英國ISP業者主動揭露網路速度資訊

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

從國際體育項目認定方式觀電子競技正名 資策會科技法律研究所 法律研究員　丘瀚文 104年12月 壹、前言 　　電子競技目前仍無統一定義，本文對其定義是「利用電子設備，使參與者能在虛擬的空間中進行之競賽活動」。2015年10月26日臺北市產發局局長私下拜會教育部體育署，請求體育署將電子競技正名為體育項目，教育部雖未給予肯定回答，僅回覆需經由國際奧林匹克委員會(International Olympic Committee，下稱：國際奧會)及中華奧林匹克委員會認可，電子競技方能成為正式運動項目，可知電子競技已開始獲得官方注意[1]。 　　為何電子競技需要正名為體育項目？蓋現行電子競技選手多為年輕族群，常面對兵役、學業兩大方面問題，其中又以兵役問題影響最大，選手除了必須以延畢的方式躲避兵役，且無法至其他國家電子競技戰隊長時間服務，否則可能違反妨害兵役治罪條例之核准出境期限問題[2]。又現今社會普遍對於電子競技認識仍停留玩樂的印象，而並非產業鏈，此點造成電子競技贊助與推廣困難重重；而電子競技獲正名體育項目後，電子競技之贊助企業得依法減稅[3]，可吸引更多廠商投資產業鏈，對整體電子競技產業推廣而言將獲益匪淺[4]。 　　既已得知電子競技正名體育項目重要性，故以下便從「體育項目認定依據」與「體育項目認定要件」兩方面分析之。 貳、評析 一、我國體育項目認定依據 　　依體育署2015年10月26日之新聞稿，我國當前推展運動政策主軸仍以發展奧運、亞運運動項目為優先考量，故對於「電子競技」列為運動項目的議題，該署認為尚須得國際奧會與國際單項體育總會聯合會(SportAccord，下稱：單體總會)認可方得為之[5]。 　　惟查我國體育法並無體育項目認定一詞，上開說法並無法令依據，其論述基礎應為教育部所提出之體育運動政策白皮書所稱「……目前我國體育政策目標為提升我國國際競技運動水準，故以奧運、亞運項目為主去做選手培育與全民推廣，因而體育發展重點集中傳統體育項目上」[6]。在此前提下，電子競技欲獲承認為正式體育項目，實僅須我國體育政策變更，體育項目之認即毋庸與國際奧會與單體總會之認定連結。惟現今政策尚未更改，以下便依現行政策，研析國際奧會與單體總會對於體育項目之認定標準，並對電子競技是否符合國際認定體育項目標準進行分析。 二、國際奧會與單體總會認定體育項目要件 　　我國於政策上要求體育項目需經由國際奧會與單體總會承認者方得成為我國正式體育項目，故以下即就國際奧會與單體總會體育項目認定標準進行研析。 (一)國際奧會體育項目之認定門檻 　　奧林匹克運動會競賽項目分為夏季與冬季，其設置和取消均由國際奧會全體委員決定。依據2002年國際奧會所發佈之奧林匹克計畫和建議，可列入夏季奧林匹克運動會計畫的新項目必須符合至少4個洲75個國家發展男子體育項目、至少3個洲40個國家發展女子體育項目；而冬季奧運會比賽項目則須至少有3個洲25個以上國家發展體育項目，方得列為冬季奧林匹克運動會項目[7]。 (二)單體總會體育項目之認定標準 　　單體總會是受少數受到國際奧會認可的國際性體育組織，在國際間管轄一項或多項動項目，並管轄區域性國際運動總會，如國際籃球總會FIBA、國際足球總會FIFA、國際游泳聯合會；其主要任務是負責運動項目的技術監督和行政管理方面的工作，具體作用則是制訂並推廣運動計畫並保證該運動計畫在全世界的開展[8]。 　　單體總會將運動分為心智、肢體、機動性、協調性、動物駕馭5大類，而所有運動均應包含如下5個要件[9]： 1.該項運動必須包含競爭的成分。 2.該項運動不能存有任何「運氣」成分。 3.該項運動不應對運動員或參與者的健康與安全造成過度的風險。 4.該項運動不能傷害任何生物。 5.該項運動不得僅依賴單一供應商所提供的設備。 三、電子競技通過國際體育項目審查的可能性 　　目前全球有正式法規、行文認可電子競技為正式運動項目的國家僅有中國、韓國、義大利、馬來西亞及美國，仍未達較低門檻之冬季奧運會承認項目標準，即3個洲合計25個以上國家發展體育項目，故目前電子競技恐無法通過國際奧會體育項目認定標準。 　　單體總會體育項目承認標準中，電子競技雖符合競爭成分要求、且未對運動員或參與者的造成安全過度風險與傷害生物，但要件中之「不能存有任何運氣成分」與「不得僅依賴單一供應商所提供的設備」則可能出現問題；因為電子競技中常常有所謂機率性的道具存在遊戲中，且知名遊戲製作常常依賴單一遊戲製造商所提供。 　　