Mcdonald’s 品牌資產保衛策略

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　2010年9月歐洲議會通過第2010/63/EU號指令（DIRECTIVE 2010/63/EU）修正文本，新的指令將修正第86/609/EEC 指令（Directive 86/609/EEC）原有規定，以加強對科學實驗用動物的保護。 　　2010年5月世界動物健康組織（the World Organisation for Animal Health, OIE）第78屆　大會中通過了第一個國際動物福祉標準，該標準納入OIE陸棲動物健康法典規範（OIE Terrestrial Animal Health Code）做為研究與教育用動物保護的準則，歐盟作為主要的提案者於是加速規範修正作業以回應OIE之承諾。新指令將規定歐盟各國主管機關必須在同意研究採用動物實驗前，評估其他研究方式的可能性並進行倫理評估，如需採用動物實驗應儘可能減少被試驗動物之痛楚，此外新指令也確保被實驗動物享有應有的生存環境，如適當大小的籠子等的要求。 　　新指令適用範圍將包括教育、訓練與基礎研究用的動物，其包含所有人類以外的活體脊椎動物以及某些可能感受痛楚的物種。靈長類動物如人猿的實驗也被禁止，除非為了該物種本身之生存所需，或者其他可能造成人類生存威脅或疾病之避免所必要方得於各國政府同意下進行之。新的指令將擴大禁止使用人猿、黑猩猩、彌猴等靈長類動物的實驗，除非有證據顯示其他物種的實驗無以達成靈長類動物實驗所能達成之目的，但也有成員國表示擴大靈長類動物實驗的限制將對於神經退化性疾病如阿茲海默症等的研究造成阻礙。 　　動物實驗的3R原則—取代、減量與改善（replacing, reducing, and refining）在第2010/63/EU號指令修正文本都已有相關規範，歐盟執委會表示歐盟將繼續致力於強化實驗用動物的福祉，同時為了確保新法的貫徹，新指令將授權設立歐盟層級的示範實驗室（Reference Laboratory at European Union level）協調各國採取替代動物實驗的方式。歐盟執委會表示新的指令將會在今年秋天公布。

　　為減少電子垃圾污染以及便利消費者使用消費電子產品，歐洲議會（European Parliament）於2022年10月4日表決通過《無線電設備指令》（Radio Equipment Directive, 2014/53/EU）修正法案，未來在歐盟銷售的電子產品，統一採Type-C規格的充電接頭。 　　這項修正法案，以602票贊成、13票反對、8票棄權的壓倒性多數通過，2024年底前強制除筆記型電腦以外，所有在歐盟境內銷售的消費電子產品一律需配備USB Type-C規格的充電接口。 　　屆時，所有功率達100瓦支援有線充電的消費電子產品，例如手機、平板、相機、耳機、掌上遊戲機、電子閱讀器、鍵盤、滑鼠、便攜式導航器等，都必須配備USB Type-C規格的充電接頭。而筆記型電腦也必須在2026年統一採用USB Type-C規格的充電接頭。 　　據此，在新修正法案施行後，同一充電器得用於各種電子設備，消費者無需於購買新設備時再重新購置充電器，除提高消費者便利性外，更能有效遏止電子垃圾的產生。 　　對此議題，也引發我國法制上的檢討聲浪，立法院交通委員會於2022年10月5日通過臨時提案，希望NCC加強落實手機充電器規格與統一作業，儘速作業規劃。故繼歐盟之後，未來我國行動電子裝置可望也將統一採USB Type-C規格。 　　由上可見，歐盟《無線電設備指令》修正法案，是全球未來可預期的調整法制動向與趨勢，蓋其賦予消費者能做出可具永續性的選擇，同時兼顧環境保護與經濟發展。我國目前相關法制規範確有所不足，應及早因應現今實務需求引介外國法制加以移植修正，以符實際。

　　新加坡政府於2013年3月完成10年期的IP Hub Master Plan，並點出三個戰略目標，以帶領新加坡成為亞洲的智財匯流中心。在其智財匯流中心（IP Hub）的政策規劃中，主要是希望成為全球： 1.智財交易及管理中心（A hub for IP transactions and management ） 2.優質智財申請中心（A hub for quality IP filings） 3.智財爭端解決中心（A hub for IP dispute resolution）。 　　針對「智財交易及管理中心」目標實施策略，考量若能鼓勵企業揭露重要的智慧財產權資訊，將有助於使投資人更瞭解公司的競爭優勢及發展潛力。亦即企業的智慧財產權資訊適時揭露，將能爭取到更多外部資金投入，降低募資之成本。 　　據此，新加坡交易所（Singapore Exchange，SGX）於同年4月1日發佈智財揭露指引鼓勵上市企業揭露智財權利資訊。其中，除涉及可能損及公司商業活動之營業秘密，或涉及專利權之申請等事項外，公司對於智慧財產權之揭露訊息原則包括以下： 1.說明或解釋智財權對於公司經營業務之價值所在 。 2.為確保非專業的投資者都能夠理解揭露資訊，用語不受行話以及技術語言之限制。 3.解釋有關的智財權於根本上影響到公司的經營業務，以及獲利能力和公司及其子公司之前景與整體影響。 　　實際上，香港交易所亦曾於2012年2月發佈「上市文件智慧財產權揭露規範」，希望申請上市的企業能加強在上市文件中的智慧財產權揭露。該規範與新加坡證交所之智財揭露指引之內容，並無二致，皆希望透過智財權資訊之揭露，以增加投資人之投資意願；亦即，揭露程度越高，公司募資成本越低。