歐盟結合ICT推動電動車整合示範計畫,並公布「2011交通政策白皮書」
歐盟執委會(European Commission)於去(2011)年11月底宣布,與歐洲電機工程領導組織Orgalime聯盟進行合作,將設立「電動車整合建設示範計畫」,加強推動業界示範營運實務經驗,並結合ICT技術發展,推動歐洲電動車蓬勃發展。歐盟於2011年6月所制定「2011交通政策白皮書--(2011 White Paper on Transport)」,3月所公告「歐盟2050交通遠景(Transport 2050)」規劃政策均係將「電動車產業」視為推動歐盟交通運輸政策之重要支柱;並且,歐盟更是於同年3月所制訂「2011能源效率推動方案(Energy Efficiency Plan 2011)」,明訂運輸專章,宣示將落實推動境內電動車產業相關投資、技術發展及基礎建設。
並且,歐盟對於電動車推動策略,係定位為結合ICT技術與交通工具之重要實踐。由歐盟執委會所支持成立的歐洲綠色車輛促進組織--「ICT4FEV」,其於2010年12月所公布「ICT for the Fully Electric Vehicle」及所2009年10月所制訂「European Roadmap Electrification of Road Transport」,宣示電動車之推動,對於節約能源與氣候保護的關鍵影響因素,並且規劃於科技領域各項研發工作,強化ICT技術、相關零組件及其系統,可扮演之重要角色,包括儲能系統、運輸技術、車輛整合、安全、電網整合運輸系統整合等。ICT4FEV並宣示未來將持續推動及檢視政府應備規範,並進行相關法令之調修工作。
日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網(Internet of Things,簡稱IoT)產品日趨嚴重的資安威脅,日本陸續訂定針對物聯網產品資安之國內法規與政策方針,除了為強化物聯網產品之資安要求以外,藉由具體的資安評級要求,適用不同類型的物聯網產品,再透過資安標籤制度以區別產品,提升產品之資安識別,以供消費者選購時參考。據此,本文觀測日本近期建立的JC-STAR制度與其所適用國內法規,供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構(独立行政法人情報処理推進機構,Information-Technology Promotion Agency, Japan,簡稱IPA),依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1],建立了《物聯網產品資安符合性評鑑及標籤制度》(セキュリティ要件適合評価及びラベリング制度,Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements,簡稱JC-STAR),並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2](セキュリティ要件適合評価及びラベリング制度の基本規程,簡稱本規章)之最終修訂,建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務(含數位服務等)、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化,確立了以星等為評級的JC-STAR資安標籤制度框架。此外,JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求,透過附有資安標籤的產品以供各自選購時為考量,因此JC-STAR制度有以下二點優勢: (一) 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品,事前已透過共通性的適用標準,將物聯網產品資安進行評鑑分級,並將評鑑流程可視化管理,不僅使產品符合各組織或單位的資安防護需求,同時使產品選購更加便利。 (二) 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求,通過符合性評鑑的物聯網產品,因經第三方驗證後以最高等級的標籤呈現,故可確保符合特定領域事業團體之特殊資安需求,或配合指定使用,以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會(ETSI)網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》(ETSI EN 303 645),以及美國國家標準與技術研究所(NIST)於2022年9月公布的《消費者物聯網產品之核心基準》(NISTIR 8425)等適用標準,並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準(涉及資安技術要求事項等),確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級,詳述如下: (一) 一星級(★1) 物聯網產品須符合產品共通性之要求,並適用最低限度之資安要求事項,倘若產品已滿足相關要求事項,由產品供應商自我宣告即可。 (二) 二星級(★2) 視物聯網產品的類型、功能特徵等因素,於一星級以上增訂基礎的資安要求事項,倘若產品已滿足相關要求,仍由產品供應商自我宣告即可。 (三) 三星級(★3) 視物聯網產品的使用對象,包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等,依產品類型、功能特徵等因素,訂定共通性之資安要件,並須由獨立第三方進行驗證,並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 (四) 四星級(★4) 適用程序上雖與三星級相同,依產品類型、功能特徵等因素,訂定共通性之資安要件,並由獨立第三方進行驗證,須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中,諸如通信設備等所適用的資安要求及相關風險層級較高,因此為最高防護等級。 值得注意的是,日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4],預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章,結合其他先進國家的資安標準,建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品,賦予不同星等評級,供一般消費者或政府、企業法人等選購時參考,具體提升針對物聯網產品的資安識別。