諾基亞採用蘋果開放軟體

　　日本內閣網路安全中心（内閣サイバーセキュリティセンター）依據於2018年底新修正之網路安全基本法（サイバーセキュリティ基本法，以下稱基本法），於今年1月30日發布網路安全協議會的營運報告（以下稱營運報告）。 基本法修法原因在於網路攻擊日趨複雜，若組織受到網路攻擊，並非每個組織都有能力因應，如此將導致組織運作受到衝擊。因此於基本法第17條新增設立「網路安全協議會」（サイバーセキュリティ協議会，以下稱協議會）。日本內閣網路安全中心於前揭發布之營運報告中說明協議會之運作模式及招募成員情形。 　　運作模式上，協議會設有秘書處、營運委員會及總會，秘書處由內閣網路安全中心擔任，營運委員會由各機關首長組成，總會則由所有協議會成員組成並且定期召開會議；協議會將成員分成第一類成員、第二類成員及一般成員。第一類成員與第二類成員組成特別工作小組（タスクフォース），小組成員間會交換不對外公開且尚未確認的機密資訊，一般成員則依循特別工作小組提供的資訊及因應對策，加以實際運用。經營運報告統計，自協議會成立（2019年4月1日）至同年年底，一共發生33起網路攻擊事件，皆透過協議會促使各政府機關、私人組織迅速掌握網路攻擊資訊。 　　招募成員方面，協議會於去年5月加入第一期91名成員；同年10月，再加入64名第二期成員，目前為止共計155名；第三期成員已於今年三月開放申請加入，預計五月確定第三期成員。此外，營運報告中列有協議會成員名簿，成員包含內閣官房首長、資訊處理推進機構（情報処理推進機構）、宮城縣網路安全協議會、NTT DOCOMO電信公司、成田國際機場公司、石油化學工業協會、富士通、三菱電機等產、官、公協會組織單位。日本藉由設立協議會，期許透過政府與民間協力合作，共同維護政府公部門及產業之基礎網路安全。

　　歐盟執委會（The EU Commission）於2022年2月3日發布了一項研究，其繪製並預估歐盟27個成員國以及冰島、挪威、瑞士和英國等國家彼此之間的主要雲端基礎設施的資料流量。該研究概述了各級產業、位置、企業規模和雲端服務類型的雲端資料流入和流出的流量和類型。政策、決策者、商業領袖與公共行政部門可以將其作為參考，以支持對未來貿易協定、工業決策和雲端投資的決策。 　　在歐盟的歐洲資料戰略中，認識到獲取有關資料流的經濟情報的戰略重要性，因此提出了資料流戰略分析框架的發展。為了實現這一關鍵行動，歐盟執委會開展了上述關於繪製資料流的研究，首次開發和測試了一種全新、自我維持與可複製的方法，從而產生了資料流可視化工具，用於測量、映射和分析歐洲31個國家與地區的各級產業、地理和企業規模的雲端資料流。而該資料流可視化工具中顯示的資料預計將每年更新一次。使用的資料收集來源從官方統計資料等主要來源到調查和訪談等次要來源。 　　該工具得以讓歐盟執委會： 一、繪製和估計歐盟27個成員國（即歐盟內部資料流）和冰島、挪威、瑞士和英國（即歐盟外資料流）的雲端計算領域主要資料流的數量 二、預測至2030年的資料流出 三、分析各產業、公司規模和雲端服務類型的資料流量 　　該研究顯示2020年最大的資料流來自醫療衛生產業，而德國的資料流入量最大。該報告還估計，到2030年，來自歐洲企業的資料流量將是2020年的15倍。 　　作為資料流市場關鍵層面之一，透過進一步調查資料趨勢，將協同即將出現的資訊法案打造一個更加生動、動態和流動的雲端市場。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　《演算法問責法案》（Algorithmic Accountability Act）於2022年4月由美國參議院提出，此法案係以2019年版本為基礎，對演算法（algorithm）之專業性與細節性事項建立更完善之規範。法案以提升自動化決策系統（automated decision systems, ADS）之透明度與公平性為目的，授權聯邦貿易委員會（Federal Trade Commission, FTC）制定法規，並要求其管轄範圍內之公司，須就對消費者生活產生重大影響之自動化決策系統進行影響評估，公司亦須將評估結果做成摘要報告。 　　《演算法問責法案》之規範主體包括：（1）公司連續三年平均營業額達5000萬美元，或股權價值超過2.5億美元者，並處理或控制之個人資料超過100萬人次；以及（2）公司過去三年內，財務規模至少為前者之十分之一，且部署演算法開發以供前者實施或使用者。ADS影響評估應檢視之內容包括： 　　1.對決策過程進行描述，比較分析其利益、需求與預期用途； 　　2.識別並描述與利害關係人之協商及其建議； 　　3.對隱私風險和加強措施，進行持續性測試與評估； 　　4.記錄方法、指標、合適資料集以及成功執行之條件； 　　5.對執行測試和部署條件，進行持續性測試與評估（含不同群體）； 　　6.對代理商提供風險和實踐方式之支援與培訓； 　　7.評估限制使用自動化決策系統之必要性，並納入產品或其使用條款； 　　8.維護用於開發、測試、維護自動化決策系統之資料集和其他資訊之紀錄； 　　9.自透明度的角度評估消費者之權利； 　　10.以結構化方式識別可能的不利影響，並評估緩解策略； 　　11.描述開發、測試和部署過程之紀錄； 　　12.確定得以改進自動化決策系統之能力、工具、標準、資料集，或其他必要或有益的資源； 　　13.無法遵守上述任一項要求者，應附理由說明之； 　　14.執行並記錄其他FTC 認為合適的研究和評估。 　　當公司違反《演算法問責法案》及其相關法規有不正當或欺騙性行為或做法時，將被視為違反《聯邦貿易委員會法》（Federal Trade Commission Act）規定之不公平或欺騙性行為，FTC應依《聯邦貿易委員會法》之規定予以處罰。此法案就使用ADS之企業應進行之影響評估訂有基礎框架，或可作為我國演算法治理與人工智慧應用相關法制或政策措施之參酌對象，值得持續追蹤。