中國通過網路安全法

　　美國商務部工業安全局（Department of Commerce, Bureau of Industry and Security, BIS）於2020年6月15日宣布修改《出口管制規則》（Export Administration Regulations, EAR），調整美國企業和中國大陸華為公司商業往來的相關禁令，允許美國企業和華為合作制定5G標準。國際標準為技術開發的重要基礎，企業在標準制定的參與和領導力，將同步影響5G、自動駕駛、AI及其他尖端技術的未來發展；美國為鞏固全球創新領導地位，積極倡導國內產業參與標準制定成為國際標準，保護國家安全與外交政策利益。雖然華為及其關係企業在2019年5月，因存在重大國家安全風險，被美國商務部列入實體管制清單，禁止美國企業在未獲商務部許可的情況下與華為進行任何業務往來，但此項政策不應妨礙美國企業參與重要的國際標準制定活動。 　　本次《出口管制規則》補充「一般性暫行核准（Temporary General License）」附錄，允許華為及其68家關係企業在參與國際標準化組織與5G標準制定等特殊情形下，得依據美國行政管理和預算局（Office of Management and Budget, OMB）A-119號通知所制定之標準，取得《出口管制規則》中涉及EAR99或出於反恐原因被列入美國商業管制清單之貨品與技術。代表美國企業毋需取得商務部的暫行核准，也可以在國際標準制定組織中與中國大陸華為等公司分享用於制定5G標準的相關資訊，甚至合作制定5G標準。另外，《出口管制規則》僅在非出於商業目的之合法標準制定情況下，允許美國企業向華為及其關係企業揭露此類技術；若是出於商業目的揭露，仍然須受《出口管制規則》拘束並應保存記錄。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　長久以來國際藥廠從大量販售的藥物中獲取上億元的營收，例如抗癌藥物與抗瘧藥物，均是萃取自中國的草本植物，但是這些擁有藥物傳統知識與遺傳資源的族群部落(the community)，卻只得到相對微薄的報酬。為此，世界智慧財產組織(The World Intellectual Property Organization)已經在過去五年中力圖達成將利益擴及到提供傳統知識與遺傳資源的族群部落。 　　許多先進國家到非洲、亞洲等地方蒐尋具有療效的植物後，回實驗室進行研發萃取其物質後做成藥物，但卻從來沒有主動的揭露其來源，也不曾主動的回饋其獲利給那些藥廠從中獲得藥物植物的族群部落。開發中國家已試著要去制止這非法的竊用傳統知識的行為。 　　但由於傳統知識是累積的，因此傳統知識的保護也面臨到如何認定其於何時已存在的困難。因此傳統的智慧財產保護體系對於不能確認個別權利人與權利標的範圍的傳統知識無法提供保護。 　　不過，世界智慧財產組織表示藥廠已開始關心並參與傳統知識利用的協議，因為這些投資億元於研發而已有成功結果的藥廠，並不希望他們處於一個法律上不確定的狀態。

　　新冠病毒業務中斷貸款計畫（CORONAVIRUS BUSINESS INTERRUPTION LOAN SCHEME，CBILS）係因應疫情於3月23日由隸屬於英國政府之英國商業銀行（British Business Bank為推動中小型企業發展之政策性銀行）所提供八成信用擔保的中小型企業紓困貸款計畫，但承辦銀行授信緩慢或不願承貸，導致成效不彰飽受批評。 　　英國商業銀行正視小型企業具規模小、缺少抵押物、信用不足、營業資訊不透明及缺乏與銀行間的往來紀錄之特徵，易有不易通過授信徵審，難以獲得融資紓困之問題。業於5月4日另行啟動復興貸款計畫（BOUNCE BACK LOAN SCHEME，BBLS），小型企業只需於受理該計畫之承貸銀行網站填寫1份簡易申請表，輸入公司名稱、地址、公司註冊編號、2019年之預估年營業額與銀行代碼跟帳號，即可申請承貸金額為2,000英鎊以上，最高至企業營業額之25％（上限為50,000英鎊）之六年期之小規模貸款，該貸款提供十成擔保，銀行無需進行授信評估，亦不得要求小型企業進行任何其他形式之個人擔保，BBLS開放至今僅一週，申請件數已高於CBILS。 　　我國中央銀行之小規模營業人簡易申貸方案以十成信用提供小額貸款，與BBLS相似，惟我國小規模營業人簡易申貸方案採取簡易評分表進行審核，評分表內仍就負責人個人信用及不動產擔保設定進行分數評比，與英國無須進行授信評估頗有差異，雖我國受疫情影響程度未如英國嚴重，但小規模營業人仍受有衝擊，兩國之小額貸款同為十成擔保，我國或可參酌英國授信放寬之作業，提供小規模營業人更寬一點、快一點、方便一點的活水挹注，使小規模營業人度過疫情難關及加速復甦。