Google在Motorola下了賭注

　　依據統計，2011年全球電玩遊戲產值約516億歐元，是娛樂產業中成長最快速的領域，行動遊戲（mobile gaming）也因智慧型手機普及率之提升，在其中扮演舉足輕重的角色。有鑒於此，芬蘭政府於今（2012）年啟動Skene－遊戲補給計畫（Skene－Game Refueled，以下簡稱Skene計畫）促進其遊戲產業的研發創新。 　　Skene計畫預計從今（2012）年起實施至2015年，將投入7000萬歐元資金補助，其中3000萬歐元由芬蘭的創新補助機關－國家技術創新局（teknologian ja innovaatioiden kehittämiskeskus，Tekes）提供。該計畫致力於創造國際級遊戲及娛樂聚落的形成，期能使芬蘭企業成為國際遊戲產業生態中的重要成員。芬蘭政府欲藉由此一計畫，突破芬蘭Rovio公司過往開發「憤怒鳥」（angry bird）遊戲之偶發性的成功模式，讓芬蘭遊戲產業獲得長期永續的商業效益。Tekes於本計畫中特別強調知識分享的重要，認為此計畫的核心目的在於促進相關知識或經驗，得以在研究機構的專家、遊戲公司乃至其他產業間有系統的傳遞。 　　事實上芬蘭推動Skene計畫之動機，除了著眼於遊戲產業本身所帶來的龐大商業效益外，也看到遊戲開發過程中產出工具在其他產業之模型、模擬實驗、使用者介面設計及傳統軟體開發方面之助益（例如在醫療照護產業、運算服務之運用或協助教育環境建構或運動訓練等）。由此觀之，芬蘭政府透過Skene計畫推動遊戲產業研發創新之考量，尚包括帶動其他產業之提升的深遠思考。 　　近年來我國遊戲產業在商業上的表現逐漸受到各界重視，在此背景下，芬蘭Skene計畫無論在具體作為及其背後的思維模式上，皆有我國可以參考借鏡之處。

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

　　卡爾斯魯爾行政法院在今年6月7日公布第一個關於歐盟個人資料保護規則（Datenschutzgrundverordnung，DSGVO）的判決。在本案中，原告是一間負責處個人信用資料的民間公司，其依據現行BDSG（Bundesdatenschutzgesetz，聯邦個人資料保護法）的規定來蒐集、保存與傳輸個人資料給第三人。巴登符騰堡邦的主管機關在預見原告將來會違反DSGVO規定的情況下，向原告發出一份行政處分（Verfügung），要求原告必須依照DSGVO的相關規定調整作業流程以符合DSGVO的規範。但原告認為，其只需要在2018年5月24號之後，就相關作業流程符合DSGVO的規範即可。 　　本案的關鍵在於，主管機關是否已經可以用DSGVO的規定來規範民間企業？因為依據DSGVO第99條的規定，DSGVO現雖已生效，但必須到2018年5月25日才開始適用。 　　根據BDSG第38條第5項規定，監督機構可以採取必要措施，確保民間企業在收集、傳播和使用個人資料時遵守相關保護規定；且本案中，原告在2018年5月24號後可能會出現的違法情形也已顯而易見，但法院並不同意行政機關可以預先發布行政處分的看法。因為DSGVO雖已生效，但民間企業必須適用的期限仍未屆至。行政機關不得在未有法律授權的情況下，預先規範限制未來的可能違法行為。現行法律對於行政機關的授權範圍必須被嚴格遵守，在DSGVO未開始適用的情況下，目前行政機關仍只能依據BDSG及DSAnpUG（Datenschutzanpassungs- und Umsetzungsgesetz，個人資料保護調整和施行法）的規定，來處理相關的行政措施。