18F與加州政府共同打造採購新流程
美國的數位服務推動小組18F(Digital service delivery,18F),因辦公室位於華盛頓特區F街18號而得名。2014年3月由總務署(General Service Administration,GSA)成立,透過業界與政府合作模式,幫助政府機關改善流程及增進效率,其所輔導的專案計畫將實際轉變政府機關提供數位服務及科技產品之運作模式,以達跨部會、機關之整合,並使對公眾的數位服務更便於使用。
18F為幫助美國各機關建造、購買及分享現代數位服務以提升政府的使用者經驗,提供了五項服務:(一)就已存的數位規格(digital component)打造訂製化產品(custom products);(二)以創新方式購買科技,使各政府能夠獲得更快、更好及產生更好結果的IT服務。詳細服務內容有代寫委外服務建議書(Request For Proposal,RFP)、開發市場利用現代技術購買IT服務、購買開放源代碼(open source code)以提升專案計畫;(三)替政府建造一安全、可擴展的工具與平台,其能更加符合需求並能夠持續為改善以達需求;(四)協助成為數位化組織,不只是增加組織內部數位化能力,更要形成數位習慣並最終促使組織文化改變;(五)透過討論會、設計工作室、指南及文件工作平台,提供及分享18F實際運用的相關現代數位化服務技術,使政府機關能自行複製及使用。
近期知名成果案例發生於加州。在加州,每一年的孩童福利服務案件管理系統超過2萬名社工利用為追蹤管理超過50萬件虐待及忽視兒童案件,若使用過時系統產生風險將無法估計,故加州政府、美國衛生與人群服務部(Department of Health and Human Services,DHHS)即利用了前述相關服務,與18F共同重新設計該系統的採購流程。從2015年11月至2016年10月,合作建立新系統不到1年的時間,導入了契約文件之簡化、模組化(modular)契約之合併、敏捷性開發(agile development)、使用者中心之設計及開放源(open source)之實踐。
首先,代寫委外服務建議書,18F於其中展示如何將專案計畫為模組化,亦即別於過往採購的傳統模式,非尋找單一開發商去建置整個已預設需求的系統,透過分離的方式,找尋不同開發商以更符合實際需求,亦能避免時間金錢的浪費,降低遲約或違約之風險。再者,聚集可能符合資格的供應商,邀請眾供應商建造以開放源代碼(open source code)方式的原型(prototype)。透過此一過程的激盪,18F從中協助評估所提出的原型、技術等,以了解供應商如何提出及是否符合使用者中心的設計。同時也能減少政府與供應商雙方的招標時間及行政成本。最後,為使加州政府機關能自行複製及使用相關現代數位化服務技術,18F示範敏捷軟體開發(agile software development)專案計畫。從中加州政府不僅瞭解如何為風險評估,且思考相關技術部門於專案計畫中的角色定位。
面臨現代化數位服務,在美國,聯邦與州政府都面臨極大挑戰。18F介入發展新模式,更能達實際需求,亦為內化之協助,利於政府自行發展其他數位服務。18F與加州政府合作之案例,或許能為國家發展數位服務運作之借鏡。
- Alla Goldman Seiffert and Robin Carnahan, California takes a new approach to procurement, 18F Blog, Oct. 28, 2016,
- 18F, What we deliver,
- Chris Cairns and Dr. Robert L. Read, New RFP ghostwriting service to improve contract success, 18F Blog, Mar. 30, 2015,
- Zac Cohn and Greg Boone, Mississippi brings agile and modular techniques to child welfare system contract, 18F Blog, Sep. 20, 2016,
- Mark Headd and Robin Carnahan, Modular procurement resources for state and local government, 18F Blog, Nov. 15, 2016,
陳蔚菁
法律研究員 編譯整理
Alla Goldman Seiffert and Robin Carnahan, California takes a new approach to procurement, 18F Blog, Oct. 28, 2016, https://18f.gsa.gov/2016/10/28/california-takes-new-approach-procurement/ (last visited Nov. 22, 2016).
18F, What we deliver, https://18f.gsa.gov/what-we-deliver/ (last visited Nov. 22, 2016).
Chris Cairns and Dr. Robert L. Read, New RFP ghostwriting service to improve contract success, 18F Blog, Mar. 30, 2015, https://18f.gsa.gov/2015/03/30/new-rfp-ghostwriting-service-to-improve-contract-success/ (last visited Nov. 15, 2016).
