德國聯邦內政部提出「資訊科技安全法」(草案),保障關鍵基礎設施及資訊安全
德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。
該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。
關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。
關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。
若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。
歐盟委員會(European Commission)於 2025年2月3日因應將於2025年9月12日施行的資料法(Data Act),就其常見問題說明進行補充與更新為1.2版(Frequently Asked Questions on the Data Act,下稱FAQs),以協助企業面對資料法施行後的挑戰。 於新版FAQs中就資料法進行補充說明,以助企業了解資料法之適用範圍,就資料法所稱之聯網裝置與服務,聯網裝置泛指可以連上網路的裝置,包含智慧型手機,並僅限於由使用者所擁有的聯網裝置,另就聯網服務則須具備雙向資料傳遞且須與聯網產品的操作功能有影響之服務。 就資料持有者有義務提供之資料適用範圍,僅限於聯網裝置與相關服務所產出的原始資料與預處理資料(原始但可用),資料持有者就原始資料或預處理資料進行加值所產生資料,如經分析所產生之衍生資料、經投入重大資源進行清理之資料等,則不在共享義務之範圍內,另就資料的內容有其他法律保護亦不在資料法的範疇中,如網路攝影機之照片/影片有受著作權法保護係屬於資料內容,網路攝影機之使用模式/電池狀態/照明強度等資料才是資料法所規範之資料,惟須留意若影像之內容非屬著作權保護之標的,如網路攝影機因具感測功能而自動就影像判斷是否異常現象或提供建議,此類影像因不具人類創意而不受著作權保護,仍屬資料法所涵蓋範圍。 於FAQs之解釋中,就資料法實際操作與預期有所差異,歐盟委員會後續亦會整合與數位資料相關之法規,如建立資料聯盟策略(Data Union Strategy),以助於企業促進數位資料的使用與共享。國內廠商若有提供歐盟客戶相關聯網設備與服務時,須留意內部資料管理制度能否滿足資料法要求,確保組織有因應相關法規議題的變化進行制度的變更,如何將外部議題與資料管理制度連結,可參資策會科法所創意智財中心就數位資料管理機制所公布之《重要數位資料治理暨管理制度規範(EDGS)》,將組織營運所在國別之法規範變動納入關注之外部議題,並設定對應之資料政策與目標,建立符合法令規範之資料管理制度,如是否得以識別為資料法所適用之資料等,以確保組織資料管理機制符合法令要求。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟數位身分框架政策之相關推動措施概要歐盟數位身分框架政策之相關推動措施概要 資訊工業策進會科技法律研究所 2021年8月30日 歐盟執委會(European Commission)於2021年6月3日公布關於建立歐盟數位身分框架的第910/2014號規則修正案(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity)[1],規劃於2022年9月前提供歐盟境內人民數位身分證明之服務。 壹、事件摘要 為落實歐盟「2030數位羅盤」(2030 Digital Compass)政策,實現「公共服務數位化」之核心願景,歐盟推行數位身分框架,規劃於2030年前歐盟全境須有80%民眾使用電子身分證,以強化歐盟境內所有民眾(包括身心障礙人士)公共服務之近用權(right of access)。執委會於2021年6月3日公布的數位身分框架修正案,主要係就2014年通過的「歐盟內部市場電子交易之電子身分認證及信賴服務規則」(簡稱eIDAS規則[2]),依據該規則第49條,對其運作情形進行評估(An evaluation of the functioning of the eIDAS Regulation was conducted as part of the review process required by Article 49 of the eIDAS Regulation),同步考量技術、市場發展,針對當中不合時宜之規定為增修,並於2020年7月24日至10月2日進行公眾意見徵詢。 根據修正案內容,會員國必須提供公民和企業數位身分錢包(Digital Identity Wallet),此可透過會員國認可的公務機關或私人企業提供,錢包能夠將國家數位身分識別(national digital identities)與其他個人身分證明(例如駕照、證照、銀行帳戶)進行連結,使歐盟公民和企業能夠經由使用數位錢包來進行身分識別,以方便近用線上服務,例如請求公共服務、開設銀行帳戶、填寫納稅申報表、入住酒店,租車或年齡證明等。