何謂「數位藥丸(digital pill)」?

　　網絡活動無遠弗屆，其所帶來的影響也逐漸引起世界各國的關注。依據歐盟針對網絡安全現況所做的調查發現，首先，現行估計存有150,000隻電腦病毒在網路間流竄，並已造成148,000部電腦受到威脅；第二，世界經濟論壇（World Economic Forum）指出，在未來的十年內，主要重大資訊基礎設施估計將有10%遭到破壞，其將導致2500億美金的損失；第三，著名資安公司（Symantec與McAfee）估計，全世界因網路犯罪而受害者，每年將會損失2900億歐元。相反地，因網路犯罪而受益者，其獲利將可高達每年7500億歐元；第四，依據 Eurobarometer在2012年針對網絡安全的民調指出，38%歐盟網路使用者因網絡安全因素已改變他們的網路行為方式；74%使用者同意，成為網絡安全受害者的風險已經逐漸增加；12%使用者已經遭受線上詐欺且89%使用者已避免在網上揭露個人資料；第五，據網絡暨資訊安全（NIS）的公眾諮詢發現，56.8%受訪者指出，在過去一年已經歷NIS事件對其網絡活動所帶來的嚴重影響；第六，Eurostat figures指出，直到2012年一月，在歐盟境內的企業僅有26%已經制定出完整的ICT安全政策。 　　有鑑於網路安全風險所帶來的效應已漸受重視，歐盟執委會（European Commission）會同歐盟外交暨安全政策高級代表（High Representative of the Union for Foreign Affairs and Security Policy共同發佈網絡安全策略，並計畫延引出歐盟執委會在NIS面向上的新指令（directive）。新的歐盟網絡安全策略，名為「開放、安全與可靠網絡空間」，代表著歐盟在預防和反應網絡攻擊和侵擾問題上的全面性預見。在該策略中，包含五個重大優先處理事項： 一、達到網絡韌性（Achieving cyber resilience） 二、徹底減少網路犯罪（Drastically reducing cybercrime） 三、針對一般安全暨防禦政策，發展網絡防禦政策和能力（Developing cyber defence policy and capabilities relatedto the Common Security and Defence Policy (CSDP)） 四、對網絡安全發展出企業性和技術性資源（Developing the industrial and technological resources for cyber-security） 五、為歐盟建立一個完整的國際網絡空間政策與促進歐盟核心價值（Establishing a coherent international cyberspace policy for the European Union and promoting core EU values） 　　為了達成歐盟網絡安全策略所形塑的優先事項，歐盟執委會亦計畫針對NIS來頒佈新的指令以落實策略項目，其中包含，首先，要求歐盟會員國必須採納NIS策略且指定國家級機關（需具有足夠人力和財務資源）來預防、處理和回應NIS風險與事件；第二，透過安全基礎設施和組成一般性的同儕審議，在歐盟會員國與執委會間建立合作機制來分享NIS風險和事件的早期預警；第三，某些領域重大基礎設施的運作者（金融服務、交通、能源或健康）、資訊社會服務的推動者（app商店電子商務平台、線上支付、雲端運算、搜尋引擎、社群網絡）和公家行政部門必須在其核心服務上，採納風險管理作法和報告主要網絡安全事件。 　　從歐盟網絡安全策略和執委會計畫頒佈的NIS指令可以發現，歐盟對於新世代的網絡安全風險已經有完整的預見與具體的因應措施。針對新型態的網絡安全威脅，我國如何能及早適時預警並作出相應的防範機制，以確保產業經濟、公共交通、資訊工業和國防安全等不會受到外部威脅，將是我國政府必須先行正視的問題。

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　於2017年6月20日，歐盟對於歐盟成員國、其他歐洲國家以及區域鄰國的創新績效進行比較分析，並發布2017年度歐洲創新記分板(European Innovation Scoreboard, EIS)年度報告。它涵蓋歐盟成員國以及冰島、以色列、前南斯拉夫的馬其頓共和國、挪威、塞爾維亞、瑞士、土耳其和烏克蘭。在全球少數指標中，EIS也對澳大利亞、巴西、加拿大、中國、印度、日本、俄羅斯、南非、韓國及美國進行了評估。 　　EIS 2017排名與以前的版本不同，EIS 2017的測量框架由27個指標組成，區分4個主要類別的10個創新層面： 政策框架是創新績效的主要驅動力，涵蓋3個創新層面：人力資源、有吸引力的研究體系及創新環境。 投資包括公共及私人投資研究與創新，區分外部融資支持及內部資源投資。 創新活動吸取公司層面的創新工作，涵蓋3個方面：創新者、中間者及智慧財產權。 創新如何轉化為整體經濟效益之影響力：就業影響及銷售效應。 　　EIS顯示歐盟的創新績效繼續增長，特別是由於人力資源的改善、創新型環境、自有資源投資以及有吸引力的研究體系。而瑞典仍然是歐盟創新領導者，其次是丹麥、芬蘭、荷蘭、英國以及德國，創新指數比歐盟平均值高出百分之二十。立陶宛、馬爾他共和國、英國、荷蘭以及奧地利則是增長速度最快的創新者。在全球創新比較中，歐盟僅次於加拿大及美國，但韓國及日本正急起直追，而中國在國際競爭中是發展最快的國家。

　　近年來，由於(European Food Safety Authority, 簡稱EFSA)對GM產品之管理並未能進行足夠之科學分析，同時，亦過份仰賴業者所提供之數據資料等原因，而造成歐盟某些會員國家對EFSA所作出之評估報告於公正及客觀性方面產生質疑；甚至，歐洲食品業者亦對目前EFSA是否將會因為專家人力不足而導致整體風險評估能力下降之問題表示關切。一位EFSA官員指出：我們需要更多科學專家來協助處理與風險評估有關之事務。 　　其次，隨著各界因對GMO產品不當之批判與歐洲整體食品安全評估工作量增加等因素，EFSA於日前決定，欲透過建立一外部專家資料庫(External Expert Database)，來協助其風險評估工作之執行並促進評估專家招募過程之透明化，以達成免除外界對於歐洲食品安全評估過程疑慮之目的。不過，這些將提供協助之專家，並不會因此而真正成為EFSA科學評估小組成員(其將被視為是由人民主動對該小組執行評估工作提供協助)。除EFSA擬徵求歐盟境內專家學者外，未來其亦將邀請歐盟以外其他國家並在該領域為重要研究先驅之專家提供協助，以增加風險評估之品質與客觀性。 　　再者，綠色和平組織歐洲發言人Mark對於EFSA現階段執行之工作狀況也表示意見並指出：目前EFSA是在一種配備不良(ill-equipped)之狀態下，來勉強執行其所執掌之事務；不過，更讓人感到憂心者，則是由EFSA科學評估小組所做出科學性之意見，於不同會員國家間或於歐盟以外其他國家其是否仍將會被完全採納之問題。有鑒於此，相關人士認為：應再次強化EFSA於風險評估方面之能力！ 　　最後，一位非政府機組織專家也提醒：僅單純地透過專家庫之建立，其實，並不能圓滿地解決當前EFSA於決策機制中所遭遇之困難；而只有當EFSA在未來欲邀請外部專家提供協助與支援時，一併將資金及相關政策配套措施納入考量後，才是此問題真正解決之道。