何謂「ERIC」?
為加強歐盟及各成員國的研究基礎設施合作,從發展政策方面,於2002年成立「歐洲研究基礎設施策略論壇」(European Strategy Forum on Research Infrastructures, ESFRI)協助各會員國統籌規劃RIs(Research Infrastructures, RIs)的發展藍圖。在法律層面,於2009年通過「第723/2009號歐盟研究基礎設施聯盟法律架構規則」(COUNCIL REGULATION (EU) No 723/2009 of 25 June 2009 on the Community legal framework for European Research Infrastructure Consortium (ERIC),使各歐盟會員國、夥伴國家、非夥伴國家之第三國家或跨政府國際組織等對於分散的RIs整合起來後,可向歐盟執委會提出申請,依該號規則取得法律人格,成立「歐盟研究基礎設施聯盟」(European Research Infrastructure Consortium, ERIC),且可為權利得喪變更之主體,更可與他方簽訂契約或成為訴訟當事人,使其具有自我經營管理之能力。
截至目前為止(2015年9月),歐盟的RIs正式成立11個ERIC,並且透過國際間合作將RIs做更有效率之使用。國際上近年來創新研發競爭激烈,歐盟執委會為了持續推動建置世界級歐洲研究區域(European Research Area, ERA),無論在資金面、政策面及法律層面均有積極作為,在強化歐盟RIs同時促進國際科技研發合作,俾使歐盟於研發創新的領域保持世界領導之地位,歐盟未來仍會持續推動各個重要研發領域的ERIC,ERIC對於整合歐盟各國重大RIs負有重要使命。
本文為「經濟部產業技術司科技專案成果」
日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網(Internet of Things,簡稱IoT)產品日趨嚴重的資安威脅,日本陸續訂定針對物聯網產品資安之國內法規與政策方針,除了為強化物聯網產品之資安要求以外,藉由具體的資安評級要求,適用不同類型的物聯網產品,再透過資安標籤制度以區別產品,提升產品之資安識別,以供消費者選購時參考。據此,本文觀測日本近期建立的JC-STAR制度與其所適用國內法規,供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構(独立行政法人情報処理推進機構,Information-Technology Promotion Agency, Japan,簡稱IPA),依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1],建立了《物聯網產品資安符合性評鑑及標籤制度》(セキュリティ要件適合評価及びラベリング制度,Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements,簡稱JC-STAR),並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2](セキュリティ要件適合評価及びラベリング制度の基本規程,簡稱本規章)之最終修訂,建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務(含數位服務等)、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化,確立了以星等為評級的JC-STAR資安標籤制度框架。此外,JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求,透過附有資安標籤的產品以供各自選購時為考量,因此JC-STAR制度有以下二點優勢: (一) 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品,事前已透過共通性的適用標準,將物聯網產品資安進行評鑑分級,並將評鑑流程可視化管理,不僅使產品符合各組織或單位的資安防護需求,同時使產品選購更加便利。 (二) 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求,通過符合性評鑑的物聯網產品,因經第三方驗證後以最高等級的標籤呈現,故可確保符合特定領域事業團體之特殊資安需求,或配合指定使用,以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會(ETSI)網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》(ETSI EN 303 645),以及美國國家標準與技術研究所(NIST)於2022年9月公布的《消費者物聯網產品之核心基準》(NISTIR 8425)等適用標準,並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準(涉及資安技術要求事項等),確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級,詳述如下: (一) 一星級(★1) 物聯網產品須符合產品共通性之要求,並適用最低限度之資安要求事項,倘若產品已滿足相關要求事項,由產品供應商自我宣告即可。 (二) 二星級(★2) 視物聯網產品的類型、功能特徵等因素,於一星級以上增訂基礎的資安要求事項,倘若產品已滿足相關要求,仍由產品供應商自我宣告即可。 (三) 三星級(★3) 視物聯網產品的使用對象,包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等,依產品類型、功能特徵等因素,訂定共通性之資安要件,並須由獨立第三方進行驗證,並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 (四) 四星級(★4) 適用程序上雖與三星級相同,依產品類型、功能特徵等因素,訂定共通性之資安要件,並由獨立第三方進行驗證,須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中,諸如通信設備等所適用的資安要求及相關風險層級較高,因此為最高防護等級。 