美國發表網路安全框架

　　美國白宮在2015年2月27日發布了「消費者隱私權法」（Consumer Privacy Bill of Rights Act）草案，目的在於擴大消費者資料的保護範圍。 該草案的重點分列如下： 透明性：受規範主體必須提供資訊主體簡潔、明顯、易懂的公告，公告內容必須提供簡潔、明瞭及即時的隱私與安全運作，包含資訊保存、揭露以及個人資料存取機制。 個人控制：受規範主體應該在合理範圍內提供機制，讓資料主體能控制其個人資料之處理，同時也規範應讓消費者撤銷個人資料使用的同意。 注重資料蒐集與合理使用：受規範的公司機構必須依據其清楚、合理的說明規則來進行個人資料的蒐集、保存與利用。同時，在資料蒐集之特定目的完成後的合理時間內，必須針對所蒐集的個人資料進行刪除或是去識別化。 安全性的維護：為了維護個人資料之安全性，以防止其遺失、陷入危險、改變以及未經授權之使用或是揭露，公司機構必須進行安全風險評估，並且採取合理的資訊安全防護措施。 存取與正確性：受規範的公司機構必須提供資訊主體合理的存取權利，同時也應該採取合理的步驟，來維護資料的正確性。 擔負隱私維護的責任：受規範的公司機構必須針對員工實施資安教育訓練、進行隱私評估、隱私設計、遵守隱私保護義務以及採取適當的措施來遵循本草案之規定。 不受本草案規範之公司機構： 25名員工以下的小型公司，且其處理者僅限於員工與求職者之個人資料。 未刻意蒐集、處理、使用、保存或揭露個人病史、原生國籍、性傾向、性別、宗教信仰、資產狀況、精確的位置資訊、獨一無二的生物識別資料或是社會安全號碼，並符合以下要件之一者： 在12個月內蒐集個人資料筆數在10,000筆下； 5名員工以下。 　　除了要求產業發展處理消費者資料的標準或規則，該草案也要求「聯邦貿易委員會」（Federal Trade Commission, FTC）確認產業所制定的標準或規則必須符合「消費者隱私權法」的規定，包括提供消費者有關其資料如何被收集、使用與分享的明確通知。如果進行消費者資料收集的公司機構違反了「消費者隱私權法」，將會面臨FTC或是州檢察長所發起的法律行動。 　　該草案引起了產業界極大的反彈，隱私團體也批評該草案太過寬鬆，留給產業界太多自由空間，同時目前國會由共和黨所主導，因此後續立法工作的進行將會面臨極大的挑戰。

　　美國最高法院日前針對Brown v. EMA & ESA（即之前的Schwartzenegger v. EMA）一案作出決定，確認加州政府於2005年制定的一項與禁止販賣暴力電玩（violent video games）有關的法律，係違反聯邦憲法第一修正案而無效。 　　該加州法律係在阿諾史瓦辛格（Arnold Alois Schwarzenegger）擔任加州州長時通過。根據該法規定，禁止販售或出租暴力電玩給未滿18歲的未成年人，且要求暴力電玩應在包裝盒上加註除現行ESRB分級標誌以外的特別標誌，故有侵害憲法第一修正案所保障的言論自由之虞。本案第一審、第二審法院均認定加州「禁止暴力電玩」法案係屬違憲。 　　而最高法院日前於6月27日以7比2的票數判決，肯定下級審的見解。最高法院認為，電玩（video games）係透過角色、對話、情節和音樂等媒體，傳達其所欲表達的概念，就如同其他呈現言論的方式（如書本、戲劇、電影），皆應受到憲法言論表達自由原則之保護。 　　因此，對同樣受到憲法保障的遊戲內容表達，只有在有重大（值得保護）的公益須維護時，才能對其加以限制；同時，限制手段亦須通過最嚴格的審查標準（stringent strict scrutiny test）。最高法院認為，本案中加州政府並無法證明有重大（值得保護）的公益存在，且以法律禁止販賣的手段也無法通過審查標準。 　　如同美國娛樂軟體協會（ESA）CEO Michael D. Gallagher所說，政府不應採取立法禁止的方式，限制遊戲內容的表達自由；反之，美國電玩產業一直以來都遵守一套自願性的分級制度（Entertainment Software Rating Board rating system），藉以提供消費者有關遊戲內容的資訊。這套分級制度已足以協助家長從包裝盒上辨認出遊戲內容，確保未成年人不接觸不適宜的遊戲。 　　判決出爐後，產業界紛紛表示這是對遊戲產業的一大勝利。本案也證明，即使面臨日新月異科技發展的挑戰，憲法所保障的言論自由表達原則，同樣適用在新興科技的表現媒介。

