國家技術標準之制定政策-由英國BSI觀國家技術標準制定政策
國家技術標準之制定政策
-由英國BSI觀國家技術標準制定政策
科技法律研究所
法律研究員 徐維佑
2014年12月03日
壹、前言
所謂技術標準(standards),指透過法規、私人企業、或者產業慣例形成的統一技術或特定規格,包括重量、大小、品質、材料或技術特徵(technical specifications),以使商品、服務、製造或製造程序方法能有共通的設計或相容性[1];由特定標準制定組織要求市場上商品或服務應符合一定品質者,亦為技術標準,例如確保農產品符合人體食用的健康安全標準。
制定技術標準不但具有降低生產成本、促進創新、加強消費者選擇性、增進公共健康及安全等優點,更是國際貿易的基礎。以技術日新月異的ICT資訊通信產業而言,標準更是搶佔市場的利器。
貳、英國國家標準制定政策
成立於西元1901年之英國標準協會(British Standards Institution,以下簡稱BSI)為英國標準制定組織,亦是全球第一個國家標準機構,專門提供企業解決方案,將最佳實務模式(best practice)轉換成日常表現標準。BSI非政府機構,但透過與英國政府商業、創新與技術部門(Department for Business, Innovation and Skills, BIS)簽訂備忘錄,BSI成為英國國家標準制定組織,而其特色與任務大致如下:
一、以整體產業為考量之標準制定機構
BSI標準制定業務範圍[2],除國家、區域、國際標準外,亦為私人企業、企業聯盟制定企業內部或企業聯盟間私人標準。標準制定之作法,係由產業界提名各領域之專業人員,及少數之政府部會官員成立標準制定委員會,各委員並非代表公司立場,而係以整體產業最有利立場參與會議;而BIS政府官員功能僅為傳達目前政府部會投入發展方向;標準制定委員會下,則設有技術委員會,委員各為特定技術領域之專家。BSI的原則為取得各界意見的平衡,在技術委員會成員組成上會避免單一勢力獨大,並盡力避免標準中包含特定權利人之智慧財產。
二、協助技術發展之階段式標準制定工作
BSI對於英國國內之技術研究、發展活動,採階段式引導標準化制定工作:
1、基礎研究階段:即早整合各利害關係人共識,建立共同發展對話基礎;
2、驗證技術可行性階段:藉由建立專家小組,發展初期測試方法與安全管理之共同觀點;
3、技術整合階段:即早為市場作準備,統一規格與測試方法,以及日後之技術升級方法;
4、原型製作階段:建立產業間行為準則,同時廣納消費者觀點,提昇該技術於市場之接受度;
5、應用測試、系統驗證階段:連結該技術與市場上產品、或其他服務、亦或其他標準組織制定之標準。
值得強調的是,BSI於研究發展活動各階段制定之標準提案草案皆會公佈於網站上,提供平台予大眾針對草案表示意見。
三、快速形成產業標準之PAS共通規範
BSI設有「可公開獲得的規範(publicly available specification, PAS)[3]」,相較於一般國家標準、國際標準,開發PAS時程較短,其目的為在英國國家標準或國際標準形成前,作為提早提供市場參考、使用之共通規範,國際標準如ISO亦有此制度。當技術共通規範成為PAS後,每3年接受技術委員會確認是否延續,或轉將其提案為國際標準。
私人企業可向BSI付費委託發展PAS共通規範。BSI會派專業人員指導企業如何撰寫PAS共通規範提案相關文件,集合內部專家團隊協助完成PAS共通規範提案。完成後對外召集內外部專家檢視PAS提案,包括標準制定委員會成員、政府官員、相關產業人員與消費者團體,並將檢視結果建議回饋給BSI內部專家團隊決定最終版本,公佈予給各界參考使用,公佈後之成果亦作為日後發展國家標準、國際標準之基礎。
參、結論
英國國家標準制定組織BSI,不遺餘力的協助產業自願性形成共識作為國家標準主軸,由產業推舉之專業人員與政府各領域官員作為技術委員會成員,平衡各界意見以整體產業發展為考量。藉由研究發展各階段性標準化工作,公開標準草案廣納各界意見,並盡力避免標準包含特定人之智慧財產權。並且,BSI協助國內企業發展PAS共通規範,除加速國內產業共識的形成外,更建立發展國際標準之良好基礎,摃動英國產業發展,並保障社會、環境、消費者之權益,值得我國學習。
[1]Mark A. Lemley, Intellectual Property Rights and Standard-Setting Organizations, 90 Calif. L. Rev. 1889, 1910-1911 (2002), available at http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1392&context=californialawreview (last visited Aug. 28, 2014)
[2]筆者親自訪談Daniel Mansfield政策主任,BSI Group總部,英國倫敦(2014/10/15)。
[3]ISO, ISO/PAS Publicly Available Specification (2014), http://www.iso.org/iso/home/standards_development/deliverables-all.htm?type=pas (last visited: 2014/10/01)