值得注意的是,日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4],預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章,結合其他先進國家的資安標準,建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品,賦予不同星等評級,供一般消費者或政府、企業法人等選購時參考,具體提升針對物聯網產品的資安識別。此外,依產品適用對象或風險層級不同,適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求,則可能適用三星或四星等級,且產品均須經獨立第三方進行評鑑後,才能取得符合性評鑑報告書,並添附資安標籤。 因此,JC-STAR並非僅針對政府或公部門單位採購適用,而是擴及日本國內產業或是一般消費者,因此日常中物聯網產品的使用,均受到全面性的資安保障。另一方面,倘若未來日本JC-STAR制度受到其他各國承認,即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品,故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本,有助於提升產業競爭力。據此,日本以資安標籤提升消費者識別,並有物聯網產品資安驗證機制之整體性規劃,均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf (最後瀏覽日:2025/10/13)。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf (最後瀏覽日:2025/10/13)。 [3]〈IoT製品のセキュリティ確保に向けて ~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~〉,頁25,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf (最後瀏覽日:2025/10/13)。 [4]〈ファクトシート:岸田総理大臣の国賓待遇での米国公式訪問〉,日本外務省,https://www.mofa.go.jp/files/100652150.pdf (最後瀏覽日:2025/10/13)。
歐盟執委會將修正ePrivacy指令ePrivacy指令修正背景 原資料保護指令將於2018年由一般資料保護規則所取代,在此一背景下,電子隱私指令除補充資料保護指令外,亦訂定關於在電子通訊部門的個人資料處理的具體規則。具體作法,如在利用流量和位置資訊於商業目的之前,應徵得用戶的同意。在ePrivacy指令未特別規定的適用對象,將由資料保護指令(以及未來的GDPR)所涵蓋。如,個人的權利:獲得其個人資料的使用,修改或刪除的權利。 歐盟執委會為進行ePrivacy指令(Richtlinie über den Datenschutz in der elektronischen Kommunikation)改革,於2016年8月4日提出意見徵詢摘要報告,檢討修正ePrivacy指令時著重的的幾個標的: (1)確保ePrivacy規則與未來的一般資料保護規則之間的一致性。亦即評估現有規定是否存在任何重複、冗餘、不一致或不必要的複雜情況。(如個人資料洩漏時的通知) (2)指令僅適用於傳統的電信供應商,而在必要時應該以新市場和技術的現實的眼光,重行評估更新ePrivacy規則。對於已成為電子通信行業新興創新的市場參與者,如:提供即時通訊和語音通話(也稱為“OTT供應商”),由於目前不需要遵守ePrivacy指令主要規定,而應納入修正對象。 (3)加強整個歐盟通訊的安全性和保密性。ePrivacy指令在規範上,確保用戶的設備免受侵入、確保通信的安全性和保密性。本指令第5條第3項,儲存資訊、或近用已存儲在用戶設備之資訊,需得其的同意。該條款的有效性已有爭論,因為新的追踪技術,如:指紋識別設備可能無法被現有的規則所涵攝。最後,有認需得同意的例外規定列表,有必要延伸到對資訊之其他非侵入性的儲存/近用:如網路分析等。這些都是應予以仔細評價和檢視之對象。 公眾諮詢摘要報告內容 經過4月13日到7月5日的公眾諮詢,歐盟執委會於8月4日提出報告。 諮詢意見主要來自德(25.9%)、英(14.3%)、比(10%)、法(7.1%)的回覆。 一、是否有必要在電子通訊部門訂定隱私特別規定? 市民與公民團體咸認有必要在電子通訊部門,甚至流量資料和位址資訊也應該訂定新規(83%)、企業則認為無甚需要,只有在秘密性規則(31%)與流量資料(26%)有需要訂定;主管機關則咸認需要特別規定。 二、現行指令是否已足達成其立法目的?76%市民和公民團體認為未達立法目的,理由如下: ePrivacy指令的範圍太狹小,不包括即時訊息、語音通話(VoIP)和電子郵件應用服務。 規範太模糊,導致會員國之間適用結果和保護程度的差異、不一致。 法律遵循的程度展法程度太差。 三、是否應為新通訊服務訂定新規? 76%市民和公民團體認為適用範圍應該涵蓋到OTT上。