此外,依產品適用對象或風險層級不同,適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求,則可能適用三星或四星等級,且產品均須經獨立第三方進行評鑑後,才能取得符合性評鑑報告書,並添附資安標籤。 因此,JC-STAR並非僅針對政府或公部門單位採購適用,而是擴及日本國內產業或是一般消費者,因此日常中物聯網產品的使用,均受到全面性的資安保障。另一方面,倘若未來日本JC-STAR制度受到其他各國承認,即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品,故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本,有助於提升產業競爭力。據此,日本以資安標籤提升消費者識別,並有物聯網產品資安驗證機制之整體性規劃,均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf (最後瀏覽日:2025/10/13)。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf (最後瀏覽日:2025/10/13)。 [3]〈IoT製品のセキュリティ確保に向けて ~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~〉,頁25,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf (最後瀏覽日:2025/10/13)。 [4]〈ファクトシート:岸田総理大臣の国賓待遇での米国公式訪問〉,日本外務省,https://www.mofa.go.jp/files/100652150.pdf (最後瀏覽日:2025/10/13)。
中國大陸網路安全法於6月1日正式施行中國大陸網路安全法於去(2016)年11月通過,於今(2017)年6月1日正式施行,該法主要係為了保障網路安全,維護網路空間主權與國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,為第一個國家層級處理網路安全問題的法律,旨在確保維護網路空間的國家主權、保護使用者個資、防範網路攻擊及網路詐騙。 中國大陸網路安全法共七章79條,包括第一章總則、第二章網路安全支持與促進、第三章網路運行安全、第四章網路訊息安全、第五章監測預警與應急處置、第六章法律責任、第七章附則。其規範重點之一為關鍵資訊基礎設施正式納入網路安全保護範圍內,關鍵資訊基礎設施之定義不僅包括電力、運輸和金融等傳統關鍵行業,還包括法律規定涉及民生的其他基礎設施,表示任何關鍵資訊基礎設施相關廠商、供應商等外國公司,以及擁有大量中國大陸訊息的廠商,都有可能成為中國大陸網路安全法監管、執法調查、強制執行的主要對象。 中國大陸網路安全法亦要求關鍵資訊基礎設施相關廠商將個資與重要數據資料在地化,或是將這些數據資料傳輸至國外前,必須經過相關的監管機構進行自我安全評估或先加以批准。
美國商務部提出CHIPS護欄條款,對受補助者實施限制以維護國家安全美國商務部於2023年3月21日對《晶片與科學法》(CHIPS Act)獎勵計畫中的國家安全護欄條款(guardrails)提出法規草案預告(Notice of Proposed Rulemaking, NPRM),並對外徵詢公眾意見,確保美國和盟友間的技術協調合作,促進共同國家安全利益。CHIPS作為國家安全倡議,以重建和維持美國在全球半導體供應鏈中的領導地位為目標,並確保CHIPS所補助的資金及尖端技術,不會直接或間接使中華人民共和國、俄羅斯、伊朗和北韓等特定國家受益或用於惡意行為,若CHIPS受補助者參與限制交易,政府可以收回全部資金補助。護欄條款對受補助者實施限制說明如下: 1.限制在特定國家擴張先進設施:自獲得補助起10年內,禁止對特定國家或地區的尖端和先進半導體設施為重大投資、協助擴大半導體製造能力。投資金額達100,000美元定義為重大交易,將設施生產能力提高5%為擴大半導體製造能力。 2.限制在特定國家擴建傳統設施:禁止在特定國家擴充半導體新生產線或將傳統半導體設施的生產能力擴大超過10%。若半導體設施的產出「主要服務」於該國國內市場(超過85%),則允許建造新的傳統設施,但最終產品只能在該國家或地區銷售。 3.半導體屬對國家安全至關重要項目:擬將一系列晶片歸類為涉及國家安全,並與國防部和情報局協商制訂清單管制,包括用於量子運算、輻射密集環境,和其他專業軍事能力的新進和成熟製程晶片。 4.加強美國出口管制:透過出口管制和CHIPS國家安全護欄條款,調整對儲存晶片的技術門檻限制並加強控制。對邏輯晶片應用,會設定比出口管制更加嚴格的門檻。 5.限制聯合研究和技術授權:限制與特定外國實體就引起國家安全問題的技術或產品進行聯合研究和技術授權工作。聯合研究定義為由兩人或多人進行的任何研究和開發,技術授權為向另一方提供專利、營業秘密或專屬技術的協議。
iTunes販售的音樂將移除數位權利管理措施大多數於iTunes(蘋果電腦販售數位音樂的商店)販售的數位音樂,將被移除音樂上的數位權利管理措施(DRM)。iPod的製造者在2009年1月6日發表聲明,將於iTunes販售多元化價格的音樂,價錢將介於美金$0.76和1.3元之間。著作保護軟體(copy-protection sofeware)同時也稱為DRM「數位權利管理措施」(digital right management),此項措施就像一個標籤記號,其設計是為了預防人們非法下載音樂,並且同時避免他們複製音樂於其他的電子裝置,而導致降低銷售量。 iTunes將移除八百萬首歌曲的數位權利管理措施。蘋果電腦的執行長Steve Jobs早在2007年2月公開呼籲知名唱片公司放棄數位權利管理措施,但唱片公司藉此希望iTutes改變以一首歌曲固定價格美金$0.99元的規定,用以多元化的價格販賣歌曲作為交換的條件。 另外,iTunes提供消費者一個簡單的方式,只要在每首音樂多付美金$0.3元,或者是多付每張專輯價錢30%的金額,即可將原先買到的音樂換為移除數位權利管理措施的音樂。Steve Jobs說到,我們十分興奮可以在iTune提供消費者沒有數位權利管理措施的音樂,使用iPhone 3G的消費者能夠在任何地區、任何時候以同樣的價錢去下載音樂。iPod Touch Wifi的使用者同樣也可以在App Store(蘋果電腦官方線上商店)去買到同樣無數位權利管理措施的歌曲 。