英國無線電頻譜管理改革政策（上）－政策源起與目標

　　美國國家標準與技術研究院（NIST）於2020年1月16日發布「隱私框架1.0版」（NIST Privacy Framework Version 1.0），為促進資料的有效利用並兼顧對隱私權的保障，以風險管理（risk management）的概念為基礎建構企業組織隱私權管理框架。本隱私框架依循NIST於2018年所提出的「健全關鍵基礎設施資安框架1.1版」（Framework for Improving Critical Infrastructure Cybersecurity Version 1.1）架構，包含框架核心（Core）、狀態評估（Profile）與實施層級（Implementation Tier），以利組織能夠同時導入隱私與資安兩種框架。由隱私框架核心所建構的風險管理機制，透過狀態評估來判斷當前與設定目標的實施層級，進而完成組織在隱私保護上的具體流程與資源配置。 　　NIST基於透明、共識、兼顧公私利害關係人的程序訂定本隱私框架，用以促進開發者導入隱私設計思維（privacy by design），以及協助組織保護個人隱私，其目標包含透過支持產品或服務設計中的倫理決策（ethical decision-making）及最小化對隱私的侵害來建立客戶的信任；在當前與未來的產品或服務中，因應持續變化的技術與政策環境遵守對隱私的保護義務；以及促進個人、企業夥伴、稽核者（assessor）與監管者（regulator）在隱私權保護實踐上的溝通與合作。 　　本隱私框架並非法律或法規，亦不具備法律效果，而是做為數位時代下NIST協助企業導入隱私權管理制度的參考工具，企業或組織將能基於本隱私框架靈活應對多樣化的隱私需求，掌握其產品或服務所隱含的隱私權侵害風險，並識別隱私權相關法律規範，包含加州消費者隱私法（California Consumer Privacy Act）與歐盟一般資料保護規則（General Data Protection Regulation, GDPR）等，提出更具創新性與有效性的解決方案，並有效因應AI與物聯網技術的發展趨勢。

　　雖然微軟才針對「Internet Explorer」弱點「CVE-2012-1875」剛公佈修補程式不久，但針對「CVE-2012-1875」的為攻擊目標的網路攻擊正在發生。 　　因為作業準則（PoC）也已經公佈，有可能會發展成大規模的網路攻擊。日本IBM的Tokyo SOC也已經確認發生針對脆弱性的惡意攻擊，並將攻擊的報告公佈在該中心的部落格上。經該中心分析現在攻擊的範圍雖然「非常限縮」，但是標的型攻擊的可能性非常的高。 也正因為作業準則（PoC）也已經公佈，也將被預測到發生大規模攻擊，微軟也呼籲儘速下載修補程式對程式弱點進行修補，避免遭到攻擊 。 　　微軟針對「CVE-2012-1875」的弱點在6月13日每月定期公佈的資訊安全性更新程式「MS12-037」進行修補。在6月13日公佈的時間點雖然已經確認發生惡意攻擊的資訊安全安事件，也已經透過非公開管道向微軟報告，但微軟並沒有公開確認弱點的存在。

　　Proprius21專案乃是日本東京大學提供企業界可以與該校共同進行研究的一種機制，屬產學合作方式之一。此專案之提出，係該校有鑒於過去產業界與學術界合作進行共同研究的模式，多以特定的企業與特定的研究室間進行一對一的研究為主。然此一共同研究方式雖可讓大學所產出的知識貢獻給社會。但仍嫌規模過小，課題及責任分擔或目標成果不夠明確，所以需要一個可以創造更大規模的創新的機制。基此，東京大學希望透過Proprius21專案創造一個可由該校內部數個單位或研究室，共同參與大型研究主題的專案，以實現從多樣化的觀點來因應數個或一個企業需求之共同研究（多對多或多對一），並結合校內能量完成提案的機制。 　　東京大學規劃在校內以三階段活動進行Proprius21專案：(1)公開交換意見，即讓「產業界與學術界相遇的場合」的廣場活動。(2)濃縮出最佳的主題，以及尋找最佳成員之個別活動。(3)由成員縝密地製作計畫，由成員以外的人審視計畫內容，打造一個更為優質計劃的篩選活動。 　　為了推動Proprius21專案，東京大學係由產學合作研究推進部協助日本企業與校內研究人員進行個別的會議及研討會或研習營等活動，同時也針對企業在決定研究主題後，至計畫成案為止間之各階段提供各種支援。此外，該部人員也會接受來自產業界的諮詢，並在製作計畫之際，適當地介紹校內的職員，提供技術建議或審視計畫的內容等各種支援。

　　歐盟於2016年7月6日公布了網路與資訊系統安全指令（Directive on Security of Network and Information Systems, NIS Directive），該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力，以提高歐盟內部市場之功能。 　　故至2018年11月前，各會員國須確認境內的關鍵基礎服務營運商並建立一份清單，包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分，其判斷標準為（a）提供維持社會重要或經濟活動之服務；（b）倚賴網路或資訊系統供應之服務；（c）該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務，如線上市場、搜尋引擎及雲端服務之數位服務提供者，而上述兩者所適用之規範略有不同，如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時，另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 　　此外，為了促進會員國間之策略合作及資訊交換，歐盟將會設立一個合作小組，亦將建立電腦安全事件因應小組（Computer Security Incident Response Teams, CSIRTs），主要負責監測國家資安事件、並對資安風險為預警、因應及分析等，另為確保各會員國彼此間在運作上之迅速與效率，並建立電腦安全事件因應小組網路（CSIRTs network），提供各會員國交換資安風險或事件相關資訊之平台。 　　該指令於今年8月生效，會員國須於指令生效後21個月內即2018年5月，將指令之內容適用至本國法並公布之，該指令之內容可做為我國訂定資安法規之參考。