本文認為「單一供應商所提供設備」是忽略了電子競技比賽項目為數款遊戲，其無依賴單一或特定遊戲供應商。但在另一方面，由於電子競技機率性的道具影響，往往大於其他運動的不穩定因素(如天氣、濕度)，致使其競爭公平性存疑；電子競技為一個集合名詞，其包含各式電子競技遊戲，縱使認為電子競技項目可納入全無機率性道具遊戲做為體育項目，亦難防因遊戲資料更新或遊戲代理商更易，而使遊戲內容改變為具有機率性道具之要素，故本文認為電子競技難以通過單體總會之體育項目認定標準。 參、結論 　　電子競技是否為正式體育項目現今固仍有爭議，惟根據資策會產業情報研究所(MIC)統計，台灣2014年遊戲業產值新台幣506億元，較2013年的453億元成長11.7%，產值已然不可小覷[10]，產值逐年增加確是不爭事實，而我國在此電子競技領域競賽，獲得亮眼成績。電子競技更從硬體周邊、遊戲製作、競技賽事發展到轉播授權形成一個不可忽視的產業鏈。事實上，依《國民體育法》第1條，體育之目的為鍛鍊國民健全體格，培養國民道德，發揚民族精神及充實國民生活，而電子競技與智力體育項目如橋牌、象棋等類似，均具有培養國民道德與充實國民生活功能，亦符合當前《國民體育法》立法精神，也能達推動電子競技產業鏈目的。但礙於傳統社會觀感使電子競技推行面臨家長不贊同孩子投入、企業亦不願贊助的窘境，雖此問題並非一定要靠正名電子競技方式解決，但正名電子競技絕對是成本以及效果最顯著方式。因此，關於體育項目認定，本文認為應修正現行體育政策，使我國體育項目認定與國際體育團體認可脫鉤，使電子競技可獲得官方認可，擺脫民間負面印象並帶動電子競技周邊商品銷售，促進經濟成長。 [1] Zou Chi，〈電競才正名為運動項目 體育署不到半天就反悔〉，The News Lens 關鍵評論，2015/10/27，http://www.thenewslens.com/post/237818/ (最後瀏覽日期：2015/01/07) [2] 妨害兵役治罪條例第3條「役齡男子意圖避免徵兵處理，而有下列行為之一者，處五年以下有期徒刑一、徵兵及齡男子隱匿不報，或為不實之申報者。三、徵兵檢查無故不到者。七、核准出境後，屆期未歸，經催告仍未返國，致未能接受徵兵處理者。」(節錄) [3] 運動產業發展條例第26條「營利事業合於下列之捐贈，得依所得稅法第三十六條第一款規定以費用列支，不受金額限制： 一、捐贈經政府登記有案之體育團體。二、培養支援運動團隊或運動員。三、推行事業單位本身員工體育活動。」(節錄) [4] 周之鼎、洪聖壹，〈台灣電競之路(上)：10年翻轉最速！電子競技產業須正名〉，ET遊戲雲，2015/11/09，http://www.new0.net/%E5%8F%B0%E7%81%A3%E9%9B%BB%E7%AB%B6%E4%B9%8B%E8%B7%AF(%E4%B8%8A)%EF%BC%9A10%E5%B9%B4%E7%BF%BB%E8%BD%89%E6%9C%80%E9%80%9F%EF%BC%81%E9%9B%BB%E5%AD%90%E7%AB%B6%E6%8A%80%E7%94%A2%E6%A5%AD%E9%A0%88%E6%AD%A3%E5%90%8D-1093122.html(最後瀏覽日期：2015/12/31) [5] 教育部體育署，〈對體育署將「電子競技」列為運動項目回應說明〉，2015/10/26，http://www.sa.gov.tw/wSite/ct?xItem=15870&ctNode=300&mp=11 (最後瀏覽日期：2015/12/31) [6] 教育部，〈體育運動政策白皮書〉，2013/09，http://www.sa.gov.tw/saAdmin/gipadmin/site/public/Data/f1392626664065.pdf?ctNode=1140&idPath=214_226_1140(最後瀏覽日期：2015/12/31) [7] OLYMPIC PROGRAMME COMMISSION,Review of the olympic programme and the recommendations on the programme of the games of the xxix olympiad, beijing 