因應巨量資料（Big Data）與開放資料（Open Data）的發展與科技應用，美國國會提出「資料仲介商有責與透明法草案」（Data Broker Accountability and Transparency Act）

　　雖然微軟才針對「Internet Explorer」弱點「CVE-2012-1875」剛公佈修補程式不久，但針對「CVE-2012-1875」的為攻擊目標的網路攻擊正在發生。 　　因為作業準則（PoC）也已經公佈，有可能會發展成大規模的網路攻擊。日本IBM的Tokyo SOC也已經確認發生針對脆弱性的惡意攻擊，並將攻擊的報告公佈在該中心的部落格上。經該中心分析現在攻擊的範圍雖然「非常限縮」，但是標的型攻擊的可能性非常的高。 也正因為作業準則（PoC）也已經公佈，也將被預測到發生大規模攻擊，微軟也呼籲儘速下載修補程式對程式弱點進行修補，避免遭到攻擊 。 　　微軟針對「CVE-2012-1875」的弱點在6月13日每月定期公佈的資訊安全性更新程式「MS12-037」進行修補。在6月13日公佈的時間點雖然已經確認發生惡意攻擊的資訊安全安事件，也已經透過非公開管道向微軟報告，但微軟並沒有公開確認弱點的存在。

中國大陸改組成立「國家新聞出版廣播電影電視總局」簡評與說明 科技法律研究所 法律研究員　劉得正 102年03月12日 壹、背景說明：組成依據與目的 　　中國大陸在第十八屆二中全會審議通過「國務院機構改革和職能轉變方案」(以下簡稱方案)後，日前(3/10)由國務院正式提交方案於第十二屆全國人民代表大會第一次會議審議[1]。預計通過後，除辦公廳外，國務院設置部門將縮編為25個。 　　其中將整併現有之國家新聞出版總署、國家廣播電影電視總局兩大機構，組成「國家新聞出版廣播電影電視總局」，並加掛「國家版權局」機關名稱，承接原國家新聞出版總署負責之著作物管理工作業務。 　　彙整中國大陸官方針對方案說明可知[2]，本次整併兩大機構之目的，係為統籌規劃新聞出版、廣播、電影、電視事業等產業之發展方向，集中監督、管理相關機構、業務及其作品內容。 　　其主要原因在於隨著數位科技、資訊技術的進步，不同媒體間相互結合，已衍生出許多非傳統之新媒體。在此等媒體多元發展之趨勢下，勢必須整合新聞出版總署、廣電總局的業務，始能避免管理權責疊床架屋，提高管理效率，進而有利於推動新媒體發展與整合，提高文化傳播力與競爭力。 貳、事件簡評 一、政府組織面－邁向文廣新合併 　　中國大陸長久以來針對文化推動、廣電影視、新聞出版三者間的管理工作，早有整併之呼籲。特別是地方上，基於組織編制考量與事件性質認定問題，由縣到省、市間，已有不少將三者工作合併於單一單位管理之實例。相對於地方發展，中國大陸中央政府卻仍以文化部、廣播電影電視總局、新聞出版總署分頭管理，造成「單一下級機關需同時對三個上級機關負責」之不合理情況[3]。因此，隨著中國國務院之組織調整，可視為解決此不合理情況的第一步。 　　考量廣播電影電視與新聞出版在內容性質與管制對象上較為相近，業務合併之可行性較高，因此，本次合併在影響最小之前提下，先試圖將國家新聞出版總署與廣電總局予以整併，組成「國家新聞出版廣播電影電視總局」，以期至少解決一部份重疊管制之問題。另一方面，也將透過國家新聞出版總署與廣電總局合併工作之歷程，可作為將來與中國文化部合併之借鏡，達成中央與地方文廣新組織編制一致之目標。 二、產業面－透過管制、審批程序簡化，幫助產業推動 　　根據方案之說明文件，除對於組織裁併(包括新聞出版總署與廣播電影電視總局合併)之理由作出個別說明外，針對國務院整體組織職能改變，更提出十大措施，作為未來改造方向、原則和重點，包括[4]：「（一）减少和下放投资审批事项；（二）减少和下放生产经营活动审批事项；（三）减少资质资格许可和认定；（四）减少专项转移支付和收费；（五）减少部门职责交叉和分散；（六）改革工商登记制度；（七）改革社会组织管理制度；（八）改善和加强宏观管理；（九）加强基础性制度建设；（十）加强依法行政。」 　　由此可知，「國家新聞出版廣播電影電視總局」之組成，除達到集中管理、避免行政資源浪費外，對於產業界更重要的意義在於，未來將配合方案所列目標，針對現有之相關審批程序進行整併、簡化，藉以降低企業進入市場門檻，及提高產業更新之動能。 　　因此，對於中國大陸國務院本次組織改造方案，後續應持續關注陸方對相關審批程序的調整方向，掌握數位內容相關審批規範、流程是否會有對應的調整，以利協助我國業者赴大陸投資之法律風險評估。 附件、「新聞出版總署」、「廣播電影電視總局」現行權責介紹 ●國家廣播電影電視總局主要職責介紹[5] （一） 擬訂廣播電影電視宣傳、創作的方針政策，把握正確的輿論導向和創作導向。 （二） 起草廣播電影電視和資訊網路視聽節目服務的法律法規草案，擬訂相關技術標準和部門規章，推進廣播電影電視領域的體制機制改革。 （三） 組織推進廣播電影電視領域的公共服務，組織實施廣播電影電視重大工程，扶助老少邊貧地區廣播電影電視建設和發展，指導、監管廣播電影電視重點基礎設施建設。 （四） 制訂廣播電影電視事業、產業發展規劃，指導、協調廣播電影電視事業、產業發展，管理全國性重大廣播電影電視活動。 （五） 負責廣播電影電視、資訊網路視聽節目服務機構和業務的監管並實施准入和退出管理，指導對從事廣播電影電視節目製作民辦機構的監管工作。 （六） 監管廣播電影電視節目、資訊網路視聽節目和公共視聽載體播放的視聽節目，審查其內容和品質。 （七） 指導廣播電影電視和資訊網路視聽節目服務的科技工作，負責監管廣播電影電視節目傳輸、監測和安全播出。 （八） 指導、管理廣播電影電視對外及對港澳臺的交流與合作，負責廣播電影電視節目的進口和收錄管理。 （九） 領導中央人民廣播電臺、中國國際廣播電臺和中央電視臺，對其宣傳、發展、傳輸覆蓋等重大事項進行指導、協調和管理。 （十） 承辦黨中央、國務院交辦的其他事項。 ●新聞出版總署（國家版權局）主要職責介紹[6] （一） 起草新聞出版、著作權管理的法律法規草案，擬訂新聞出版業的方針政策，制定新聞出版、著作權管理的規章並組織實施。 （二） 制定新聞出版事業、產業發展規劃、調控目標和產業政策並指導實施，制定全國出版、印刷、複製、發行和出版物進出口單位總量、結構、佈局的規劃並組織實施，推進新聞出版領域的體制機制改革。 （三） 監管出版活動，組織查處嚴重違規出版物和重大違法違規出版活動，指導對從事出版活動的民辦機構的監管工作。 （四） 負責對新聞出版單位進行行業監管，實施准入和退出管理。 （五） 負責出版物內容監管，組織指導黨和國家重要文件文獻、重點出版物和教科書的出版、印製和發行工作，制定國家古籍整理出版規劃並承擔組織協調工作。 （六） 負責對互聯網出版活動和開辦手機書刊、手機文學業務進行審批和監管。 （七） 擬訂出版物市場“掃黃打非”計畫並組織實施，組織查處非法出版物和非法出版活動的大案要案。 （八） 擬訂出版物市場的調控政策、措施並指導實施，指導對出版物市場經營活動的監管工作。 （九） 負責全國新聞單位記者證的監製管理，負責國內報刊社、通訊社分支機搆和記者站的監管，組織查處重大新聞違法活動。 （十） 負責印刷業的監管。 （十一） 負責著作權管理工作，組織查處有重大影響的著作權侵權案件和涉外侵權案件，負責處理涉外著作權關係和有關著作權國際條約應對事務。 （十二） 組織開展新聞出版和著作權對外交流與合作的有關工作，負責出版物的進口管理工作，協調、推動出版物的進出口。 （十三） 承辦黨中央、國務院交辦的其他事項。 [1]參照「關於國務院機構改革和職能轉變方案的説明—2013年3月10日在第十二屆全國人民代表大會第一次會議上國務委員兼國務院秘書長馬凱」，http://big5.gov.cn/gate/big5/www.gov.cn/2013lh/content_2350848.htm ( 最後瀏覽日：2013/03/12)。 [2]「中央編辦負責人就國務院機構改革和職能轉變答記者問」，http://news.xinhuanet.com/2013lh/2013-03/10/c_114967850.htm ( 最後瀏覽日：2013/03/12)。 [3]「新聞出版總署與廣電總局合併增強文化整體實力」，京華時報報導，2013年3月11日，http://www.chinadaily.com.cn/micro-reading/dzh/2013-03-11/content_8460858.html ( 最後瀏覽日：2013/03/12)。 [4]「国务院机构改革和职能转变方案（提交十二届全国人大一次会议审议）」，http://news.xinhuanet.com/2013lh/2013-03/10/c_114968104_2.htm ( 最後瀏覽日：2013/03/12) [5]中華人民共和國國家廣播電視電影總局網站，http://www.chinasarft.gov.cn/articles/2008/08/07/20070919194959740037.html ( 最後瀏覽日 2013/03/12) [6]中華人民共和國新聞出版總署（國家版權局）網站，http://www.gapp.gov.cn/govpublic/65/81278.shtml ( 最後瀏覽日 2013/03/12)

