美國政府部門共同推動多項鼓勵住宅節能優惠措施

日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》（IoT製品に対するセキュリティ適合性評価制度構築方針），以順應國際IoT產品資安政策趨勢，因應日益嚴重的資安威脅。 本制度為自願性認證制度，由情報處理推進機構（情報処理推進機構，簡稱IPA）擔任認證機構進行監督。以IoT產品為適用對象，制定共通因應資安威脅之最低標準，再依不同產品特性需求，制定不同符合性評鑑等級，依評鑑結果進行認證，授予認證標章。不同評鑑等級差異如下： 1.等級一：為共通因應資安威脅之最低標準，可由供應商進行自我評鑑，並以評鑑結果檢查清單申請認證標章，IPA僅會針對檢查清單進行形式確認。 2.等級二：係考量產品特性後，以等級一為基礎，制定應加強之標準，與等級一相同係由供應商評鑑，自我聲明符合標準，IPA僅會針對檢查清單進行形式確認。 3.等級三：係以政府機關或關鍵基礎設施業者為主要適用對象，須經過獨立第三方機構評鑑，並以IPA為認證機構進行認證，確保產品值得信賴。 本制度可協助採購者及使用者依資安需求，選用合適的IoT產品，亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作，達成相互承認，減輕IoT產品供應商輸出海外之負擔。

　　2015年8月24日，美國第三巡迴法院做出判決，宣告美國聯邦貿易委員會（the Federal Trade Commission, FTC）本於聯邦貿易委員會法第5章（Section 5 of the Federal Trade Commission Act）之規定，對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實，該委員會針對企業違法事實的判定將產生法律效力。 　　案件起因於2008年及2009年間，飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵，導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵，使客戶權益受損。Wyndham Hotels不服並上訴，表示FTC只有提供企業資料安全保護措施的建議權，無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 　　第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中，第三巡迴法院確立了FTC除了有一般建議權外，也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外，第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說，FTC僅需負一般性的告知義務。 　　此判決大幅擴張FTC監督管理企業資料安全保護措施的權力，對於廣大個人資料本人而言，可說是一大保障。

　　2019年1月22日，歐盟執委會（European Commission）、歐洲議會（European Parliament）與歐盟理事會（Council of the EU）就修正「公部門資訊再利用指令」（The Directive on the re-use of public sector information，PSI Directive）的提案達成協議。歐洲議會則於4月4日通過提案，待歐盟理事會簽署正式的指令。 　　PSI Directive經過2003年制定（Directive 2003/98/EC）、2013年修正（Directive 2013/37/EU），於2017年為了履行指令規定的定期審查義務，召開了公眾線上諮詢，之後歐盟執委會根據諮詢結果及對指令的影響評估，於2018年4月25日通過修訂指令的提案，並於2019年1月達成協議。 　　此次修正將該指令更名為「開放資料與公部門資訊指令」（The Directive on the Open Data and Public Sector Information，以下稱新指令），預計能排除目前仍存在的公部門資訊取得障礙，並且要求將政府資助研究所產出的研究資料（publicly funded research data）也開放給公眾。此次修正的重點內容如下： 1、所有依據國家取用文件規定（national access to documents rules）下可取用的公部門資訊，原則上可以免費再利用，或者公部門可以收取為了提供、傳播資料所產出的費用，但該費用以不超過邊際成本（marginal costs）為限。這項改變，將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集（high-value datasets），這些資料集具有高商業潛力，可以加速各種資訊產品或增值服務的產出，例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀，且透過應用程式介面（APIs）使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時，則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料，不在現行PSI Directive規範範圍內，而各國對於是否必須提供資料有著不同的規定，但現在都必須依照新指令的規定使公眾可以免費再利用，不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定，導致公部門資訊被壟斷，新指令則要求各會員國應落實資訊透明，以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布，並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務，例如行動APP。 6、關於政府資助的研究，新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用，故各成員國被要求建立一致的再利用政策，使這些研究資料能透過資料庫（repository）被開放取用（open access），包含先前已經存入該資料庫的資料。 　　總而言之，本次修正將能夠降低中小企業進入市場的障礙，並增加公部門資訊的透明度和即時流通，也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。

歐盟理事會於2023年11月27日批准通過資料法法案（Data Act），該法案雖預計於2025年才會生效，該草案自2022年公告以來，各界對該法案都紛紛從不同角度表示意見，如企業對於資料共享是否對營業秘密外流的風險表達擔憂，歐盟在發揮資料經濟價值（資料交易與資料使用）的方向下，將業界考量納入進行修改，以下就經理事會通過之資料法法案關鍵影響概要如下： 1、資料共享 有鑑於因網路裝置/服務所產出的數位資料往往掌握於產品製造商或服務提供商身上，資料法建立了資料共享的基本規則，確保數位資料由製造商/服務商流動至第三人（包含產品/服務使用者），另資料法所保護之資料包含使用AI所產生之資料。 2、營業秘密保護 為避免資料持有人的營業秘密因此外流，資料持有人可以與請求提供資料的第三人（資料請求者）協議應採取之保密措施，在保密措施未達成一致或使用者未實施保密措施，資料持有人可暫停資料共享，在有重大經濟損失之虞時甚可拒絕資料共享。 3、對資料持有者的限制 資料持有者僅能在與使用者約定之範圍內使用資料，在無使用者許可下，不得用使用者所產出之資料去回推使用者的經濟、資產或生產等資訊，以避免損及使用者的商業地位。 資料法法案的主要目標在於塑造具競爭性的資料市場生態，確保資料的價值可公平分配到不同參與者身上，其聚焦在非個人資料的數位資料上，除適用於對歐盟提供產品/服務之廠商外，亦包含可於歐盟境內取得資料之情況。國內廠商宜先檢視自身商業行為與歐盟之關聯性，盤點現有產品或服務所產出的資料屬性，如可能需特別約定保密措施之營業秘密，預先規劃資料管理機制與對應管制措施，就重要資料或營業秘密管理機制可參資策會科法所公布之《重要數位資料治理暨管理制度規範（EDGS）》、《營業秘密保護管理規範》。 本文同步刊登於TIPS網站（https://www.tips.org.tw）