「歐盟網實整合藍圖與政策」
歐盟在歐盟執委會的支持之下,致力於網實整合的發展,2015年6月歐盟提出以五項關鍵領域作為發展方向,包含交通、能源、健康、生產、以及基礎設施等。其中在智慧製造部分,主要為從大量生產到彈性、個別客製化生產,以及在生產以及產線自動化之下,增加市場競爭力。但針對此等發展,歐盟也提出未來將面臨幾點挑戰:
1.科學:網實整合系統應特別考量社會技術層面、使不同學科整合、結合相關系統理論,以及建構複式領域模型等
2.技術:由於不同的技術方法,因此應建立互通性平台系統、使自動化設計與執行更加成熟、減少資料隱私問題、整合安全性、建立系統方式處理無法確定之資訊等。
3.經濟:透過網實整合,從產品到服務,可建立新的商業模式。
4.教育:網實整合之應用需具備充分的條件,因此,可透過教育及訓練體制來增加對相關應用的認識。
5.法律:減少網實整合系統建立產生的障礙,消除法規解釋不清楚之部分,並且改善以確認整合系統應用正確性。
6.社會:網實整合應用對公共、產業以及政治等層面產生之改變與風險管理。
網實整合在生產力4.0的發展當中,屬於最為核心之部分,目前歐盟所舉出可能產生的面向與問題,值得作為未來政策法制方向之參考。
本文為「經濟部產業技術司科技專案成果」
莊晏詞
法律研究員 編譯整理
日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。 只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。
美國總統歐巴馬宣布增加強化美國網路安全預算經費為強化並有效因應網路安全相關議題,美國總統歐巴馬日前於4月10日提出在2014財政年度(於2013年10月開始起算)增加強化網路安全經費之建議,期待透過藉由加強並建置相關網路安全機制的方式,有效解決目前美國所面臨來自中國、伊朗、俄國、以及其他國家之的網路安全威脅;同時,其亦希望藉此厚植並改善美國政府,以及私人企業的電腦網絡防禦能力。 本次由美國總統歐巴馬所提出的國家網路安全策略主要可區分為二部分:1. 加強美國網路事件(cyber incidents)的彈性度,以及2. 減少網路威脅事件。首先針對加強美國網路事件彈性度的部份,主要會透過a. 強化美國數位基礎建設,進而能有效抵禦滲透和干擾,b. 改善美國對於複雜和敏捷的網路威脅防禦能力,以及c. 培養針對不同類型的網路事件,皆能快速應變並恢復的能力,這三個方法來加以落實。而就減少網路威脅事件的部份,則計畫以透過a. 與美國友邦結盟的方式,共同研議國際網路規範,b. 強化網路犯罪的法律執行能力,和c. 遏止潛在對手就現有之美國網路漏洞採取不當行動,三個策略模式的實施來加以實踐。然而除了上述的兩個策略及其子項的具體落實外,美國政府亦強調串連各政府部門,以及私人企業團體間之合作重要性,以及建立一個能夠使得網路維護人員及其他相關人員,得以快速取得相關網路安全資訊的便捷管道亦為重要。 隨著全球資通訊網路交流互動以及依賴程度日益增長,如何有效兼顧個人網路安全隱私及使用自由,並同時確保網路資訊流通的安全性,乃為目前強加網路安全的重要關注焦點。本次美國總統歐巴馬所提出的網路安全推動策略走向,及其如何加以落實,實值得持續關注。
澳洲國家交通委員會針對駕駛法規之修正進行公眾諮詢,聚焦自駕系統實體法律義務澳洲國家交通委員會(National Transport Commission, NTC)於2017年10月3日提出「修正駕駛法律以支持自動駕駛車輛(Changing driving laws to support automated vehicles)」討論文件,向相關政府機關與業界徵詢修正駕駛法規之意見。此文件目的在於探討法規改革選項,並釐清目前針對駕駛人與駕駛行為法規對於自駕車之適用,並試圖為自動駕駛系統實體(automated driving system entities, ADSEs)建立法律義務。文件中並指出改革上應注意以下議題: 目前車輛法規皆以人類駕駛為前提; 自動駕駛系統並不具有法律人格,無法為其行為負法律責任; 目前的法律並未提供法律實體之定義或規範(即自動駕駛系統實體ADSEs)來為自動駕駛系統行動負責; 目前有些法律上人類駕駛應負之義務,無法直接於自動駕駛時由ADSEs負擔; 車輛之安全義務於自動駕駛時,可能需由非駕駛之他人執行; 法律中並未定義自動駕駛系統車輛的「控制」與「恰當控制」; 目前沒有規範何時人類應有義務將駕駛控制權力自自動駕駛系統轉移回來,來確保人類駕駛保持足夠之警覺性; 目前的遵循與實施規範可能不足以確保自動駕駛系統的安全運作。 NTC並提出建議應定義自動駕駛系統之法律實體,重新規範人類與自動駕駛系統法律實體間的義務。澳洲國家交通委員會將進一步將諮詢結果與法律改革選項於2018年5月提供給澳洲交通部。
美國FDA更新軟體預驗證計畫,以明確化數位健康科技的軟體器材審查流程美國食品及藥物管理局(the U.S. Food and Drug Administration)於2019年1月更新「軟體預驗證計畫(Software Precertification Program)」及公布該計畫「2019測試方案(2019 Test Plan)」與「運作模式初版(A Working Model v1.0)」,使審查流程更加明確及具有彈性,並促進技術創新發展。 在更新計畫中,FDA聚焦於審查架構的說明,包含考量納入醫療器材新審查途徑(De Novo pathway)及優良評估流程(Excellence Appraisal process)的審查內涵。在優良評估流程中,相關研發人員須先行提供必要資訊,以供主管機關驗證該軟體器材之確效(validation)及是否已符合現行優良製造規範(current good manufacturing practices)與品質系統規範(Quality System Regulation, QSR)的要求。而由於以上標準已在此程序中先行驗證,主管機關得簡化上市前審查的相關查證程序,並加速查驗流程。 在測試方案中,則說明FDA將同時對同一軟體器材進行軟體預驗證審查及傳統審查,並比較兩種途徑的結果,以確保軟體預驗證審查途徑中的每一個程序都可以有效評估產品上市前所應符合的必要標準。最後,FDA綜合軟體預驗證計畫及測試方案,提出「運作模式初版」,以協助相關人員了解現行的規範架構與處理程序,並期待藉此促進技術開發者及主管機關間的溝通。FDA並於運作模式文件中提到,將在2019年3月8日前持續接受相關人員的建議,而未來將參酌建議調整計畫內容。