歐盟新一代關鍵資訊基礎設施保護計畫
2011年3月31日,歐盟執委會啟用新一代的關鍵資訊基礎設施保護計畫(Critical Information Infrastructure Protection, CIIP)。上一代的關鍵資訊基礎設施保護計畫在2009年公布並已取得一定的成果。新一代的計畫集中在全球化的挑戰,著重在歐盟成員國與全球其他國家的合作,與相互之間的合作關係。
為了達成這個目標,歐盟執委會訂定以下的行動綱要:
(1)準備和預防:利用成員國論壇(European Forum for Member States, EFMS)分享資訊及政策。
(2)偵測和反應:發展資訊分享及警示系統,建置民眾、中小型企業與政府部門間的資訊分享、警示系統。
(3)緩和及復原:發展成員國間緊急應變計畫,組織反應大規模網路安全事件,強化各國電腦緊急反應團隊的合作。
(4)國際與歐盟的合作:根據歐盟成員國論壇所制訂的,歐洲網際網路信賴穩定指導原則和方針,進行全球大規模網路安全事故的演習。
(5)制訂資訊通信技術的標準:針對關鍵資訊基礎設施制訂技術標準。
另外,在2011年4月14-15日舉行的關鍵資訊基礎設施保護電信部長級會議(Telecom ministerial conference on CIIP),整個會議針對歐盟成員國、私人企業、產業界及其他國家進行策略性的對話,強化彼此在數位環境中的合作與信任關係。並針對新一代的關鍵資訊基礎設施保護計畫,向歐盟執委會提出相關政策建言。
受全球化、資訊化發展的影響,以及各國間互賴程度的增加,使得影響關鍵資訊基礎設施(CIIP)安全的問題,不再侷限於單一區域,更需要各方多元的合作。
加州是全球第十二大製造二氧化碳排放量的地區,也是美國最重視環境立法的一個州。今年八月底,加州通過全美第一個限制人為溫室效應氣體排放法案- 2006 年全球溫室效應對策法( Global Warming Solutions Act of 2006 ),希望透過該法在 2020 年以前,將溫室氣體排放量減至 1990 年的水準(約減少 25% ),而諸如發電廠、水泥工廠等溫室效應氣體最大的來源,則將被要求報告它們的排放量。 雖然全球溫室效應對策法中並未規定特別的機制(例如歐盟所採取的排放量交易機制)以達到前述目標,不過加州政府仍希望藉由其率先立法的舉動,能引起全美各地效法,進而「由下而上」( bottom-up )促使聯邦政府採取必要措施。 目前美國聯邦政府以強制減少溫室氣體排放可能損及經濟,並不應將開發中國家排除在外為由,在 2001 年決定退出有 160 國簽署的京都議定書。不過隨著加州通過 2006 年全球溫室效應對策法,加入歐盟置身於對抗氣候變化的最前線,毋寧也將對華府增加壓力,未來聯邦政府仍須審慎考量是否以強制之立法手段,而非布希政府所偏好的自願性手段,來解決全球暖化的問題。
新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。 依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。 由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。 此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
中國將對幹細胞臨床研究及應用研擬管理規範為妥適管理中國幹細胞醫療產業,中國衛生部下令停止未經許可之幹細胞臨床研究和應用行為,並展開為期一年的幹細胞臨床研究和應用規範整頓工作。此期間分為「自查自糾」、「重新認證」和「規範管理」等階段。中國衛生部及國家食品藥品監督管理局(以下簡稱食品藥品監管局)辦公室於今年(2012年)1月6日發布一份名為《關於發展幹細胞臨床研究和應用自查自糾工作的通知》之部門規章,明白揭示於「自查自糾」階段各省、自治區及直轄市之衛生廳局及食品藥品監督管理局應如何辦理。 該通知中要求全國各級各類從事幹細胞臨床研究及應用之醫療機構及相關研究單位應依照《藥物臨床實驗質量管理規範》及《醫療技術臨床應用管理辦法》之規範進行自查自糾工作,如實總結並填寫幹細胞臨床研究和應用自查情況調查表,報告已完成或刻正進行之幹細胞臨床研究和應用活動;另外一方面,中國衛生部及食品藥品監管局及各省、自治區及直轄市將分別組成工作領導小組及工作組,制定自查自糾工作方案。針對尚未經批准之幹細胞臨床研究和應用,於通知文件中明白揭示應予停止;已經批准者,亦不得任意變更臨床試驗方案,或自行變更為醫療機構收費項目。值得注意者,為整頓對幹細胞臨床研究及應用之管理,並研擬符合國內需求之管理機制,直至今年7月1日前,相關主管機關將不受理任何申報項目。 中國截至目前為止,尚未針對幹細胞技術之臨床實驗或應用做成法規或政策,僅適用一般性藥品法規,相較於國際間先進國家屬相對鬆散。中國衛生部及食品藥品監管局於近日做成之通知文件顯示了中國政府開始對於幹細胞臨床實驗及應用之規範面向有所重視,針對其後續衍生之管理規範值得我們持續追蹤關切。
美國網路安全暨基礎設施安全局(CISA)成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,JCDC),將領導推動國家網路聯防計畫美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,以下簡稱CISA)於2021年8月宣布成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,以下簡稱JCDC),依據《國防授權法》(National Defense Authorization Act of 2021, NDAA)所賦予的權限,匯集公私部門協力合作,以共同抵禦關鍵基礎設施的網路威脅,從而引領國家網路防禦計畫的制定。 聯合網路防禦協作辦公室(JCDC's office)將由具代表性的聯邦政府單位所組成,包括國土安全部(Department of Homeland Security, DHS)、司法部(Department of Justice, DOJ)、美國網路司令部(United States Cyber Command, USCYBERCOM)、國家安全局(National Security Agency, NSA)、聯邦調查局(Federal Bureau of Investigation, FBI)和國家情報總監辦公室(Office of the Director of National Intelligence, ODNI)。此外,JCDC將與自願參與的夥伴合作、協商,包括州、地方、部落和地區政府、資訊共享與分析組織和中心(ISAOs/ISACs),以及關鍵資訊系統的擁有者和營運商,以及其他私人企業實體等(例如:Microsoft、Amazon、google等服務提供商)。 目的在藉由這項新的合作機制,協調跨聯邦部門、各州地方政府、民間或組織等合作夥伴,來識別、防禦、檢測和應對涉及國家利益或關鍵基礎設施的惡意網路攻擊,尤其是勒索軟體,同時建立事件應變框架,進而提升國家整體資安防護和應變能力。 是以,JCDC此一新單位有以下特點: 具獨特的公私部門規劃要求和能力。 落實有效協調機制。 建立一套共同風險優先項目,並提供共享資訊。 制定、協調網路防禦計畫。 進行聯合演練和評估,以妥適衡量網路防禦行動的有效性。 而JCDC主要功能,整理如下: 全面、全國性的計畫,以處理穩定操作和事件期間的風險。 對情資進行分析,使公私合作夥伴間能採取應對風險的協調行動。 整合網路防禦能力,以保護國家的關鍵基礎設施。 確保網路防禦行動計畫具有適當性,以抵禦對方針對美國發動的網路攻擊。 計畫和合作的機動性,以滿足公私部門的網路防禦需求。 制度化的演練和評估,以持續衡量網路防禦計畫和能力的有效性。 與特定風險管理部門(Sector Risk Management Agencies, SRMAs)密切合作(例如:國土安全部-通訊部門、關鍵製造部門、資訊技術等),將其獨特專業知識用於量身定制計畫,以應對風險。