美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。 由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。 2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。 Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注: 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。 要求所有執行機構清點所有連結物聯網的設備。
歐盟發布與食品接觸的容器材料安全評估規則歐盟食品安全局(European Food Safety Authority, EFSA)於2009年5月29日發布歐盟第450/2009號規則(Regulation EC No. 450/2009),內容為評估與食品接觸的包裝容器之「活性材料」(active material)或「智慧型材料」(intelligence material),其活性與智慧型功能物質之使用安全性。此號規則規定了進行活性或智慧型材料物質的安全評估相關的行政管理,及申請所需提出的科技數據與資訊內容。 歐盟第450/2009號規則是一項落實第1935/2004號規則中,有關食品安全的具體規則。第450/2009號規則要求食品容器中的「活性材料」與「智慧型材料」,必須經過EFSA的安全評估測試。 歐盟於2004年10月通過第1935/2004號規則(Regulation EC No. 1935/2004),首次公佈活性材料與智慧型材料的定義。「活性材料」係指為增加食物保存期限或維持及改善情況,食品容器材料會自動釋放某些物質在食品中以延長期限。「智慧型材料」則指能顯示食物狀況或在包裝上顯示出周圍環境狀態,例如在食品包裝上,結合溫度顯示材料,指出裝運過程中的溫度狀態。 而第450/2009號規則,則是進一步落實規範。在安全評估測試中,EFSA對於申請者提出的容器材料物質,進行風險測試後,將給予申請者得以使用的物質清單。若有食品容器材料的物質經測試後發現,其活性或智慧型功能的物質,與食品容器材料中的其他物質產生交互作用,EFSA可能將限制使用此類物質於食物容器材料中,以確保容器材料之安全性。
美國針對政府雲端運算應用之資訊安全與認可評估提案為建構政府雲發展的妥適環境,美國於今年度啟動「聯邦風險與認可管理計畫」(Federal Risk and Authorization Management Program, FedRAMP),由國家技術標準局(National Institute of Standards and Technology, NIST)、公共服務行政部(General Service Administration)、資訊長聯席會(CIO Council)及其他關連私部門團體、NGO及學者代表共同組成的跨部會團隊,針對外部服務提供者提供政府部門IT共享的情形,建構一個共同授權與持續監督機制。在歷經18個月的討論後,於今(2010)年11月提出「政府雲端資訊安全與認可評估」提案(Proposed Security Assessment & Authorization for U.S Government Cloud Computing),現正公開徵詢公眾意見。 在FedRAMP計畫中,首欲解決公部門應用雲端運算所衍伸的安全性認可問題,因此,其將研議出一套跨部門共通性風險管理程序。尤其是公部門導入雲端應用服務,終究會歸結到委外服務的管理,因此本計劃的進行,是希望能夠讓各部門透過一個機制,無論在雲端運算的應用及外部服務提供之衡量上,皆能依循跨機關的共通資訊安全評定流程,使聯邦資訊安全要求能夠協調應用,並強化風險管理及逐步達成效率化以節省管理成本。 而在上述「政府雲端資訊安全與認可評估」文件中,可分為三個重要範疇。在雲端運算安全資訊安全基準的部份,主要是以NIST Special Publication 800-535中的資訊安全控制項作為基礎;並依據資訊系統所處理、儲存與傳輸的聯邦資訊的敏感性與重要性,區分影響等級。另一部份,則著重在持續性的系統監控,主要是判定所部署的資訊安全控制,能否在不斷變動的環境中持續有效運作。最後,則是針對聯邦資訊共享架構,出示模範管理模式、方策與責任分配體系。
達成京都議定書減量目標 提昇能源效率比課碳稅衝擊小因應京都議定書,經濟部日前引用學界研究報告發現,我國若依議定書原則達成溫室氣體減量目標,總計需投入經費達五八七八億元至八七○八億元。為達成這項目標,政府採取提升能源效率的作法,比直接課徵碳稅,對國內經濟衝擊力道較小。 根據國際能源總署公布資料顯示,台灣CO2排放總量達二億一七三○萬公噸,人均排放量達九.八公噸,皆高於全球平均值,每單位CO2排放所創造的GDP為一.八九(美元/公斤CO2)也較OECD等先進國家平均值低。 經濟部內部歸納CO2減量效果不佳的原因,除政策上採非強制處理態度外,過去十年間,石化、鋼鐵等高耗能產業結構調整緩慢,加上半導體及液晶面板等大量使用全氟化物、六氟化硫的產業訊速成長,使得工業製程中排放的CO2等溫室氣體大幅成長更是主要原因。 依京都議定書條約精神及國際環保現況,我國與南韓同屬網要公約非附件一成員中的「新興工業國」,成為公約下一階段管制對象。致使抑制國內激增溫室氣體排放量已成為我國政府迫切須處理的課題。 在經濟部這份內部研究報告中,也引用臺灣大學農業經濟系教授徐世勳等學者的研究推估,如果台灣要達到京都議定書的要求,將CO2排放量控制在一九九○年水準,則減量成本將達新台幣五八七八億元至八七○八億元。 而學界的這項研究也針對開徵碳稅稅率不同對台灣經濟影響進行評估,推估當對每公噸CO2排放課徵六○○元碳稅時,對經濟成長衝擊為負○.六%,調高至七五○元時,所造成的衝擊則更達負○.七一%。