歐盟支付服務指令(PSD)將進行翻修,然而進程延宕
歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)修正案,簡稱PSD2。最新消息指出,PSD2將無法在本屆歐洲議會審議完成,需於五月歐洲議會改選後,在新一屆的議會中再行審議。
PSD公布施行於2007年,該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度,活絡支付市場的競爭,提供消費者更多的選擇,並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。
本次歐盟提出修正案,其修正目標包含:
一、提高歐盟支付市場的整合以及效率。
二、提升支付服務提供者(包含新参進者)的營運範圍。
三、確保強化消費者保護以及資訊安全。
四、鼓勵支付服務的減價。
五、促進共通技術規範以及互用性(interoperability)的形成。
實際做法,PSD2大致有以下修正重點:
一、因應科技發展及時代變遷,擴大適用範圍:
(一)提出「第三方支付服務提供人(third party payment provider,簡稱TPP)」之名詞定義,並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義,第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易,而支付的進行也是透過電信或IT系統或網路營運人,而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞,對照於附件一(Annex I)第七款中,係指:
基於存取其他支付服務提供人之支付帳戶而提供下述服務-
1.發動支付服務;
2.帳戶資訊服務。」
例如透過TPP與銀行帳戶界接,從銀行帳戶扣款進行支付;或者是與信用卡界接,進行扣款。
依照PSD2,TPP為支付服務提供者(Payment service providers, 簡稱PSPs),因此也需要取得各國主管機關之許可方能進行營業。
(二)透過手機或者是其它IT裝置進行的行動支付,如果單筆支付金額超過50歐元,或者是月支付金額超過200歐元,也應適用PSD2。
二、強化資安要求:
(一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security,簡稱NIS Directive)」,PSPs應遵循之。
(二)歐洲銀行管理局(European Banking Authority,簡稱EBA)將與歐洲央行(ECB)密切合作,提出資訊安全指導原則(guidelines),以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。
三、強化消費者保護:
(一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者,PSD2則要求對於涉及第三國以及外幣之交易,只要有任一支付服務提供者是在歐盟境內,都要適用。
(二)只要支付未經授權,應立即退款給付款方。
(三)保障無條件退款權,但是如果商品或服務已經完成消費則不在此限,例如下載的影片已經被觀賞完畢。
(四)無需另外授權的交易(如免輸入帳密之交易),額度從原本的150歐元下調為50歐元。
對於客訴爭議,PSPs應於15個工作日內以書面回覆。
- John Casanova, Regulatory overview: PSD 2 and European Interchange Fees reg will change card and payments market, BOBSGUIDE,Oct.8
- Analysis of Selected Aspects of PSD2 Reveals: There is Considerable Scope for Clarification, EPC NEWSLETTER, Oct.30, 2013
- Dermot Turing and Maria Troullinou, The Long Awaited Arrival of PSD2: a Summary of Some of the Key Provisions and Issues, EPC NEWSLETTER, Oct.30, 2013
- EU payment law reforms delayed until after European Parliament elections, OUT-LAW.COM, Jan 3,2014
謝孟珊
資深法律研究員 編譯整理
EU payment law reforms delayed until after European Parliament elections, OUT-LAW.COM, Jan 3,2014, http://www.out-law.com/en/articles/2014/january/eu-payment-law-reforms-delayed-until-after-european-parliament-elections/ (last visited Feb.15, 2014)
Dermot Turing and Maria Troullinou, The Long Awaited Arrival of PSD2: a Summary of Some of the Key Provisions and Issues, EPC NEWSLETTER, Oct.30, 2013 ,http://www.europeanpaymentscouncil.eu/article.cfm?articles_uuid=5532CF15-5056-B741-DBB5E433C542A486 (last visited Feb.15, 2014)
Analysis of Selected Aspects of PSD2 Reveals: There is Considerable Scope for Clarification, EPC NEWSLETTER, Oct.30, 2013 ,http://www.europeanpaymentscouncil.eu/article.cfm?articles_uuid=FECEB158-5056-B741-DBCC2A347C118794 (last visited Feb.15, 2014)
John Casanova, Regulatory overview: PSD 2 and European Interchange Fees reg will change card and payments market, BOBSGUIDE,Oct.8, 2013,http://www.bobsguide.com/guide/news/2013/Oct/8/regulatory-overview-psd-2-and-european-interchange-fees-reg-will-change-card-and-payments-market.html (last visited Feb.15, 2014)
Fiona Ghosh and Alastair Harris,The Long awaited Payment Services Directive review, E-FINANCE & PAYMENTS LAW & POLICY, Vol.07(08),7,8 (2013).