ePrivacy指令修正背景 　　原資料保護指令將於2018年由一般資料保護規則所取代，在此一背景下，電子隱私指令除補充資料保護指令外，亦訂定關於在電子通訊部門的個人資料處理的具體規則。具體作法，如在利用流量和位置資訊於商業目的之前，應徵得用戶的同意。在ePrivacy指令未特別規定的適用對象，將由資料保護指令（以及未來的GDPR）所涵蓋。如，個人的權利：獲得其個人資料的使用，修改或刪除的權利。 　　歐盟執委會為進行ePrivacy指令（Richtlinie über den Datenschutz in der elektronischen Kommunikation）改革，於2016年8月4日提出意見徵詢摘要報告，檢討修正ePrivacy指令時著重的的幾個標的： (1)確保ePrivacy規則與未來的一般資料保護規則之間的一致性。亦即評估現有規定是否存在任何重複、冗餘、不一致或不必要的複雜情況。（如個人資料洩漏時的通知） (2)指令僅適用於傳統的電信供應商，而在必要時應該以新市場和技術的現實的眼光，重行評估更新ePrivacy規則。對於已成為電子通信行業新興創新的市場參與者，如：提供即時通訊和語音通話（也稱為“OTT供應商”），由於目前不需要遵守ePrivacy指令主要規定，而應納入修正對象。 (3)加強整個歐盟通訊的安全性和保密性。ePrivacy指令在規範上，確保用戶的設備免受侵入、確保通信的安全性和保密性。本指令第5條第3項，儲存資訊、或近用已存儲在用戶設備之資訊，需得其的同意。該條款的有效性已有爭論，因為新的追踪技術，如：指紋識別設備可能無法被現有的規則所涵攝。最後，有認需得同意的例外規定列表，有必要延伸到對資訊之其他非侵入性的儲存/近用：如網路分析等。這些都是應予以仔細評價和檢視之對象。 公眾諮詢摘要報告內容 　　經過4月13日到7月5日的公眾諮詢，歐盟執委會於8月4日提出報告。 　　諮詢意見主要來自德（25.9%）、英(14.3%)、比(10%)、法(7.1%)的回覆。 　　一、是否有必要在電子通訊部門訂定隱私特別規定？ 市民與公民團體咸認有必要在電子通訊部門，甚至流量資料和位址資訊也應該訂定新規（83%）、企業則認為無甚需要，只有在秘密性規則（31%）與流量資料（26%）有需要訂定；主管機關則咸認需要特別規定。 　　二、現行指令是否已足達成其立法目的？76%市民和公民團體認為未達立法目的，理由如下： ePrivacy指令的範圍太狹小，不包括即時訊息、語音通話（VoIP）和電子郵件應用服務。 規範太模糊，導致會員國之間適用結果和保護程度的差異、不一致。 法律遵循的程度展法程度太差。 　　三、是否應為新通訊服務訂定新規？ 　　76%市民和公民團體認為適用範圍應該涵蓋到OTT上。

　　歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件，點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 　　歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 　　此份報告指出，該重要性部門之資安等級需求並不盡相同，因此導致各部門面對資安事件之準備無法相提並論。例如，能源產業會用到SCADA系統，而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級，故此份報告目的係確認該部門當前的處境，並與現階段可取得之網路安全訓練對照，進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 　　我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫，並向中央目的事業主管機關或直轄市、縣（市）政府提出該計畫之實施情形，在未來實際落實各重要性設施之資安維護以及資安小組訓練時，須意識到各重要性設施之資訊安全需求差異性，及相關人員必須針對不同單位而受不同之訓練。