英國倫理機構針對海量資料（big data）之使用展開公眾諮詢調查

　　越南公共安全部（The Ministry of Public Security）於 2022 年 2 月 2 日發布了一份關於提供電子身分識別和認證的法令草案。該法令草案訂定之目的係為電子識別和認證服務的管理、提供與使用奠定其法律基礎。 　　隨著網路與電子交易日漸流行，尤其在COVID-19疫情期間，驗證與識別交易之人顯得格外重要。在越南，雖然在眾多的法律與規範下一般性地承認電子交易的有效性，但在實務上，僅有數位簽章所進行之交易才被越南當局廣泛接受且認定其有效性。然而，對於個人而言，註冊數位簽章可能複雜、成本高且耗時，故根據法令草案，越南公共安全部提議將電子身份作為個人在電子交易中識別身分的一種更簡單的方式。 　　以下為此次草案之主要重點： 一、根據法令草案，隨著安全性和可靠性的等級提升，電子身分被分為從一級到四級的四個不同級別。第一級為從註冊者獲取數位資訊；第二級除了符合第一級以外，同時直接或線上檢查註冊者提供的個人資訊與政府當局出具的文件副本是否相符；第三級除了符合第二級外，透過直接核對公民身分證、與公民身分證電子連接以及與國家人口數據庫連接藉此蒐集數位資訊；第四級除了符合第三級以外，註冊者即時於線上或是親自現身。 二、除非法律另有規定，服務提供商可以規定其服務所需的電子身分級別。當設置了級別並且客戶已經提供了相關的電子身分時，服務提供商不能要求客戶提供進一步的資訊。 三、雖然法令非具有強制性，但鼓勵公司使用電子身分來驗證電子交易中的用戶與客戶。 四、該法令草案規定提供電子身分識別和驗證服務的公司需取得相關執照之需求，且該法令草案還規範了公司獲取、交換有關電子身分識別和驗證資訊的平台。

　　Twitpic公司為提供圖像分享服務軟體服務的公司，於2008年成立，2009年起，提供Twitter(微博)社群網站平台使用者，透過運用Twitpic的即時圖像分享功能，將照片及影像同時上傳至微博的服務；截至2014年6月已提供使用者此項微博平台的分享服務至少6年。Twitpic於2013年10月3日，以公司名稱「TWITPIC」為名稱，向USPTO(美國專利商標局)提出國際分類第42類之電腦服務之商標註冊案，並於2014年6月24日核准公告。 　　微博公司於知悉Twitpic商標申請資訊後，除了以Twitpic商標近似於先前註冊商標Twitter而提出商標異議外，並威脅Twitpic公司放棄商標申請，否則將切割Twitpic可直接連結照片至Twitter平台的服務。 　　同時，微博公司發言人表示，為了確保公司品牌及商譽不被侵害及淡化，故除了對於Twitpic公司提出商標異議外，並為了確保使用者能持續使用將照片及影像即時上傳至微博的服務，將由微博平台自行提供相關功能，以減少使用者無法運用Twitpic服務之不便。 　　因此，Twitpic公司負責人 Noah Everett於2014年9月初宣布，在無足夠的資源對抗大公司如微博的脅迫下，被迫於9月底關閉Twitpic服務。 　　依據Twitpic於微博上發布之最新消息顯示，Twitpic已被其他買家收購，將持續經營，但有關商標爭議案之後續發展，將持續觀察。

　　為加強歐盟及各成員國的研究基礎設施合作，從發展政策方面，於2002年成立「歐洲研究基礎設施策略論壇」(European Strategy Forum on Research Infrastructures, ESFRI)協助各會員國統籌規劃RIs(Research Infrastructures, RIs)的發展藍圖。在法律層面，於2009年通過「第723/2009號歐盟研究基礎設施聯盟法律架構規則」(COUNCIL REGULATION (EU) No 723/2009 of 25 June 2009 on the Community legal framework for European Research Infrastructure Consortium (ERIC)，使各歐盟會員國、夥伴國家、非夥伴國家之第三國家或跨政府國際組織等對於分散的RIs整合起來後，可向歐盟執委會提出申請，依該號規則取得法律人格，成立「歐盟研究基礎設施聯盟」(European Research Infrastructure Consortium, ERIC)，且可為權利得喪變更之主體，更可與他方簽訂契約或成為訴訟當事人，使其具有自我經營管理之能力。 　　截至目前為止(2015年9月)，歐盟的RIs正式成立11個ERIC，並且透過國際間合作將RIs做更有效率之使用。國際上近年來創新研發競爭激烈，歐盟執委會為了持續推動建置世界級歐洲研究區域(European Research Area, ERA)，無論在資金面、政策面及法律層面均有積極作為，在強化歐盟RIs同時促進國際科技研發合作，俾使歐盟於研發創新的領域保持世界領導之地位，歐盟未來仍會持續推動各個重要研發領域的ERIC，ERIC對於整合歐盟各國重大RIs負有重要使命。

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。