美國將修法全力圍堵政府資料外洩

　　近年來隨著科技進步，市面上無人飛行載具（Unmanned Aerial Vehicles, UAS，簡稱無人機）產品與相關應用蓬勃興起，為規範相關運行秩序，美國聯邦航空總署（the Federal Aviation Administration, FAA）於2015年1月8日公布了「無人機運行執法方針」（Law Enforcement Guidance for suspected unauthorized UAS Operations），並呼應美國眾議院所曾表達關切，建議應儘速公布美國無人機立法監管架構，以避免許多相關研發技術公司出走海外的不利發展。 　　FAA該執法方針，先指出實務上，目前以FAA為實際執法單位所面臨的困難，並徵募各州地方警力協助，以進行實際執法行動。由於FAA經常無法立即趕到並處理無人機事件發生地點，然而透過各州地方警力，對於攔阻未經授權或不安全的無人機活動，具有較佳的嚇阻、偵測、立即調查，以及採取適當執法行動的優勢。 　　因此，FAA執法方針指示州地方警力，應於未經授權的無人機活動事件發生處，採取以下措施：1. 認明並面詢目擊者；2. 鑑別操作可疑無人機活動者；3. 錄下其活動影像並繪製無人機使用之位置與情況；4. 辨識該區域限制航空範圍；5. 立即通知FAA；6. 蒐集證據。 　　目前美國有關無人機相關規範，僅有現代化及改革法（Modernization and Reform Act）第333條下，批准無人機具有豁免權之14項適用領域，如閉集錄影（closed-set filming）、空中調查工作、監控建築物地點、調查有關離岸鑽油平台、具農業目的等作業項目，並涵蓋相關具體應遵循之規範；所以美國後續亟待制訂更多相關遵守規範，以利產業界遵循，FAA預計於2015年底公布55磅以下無人機的規章制度，並受國會要求將於9月將無人機監管規章整合至美國領空管理系統（National Airspace System），相關規範內容待持續追蹤觀察。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　Facebook是全球最大的社交網站，而Lamebook則是於2009年4月創辦，專門供網路使用者上傳搞笑文章、照片或發表瘋狂評論的小型網站。今年三月開始，Facebook對Lamebook發出許多警告信(cease and desist letter)，要求Lamebook停止使用Lamebook字眼作為商標，否則將對其提出商標侵權的訴訟。今年七月時，Facebook的律師寫信給Lamebook主張其侵權，信中並聲稱Lamebook作為商標的使用，並非屬於受法律保護的嘲諷性商標使用(parody use)，因為Lamebook的網站並未針對Facebook給予任何批評或評論。 　　然而Lamebook則認為其網站是專門供網友上傳他們在最愛的社交網站上所看到的搞笑照片或近況動態，屬於嘲諷性商標使用。為了先聲奪人，Lamebook搶在Facebook提出商標侵權訴訟前，於11月4日向德州Austin聯邦法院提出請求確認Lamebook詞語的使用並未侵害Facebook的商標權。 　　在歷經幾個月的溝通及發送警告信皆未果的情況下，Facebook的律師11月9日於加州San Jose聯邦法院，向Lamebook提起商標侵權訴訟，並對外說明Lamebook網頁呈現方式、Logo皆和Facebook非常相似，他們相信Lamebook網站有不正當企圖假借Facebook的名譽和名氣，吸引更多使用者使用Lamebook網站，Facebook將會持續保護自己的品牌和商標。 　　針對Facebook提出的商標侵權訴訟，Lamebook則回應其和Facebook所提供的服務並不相同，其並未提供社交服務予使用者。此外，Lamebook認為網站僅是提供一個機會予使用者對於全球最盛行的社交網站進行嘲諷、評論，Lamebook詞語的使用是屬於嘲諷性商標使用，屬於美國憲法第一修正案(First Amendment)所保障的言論自由權利，是一種受保護的言論表達形式，並未侵害或淡化Facebook的商標權。 　　值得一提的是，Lamebook並非屬於第一個被Facebook警告有商標侵權疑義的網站，在Lamebook訴訟案之前，已陸續有幾個網站受到Facebook指控商標侵權。而最近也出現許多聲浪開始撻伐Facebook不該以巨人之姿，將”face”和”book”兩個通用詞語予以壟斷，完全禁止他人使用這兩個詞語。 　　究竟Lamebook小型網站最終是否可以嘲諷性使用為由，於商標侵權大戰中，戰勝目前全球最熱門社交網站Facebook，容我們拭目以待。

　　IBM公司在2日拉斯維加斯舉行世界夥伴(PartnerWorld)會議時，宣布提倡開放原始碼創新的新措施，包括成立求職應徵者資料庫，以及一項電子學習計畫。這座資料庫預定今年第三季推出，屆時會把具有開放原始碼技術的大學生所投的履歷表一一編列成目錄。想被納入資料庫的資格，包括曾經參加IBM校園人才培訓計畫(Academic Initiative)中級程度以上，並通過IBM開放原始碼專業資格考試的人士。該資料庫提供IBM的企業客戶與商業夥伴檢索。起初，此資料庫只涵蓋北美洲地區，但IBM打算將來擴大推廣到世界其他地區。 　　 該公司也將透過提供IBM校園人才培訓計畫，提供各校所需的中介軟體及硬體，而Hubs計畫本身不打算收費，或只酌收少許費用。第一座這種中心預定春季在德州A&M大學成立。 　　 IBM另外在PartnerWorld宣布，計劃今年與商業夥伴共同成立100座新的「創新中心」( innovation centers)。藍色巨人先前已承諾投資1.5億美元開辦這類中心，讓系統整合業者、獨立軟體公司、附加價值流通業者以及解決方案服務提供者藉此取得IBM的技術與設備，以協助他們測試並最佳化自家產品。其構想是協助這些夥伴加速產品上市，並降低產品開發費用。自2004年推出以來，IBM已在北美和歐洲成立大約40座這種中心。