為了確保網絡安全,歐盟頒佈新的網路安全計畫

  網絡活動無遠弗屆,其所帶來的影響也逐漸引起世界各國的關注。依據歐盟針對網絡安全現況所做的調查發現,首先,現行估計存有150,000隻電腦病毒在網路間流竄,並已造成148,000部電腦受到威脅;第二,世界經濟論壇(World Economic Forum)指出,在未來的十年內,主要重大資訊基礎設施估計將有10%遭到破壞,其將導致2500億美金的損失;第三,著名資安公司(Symantec與McAfee)估計,全世界因網路犯罪而受害者,每年將會損失2900億歐元。相反地,因網路犯罪而受益者,其獲利將可高達每年7500億歐元;第四,依據 Eurobarometer在2012年針對網絡安全的民調指出,38%歐盟網路使用者因網絡安全因素已改變他們的網路行為方式;74%使用者同意,成為網絡安全受害者的風險已經逐漸增加;12%使用者已經遭受線上詐欺且89%使用者已避免在網上揭露個人資料;第五,據網絡暨資訊安全(NIS)的公眾諮詢發現,56.8%受訪者指出,在過去一年已經歷NIS事件對其網絡活動所帶來的嚴重影響;第六,Eurostat figures指出,直到2012年一月,在歐盟境內的企業僅有26%已經制定出完整的ICT安全政策。

 

  有鑑於網路安全風險所帶來的效應已漸受重視,歐盟執委會(European Commission)會同歐盟外交暨安全政策高級代表(High Representative of the Union for Foreign Affairs and Security Policy共同發佈網絡安全策略,並計畫延引出歐盟執委會在NIS面向上的新指令(directive)。新的歐盟網絡安全策略,名為「開放、安全與可靠網絡空間」,代表著歐盟在預防和反應網絡攻擊和侵擾問題上的全面性預見。在該策略中,包含五個重大優先處理事項:

一、達到網絡韌性(Achieving cyber resilience)

二、徹底減少網路犯罪(Drastically reducing cybercrime)

三、針對一般安全暨防禦政策,發展網絡防禦政策和能力(Developing cyber defence policy and capabilities related to the Common Security and Defence Policy (CSDP))

四、對網絡安全發展出企業性和技術性資源(Developing the industrial and technological resources for cyber-security)

五、為歐盟建立一個完整的國際網絡空間政策與促進歐盟核心價值(Establishing a coherent international cyberspace policy for the European Union and promoting core EU values)

 

  為了達成歐盟網絡安全策略所形塑的優先事項,歐盟執委會亦計畫針對NIS來頒佈新的指令以落實策略項目,其中包含,首先,要求歐盟會員國必須採納NIS策略且指定國家級機關(需具有足夠人力和財務資源)來預防、處理和回應NIS風險與事件;第二,透過安全基礎設施和組成一般性的同儕審議,在歐盟會員國與執委會間建立合作機制來分享NIS風險和事件的早期預警;第三,某些領域重大基礎設施的運作者(金融服務、交通、能源或健康)、資訊社會服務的推動者(app商店電子商務平台、線上支付、雲端運算、搜尋引擎、社群網絡)和公家行政部門必須在其核心服務上,採納風險管理作法和報告主要網絡安全事件。

 

  從歐盟網絡安全策略和執委會計畫頒佈的NIS指令可以發現,歐盟對於新世代的網絡安全風險已經有完整的預見與具體的因應措施。針對新型態的網絡安全威脅,我國如何能及早適時預警並作出相應的防範機制,以確保產業經濟、公共交通、資訊工業和國防安全等不會受到外部威脅,將是我國政府必須先行正視的問題。

本文為「經濟部產業技術司科技專案成果」

相關連結
※ 為了確保網絡安全,歐盟頒佈新的網路安全計畫, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6261&no=67&tp=1 (最後瀏覽日:2026/07/08)
引註此篇文章
你可能還會想看
美政府將加強對抗盜版與仿冒

  美國歐巴馬政府在6月22日公布一份範圍廣泛的智慧財產執法聯合策略計畫(Joint Strategic Plan on Intellectual Property Enforcement),目的是希望協同聯邦各部門增強有關智慧財產權的執法力度,以打擊美國境內與境外盜版與仿冒日益嚴重的問題。   智慧財產執法協調員(Intellectual Property Enforcement Coordinator, IPEC)Victoria Espinel在報告前言指出,打擊仿冒和盜版需要聯邦強而有力的反應;作為全球創新領導者的美國已因為有些國家未能依照法律規定或國際條約來執法或採取不利美國之產業政策而被傷害。此計畫提出33個執法策略行動項目(enforcement strategy action items)來加強智慧財產執法,包括增加執法政策透明度以及美國境內、外執法行動的分享與報導、確保政府各層級間的執法效能與協調、加強美國智慧財產權的國際執法、確保安全的供應鏈以杜絕侵權產品輸入美國等。   舉例而言,該計畫非常關注外國網站線上侵權(online piracy)的問題,認為網際網路不應成為犯罪行為的工具,強調美國政府必須和外國政府、國際組織以及私部門共同合作對抗,並鼓勵內容擁有者(content owners)、ISP業者、廣告經紀商(advertising brokers)、付款處理業者(payment processors)和搜尋引擎業者在尊重合法競爭、言論自由與個人穩私之下,彼此合作謀求實際解決方案。根據報導,盜版已造成美國的影視業年度損失205億美元產值、工作者年度短少55億美元的收入、也減少了原本可帶來多於14萬個的工作職缺,結果使美國年度稅收短少了8.37億美元。

