國家技術標準之制定政策-由英國BSI觀國家技術標準制定政策
國家技術標準之制定政策
-由英國BSI觀國家技術標準制定政策
科技法律研究所
法律研究員 徐維佑
2014年12月03日
壹、前言
所謂技術標準(standards),指透過法規、私人企業、或者產業慣例形成的統一技術或特定規格,包括重量、大小、品質、材料或技術特徵(technical specifications),以使商品、服務、製造或製造程序方法能有共通的設計或相容性[1];由特定標準制定組織要求市場上商品或服務應符合一定品質者,亦為技術標準,例如確保農產品符合人體食用的健康安全標準。
制定技術標準不但具有降低生產成本、促進創新、加強消費者選擇性、增進公共健康及安全等優點,更是國際貿易的基礎。以技術日新月異的ICT資訊通信產業而言,標準更是搶佔市場的利器。
貳、英國國家標準制定政策
成立於西元1901年之英國標準協會(British Standards Institution,以下簡稱BSI)為英國標準制定組織,亦是全球第一個國家標準機構,專門提供企業解決方案,將最佳實務模式(best practice)轉換成日常表現標準。BSI非政府機構,但透過與英國政府商業、創新與技術部門(Department for Business, Innovation and Skills, BIS)簽訂備忘錄,BSI成為英國國家標準制定組織,而其特色與任務大致如下:
一、以整體產業為考量之標準制定機構
BSI標準制定業務範圍[2],除國家、區域、國際標準外,亦為私人企業、企業聯盟制定企業內部或企業聯盟間私人標準。標準制定之作法,係由產業界提名各領域之專業人員,及少數之政府部會官員成立標準制定委員會,各委員並非代表公司立場,而係以整體產業最有利立場參與會議;而BIS政府官員功能僅為傳達目前政府部會投入發展方向;標準制定委員會下,則設有技術委員會,委員各為特定技術領域之專家。BSI的原則為取得各界意見的平衡,在技術委員會成員組成上會避免單一勢力獨大,並盡力避免標準中包含特定權利人之智慧財產。
二、協助技術發展之階段式標準制定工作
BSI對於英國國內之技術研究、發展活動,採階段式引導標準化制定工作:
1、基礎研究階段:即早整合各利害關係人共識,建立共同發展對話基礎;
2、驗證技術可行性階段:藉由建立專家小組,發展初期測試方法與安全管理之共同觀點;
3、技術整合階段:即早為市場作準備,統一規格與測試方法,以及日後之技術升級方法;
4、原型製作階段:建立產業間行為準則,同時廣納消費者觀點,提昇該技術於市場之接受度;
5、應用測試、系統驗證階段:連結該技術與市場上產品、或其他服務、亦或其他標準組織制定之標準。
值得強調的是,BSI於研究發展活動各階段制定之標準提案草案皆會公佈於網站上,提供平台予大眾針對草案表示意見。
三、快速形成產業標準之PAS共通規範
BSI設有「可公開獲得的規範(publicly available specification, PAS)[3]」,相較於一般國家標準、國際標準,開發PAS時程較短,其目的為在英國國家標準或國際標準形成前,作為提早提供市場參考、使用之共通規範,國際標準如ISO亦有此制度。當技術共通規範成為PAS後,每3年接受技術委員會確認是否延續,或轉將其提案為國際標準。
私人企業可向BSI付費委託發展PAS共通規範。BSI會派專業人員指導企業如何撰寫PAS共通規範提案相關文件,集合內部專家團隊協助完成PAS共通規範提案。完成後對外召集內外部專家檢視PAS提案,包括標準制定委員會成員、政府官員、相關產業人員與消費者團體,並將檢視結果建議回饋給BSI內部專家團隊決定最終版本,公佈予給各界參考使用,公佈後之成果亦作為日後發展國家標準、國際標準之基礎。
參、結論
英國國家標準制定組織BSI,不遺餘力的協助產業自願性形成共識作為國家標準主軸,由產業推舉之專業人員與政府各領域官員作為技術委員會成員,平衡各界意見以整體產業發展為考量。藉由研究發展各階段性標準化工作,公開標準草案廣納各界意見,並盡力避免標準包含特定人之智慧財產權。並且,BSI協助國內企業發展PAS共通規範,除加速國內產業共識的形成外,更建立發展國際標準之良好基礎,摃動英國產業發展,並保障社會、環境、消費者之權益,值得我國學習。
[1]Mark A. Lemley, Intellectual Property Rights and Standard-Setting Organizations, 90 Calif. L. Rev. 1889, 1910-1911 (2002), available at http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1392&context=californialawreview (last visited Aug. 28, 2014)
[2]筆者親自訪談Daniel Mansfield政策主任,BSI Group總部,英國倫敦(2014/10/15)。
[3]ISO, ISO/PAS Publicly Available Specification (2014), http://www.iso.org/iso/home/standards_development/deliverables-all.htm?type=pas (last visited: 2014/10/01)
