美國白宮公布巨量資料追蹤報告與政策建議

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　在一片低迷的全球經濟成長中，2015年11月11日世界智慧財產權組織（WIPO），公布了最新的「世界智慧財產報告：突破創新與經濟成長（ World Intellectual Property Report: Breakthrough Innovation and Economic Growth）」，探討知識產權的角色與創新及經濟成長之關連，並鎖定在突破性創新之影響。該報告除討論具代表性歷史創新技術，另也探討當今具有潛在突破性發展之創新技術，同時敦促各國政府及企業，應增加此三領域創新技術相關之投資。 　　在過去300年來的創新技術發展，已經觸及人類活動的各個層面，並改變了世界的經濟結構。依據2015年WIPO報告，顯示出三領域歷史創新技術如何觸發當時新的企業活動：即飛機、抗生素和半導體。該報告考量到創新驅動成長及未來展望，另探究了三領域具有潛在突破性發展之當今技術：即3D列印、奈米和機器人技術。調查報告也顯示，日本和美國正帶領著一小群國家，推動此三領域創新技術進行突破研究，正因此三領域前瞻技術，掌握著推動未來經濟增長之潛力。 　　朝向工業化發展的新興中等收入國家中國大陸，自2005年以來在3D列印和機器人領域的專利申請量占全球四分之一以上，為全球國家中比率最高；在奈米技術方面，中國大陸專利申請人占全球近15%，是第3大申請國，但與其他資深創新國家不同的是，中國大陸的大學和公立研究機構申請案所占比例相當高。 　　WIPO報告強調，創新生態系統的成功要素有三：政府資助科學技術研究，並協助具前景技術從實驗室走到商品化階段；透過充滿活力的金融市場和健全的法規，以及鼓勵企業創新來加強市場競爭力；促進公、私部門創新單位的連結溝通流暢。 　　該報告亦說明大學和公立研究機構與創新如何日形密切，和傳統飛機、抗生素和半導體領域相較，學研機構在3D列印、奈米技術和機器人領域的專利申請所占比例較高，尤其是在奈米技術領域，全球的學術機構申請人約占四分之一。另外著作權在技術創新也變得更加常見且緊密相關，包括電腦軟體納入著作權保護標的，及3D物品設計和電腦IC晶片設計等的任何形式數位表達之保護。 　　WIPO「世界智慧財產報告」每兩年發行一次，每期的重點放在不同的IP領域新趨勢，先前的報告已探討「品牌在全球市場的角色（the role that brands play in a global marketplace）」及「不斷變化的創新（the changing face of innovatio）」。

　　昇陽公司本月十四日把 500 多萬行 Solaris 核心 (kernel) 的原始碼張貼在 OpenSolaris 網站上。不過，一些原始碼元件，像是安裝程式與管理工具，因為仍在逐行檢視以免專利侵權問題，稍後才會推出。 　　Solaris 是使用率相當廣的一種 Unix 衍生版本，在一九九○年代末期網路泡沫時期大行其道，但後來隨開原碼作業系統 Linux 竄起而式微。同時，微軟的 Windows 作業系統，也蠶食著昇陽的市占率。為了讓 Solaris 成為開放原始碼軟體，昇陽積極拉攏軟體開發人員，軟體開發人數增多，可能引來更多的使用者、更多的合作夥伴，以及更多的軟體開發者。然而，要與氣勢正旺的 Linux 競爭，並非易事。 Solaris 開發工程僅傾昇陽一家公司之力，但 Linux 幕後卻有廣大的開發人員社群支持。 　　Quandt Analytics 分析師 Stacey Quandt 說，與外部程式設計師分享權力，是昇陽必須通過的考驗。對昇陽來說，真正的挑戰是，昇陽是否真能容納局外人貢獻的修補程式，而且不叫昇陽經驗老到的工程師加以改寫。 　　OpenSolaris 是昇陽自行研發的專屬計畫，但不表示一定會失敗。 IBM 即曾經以 Eclipse 程式設計工具為中心，建立起活力十足的開原碼社群，就是成功的例子。昇陽雖來不及按原訂計畫在二○○四年推出 OpenSolaris ，但已推動一些配套措施，包括在今年一月發布稱為 DTrace 的元件，提供詳細的效能分析；吸引一百五十位外部程式設計人員參與 OpenSolaris 測試計畫；並成立由五人組成的社群顧問委員會，其中兩席是昇陽的代表。

　　由於數位環境下，歐盟著作權法架構在著作跨境使用上仍有不明確之處，因此歐執會於2016/09/14公布「歐盟單一數位市場之著作權指令」法案（Proposition de DIRECTIVE DU PARLEMENT EUROPÉEN ET DU CONSEIL sur le droit d’auteur dans le marché unique numérique）。法案產生背景是因為擬藉由此法案補充現行歐盟著作權規範架構之不足。 　　此法案涉及三大重點議題，包括：網路著作內容之跨境取得、歐盟著作權規則如何在數位及跨國環境下運作、以及歐盟著作權市場運作。 　　因應作品新型式數位使用及具跨境使用性質，法案對於科學研究上資料探索（la fouille de textes et de données）、以教育為目的使用及為文化遺產保存使用，於網路跨境使用上，賦予著作權法跨境使用例外。 　　其次，為便利VOD平台取得影視著作之授權使用，此法案要求會員國設立授權協商機制，由公正第三方，就數位著作授權，提供權利人及平台諮詢業務。又為簡化數位新聞出版品之授權，確保出版者對數位新聞業之投資，法案承認數位新聞出版者為著作鄰接權人。也就是說，針對新聞作品數位使用上，賦予數位新聞出版者重製權及公眾提供權（le droit de mise à disposition）。 　　另外為確保著作權授權市場運作，明定網路儲存及連接服務業者（ISP）雖可主張第三人免責規定，但仍負有採取適當及合比例性措施來保護網路著作權之義務；同時，要求授權作品（包含權利移轉）之事後使用資訊需透明化，若有權利金與使用收益比例不當之情形，會員國需有補償機制之救濟並提供替代性爭端解決機制，希望藉由促進著作經濟價值的正確評估，加強對著作人及表演人之保護。 　　簡而言之，指令目的在擴大歐盟內部使用接近（近用）受著作權保護之網路作品機會，促進受著作權保護作品得以跨境使用於教育、研究及文化保存，以確保數位著作權市場運作效益。 　　法案將依據歐盟立法程序分送歐盟議會及理事會審查。 本文同步刊登於TIPS網站（https://www.tips.org.tw）