近年來,關於「競業禁止條款」之合法性及有效性等,一直是被廣泛討論的議題,在2023年1月5日,美國聯邦貿易委員會(Federal Trade Commission, FTC)發布禁止「競業禁止條款」之提案,並指出依調查結果顯示,其造成勞工薪資降低及壓抑流動性等負面影響,故企業未來可能須透過主張《統一營業秘密法》(Uniform Trade Secrets Act)或《防衛營業秘密法》(Defend Trade Secrets Act)等,以保護營業秘密。同時應值注意者為,有論者提出未來解決方案為企業應推動自動化營業秘密管理系統,而其中一個必要元素是應採取「資料存證」措施,以證明營業秘密存在及擁有。 所謂自動化營業秘密管理系統,即透過工具,對於營業秘密進行「識別」與「評估」,並應對於不具有經濟價值的資訊進行解密。惟為避免增加營業秘密外洩風險,故相關系統應僅留存後設資料。與此同時,為取得盜用營業秘密相關的勝訴裁判,除應留存及保護任何時點的後設資料外,更應採取能夠證明營業秘密存在及擁有之措施,如透過雜湊值或區塊鏈等技術進行「資料存證」,以確保能夠在訴訟上提供必要證據。 最後,近期司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局共同規劃與建置「司法聯盟鏈」機制,藉由區塊鏈技術,並結合已通過經濟部智慧財產局審查核准之b-JADE證明標章,明定嚴謹之數位資料管理要求,以期強化數位證據同一性及建立簡便驗真程序。因此,未來企業若落實b-JADE證明標章所定之管理要求,將幫助營業秘密數位資料通過驗真程序。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網(Internet of Things,簡稱IoT)產品日趨嚴重的資安威脅,日本陸續訂定針對物聯網產品資安之國內法規與政策方針,除了為強化物聯網產品之資安要求以外,藉由具體的資安評級要求,適用不同類型的物聯網產品,再透過資安標籤制度以區別產品,提升產品之資安識別,以供消費者選購時參考。據此,本文觀測日本近期建立的JC-STAR制度與其所適用國內法規,供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構(独立行政法人情報処理推進機構,Information-Technology Promotion Agency, Japan,簡稱IPA),依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1],建立了《物聯網產品資安符合性評鑑及標籤制度》(セキュリティ要件適合評価及びラベリング制度,Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements,簡稱JC-STAR),並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2](セキュリティ要件適合評価及びラベリング制度の基本規程,簡稱本規章)之最終修訂,建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務(含數位服務等)、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化,確立了以星等為評級的JC-STAR資安標籤制度框架。此外,JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求,透過附有資安標籤的產品以供各自選購時為考量,因此JC-STAR制度有以下二點優勢: (一) 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品,事前已透過共通性的適用標準,將物聯網產品資安進行評鑑分級,並將評鑑流程可視化管理,不僅使產品符合各組織或單位的資安防護需求,同時使產品選購更加便利。 (二) 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求,通過符合性評鑑的物聯網產品,因經第三方驗證後以最高等級的標籤呈現,故可確保符合特定領域事業團體之特殊資安需求,或配合指定使用,以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會(ETSI)網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》(ETSI EN 303 645),以及美國國家標準與技術研究所(NIST)於2022年9月公布的《消費者物聯網產品之核心基準》(NISTIR 8425)等適用標準,並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準(涉及資安技術要求事項等),確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級,詳述如下: (一) 一星級(★1) 物聯網產品須符合產品共通性之要求,並適用最低限度之資安要求事項,倘若產品已滿足相關要求事項,由產品供應商自我宣告即可。 (二) 二星級(★2) 視物聯網產品的類型、功能特徵等因素,於一星級以上增訂基礎的資安要求事項,倘若產品已滿足相關要求,仍由產品供應商自我宣告即可。 (三) 三星級(★3) 視物聯網產品的使用對象,包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等,依產品類型、功能特徵等因素,訂定共通性之資安要件,並須由獨立第三方進行驗證,並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 (四) 四星級(★4) 適用程序上雖與三星級相同,依產品類型、功能特徵等因素,訂定共通性之資安要件,並由獨立第三方進行驗證,須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中,諸如通信設備等所適用的資安要求及相關風險層級較高,因此為最高防護等級。 值得注意的是,日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4],預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章,結合其他先進國家的資安標準,建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品,賦予不同星等評級,供一般消費者或政府、企業法人等選購時參考,具體提升針對物聯網產品的資安識別。此外,依產品適用對象或風險層級不同,適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求,則可能適用三星或四星等級,且產品均須經獨立第三方進行評鑑後,才能取得符合性評鑑報告書,並添附資安標籤。 因此,JC-STAR並非僅針對政府或公部門單位採購適用,而是擴及日本國內產業或是一般消費者,因此日常中物聯網產品的使用,均受到全面性的資安保障。另一方面,倘若未來日本JC-STAR制度受到其他各國承認,即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品,故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本,有助於提升產業競爭力。據此,日本以資安標籤提升消費者識別,並有物聯網產品資安驗證機制之整體性規劃,均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf (最後瀏覽日:2025/10/13)。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf (最後瀏覽日:2025/10/13)。 [3]〈IoT製品のセキュリティ確保に向けて ~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~〉,頁25,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf (最後瀏覽日:2025/10/13)。 [4]〈ファクトシート:岸田総理大臣の国賓待遇での米国公式訪問〉,日本外務省,https://www.mofa.go.jp/files/100652150.pdf (最後瀏覽日:2025/10/13)。
技術進步、資訊流通、隱私保障 日本為防堵黃牛票6月正式施行票券不當轉賣禁止法日本在2019年6月14日正式施行「確保表演入場券流通正當性之禁止不當轉賣特定表演入場券相關法律」(特定興行入場券の不正転売の禁止等による興行入場券の適正な流通の確保に関する法律),簡稱票券不當轉賣禁止法(チケット不正転売禁止法),其以訂立專法之方式,來防止黃牛業者先大量取得票券,再以賺取高額差價之方式牟利。其重點包括: 禁止行為:(1)不當轉賣票券;(2)以不當轉賣為目的而讓售票券。 適用範圍:在日本國內所舉行,且得為不特定多數人得共聞共見之電影、歌劇、舞台劇、音樂、舞蹈及其他藝術或體育活動。 票券應記載事項: (1)發行人在販售時明確表示,禁止未經發行人同意而進行買賣轉讓,並應將禁止事項記載於票券上;(2)舉行表演之時間、地點及具入場資格者之指定座位;(3)發行人在販售時,需採取確認入場者或購票者之姓名和聯繫方式等必要措施,並應將確認事項記載於票券上。 不當轉賣定義:以有償轉賣未得票券發行人事前同意轉讓之票券為業,並以超過售價之價格進行販賣。 日本政府並針對2019年9月份在日本所舉辦之橄欖球世界杯及2020年在東京所舉辦之奧運會加強宣導該法令。我國熱門活動、演唱會也常面臨黃牛掃票,再高額轉售之問題。日本之立法模式,不失為我國參考借鏡之對象。