化學奈米 將改善人類生活

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　2012年3月，Google 公告使用者的新網路隱私權政策條款，這項措施將Google 所提供的各項服務適用同一個隱私權政策，並整合多項服務於同一帳號之中，隨著隱私權政策的變動，使用者條款也一併更新，這項措施並同時透過電子郵件通知所有的使用者。然而，Google 此項新政策在歐洲地區實施時卻碰到困難，歐盟表示該隱私權條款適法性受到質疑，將可能受到有關單位的調查。 　　歐盟資料保護相關指令乃建構基礎架構規制網路使用者個人的隱私，相關機構與業者都必須遵守。關於此項Google 新隱私權政策條款，規定使用者的資料可以合併使用於各個不同的服務中，將可能造成使用者的個人資料將可能透過不同的服務而洩漏，並且遭受第三人使用，而有違反歐盟資料保護指令之虞。針對此問題，法國資料保護管理機構（The Commission Nationale de l'Informatique, CNIL）已對Google 提出詢問，詢問的內容包含Google是如何保存使用者的資料；如何將使用者於不同服務中揭露的資訊加以整合等問題。由於既存的使用者若要繼續使用Google相關服務，就必須同意該新訂隱私權政策條款，因此CNIL也透過此次機會了解使用者退出資料不被揭露的機制內容，以避免使用者在未經同意下個人隱私受到侵害。不過，屆至目前為止，包含英國在內的歐洲各國仍普遍認為，該隱私權政策條款並未充分賦予使用者掌握個人資料的權限。 　　相較於歐盟，美國聯邦交易委員會（Federal Trade Commission, FTC）對於使用者於使用網路時隱私權的保護，著重於業者隱私權保護的承諾；亦即歐盟著重於隱私權為個人基本權利，而美國普遍要求網路業者能於條款中，明確承諾保護使用者使用網路時的各項權利。無論如何，各國對於保護使用者使用網路服務的原則與概念雖然不同，但對於使用者資訊揭露的透明化要求均為一致。

歐盟提出現行個資保護指令規範之修正草案 科技法律研究所 2013年10月07日 壹、事件摘要 　　歐盟於1995年所制定之「個人資料保護指令」（Data Protection Directive，95/46/EC，下稱個資保護指令），其基本原則確保了歐盟會員國個人資料基本權利之保障，後續也成為國際相關立法時之參考依據。但由於個資保護指令制定時為框架式立法模式，歐盟各會員國仍須將相關規定內國法化，導致各會員國間對於個人資料保護標準產生差距。 貳、重點說明 一、立法緣起 　　歐盟現行之「個資保護指令」是第一部解決關於個人資料處理與自由流通保護之指令，主要在於提供歐盟境內關於個人資料及隱私權保護之規定。但由於該指令使各會員國之規範不具統一性，且制定之時科技尚屬發展階段。為解決科技發展與各國形成之保護差距，歐盟執委會(European Commission)在2012年1 月25 日，向歐洲理事會（European Commission）及歐洲議會（European Parliament）正式提出「一般個人資料保護規則」（General Data Protection Regulation）草案共91 條。預計於2015年施行，並取代現行個資保護指令，全面並一致性適用於各會員國。 二、關鍵改變 　　本次一般個人資料保護規則草案相較於現行個資保護指令，主要有資料當事人權利行使新增與強化、當事人同意要件標準提高、適用主體擴大、申訴權力強化、資料管理人資料保護責任之加重、損害賠償與相關罰則之規定等，並將各項規定更加明確化，以解決長期以來歐盟會員國間因保護水準不一所形成之衝突現象。 參、事件評析 　　一般個人資料規則草案提出後，歐盟與英國分別針對新規則草案進行評估。歐盟執委會認為，新規則可協助歐盟境內解決長期以來因個資法保護水準不一所形成之衝突，進而為當地企業帶來約23億歐元之效益；但英國當地卻持反面見解，認為新法將使企業提高所需擔負之行政成本，且高規格之法遵要求也使資料管理人陷入難以遵守之情況，進而影響歐盟之競爭力。國際上激烈的討論聲浪與分歧之見解，也使得該規則草案自提出至今已一年多的時間，仍未正式拍板定案。 　　歐盟於1995年制定之個資保護指令，自1998年生效之後，不僅在各會員國進行個資保護時扮演關鍵性角色，更為國際上個人資料保護或隱私保護之參考依據，其動向更為各國所專注與留意。而隨著時代轉變與科技演進，歐盟期許未來不只是在歐盟境內，更可將個人資料或隱私保護相關資訊與要求，擴及歐盟以外之國家，因而於2012年提出新規則草案，而後續相關發展，更值得我們持續留意跟進。

　　歐盟普通法院(The General Court of the European Union)於今年(2016)2月25日針對運動品牌Puma SE(以下簡稱Puma)提出之商標異議做出了判決。本判決認為，Puma所擁有的美洲獅商標(詳參圖1、圖2)，與其異議之波蘭鞋廠Sinda Poland Corporation sp.(以下簡稱Sinda Poland)(詳參圖3)申請中的商標確有相似。此判決翻轉了歐盟內部市場協調局(Office for Harmonization in the Internal Market，以下簡稱OHIM) 所作出兩商標不近似之決議。本判決中，歐盟普通法院判決認為，OHIM應撤銷Sinda Poland之商標申請，並命令Sinda Poland及OHIM支付Puma相關訴訟費用。 　　本爭議起始於2012年，波蘭鞋廠Sinda Poland申請一歐洲共同體商標(Community Trade Mark，簡稱CTM)，該商標為一跳躍的貓科動物形狀(詳參圖3)，並指定使用於鞋類及運動鞋類產品。OHIM於2012年9月公告Sinda Poland申請的商標，同年11月Puma向OHIM提起異議，表示Sinda Poland之商標(詳參圖3)與Puma之美洲獅商標(詳參圖1、圖2)過於近似，有令消費者混淆商品或服務來源之虞。然而，OHIM於2014年決議認為，Sinda Poland之商標係兩種跳躍動物之結合，形成獨特的動物圖案設計，與Puma之美洲獅商標不相似，應不具有混淆消費者的疑慮。 　　Puma向歐盟普通法院上訴，認為法院應撤銷Sinda Poland之商標申請，並要求Sinda Poland支付相關訴訟費用。歐盟普通法院於今年2月25日做出決議，認為Sinda Poland侵害了Puma之商標權，並指出OHIM未將系爭兩商標在視覺上及概念上之整體相似度列入考量。該法院認為「Puma與Sinda Poland之商標皆為黑色的動物剪影，兩商標之動物背部及腹部弧度雖有所不同，但兩商標無法否認地有相似之處。」 　　經過為期將近四年的爭訟，Puma成功撤銷了Sinda Poland近似商標之申請。對國際知名運動品牌如Puma而言，近似商標的存在將會造成品牌知名度及商譽的打擊。如何藉由排除近似商標之申請以鞏固品牌形象及消費者認同，對品牌企業而言是必須面對的重要課題。本案中，Sinda Poland之近似商標仍在申請階段時Puma即提起異議。Puma積極的維權行動，是品牌廠商能夠藉以參照的模範。 圖1 Puma跳躍美洲獅商標(註冊於尼斯分類第1-42類)(圖片來源：歐盟普通法院判決) 圖2 Puma跳躍美洲獅商標(註冊於尼斯分類第18、25、28類)(圖片來源：歐盟普通法院判決) 圖3 Sinda Poland欲申請之商標(註冊於尼斯分類第25類) (圖片來源：歐盟普通法院判決) 「本文同步刊登於TIPS網站（https://www.tips.org.tw）」