因應綠色採購 環保標章實驗室認證問題有待解決

　　美國加州州長於2021年10月6日正式簽署《基因資訊隱私法》（Genetic Information Privacy Act, GIPA）， 將於2022 年 1 月 1 日生效。GIPA在聯邦法和州隱私法的框架下，補充建立基因資訊保護機制，規範無醫護人員參與的「直接面對消費者基因檢測公司」（Direct-to-consumer genetic testing company，下稱DTC公司）之個資保護義務，並要求DTC公司執行下列消費者基因資料（去識別化資料除外）之蒐集、利用、揭露，須獲消費者明示同意： 利用DTC公司產品或服務所蒐集之基因資料，應取得同意。其同意書須載明近用對象、共享方式，以及具體利用目的。 初步測試完成後儲存生物樣本，應取得同意。 目的外利用該基因資料或樣本，應取得同意。 向服務提供商外之第三方傳輸或揭露該基因資訊或樣本，應取得同意。其同意書須載明該第三方之名稱。 分析行銷或第三方依消費紀錄所進行之促銷，應取得同意。 　　上開同意之取得，不可使用黑暗模式（dark patterns）誤導消費者，並必須針對資料或樣本採取合理安全維護措施。 　　GIPA也新增消費者權利，保障消費者近用權和刪除權，DTC公司須制定政策，使消費者易於近用基因資料、刪除帳戶與基因資料、銷毀生物樣本等，並須於消費者依法撤回同意後30日內銷毀之，不得因行使權利而有差別待遇。DTC公司若GIPA違反規定，消費者擁有私人訴訟權。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

　　歐盟推動的有毒物質禁制令（ Restriction of Hazardous Substances, RoHS ）自今（ 2006 ）年 7 月後開始啟動，國內多家 IT 廠商如主機板、液晶螢幕等業者均表示產品符合 RoHS 規範，政府提供的資料也指出，台灣大約八成的供應商和製造商符合 RoHS 規範，但是依照綠色環保產品行銷業者的觀察，實際數據遠低於此，應該只有五成不到。 　　所謂的 RoHS ，係明列自 2006 年 7 月後，製程、設備及材料處理研發禁止使用 6 種有毒物質，如鉛、汞、鎘等，內含六項管制物質的產品將不可在市面流通，屆時輸歐的電子、電機產品皆必須符合該標準。如果一旦抽驗發現有毒物質，產品即可能遭受召回、高額罰款或者長期法律訴訟。 　　廠商所謂的「符合」還有很多可議的空間，主要原因有兩種：首先製造商在取得供應商提供的原物料時，也許前者的確不含有毒物質，但是在製程、運送過程中，原物料仍有被污染的可能性，例如有鉛和無鉛產品共用一條生產線。然而製造商但憑供應商提供的品質文件就聲稱終端產品符合了 RoHS 規範。 　　其次，即使是供應商表示原物料符合 RoHS 規範，也還有待商榷，因為這必須判定供應商的原物料送審時，是以混測還是均質檢測。所謂的混測就是把包含兩三種不同原料的產品一併送測，這時候即使單一原料含有有毒物質，但在和其他物質含量平均後就無法檢測出來。均質檢測則就是每個原料都單獨出來檢驗。由於後者的成本高出許多，因此國內供應商多以混測方式送審，使得檢測結果可信度並非絕對。 　　RoHS 對將大量產品輸出歐洲市場的台灣 IT 產業影響深遠，根據經濟部技術處所提供的資料，據估計將有近 3.5 萬家廠商、高達新台幣 2,446 億元的產值將受到衝擊。基於此原因，經濟部技術處於去（ 2005 ）年七月啟動「寰淨計畫（ G 計畫）」，結合系統廠商、檢測驗證機構、資訊服務業者等單位，以系統廠商帶動下游供應商的方式，加速國內電腦廠商推出符合環保規範的產品。儘管政府推動甚殷，國內供應商的確在前年開始準備，不過要確實符合 RoHS 之規範精神，而非僅是形式上符合，仍有待政府與業者共同努力。

　　歐盟最高法院認為，2006歐盟資料保留指令（EU data retention directive）授權各會員國以法律要求電信業或網際網路服務供應商保留人民通信及網路活動數據資料長達兩年、並允許提供給執法或安全服務部門（police and security service）的規定，係屬重大侵害隱私生活及個人資料保護兩大基本人權，因此宣告該規定無效。該判決起因於澳洲及愛爾蘭民間團體向歐盟法院提出申訴，目前28名歐盟會員國正共同起草新的資料保護法案。 　　2006歐盟資料保留指令允許電信公司保留個人的ID、通信時間、通信地點及通信頻率。歐盟最高法院判決中表示，雖然肯定該規定對於偵查、追溯重大犯罪有其必要性及正當性，但對保留期間（6個月至2年）欠缺明確的保留標準，而過度侵犯個人隱私生活及未提供適當的個人資料保護措施，並不符合比例原則。 　　針對此一歐盟最高法院判決的宣示意涵，英國政府發言人表示通信數據的保留對執法部門偵查犯罪及確保國家安全是絕對必要的，若電信公司無法保留並提供給執法部門，很可能危及國安。 　　無論如何，歐盟最高法院的決定，重新宣告了人民隱私權及個人資料的保護不容國家任意侵犯，國家沒有權力任意的、不加區別的蒐集、保留一般人民的通信資料和網路行動，這是無視且扭曲基本人權的行為。該則判決為歐盟各成員國的資料保留法制開啟了新的里程碑。