Zac Cohn and Greg Boone, Mississippi brings agile and modular techniques to child welfare system contract, 18F Blog, Sep. 20, 2016, https://18f.gsa.gov/2016/09/20/mississippi-agile-modular-techniques-child-welfare-system/ (last visited Nov. 15, 2016).
Mark Headd and Robin Carnahan, Modular procurement resources for state and local government, 18F Blog, Nov. 15, 2016, https://18f.gsa.gov/2016/11/15/modular-procurement-state-local-government/ (last visited Nov. 15, 2016)
日本建立物聯網產品資安符合性評鑑及標籤制度(JC-STAR),助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網(Internet of Things,簡稱IoT)產品日趨嚴重的資安威脅,日本陸續訂定針對物聯網產品資安之國內法規與政策方針,除了為強化物聯網產品之資安要求以外,藉由具體的資安評級要求,適用不同類型的物聯網產品,再透過資安標籤制度以區別產品,提升產品之資安識別,以供消費者選購時參考。據此,本文觀測日本近期建立的JC-STAR制度與其所適用國內法規,供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構(独立行政法人情報処理推進機構,Information-Technology Promotion Agency, Japan,簡稱IPA),依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1],建立了《物聯網產品資安符合性評鑑及標籤制度》(セキュリティ要件適合評価及びラベリング制度,Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements,簡稱JC-STAR),並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2](セキュリティ要件適合評価及びラベリング制度の基本規程,簡稱本規章)之最終修訂,建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務(含數位服務等)、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化,確立了以星等為評級的JC-STAR資安標籤制度框架。此外,JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求,透過附有資安標籤的產品以供各自選購時為考量,因此JC-STAR制度有以下二點優勢: (一) 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品,事前已透過共通性的適用標準,將物聯網產品資安進行評鑑分級,並將評鑑流程可視化管理,不僅使產品符合各組織或單位的資安防護需求,同時使產品選購更加便利。 (二) 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求,通過符合性評鑑的物聯網產品,因經第三方驗證後以最高等級的標籤呈現,故可確保符合特定領域事業團體之特殊資安需求,或配合指定使用,以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會(ETSI)網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》(ETSI EN 303 645),以及美國國家標準與技術研究所(NIST)於2022年9月公布的《消費者物聯網產品之核心基準》(NISTIR 8425)等適用標準,並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準(涉及資安技術要求事項等),確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級,詳述如下: (一) 一星級(★1) 物聯網產品須符合產品共通性之要求,並適用最低限度之資安要求事項,倘若產品已滿足相關要求事項,由產品供應商自我宣告即可。 (二) 二星級(★2) 視物聯網產品的類型、功能特徵等因素,於一星級以上增訂基礎的資安要求事項,倘若產品已滿足相關要求,仍由產品供應商自我宣告即可。 (三) 三星級(★3) 視物聯網產品的使用對象,包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等,依產品類型、功能特徵等因素,訂定共通性之資安要件,並須由獨立第三方進行驗證,並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 (四) 四星級(★4) 適用程序上雖與三星級相同,依產品類型、功能特徵等因素,訂定共通性之資安要件,並由獨立第三方進行驗證,須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中,諸如通信設備等所適用的資安要求及相關風險層級較高,因此為最高防護等級。 