逐漸式微的「不可避免揭露原則(Inevitable Disclosure Doctrine)」

在2023年,多個美國法院判決拒絕採納「不可避免揭露原則(Inevitable Disclosure Doctrine)」,顯示出該原則將不再是原告於營業秘密訴訟中的一大利器,原告亦無法僅透過證明前員工持有營業秘密資訊且處於競爭狀態,便要求法院禁止該名前員工為其競爭對手工作。 在2023年2月,美國伊利諾伊州北區法院於PetroChoice v. Amherdt一案中指出,法院在適用「不可避免揭露原則」時會遏制競爭對手之間的員工流動,故將評估個案事實並嚴格限制其適用。在2023年6月,美國伊利諾伊州北區法院於Aon PLC v. Alliant Ins. Services一案中指出,根據2016年美國國會所通過的「保護營業秘密法案(Defend Trade Secrets Act, DTSA)」,該法案拒絕了「不可避免揭露原則」的適用,並禁止法院僅憑他人所知悉的資訊,阻礙其尋求新的工作,因此駁回了原告的損害賠償主張。在2023年9月,美國密蘇里州東區法院於MiTek Inc. v. McIntosh一案中同樣拒絕了「不可避免揭露原則」的適用,儘管該州的州法並未明確表達採納或拒絕該原則。 除此之外,美國聯邦法院在去年度的每一份報告意見中(Reported Opinion),皆未顯示出根據「不可避免揭露原則」申請禁令或取得救濟是合理的。換言之,大多數的美國法院都拒絕採納「不可避免揭露原則」或嚴格限制其適用。 綜上所述,儘管「不可避免揭露原則」能有效防止來自前員工不當使用其營業秘密的威脅,但其不再是未來營業秘密訴訟中的勝訴關鍵。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

美國司法部宣布德國SAP公司承認違法將美國軟體產品出口至伊朗,雙方達成不起訴協議

  美國司法部於2021年4月29日宣布,德國SAP全球軟體公司承認從2010年1月至2017年9月,因未能識別用戶下載軟體的地理位置,導致美國原產技術和軟體在未經許可下,透過雲端伺服器和入口網站提供給伊朗用戶,已違反美國《出口管制規則》(Export Administration Regulations, EAR)和《伊朗交易和制裁條例》(Iranian Transaction and Sanction Regulation, ITSR)。SAP向美國司法部、商務部和財政部支付800萬美元罰款並配合調查與補救,雙方達成不起訴協議。   美國司法部指出,SAP違規行為主要為以下兩種。首先,SAP及其海外合作夥伴向伊朗用戶輸出超過20,000次的美國軟體產品,其方式包括軟體的更新、升級和修補程式。SAP及總部位於美國的供應商,均未使用地理位置過濾器來識別並阻止伊朗用戶下載,且多年來SAP並未採取任何措施解決此問題,導致伊朗用戶下載後,絕大多數美國軟體再流向土耳其、阿聯酋及多家伊朗跨國公司。其次,SAP旗下的雲端企業Cloud Business Group companies(簡稱CBGs)允許約2,360名用戶在伊朗使用美國的雲端運算服務。從2011年開始SAP陸續收購多家雲端服務供應商成為其CBGs,透過收購前的盡職調查及收購後的出口管制特種審計,清楚了解到這些CBGs缺乏足夠的出口管制與制裁合規程序,但SAP仍允許CBGs被收購後繼續作為獨立實體營運,且未能將CBGs完全整合至SAP自身的出口管制規劃中。   美國司法部指出,為確保軟體等美國敏感技術產品,不會非法出口至伊朗等禁運地,公司除必須識別用戶來源外,也有責任確保供應鏈下游與之為產品交易的外國子公司能識別產品輸出地,並且同樣遵守美國經濟制裁政策與出口管制法規,維護美國外交政策與國家安全,防止美國敏感技術落入競爭對手手中。

從法規及經營面探討電力線通訊開放的相關問題-從美國聯邦通訊委員會的管制措施談起

TOP