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　德國今年1月底通過新修法，使國際知名生技公司孟山都主要用做於飼料的基改抗蟲玉米MON810得以在德國更加順利種植。 　　原來德國法律規定基改作物與其相同種類傳統非基改作物間的種植距離為150公尺，與有機作物間的距離則為300公尺；但這項距離的規定對於農田面積多數不大的德國西部來說始終是一個問題，新法為此提供了一項新的出路，亦即基改作物種植者可與其相鄰傳統作物種植者簽訂契約來排除前述種植距離的限制，此項契約雖可能使傳統作物必須標示成為基改作物，但預估仍不會減低傳統作物種植者簽訂契約的意願。 　　專家評論德國這項新的立法仍然為德不卒，由於新立法並未將德國公開註冊制度中基改作物需揭露詳細的種植地點改為只需揭露種植地區，使得反基改分子仍將得以順利找到基改作物並加以破壞。另外，此次亦未修正的鄰田污染賠償責任使專家擔憂基改研究仍將限於校園內。 　　MON810在另一端的法國則顯得命運多舛，自去年秋天起，法國引用歐盟法的防衛條款（Articles 23 of the EU Deliberate Release Directive）來暫時禁種此一抗蟲玉米，於今年1月初，法國政府為此項問題所組成的委員會向環境部長提交調查結果，委員會主席並對外表示嚴重質疑MON810的安全性，並已取得大量MON810對動、植物負面影響的科學證據，使法國政府於1月中宣佈延續去年的禁種令。但專家質疑委員會主席對於調查報告之陳述失之客觀，由於調查報告中關於MON810商業種植對於環境影響的問題仍懸而未定，事實上並未存有委員會主席所謂的「嚴重質疑」。