德國總理梅克爾敦促歐盟立法允許「資訊追蹤(data tracking)」,以有效打擊恐怖主義
2014年7月歐盟法院宣告2006年起施行的「資料保留指令」無效,該指令允許警察機關使用私人通聯記錄,但不允許揭示通訊內容。資料保留指令之所以被歐盟法院廢止,起因於不合乎比例原則及沒有充分的保護措施,該指令規定歐盟成員國必須強制規定電信公司必須保留客戶最近六個月到十二個月的通聯紀錄,不過在歐盟法院廢止指令之前,德國憲法法院在2010年時就已經以違反憲法為由停止執行指令。
惟在2015年1月,伊斯蘭激進主義份子的恐怖攻擊事件,共12人被射殺。因此德國總理梅克爾2015年1月在下議院針對該恐怖事件發表演說,雖因美國的史諾登事件,揭露美國政府大量監聽私人通訊和監視網路流量的行動,而引起了德國人對隱私權保護的關注,但梅克爾表示德國各層級的部會首長都同意有使用私人通聯記錄的需要、使嫌疑犯的通聯記錄能夠被警方用來偵查犯罪,但應該由法律規範資料保留的期間限制,她敦促各界向歐盟委員會施加壓力,重新訂定資料保留指令,使各歐盟成員國能修正國內法律。
歐盟委員會正在評估此法制議題,並考慮向歐盟議會、各成員國、民間團體、執法部門和個資保護組織間建立開放式對話,決定是否有需要訂定新指令;但德國司法部長並不贊成梅克爾擴大監督人民通訊的想法,認為這是過於倉促的行動,而且除了資訊記錄留存外,德國政府也儲存所有媒體資料並限制媒體自由,他認為這並不合適。
目前英國國內保守黨和自由黨現正為新修訂的通訊資料法,為人民隱私權的保護範圍爭論不休,而美國由於近年受到不少駭客攻擊,故美國總統歐巴馬採取與梅克爾相似的立場,希望能擴張執法機關的權力,公開提倡強化美國網路安全相關法規。
- The Court of Justice declares the Data Retention Directive to be invalid, Court of Justice of the European Union Press Release, Apr.4, 2014
- Eduardo Ustaran, New EU Data Protection Law in 2015? Decisiveness, Flexibility and Direction are the Answer, Hogan Lovells, Jan.13, 2015
- David Meyer, The curious case of Angela Merkel and her Eu data retention ideas , GIGAOM, Jan.15, 2013
- Germany’s Merkel urges new EU law on data tracking, BBC, Jan.15, 2015
英國創新局(Innovate UK)於2020年11月8日公布「創新持續貸款」(Innovation Continuity Loans)申請指南,作為COVID-19疫情應對計畫的工作項目之一,英國創新局將提供2.1億英鎊的貸款予在疫情影響下持續進行創新活動之國內中小企業。本貸款目標對象為因疫情導致出現資金缺口的中小企業,每一間公司將可申請25萬至160萬英鎊不等之創新持續貸款。 「創新持續貸款」源自2017年的創新貸款實驗計畫(Innovation loans pilot),藉由七項創新競賽篩選出約100位申請人,提供總額約7500萬英鎊的創新貸款;此次創新持續貸款則不採競賽方式,而是針對受疫情影響的中小企業創新活動,透過審查機制提供貸款予申請人。申請人資格為正在執行受創新局補助之創新活動者、過去36個月曾受創新局補助而目前正在進行其他創新活動者或是過去36個月並未獲得創新局補助之創新活動的執行、完成或延續性工作者,且確實因COVID-19疫情影響出現資金短缺之中小企業,即可向創新局申請創新持續貸款。 創新局將藉由審查申請者提交至今的工作成果與品質、受疫情影響程度與資金需求情形,評估該創新活動的後續發展潛力,向合格的申請人提供年利息僅3.7%的創新持續貸款。合格的申請人能在2022年3月31日或約定日期前,直到產品首次商業銷售為止,分階段領取貸款,以年利率3.7%計息;產品首次商業銷售後可額外有兩年的寬限期,在產品首次商業銷售或寬限期結束後五年內,申請人必須償還貸款,未償還部分則改採年利率7.4%計息。藉由低利貸款的資金挹注,協助從事新創活動之英國中小企業得以紓困以度過疫情難關。
初探物聯網的資通安全與法制政策趨勢初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 在5G網路技術下,物聯網(Internet of Things, IoT)的智慧應用正逐步滲入各場域,如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展,需要擴大供應鏈安全,以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」(Prague Proposal)提出後,美國、歐盟皆有相關法制政策,試圖建立各類資通訊設備、系統與服務之安全要求,以強化物聯網及相關供應鏈之資安防護。是以,本文觀測近年來美國及歐盟主要的物聯網安全法制政策,以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 (一)核心網路與機敏性設備之高度管制 1.潔淨網路計畫 基於資訊安全及民眾隱私之考量,美國政府於2020年4月提出「5G潔淨路徑倡議[3]」(5G Clean Path initiative),並區分成五大構面,包括:潔淨電信(Clean Carrier)、潔淨商店(Clean Store)、潔淨APPs(Clean Apps)、潔淨雲(Clean Cloud)及潔淨電纜(Clean Cable);上述構面涵蓋之業者只可與受信賴的供應鏈合作,其可信賴的標準包括:設備供應商設籍國的政治與治理、設備供應商之商業行為、(高)風險供應商網路安全風險緩和標準,以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 美國於2020年12月通過《物聯網網路安全法[5]》(IoT Cybersecurity Improvement Act of 2020),旨在提升聯邦政府購買和使用物聯網設備的安全性要求,進而鼓勵供應商從設計上導入安全防範意識。本法施行後,美國聯邦政府機關僅能採購和使用符合最低安全標準的設備,將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 另外,美國國防部亦推行「網路安全成熟度模型認證[7]」(Cybersecurity Maturity Model Certification, CMMC),用以確保國防工程之承包商具備適當的資訊安全水平,確保政府敏感文件(未達機密性標準)受到妥適保護。透過強制性認證,以查核民間承包商是否擁有適當的網路安全控制措施,消除供應鏈中的網路漏洞,保護承包商所持有的敏感資訊。 (二)物聯網安全標準與驗證 有鑑於產業界亟需物聯網產品之安全標準供參考,美國國家標準暨技術研究院(National Institute of Standards and Technology, NIST)提出「物聯網網路安全計畫」,並提出各項標準指南,如IR 8228:管理物聯網資安及隱私風險、IR 8259(草案):確保物聯網裝置之核心資安基準等。 