值得注意的是,日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4],預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章,結合其他先進國家的資安標準,建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品,賦予不同星等評級,供一般消費者或政府、企業法人等選購時參考,具體提升針對物聯網產品的資安識別。此外,依產品適用對象或風險層級不同,適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求,則可能適用三星或四星等級,且產品均須經獨立第三方進行評鑑後,才能取得符合性評鑑報告書,並添附資安標籤。 因此,JC-STAR並非僅針對政府或公部門單位採購適用,而是擴及日本國內產業或是一般消費者,因此日常中物聯網產品的使用,均受到全面性的資安保障。另一方面,倘若未來日本JC-STAR制度受到其他各國承認,即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品,故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本,有助於提升產業競爭力。據此,日本以資安標籤提升消費者識別,並有物聯網產品資安驗證機制之整體性規劃,均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf (最後瀏覽日:2025/10/13)。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf (最後瀏覽日:2025/10/13)。 [3]〈IoT製品のセキュリティ確保に向けて ~セキュリティ要件適合評価及びラベリング制度(JC-STAR*)の紹介~〉,頁25,独立行政法人情報処理推進機構,https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf (最後瀏覽日:2025/10/13)。 [4]〈ファクトシート:岸田総理大臣の国賓待遇での米国公式訪問〉,日本外務省,https://www.mofa.go.jp/files/100652150.pdf (最後瀏覽日:2025/10/13)。
電玩角色身上之「刺青」著作權歸屬議題隨著遊戲產業不斷提升遊戲畫面的精緻程度,遊戲角色也更加貼近於真實。近期,一款由Take-Two(遊戲開發商)推出名為「NBA 2K」的遊戲,遭到Solid Oak(集合刺青家授權,保護刺青著作權)控告遊戲角色(NBA球星)身上的刺青出現在遊戲中,是侵害刺青圖案著作權的行為。 本案之爭點為遊戲中出現的刺青是否納入著作權保護範圍內及遊戲開發商對於刺青的再次使用及展示有無違著作權法。Solid Oak顯然符合關於著作權法對於原創性(original works)的要求,惟由於刺青師與運動員並無任何著作權協議,因此推斷刺青師仍保有著作權。Take-Two主張在遊戲的使用上屬於公平且微量的。他們在遊戲中所呈現之畫面,其唯一目的是保持運動員真實性形象,若不去暫停或者放大畫面,幾乎看不清楚那些圖案(刺青)。由於本案仍在訴訟中,未來是否能肯認此為合理使用,並未明確。現階段如要避免此類爭訟,或許遊戲開發商得考慮直接向刺青師(藝術家)取得授權,或由運動員與刺青師簽約並取得授權,進而使遊戲開發商出版遊戲時,得透過與運動員或聯盟等簽訂使用球員形象之合約,間接使用該等圖案。 隨著科技的發展,從虛擬實境內容涉及實體藝術品之著作權,到真實人物形象於遊戲中呈現的著作權歸屬,智財權議題越趨多元。未來在快速變遷的時代,在智財權保護及科技發展之衡平上,更應保留彈性不設限範圍。
歐盟議會對於電信改革法案並無達成任何協議2009年05月06日歐盟議會對於大幅度改革之電信法審議並未通過,議會各會員對於創設一強而有力的電信管制體有共識,惟包裹立法中有一條款對「公民之接近網路權」干涉甚鉅,而引發疑慮。 歐盟電信法改革法案乃採取「包裹式立法」,該改革法案主要著重在科技的進步與高速網路接取的迅速成長。歐盟議會支持其他的改革,包括創設一歐盟電信管制體,賦予其權力以監督電信單一市場;分配電信頻譜予新興行動科技以及促進公民線上資訊保護的隱私權。 然而,針對人民接近使用網路權的限制範圍,卻無法達成協議,導致整個電信包裹立法仍在捷克的議會主席與議會代表之間繼續尋求妥協之道。 如果人民被發現正下載非法的著作物時,法國與英國代表則主張欲擁有較大的權限,以限制人民的接近網路使用權(此乃因其內國法已有針對下載盜版著作的處罰性規定)。其他會員國則採取較為寬容的態度,認為此涉及人民隱私範圍之保護、行為自由、表意自由與資訊接近權,應更審慎為之。 縱使該包裹立法並未被全部支持,一些觀察家認為大部分的改革條款應會通過。然而議會代表與電信委員會對此則未表達肯定之意。有意者認為:若此改革法案繼續維持包裹立法架構,恐將導致整個法案因此延宕,若能針對共識部份先行通過,似乎較能達成有效率的管制措施。
歐盟環保新指令 科技業2,000億產值受衝擊歐盟將於今年8月實施兩大環保新指令,廠商生產的電機電子產品,包括材料、元件、製程等,都必須符合可回收55%至75%的規定,才准輸往歐盟,預估將影響國內科技業者輸出產值達新台幣2,000億元。 台灣區電機電子公會調查,中大型電子業廠商大都準備完成,中小型業者則未必。前年我國電子產品輸出金額達1兆元,屬於中小型零件廠製造的產值超過三分之一,金額達3,500億至4,000億元。經濟部委託工研院調查,國內可能面臨重大衝擊,預估有44項產品受管制,占歐盟管制81項產品的一半以上。業者的回收成本將增加3%至5%,調整產品材質及零件成本也提高5%至10%。 歐盟實施的環保指令分別是:廢電機電子指令(WEEE)、危害物質限用指令(RoHS)。前者是針對10大廢電機電子品,建立回收體系,並達成法定一定的回收率55%至75%,要求至2006年12月,每年每人回收4公斤。後者是國際企業必須自我要求8月完成停止使用含有重金屬鉛、汞等六種化學物質的電子產品,如IC封裝、電腦塑膠零件等。2006年7月將全面禁止輸入。