從推動體系及法制架構思考我國文化創意產業發展之整合以南韓推動組織與法制架構為例

歐盟執委會（European Commission, EC）於2023年6月13日發佈「環境、社會與治理（ESG）評鑑透明度與誠信的規則草案（Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the transparency and integrity of Environmental, Social and Governance (ESG) rating activities，下稱本草案）」，以健全歐盟永續金融市場。 ESG評鑑係指評鑑機構向投資者和金融機構提供有關ESG的投資策略和風險管理等關鍵資訊，在歐盟永續金融市場扮演重要角色。因此本草案提出評鑑機構治理與利益衝突防免的規範，確保ESG評鑑機構誠信營運、提升評鑑的可靠性和透明度、並協助投資者作出更明智的永續投資決策。本草案要點如下： （1）授權許可：ESG評鑑機構原則上須取得歐洲證券與市場管理局（European Securities and Markets Authority, ESMA）的授權許可，始得於歐盟境內經營ESG評鑑業務。如為第三國ESG評鑑機構，則須申請取得同等認定（equivalence decision）後始得在歐盟經營ESG評鑑業務 （2）評鑑機構內部治理：要求ESG評鑑機構確保其獨立性、建立申訴處理機制、限制評鑑機構兼營金融與稽核業務等 （3）提升評鑑透明度：要求ESG評鑑機構公開揭露方法論、模型、主要假設與技術標準等 （4）授予ESMA監管權力：ESMA得要求評鑑機構與相關人士提供資料、詢問評鑑機構代表或職員、甚至實地查核等措施；就違反規定的評鑑機構，ESMA亦有要求暫停營運、課予罰鍰以及撤銷經營許可的權力

　　澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年9月發布「健康隱私指引」（Guide to health privacy）協助健康服務提供者了解及實踐相關規範所制定之隱私義務以確保個人資料安全。依據1988年澳洲隱私法（Privacy Act 1988）規定，健康服務指所有評估、維持、改善或管理個人健康狀況；或是診斷、治療或紀錄個人疾病或健康狀況之行為。而健康服務提供者除了醫院及醫療人員，更包含其他專業人員例如健身房及減肥診所、私立學校及托兒所、遠端醫療服務等所有涉及健康資料並提供健康服務之單位及人員。由於澳洲隱私法要求服務提供者必須積極建立、實施及維護隱私合法處理程序，為了協助所有健康服務提供者確實遵守法定義務，以減少健康資料之隱私風險問題，OAIC制定「健康隱私指引」提出八大步驟要求健康服務提供者確保遵守義務並保障所持有之個人資料： 制定並實施隱私管理計畫，確保遵守澳洲隱私原則（Australian Privacy Principles, APPs）。 制定明確的責任制以進行隱私管理，並及時提供員工幫助與指導。 建立個人資料檔案紀錄，以確認持有之個人資料。 了解法律規範之隱私義務並實施法定流程以履行義務。 定期舉辦員工隱私培訓課程以強化團隊基礎知識。 建立隱私權政策並於網頁上呈現或是提供手冊說明相關內容。 保護所持有之資料不被濫用、遺失或未經授權的修改及揭露等。 制定資料外洩因應措施，針對資料外洩進行危機處理。

　　為建構政府雲發展的妥適環境，美國於今年度啟動「聯邦風險與認可管理計畫」（Federal Risk and Authorization Management Program, FedRAMP），由國家技術標準局（National Institute of Standards and Technology, NIST）、公共服務行政部(General Service Administration)、資訊長聯席會(CIO Council)及其他關連私部門團體、NGO及學者代表共同組成的跨部會團隊，針對外部服務提供者提供政府部門IT共享的情形，建構一個共同授權與持續監督機制。在歷經18個月的討論後，於今（2010）年11月提出「政府雲端資訊安全與認可評估」提案（Proposed Security Assessment & Authorization for U.S Government Cloud Computing），現正公開徵詢公眾意見。 　　在FedRAMP計畫中，首欲解決公部門應用雲端運算所衍伸的安全性認可問題，因此，其將研議出一套跨部門共通性風險管理程序。尤其是公部門導入雲端應用服務，終究會歸結到委外服務的管理，因此本計劃的進行，是希望能夠讓各部門透過一個機制，無論在雲端運算的應用及外部服務提供之衡量上，皆能依循跨機關的共通資訊安全評定流程，使聯邦資訊安全要求能夠協調應用，並強化風險管理及逐步達成效率化以節省管理成本。 　　而在上述「政府雲端資訊安全與認可評估」文件中，可分為三個重要範疇。在雲端運算安全資訊安全基準的部份，主要是以NIST Special Publication 800-535中的資訊安全控制項作為基礎；並依據資訊系統所處理、儲存與傳輸的聯邦資訊的敏感性與重要性，區分影響等級。另一部份，則著重在持續性的系統監控，主要是判定所部署的資訊安全控制，能否在不斷變動的環境中持續有效運作。最後，則是針對聯邦資訊共享架構，出示模範管理模式、方策與責任分配體系。

　　美國國家標準與技術研究院（National Institute of Standards and Technology, NIST）於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準（Core Cybersecurity Feature Baseline for Securable IoT Devices）」指南草案，提出供製造商參考之物聯網設備網路安全基本要素，該指南草案中提出幾項重要核心要素如下： 設備辨識：物聯網設備必須有可供辨識之相關途徑，例如產品序號或是當連接網路時有具獨特性之網路位址。 設備配置：獲得授權之使用者應可改變設備的軟體以及韌體（firmware）之配置，例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。 資料保護：物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用，應清楚可被知悉，例如有些設備利用加密來隱蔽其儲存之資料。 合理近用之介面：設備應限制近用途徑，例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊，例如透過使用者名稱與密碼等。 軟體與韌體更新：設備之軟體應可透過安全且可被調整之機制進行更新，例如有些物聯網設備可自動的自其製造商取得更新資訊，並且幾乎不需要使用者特別之動作。 網路安全事件紀錄：物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得，這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。