華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　美國專利商標局（USPTO）於2021年1月13日發布「中國大陸商標與專利：非市場因素對申請趨勢與智財體系之影響」（Trademarks and Patents in China: The Impact of Non-Market Factors on Filing Trends and IP Systems）研究報告，指出中國大陸近年來急遽增加的專利與商標申請案件數，從申請海外專利保護比率低、專利發明商業化比率低以及惡意（bad-faith）或詐欺性（fraudulent）商標申請案件比率高等現象觀察，申請案件數的爆量很有可能源自政府補貼或其他非市場因素的影響。 　　USPTO指出，中國大陸在2019年的專利與商標申請案件數均達到歷史新高，包含商標案件數達780萬件、發明專利申請案件數達150萬件，已經接近全球申請案件數的一半，也引起國際的關注。有別於其他國家因創新活動熱絡所帶動的專利及商標申請案件量增長，中國大陸在2020年世界智財組織（WIPO）所統計的智財授權比率僅排名第44，顯示中國大陸在智財商業化比率極低，其專利與商標申請案件數的暴增可能源於其他非市場因素。 　　USPTO指出，政府補貼可能是刺激商標與專利申請案件數增長的最大原因，由於中國大陸中央與地方政府持續推動商標補貼措施，補貼金額通常高於商標註冊費用，進而引導人民大量註冊非為商業使用之商標，在專利申請上也有類似的情況，中國大陸政府推動超過195個專利補貼措施，創造了以申請專利賺取補貼的誘因。這些非市場因素的商標及專利申請案件，除了可能誤導對於中國大陸創新能力的評估外，也正在破壞保護真正創新活動的能量。

　　「促進整合產官學共同研究的大學概況調查書（産学官共同研究におけるマッチング促進のための大学ファクトブック）」為日本經濟產業省與文部科學省所共同設置的「促進創新產官學對話會議」議定後向外提出，期待藉此使企業更容易理解大學的產官學合作現狀，進一步實現正式的產官學連攜活動。 　　該概況調查書的先行版中收集整理了各大學整合產官學連攜的實績等資訊，2018年發布的正式版則統整日本327所大學的情報，擴充並更新了該概況調查書的內容，包含：1.產學連攜相關的聯絡窗口資訊等；2.產官學連攜活動的配套方針與往後期待重點化的事項；3.產學連攜之本部機能的相關情報；4.面向正式共同研究的配套措施，如平均交涉期間、跨領域型共同研究；5.各大學之專精領域及其實例；6.資金、資產及智慧財產相關連的持有使用狀況；7.大學發起的創投事業數及其支援體制；8.混合僱用制度的狀況。

美國實務界律師2023年6月9日撰文指出，人工智慧（artificial intelligence，簡稱AI）將對智慧財產法律和策略帶來改變，大部分企業熟悉的改變是目前仍有爭議的法律問題—由AI工具產生的發明創造是否為專利或著作權適格的保護標的。但除此之外，AI工具對於創建和管理智慧財產組合（IP Portfolio）的方式也已發生改變，並介紹以下五種利用AI工具協助管理智慧財產組合之方式。 1.簡化先前技術之檢索 無論是評估新產品的可專利性、評估競爭對手之智慧財產權之相關風險、抑或是回應侵權索賠，企業均須了解特定領域之先前技術，因應此需求，全球已有大量公司提供先前技術檢索服務，惟AI工具的出現使得企業可自行進行先前技術檢索。例如知名的文件審查平台Relativity創造了Relativity Patents，使用者輸入專利號碼等特定關鍵字即可進行先前技術檢索；美國專利商標局亦為了審查官開發一種AI工具，提升其確認先前技術之準確性及效率。 2.協助專利申請文件撰寫 對於專利申請人而言，可使用AI工具協助草擬專利申請範圍，有些企業甚至會運用AI工具自動化撰寫專利申請文件，惟使用AI工具撰寫專利申請文件時，應留意提供AI工具的資料是否會保密，抑或有向第三人提供之風險。此外，AI工具撰寫之內容建議仍須雙重確認內容正確性及適當性，如引用來源及內容是否正確。 3.改善商標維權能力 企業可使用AI工具協助監控潛在的侵權及仿冒產品，有鑒於現今網站及社群媒體仍有大量未經商標授權的賣家存在，AI工具可作為審查貼文及識別商標侵權案件之工具，相較於傳統的人工審查可更有效率。 4.協助商標檢索作業 於美國、澳洲、歐盟、中國，甚至世界智慧財產組織導入AI工具協助審查官進行商標審查，包括以關鍵字及影像標記之搜尋功能，此一工具不僅可簡化商標申請和註冊審查程序與時間，亦有部分國家提供使用者自行檢索之功能，使企業可進行更快速、有效率之商標檢索，使其於品牌保護策略上節省不必要之時間及金錢。 5.支持策略性專利組合管理 AI工具亦可協助專利組合管理，包括最廣的專利範圍、評估是否需繼續維護專利、或是評估擬收購專利之價值，以AI工具協助評估以上事項，雖無法完全取代人工進行策略評估，惟可顯著減少勞動力支出。 AI工具改變了智慧財產組合創建及管理之方式，雖然AI工具不能完全承擔管理智慧財產權組合之職責，但AI工具在專利/商標檢索、專利申請文件撰寫、專利權評估、商標維權等方面已可大量減少人力及管理成本，有助於企業智慧財產組合管理，惟企業及使用者須留意使用AI工具的資料管理問題，以避免機密資訊遭到外洩。 本文同步刊登於TIPS網站（https://www.tips.org.tw）