machine, M2M）及智慧聯網（Internet of Things, IoT）技術之普及，電信產業將會廣泛地影響社會整體之經濟活動，因此總務省喊出了「更自由、更貼近、更快速、更便利」的政策口號。 　　首先在自由化的部分，總務省於本月宣布了自明年2015年5月開始，日本將全面解除「SIM卡解鎖限制」，未來電信用戶將可以自由地帶機或攜碼，移轉到通信費率更適合自己的電信業者，並同時展開「SIM卡解鎖指南」（SIMロック解除に関するガイドライン）改正案之意見募集。未來，電信業者有義務為提出需求的消費者進行解鎖，此外，若無任何理由予以回絕，將會受「電氣通信事業法」下授權之業務改善命令之約束。然而，對於消費者而言，若有尚未履行完畢之契約，亦應於繳交違約金後，才得以進行解鎖。 　　第二，為了使消費者能夠安心、安全地使用智慧型手機，日本政府開始積極推動虛擬行動網路（Mobile Virtual Network Operator, MVNO）之服務。所謂的MVNO係指通訊網路與服務分離之概念，業者本身無須擁有通訊網路，但須申請經營執照，並可向其他傳統電信業者（Mobile Network Operator, MNO）租用系統，經營自有品牌之行動通訊業務。因此日本政府為了盡快推行MVNO之服務，已開始與相關業者做系統整備之促進協議。 　　第三，為了使電信網路之傳輸更快速，除了持續推行3.5G網路外，自2016年將開始進行4G之商業化。最後在便利化之方面，鑒於未來之電信產業將會涵蓋更多樣化的服務，如自動更新導航地圖、提供居家安全服務等，因此日本政府認為，應透過法規制度之改善，給予電信業者於提供服務時，更友善之環境。除了已在近期開始促進，MVNO業者利用MNO業者之資訊管理資料庫協議外。並預計在下期國會提出之「電氣通信事業法」草案進行以下變更：(1)鬆綁對電信業者之規定，例如從促使業者跨界合作之角度，鬆綁不公平競爭之處理；(2)進一步推動電信業者（包括MNO跟MVNO等）費率之調降。 　　總務省預測，在整體政策同時推動之下，2016年相較2013年底，將增加約兩倍之MVNO契約（從670萬份倍增到1500萬份）；而2016年，相關電信產業之規模將比現行之34.3兆日圓增至45兆日圓。