此外,美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8](Cyber Shield Act of 2019),欲建立美國物聯網設備驗證標章(又稱網路盾標章),作為物聯網產品之自願性驗證標章,表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 (一)核心網路安全建議與風險評估 歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」,認為各會員國應評鑑5G網路資通安全之潛在風險,並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及,5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞,並非5G網路所特有,但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深,必須特別關注。同時,對供應商的依賴,可能會擴大攻擊表面,也讓個別供應商風險評估變得特別重要,包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 是故,各會員國應加強對電信營運商及其供應鏈的安全要求,包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性(多元化分散風險)等。其次,機敏性基礎設施禁止高風險供應商的參與。 (二)資通安全驗證制度 歐盟2019年6月27日生效之《網路安全法[11]》(Cybersecurity Act),責成歐盟網路與資訊安全局(European Union Agency for Cybersecurity, ENISA)協助建立資通訊產品、服務或流程之資通安全驗證制度,確保資通訊產品、服務或流程,符合對應的安全要求事項,包含:具備一定的安全功能,且經評估能減少資通安全事件及網路攻擊風險。原則上,取得資安驗證之產品、服務及流程可通用於歐盟各會員國,將有助於供應商跨境營運,同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性,即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 我國在「資安即國安」之大架構下,行政院資通安全處於2020年底提出之國家資通安全發展方案(110年至113年)草案[12],除了持續強化國家資安防禦外,對於物聯網應用安全亦多有關注,其間,策略四針對物聯網應用之安全,將輔導企業強化數位轉型之資安防護能量,並強化供應鏈安全管理,包括委外供應鏈風險管理及資通訊晶片產品安全性。 若進一步參考美國與歐盟的作法,我國後續法制政策,或可區分兩大性質主體,採取不同管制密度,一主體為受資安法規管等高度資安需求對象,包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈,其必須遵守既有資安法課予之高規格的安全標準,未來宜完善資通設備使用規範,包括:明確設備禁用之法規(黑名單)、高風險設備緩解與准用機制(白名單)。 另一主體則為非資安法管制對象,亦即一般性產品及服務,目前可採軟性方式督促業者及消費者對於資通設備安全的重視,是以法制政策推行重點包括:發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度,以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局,〈物聯網資安三部曲:資安團隊+設備安全+供應鏈安全〉,2020/08/31,https://www.acw.org.tw/News/Detail.aspx?id=1149 (最後瀏覽日:2020/12/06)。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 (North Atlantic Treaty Organization, NATO)的代表,出席由捷克主辦的布拉格5G 安全會議 (Prague 5G Security Conference),商討對5G通訊供應安全問題。本會議結論,即「布拉格提案」,建構出網路安全框架,強調5G資安並非僅是技術議題,而包含技術性與非技術性之風險,國家應確保整體性資安並落實資安風險評估等,而其中最關鍵者,為確保5G基礎建設的供應鏈安全。是以,具體施行應從政策、技術、經濟、安全性、隱私及韌性(Security, Privacy, and Resilience)之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021);The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超,〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉,2020/12,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 (最後瀏覽日:2021/02/19)。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處,〈國家資通安全發展方案(110年至113年)草案〉,2020/12,https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf (最後瀏覽日:2021/04/09)。
ECODIR之線上爭端解決機制介紹 FinCEN發布「防制洗錢與打擊資助恐怖主義優先事項」,以因應各種新興威脅隨著犯罪集團洗錢管道與手法日新月異,嚴重威脅金融秩序與經濟發展,美國財政部金融犯罪執法網(Financial Crimes Enforcement Network, FinCEN)於2021年6月30日發布防制洗錢與打擊資助恐怖主義(anti-money laundering and countering the financing of terrorism, AML/CFT)政策的優先事項(Priorities),目的係為了應對日益猖獗之洗錢犯罪行為,幫助金融機構評估其風險,並調整其防制洗錢計畫和資源運用優先順序,以提升國家AML/CFT政策效率與有效性。 依據發布內容,優先事項包括:(1)貪汙;(2)網路安全與虛擬貨幣相關之網路犯罪;(3)國內外資助恐怖分子;(4)詐欺;(5)跨國犯罪組織活動;(6)毒品販運組織活動;(7)人口販運與人口走私(human trafficking and human smuggling);(8)資助大規模毀滅性武器擴散(proliferation financing),反映了美國國家安全與全球金融體系長期以來存在之威脅,並將虛擬貨幣用於洗錢、資助恐怖主義,及支付勒索軟體攻擊贖金等納入防制洗錢範疇,防止虛擬貨幣成為洗錢管道。 FinCEN預計於2021年底前提出實施辦法,並根據美國防制洗錢法(Anti-Money Laundering Act)之要求,至少每4年更新一次優先事項,以因應美國金融體系與國家安全面臨的各種新興威脅。