該數位身分將在整個歐盟範圍內得到認可,使用者亦可依意願自行決定是否使用此身分識別服務[3]。 貳、重點說明 eIDAS規則作為歐盟境內電子身分識別(identities)、認證(authentication)和網站憑證(website certification)跨境使用的法律基礎架構[4],此次修正案旨在使各會員國的數位身分(eID)計畫於歐盟境內具互操作性(interoperable),以促進近用線上服務。重點內容如下: 一、會員國所發行歐洲數位身分錢包,須通過歐洲網路安全認證框架內的強制性合規評估(compulsory compliance assessment)和自願認證(voluntary certification)。 二、歐盟數位身分將供歐盟境內所有公民、居民、與企業使用,使用者得以利用數位身分作為識別與驗證其身分之有效工具,以方便近用歐盟之公共與私人數位服務。使用者另可控管其資料分享之廣泛度,意即得以自主決定是否與第三方分享特定個人資料,並可追蹤其資料之後續利用。 三、賦予個人電子身分證明(electronic attestations of attributes),如醫療證書或專業資格等電子證書的法律效力,並確保對源自個人身分資料和個人電子身分證明的身分驗證和真實來源驗證,以防止欺詐。 四、擴大跨境eID計畫的相互承認,降低各會員國於電子身分識別服務的差距;並加強信賴服務提供的整體監管框架,針對信賴服務提供商(trust service providers),新增為管理遠端電子簽章和封條(seal)產製設備(creation devices)所建立的新合格信賴服務(Qualified Trust Service, QTS)類型。 五、新增電子帳本(electronic ledgers)的信賴服務框架;電子帳本可為用戶提供交易和資料紀錄排序的證明和不可竄改的稽核軌跡(audit trail),能保障資料完整性。資料完整性對於匯集來自分散來源的資料、自主身分解決方案(self-sovereign identity solutions)、將所有權歸屬於數位資產與記錄業務流程等具備重要性,此有助實現更加去中心化(decentralized)的治理模式,並使多方合作成為可能。 六、於數位服務法案(Digital Services Act)中所定義的超大型線上平台(very large online platforms),將被要求透過歐洲數位身分錢包驗證其線上服務使用者身分。 參、事件評析 歐盟數位身分框架修正案,旨在解決 eIDAS 規則部分瑕疵,以順應市場動態和技術發展,包含承認電子身分證明、電子帳本之法律效力,擴增新合格信賴服務類型等,並作為歐盟建立數位身分認證政策的基礎規範,確保使用者於近用私人或公共服務時,可透過具高度安全和具信賴性的信賴服務進行身分識別。歐盟數位身分框架修正案目前於歐洲議會(European Parliament)內已送交產業、研究暨能源委員會(Industry, Research and Energy Committee, ITRE)進行審議[5],值得持續追蹤其未來發展。 近來受新冠肺炎(COVID-19)保持社交距離影響,推動企業朝數位轉型發展;執行遠距辦公政策,亦加速使用電子文件、電子簽章等數位工具。而我國電子簽章法作為促進電子商務領域發展之重要規範,自2002年4月1日起正式施行後至今未為修訂,實務上已有衍生相關適用疑義。如電子簽章法有針對電子簽章和數位簽章為層級化分類,並對於數位簽章之技術有一定規範,惟未賦予相異之法律效力,使得其區分不具太大效益。建議可參酌eIDAS規則中,對於信賴服務提供者區分為不同層級規範,並給予經主管機關審核通過之合格信賴服務提供者,所提供的信賴服務具有更高的法律效力。 此外,我國欲推行數位身分證(New eID)政策,提供我國人民網路上身分識別之證明,連結政府骨幹網路(T-Road)串接各類電子政府服務,提升民眾近用公共服務的便利性,惟後續因安全性、法源依據等爭議而暫緩推行[6]。故建議我國相關主管機關可參酌歐盟數位身分框架修正案,考量因應科技革新、商業模式創新等要素,對於身分識別相關規範進行修正與更新,以促進電子化政府及電子商務之發展,提供更具安全與信賴性的身分認證法律框架。 [1] Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Regulation (EU) No 910/2014 as regards establishing a framework for a European Digital Identity, EUROPEAN COMMISSION, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52021PC0281 (last visited Aug. 24, 2021). [2] Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Aug. 24, 2021). [3] Commission proposes a trusted and secure Digital Identity for all Europeans, EUROPEAN COMMISSION, https://ec.europa.eu/commission/presscorner/detail/en/IP_21_2663 (last visited Aug. 24, 2021). [4] 李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月);謝明均,簡介〈歐盟提供合格信任服務者依循標準建議〉,科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8687(最後瀏覽日:2021/08/24)。 [5] REVISION OF THE EIDAS REGULATION – EUROPEAN DIGITAL IDENTITY (EUID), EUROPEAN PARLIAMENT, https://www.europarl.europa.eu/legislative-train/theme-a-europe-fit-for-the-digital-age/file-eid (last visited Aug. 24, 2021). [6]〈暫緩數位身分證發行計畫 蘇揆:完善法制後再推動〉,行政院新聞傳播處,2021/01/21,https://www.ey.gov.tw/Page/9277F759E41CCD91/e80e55a2-0102-4031-b6d3-a7c40f4cac6a (最後瀏覽日:2021/08/24)。
Uber所使用的移動定位軟體被控侵權運輸公司Uber在其行動應用程式(app)中使用的移動定位技術被控侵權。原告Fall Line專利有限公司於今(2017)年7月10日美國東德州聯邦地方法院泰勒分院向Uber提起專利侵權訴訟。系爭美國專利號9,454,748(以下簡稱’748專利)的權利範圍涵蓋一種收集特定定位資料及相容於各種裝置的軟體,從而不需要再為了各種裝置重新設計新軟體。 Fall Line專利有限公司在訴狀中聲稱:「Fall Line專利有限公司是’748專利的專利權人,擁有所有實體權利。實體權利包括獨佔權及排他權,故Fall Line專利有限公司得以’748專利主張權利、對抗侵權者,對Uber的侵權行為提起訴訟。」Fall Line專利有限公司控訴Uber的行動應用程式可協助使用者以智慧型手機叫車,前往他們所在位置,侵害其’748專利。Uber的侵權行為已經造成Fall Line專利有限公司的損害,應對Fall Line專利有限公司給予適當補償,且補償金額不得低於合理權利金,及法院判決確定的利息及費用,另亦請求禁制令及陪審團審理。 此外,根據一項美國地方法院資料庫的檢索結果顯示,Fall Line專利有限公司今年到目前為止已經提起五件專利侵權訴訟,其中包括對精品國際酒店集團(Choice International Hotel)的控訴,而本案已是Uber今年第三起被控專利侵權的案件。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
美國《雲端法》(CLOUD Act)美國《雲端法》(CLOUD Act),全名為《釐清境外合法利用資料法》(Clarifying Lawful Overseas Use of Data Act),於2018年3月23日頒布生效,該法更新《1986年儲存通訊紀錄法》(Stored Communications Act of 1986),並釐清海外資料合法取得:無論資料儲存地在美國境內或境外,美國執法機構均可合法請求通訊紀錄的保存或揭露。 《雲端法》有兩大重點:首先,《雲端法》授權美國與其他值得信賴的國家進行雙邊協議,以取得重大犯罪之電子證據。其他國家必須擁有相應的完善法規、隱私、公民權利之保護,方具備與美國簽署雙邊協議的資格。透過雙邊協議,締約雙方可憑對方國家的搜索票等法律文件,直接對通訊服務提供者強制執行。其二,《雲端法》闡明美國與相當多國家長久以來的原則─假設一間公司在特定國家的司法管轄權範圍內,則其所產生的資料應接受該國的管制,資料儲存地為何,在所不問。 《雲端法》的立法背景可以追溯到2013年美國聯邦調查局(Federal Bureau of Investigation, FBI)進行緝毒受阻。當時,涉案美國公民的電子郵件存於微軟境外伺服器,FBI持有搜索令,但是微軟以《1986年儲存通訊紀錄法》管轄範圍不及於美國境外為由,拒絕提供系爭電子郵件。2016年聯邦第二巡迴上訴法院於Microsoft Corp. v. United States判決微軟勝訴─美國政府不得強制取得境外伺服器資料。然而,此訴訟存在相當多爭議,復有2018年《雲端法》之制定,微軟亦對《雲端法》表示支持。《雲端法》通過時,最高法院尚未做出判決;最終,最高法院於2018年4月17日撤銷Microsoft Corp. v. United States。2019年4月10日,美國司法部發布雲端法白皮書,匯集刑事和國家安全專業的律師之意見,並回答常見的問題,希望提升全球的公共安全、隱私及法治。