在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下,英國於10月24日發布「全球性供應鏈勒索軟體防護指引」(Guidance for Organisations to Build Supply Chain Resilience Against Ransomware),該指引係由英國與新加坡共同領導的「反勒索軟體倡議」(Counter Ransomware Initiative, CRI)框架下推動,旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持,標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部(UK Home Office)指出,勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告(Cost of a Data Breach Report 2025)估計,單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進,勒索攻擊已由單點入侵擴大為透過供應鏈滲透,攻擊者常以第三方服務供應商為跳板,一旦供應商遭入侵,即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件,即造成數千次門診與手術延誤,凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向,英國政府與CRI強調,企業應在營運治理、採購流程與供應商管理中系統性導入相關措施,包括: 一、理解供應鏈風險的重要性 在高度互聯的數位環境中,供應鏈已成為勒索軟體攻擊的主要目標,企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊,評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排,以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施,包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時,合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制,並鼓勵供應商採用國際資安標準,例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形(Near Miss,即近乎事故),不論是否構成正式資安事件,均應納入檢討範圍;並定期進行資安演練、共享威脅情資,依攻擊趨勢滾動修正合約與內部規範。 指引同時指出,供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性,以及資安稽核與驗證機制不足。英國政府與CRI亦強調,雖然網路保險可作為風險管理工具之一,但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業,顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構,以強化全球數位經濟的整體韌性,降低勒索軟體攻擊帶來的系統性風險。
韓國成立國家生技委員會,推動生技三大轉型韓國政府於2025年1月23日成立國家生技委員會(국가바이오위원회),作為跨部會最高決策機構,整合生技、醫療、食品、能源、環境等領域政策。該委員會將推動《大韓民國生技大轉型戰略》(대한민국 바이오 대전환 전략),聚焦基礎建設、研發創新、產業發展三大轉型,重點分述如下: 1. 基礎建設轉型:韓國將成立「生技聚落協調機構」(바이오 클러스터 협의체),整合20多個生技聚落,讓各聚落共享設備、專家及創業支援,並與全球頂尖生技聚落交流。韓國計畫創造1萬個生技相關就業機會、培育11萬名生技專業人才,並推動生技監管創新。 2. 研發創新轉型:韓國期望透過AI技術應用,將新藥開發的時間與成本減半。此外,政府將提供資料共享的獎勵措施,簡化IRB及DRB審查流程,推動資料導向的生技研發。韓國計畫至2035年在國家生技資料平台上累積1000萬筆生技資料,並建構高效能運算基礎設施以提升分析能力。 3. 產業發展轉型:韓國將透過五個公共CDMO支援生技產業技術產品化,並推動AI導向的「K-BioMADE計畫」,促進生技製造的高速化、標準化與自動化。此外,政府將成立1兆韓元以上的「Mega Fund」,提供金融政策支持。韓國計畫至2032年將CDMO生產能力擴大至2.5倍,確保在全球市場佔據領先地位。 韓國政府擬透過「國家生技委員會」強化公私部門協作、優化法規環境及加速創新技術的商業化,為我國未來生醫政策發展提供寶貴的參考價值,值得持續關注。
英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport, DCMS)於2022年12月9日公布「應用程式商店經營者與開發者實踐準則」(Code of practice for app store operators and app developers),並規劃在未來九個月內要求Apple、華為、Microsoft等公司採行,以加強對消費者的隱私與資安保護。 根據該實踐準則之內容,APP商店經營者和開發者須滿足以下要求: (1)以友善使用者的方式與消費者共享資安和隱私資訊,如APP何時將無法在商店中取得、APP最近一次更新的時間、APP儲存與處理使用者資料的位置等。 (2)即便消費者禁用部分可選的功能與權限(如不允許APP使用麥克風或追蹤使用者位置),該APP仍可正常執行。 (3)制定穩定且具透明性的APP審查程序,以確保滿足實踐準則中資安與隱私最低要求的APP方能在商店內上架。 (4)當APP因資安或隱私原因無法於商店內上架時,向開發者提供明確的反饋。 (5)制定妥適的弱點揭露程序如聯絡表單(contact form),使軟體缺陷可在非公開(避免受駭客利用)的情況下被報告及解決。 (6)確保開發者即時更新其APP,以減少APP中的安全弱點數量。 總體而言,實踐準則要求APP必須具備相關程序,使安全專家能夠向開發者報告軟體弱點、確保安全性更新對消費者足夠醒目,以及將資安與隱私資訊透過明確易懂的方式提供給消費者。
數位證據之刑事證據能力相關議題研究