國家技術標準之制定政策-由英國BSI觀國家技術標準制定政策國家技術標準之制定政策 -由英國BSI觀國家技術標準制定政策 科技法律研究所 法律研究員 徐維佑 2014年12月03日 壹、前言 所謂技術標準(standards),指透過法規、私人企業、或者產業慣例形成的統一技術或特定規格,包括重量、大小、品質、材料或技術特徵(technical specifications),以使商品、服務、製造或製造程序方法能有共通的設計或相容性[1];由特定標準制定組織要求市場上商品或服務應符合一定品質者,亦為技術標準,例如確保農產品符合人體食用的健康安全標準。 制定技術標準不但具有降低生產成本、促進創新、加強消費者選擇性、增進公共健康及安全等優點,更是國際貿易的基礎。以技術日新月異的ICT資訊通信產業而言,標準更是搶佔市場的利器。 貳、英國國家標準制定政策 成立於西元1901年之英國標準協會(British Standards Institution,以下簡稱BSI)為英國標準制定組織,亦是全球第一個國家標準機構,專門提供企業解決方案,將最佳實務模式(best practice)轉換成日常表現標準。BSI非政府機構,但透過與英國政府商業、創新與技術部門(Department for Business, Innovation and Skills, BIS)簽訂備忘錄,BSI成為英國國家標準制定組織,而其特色與任務大致如下: 一、以整體產業為考量之標準制定機構 BSI標準制定業務範圍[2],除國家、區域、國際標準外,亦為私人企業、企業聯盟制定企業內部或企業聯盟間私人標準。標準制定之作法,係由產業界提名各領域之專業人員,及少數之政府部會官員成立標準制定委員會,各委員並非代表公司立場,而係以整體產業最有利立場參與會議;而BIS政府官員功能僅為傳達目前政府部會投入發展方向;標準制定委員會下,則設有技術委員會,委員各為特定技術領域之專家。BSI的原則為取得各界意見的平衡,在技術委員會成員組成上會避免單一勢力獨大,並盡力避免標準中包含特定權利人之智慧財產。 二、協助技術發展之階段式標準制定工作 BSI對於英國國內之技術研究、發展活動,採階段式引導標準化制定工作: 1、基礎研究階段:即早整合各利害關係人共識,建立共同發展對話基礎; 2、驗證技術可行性階段:藉由建立專家小組,發展初期測試方法與安全管理之共同觀點; 3、技術整合階段:即早為市場作準備,統一規格與測試方法,以及日後之技術升級方法; 4、原型製作階段:建立產業間行為準則,同時廣納消費者觀點,提昇該技術於市場之接受度; 5、應用測試、系統驗證階段:連結該技術與市場上產品、或其他服務、亦或其他標準組織制定之標準。 值得強調的是,BSI於研究發展活動各階段制定之標準提案草案皆會公佈於網站上,提供平台予大眾針對草案表示意見。 三、快速形成產業標準之PAS共通規範 BSI設有「可公開獲得的規範(publicly available specification, PAS)[3]」,相較於一般國家標準、國際標準,開發PAS時程較短,其目的為在英國國家標準或國際標準形成前,作為提早提供市場參考、使用之共通規範,國際標準如ISO亦有此制度。當技術共通規範成為PAS後,每3年接受技術委員會確認是否延續,或轉將其提案為國際標準。 私人企業可向BSI付費委託發展PAS共通規範。BSI會派專業人員指導企業如何撰寫PAS共通規範提案相關文件,集合內部專家團隊協助完成PAS共通規範提案。完成後對外召集內外部專家檢視PAS提案,包括標準制定委員會成員、政府官員、相關產業人員與消費者團體,並將檢視結果建議回饋給BSI內部專家團隊決定最終版本,公佈予給各界參考使用,公佈後之成果亦作為日後發展國家標準、國際標準之基礎。 參、結論 英國國家標準制定組織BSI,不遺餘力的協助產業自願性形成共識作為國家標準主軸,由產業推舉之專業人員與政府各領域官員作為技術委員會成員,平衡各界意見以整體產業發展為考量。藉由研究發展各階段性標準化工作,公開標準草案廣納各界意見,並盡力避免標準包含特定人之智慧財產權。並且,BSI協助國內企業發展PAS共通規範,除加速國內產業共識的形成外,更建立發展國際標準之良好基礎,摃動英國產業發展,並保障社會、環境、消費者之權益,值得我國學習。 [1]Mark A. Lemley, Intellectual Property Rights and Standard-Setting Organizations, 90 Calif. L. Rev. 1889, 1910-1911 (2002), available at http://scholarship.law.berkeley.edu/cgi/viewcontent.cgi?article=1392&context=californialawreview (last visited Aug. 28, 2014) [2]筆者親自訪談Daniel Mansfield政策主任,BSI Group總部,英國倫敦(2014/10/15)。 [3]ISO, ISO/PAS Publicly Available Specification (2014), http://www.iso.org/iso/home/standards_development/deliverables-all.htm?type=pas (last visited: 2014/10/01)
微軟與阿爾卡特的專利官司勝負難分2007年2月份美國加州聖地牙哥法院甫宣判,微軟公司必須支付約15億美元(折合新台幣近500億元)給阿爾卡特(Alcatel-Lucent)公司,以解決微軟公司產品使用MP3技術所引發的糾紛。不過在3月初,另一位聯邦法官Rudi Brewster做出一項裁定,駁回阿爾卡特公司所有的主張,因為阿爾卡特公司主張微軟公司侵害一項其所有之有關語音編碼的技術專利。 微軟與阿爾卡特的專利官司可追溯至2003年,當時未合併前的朗訊(Lucent,二公司於2006下半年合併)公司控告PC製造商Dell與Gateway使用其所擁有的MP3技術專利。微軟公司後來被捲入這場專利糾紛,與阿爾卡特(Alcatel-Lucent)公司專利官司的糾紛日益擴大。二家公司爭訟的結果,在2月份的判決,根據2003年5月以來微軟公司所賣出的每台Windows PC數目,來計算出可能造成的損失,所以微軟公司才必須付出約15億美元的天價。 但是3月的這項裁定,卻阻止阿爾卡特公司趁勝追擊。在知識經濟的時代中,專利訴訟的結果甚至可能影響一家公司的興亡,相信沒有多少家公司可以輕易付出15億美元的賠償,如何確保不侵犯他人的智慧財產是很重要的課題。此外,爭訟的雙方都是業界的重量級廠商,不論結果如何,後續的發展都值得大家關注。