2008(2002), http://www.olympic.org/Documents/Reports/EN/en_report_527.pdf (last visited Dec. 16, 2015). [8] OLYMPIC.ORG,IOC statement on SportAccord(2015), http://www.olympic.org/news/ioc-statement-on-sportaccord/246251 (last visited Jan. 8, 2016) [9] SPORTACCORD,Definition of sport, http://www.sportaccord.com/about/membership/definition-of-sport.php (last visited Dec. 16, 2015). [10] 吳金英，〈遊戲軟體業：中國將取代美成為手遊大國〉，2015/08/04， http://www.topology.com.tw/news/newscontent.asp?ID=PC0AFD9B3B0K9N1HCPJQ1NT5P2 (最後瀏覽日期：2015/12/31)

　　繼歐盟於 2006 年通過資料保存指令（ Directive on the retention of data ）後，美國司法部亦開始關注資料保存的議題，但不同於英歐盟資料保存之目的乃著眼於對抗恐怖主義及打擊嚴重犯罪，美國資料保存的目地則偏重於根除兒童色情相關的問題。 　　為因應科技時代的犯罪， 檢察官常需要透過 ISP 業者提供客戶通聯紀錄等資訊以協助犯罪偵察 ， 因此美國在 United States Code, Section 2703(f) 便早已規定 ， 有線或電子通信服務業者必須配合政府要求提供調查犯罪所須的資訊。但由於該法並未明白要求業者應主動收集哪些項資訊，因此美國 ISP 業者僅保存與商業利益有關之網路使用記錄，美國司法部長 Alberto Gonzales 4 月 20 日於國家兒童權益保護中心（ National Center for Missing and Exploited Children ， NCMEC ） 表示，目前 ISP 業者能提供的資料相當有限，這相當程度地阻礙犯罪調查工作的進行，因此他認為應研擬更利於法庭證據取得之資料保存法令。 　　為避免人權團體以資料保存侵害個人的隱私權為由，而妨礙立法的進度，因此美國目前資料保存法令的推動方向可能有兩種不同的發展方向，其一是僅由 ISP 業者記錄特定期間內民眾的活動紀錄，另一種方向則是與歐盟相似，保存電話通聯、網頁瀏覽以及 mail 、即時通訊等內容。

　　歐盟能源使用產品環保設計指令（Directive 2005/32/EC establishing a framework for the setting of ecodesign requirements for energy-using products）自2005年施行4年後，從上(11)月20日起，已通過新的能源相關產品環保設計指令（Directive 2009/125/EC establishing a framework for the setting of ecodesign requirements for energy-related products），更新取代舊有指令。本新指令最主要特色，在於將環保設計適用範圍從「能源使用產品」擴大延伸至「能源相關產品」。 　　繼去（2008）年10月歐盟執委會才公告指示清單，篩選出10種在2009-2011年優先執行環保設計措施之能源使用產品類別後，其包括：空調和換氣系統、電子和燃油的加熱設備、食品備製設備、工業和實驗室鍋爐、機床、網路連結、資料處理和資料儲存設備、冷藏和冷凍設備、聲音和影像設備、變壓器及用水設備等，依歐盟新指令規定，未來不只是使用到能源的產品，其他所有能有助節約能源之產品，以及對末端使用者而言為獨立部分且其環保績效可獨立評估之服務，皆屬新指令之適用範圍。例如，蓮蓬頭與其他衛浴設備、隔離材料與雙層玻璃等。 　　新指令依規定將於2011年10月21日全面實施，執委會應於3年內公告優先執行之產品種類，而各會員國應於2010年11月20日前訂定國內法規。 　　歐盟新指令主要影響，將使更多元產品之生產者擔負起製作生態特性說明（ecological profile）之責任，且需於符合指令要求後始得於產品標示CE標示。