開放非銀行事業從事預付式行動付款服務法制議題之研究

英國科學、創新和技術部（Department for Science, Innovation & Technology）提出之《資料保護和數位資訊法案》（The Data Protection and Digital Information Bill，以下稱DPDI法案）於2023年11月經下議院三讀後移交上議院，並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》（UK General Data Protection Regulation, 下稱UK GDPR）、《資料保護法》（Data Protection Act, DPA 2018）與《隱私與電子通訊規則》（Privacy and Electronic Communications (EC Directive) Regulations 2003）建構之資料保護框架，形塑有別於歐盟典範的資料保護制度。 下議院三讀通過之DPDI法案包含：個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等，期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則，以下就部分變革與爭議簡要說明： 一、資料使用限制放寬：藉擴大正當利益（legitimate interest）意涵與科學研究範圍，擴大個人資料使用的正當性基礎，如國安、犯罪預防、公共衛生及商業與非商業性科學研究。 二、組織資料治理層級轉變：取消資料保護長設置，改為指派高階管理層之一人專任或多人兼任高階負責人。 三、監管機構變換：將現行資訊專員辦公室（Information Commissioner’s Office, ICO）獨立機構監管模式，轉換為政府任命之委員會。 四、資料傳輸規範可能不足：英國脫歐後，其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範，英國可能需證明新程序及規範持續具有保護適足性。 就DPDI法案內容觀之，該法案主要建構於UK GDPR及相關規範之刪修，象徵英國政府對脫歐前資料保護制度之檢討，並期藉改革減輕企業合規成本。然，部分團體認為資料使用放寬與保護制度之變革，可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段，可能因各方磋商而修改條文內容，但仍可見英國政府積極重新伸張國家主權之作為。

　　歐盟單一專利法院（(Unified Patent Court, UPC）預計於2023年6月1日正式運作，歷經英國脫歐等事件後，於去年（2021）12月2日奧地利批准單一專利法院協議暫行議定書（Protocol to the Agreement on a Unified Patent Court on provisional application, PAP-Protocol）並提交後，正式進入最後階段。 　　UPC為歐盟所設立之國際法院，對歐盟授予之專利具管轄權，負責審理歐洲專利的侵權與訴訟案。UPC之裁決結果將適用於所有UPC成員國，透過建立單一的審理制度，避免各國法院標準不一致的情形。截至目前（2022年12月20日），已有16個歐盟成員國批准單一專利法院協議（下稱協議）。 　　現有歐洲專利（EP）將直接適用UPC制度，為降低影響，協議給予專利權人申請退出單一專利制度（Unitary Patent, UP）的選擇權，若未於規定時間內提出申請，仍可於UPC啟用後7年內提出。其他針對UPC提出幾點說明： 一、UPC成員國之歐洲專利，皆受到UPC管轄。 二、UPC分為初審法院（Court of First Instance）與上訴法院（Court of Appeal），初審法院為UPC成員國之地方或區域法院並非單一法院。 三、訴訟期限於初審分為三階段，總時程約為12至14個月，上訴法院受理後原則不會再發回初審法院，審理過程約為12個月。 四、UPC管轄權僅限於專利事務，如侵權訴訟、專利撤銷、申請強制令等。 五、UPC受協議、歐洲專利公約及有關的國際協議、規範等約束。

　　美國於2015年2月5日公布修訂之行動醫療應用程式指導原則(Mobile Medical Applications, Guidance for Industry and Food and Drug Administration Staff)，取代原先在2013年9月公布之版本。本次的修訂主要是將美國2015年2月9日公布之醫療設備資訊系統、醫療影像儲存設備、及醫療影像傳輸設備指導原則(Medical Device Data Systems, Medical Image Storage Devices, and Medical Image Communications Devices, Guidance for Industry and Food and Drug Administration Staff)規範納入其中。 　　2015年2月9日公布之醫療設備資訊系統、醫療影像儲存設備及醫療影像傳輸設備指導原則，擬降低FDA的管理程度，採用風險性評估方式，針對部分醫療設備資訊系統、醫療影像儲存設備及醫療影像傳輸設備等三種屬於第一級低風險之醫療器材，得不受ㄧ般管制，例如不需要登記、上市後報告及品質系統法規遵守等。原先，美國於2011年先將醫療設備資訊系統從第三級之高風險醫療器材，降低為第一級低風險之醫療器材，但經過長期間的使用經驗後，FDA認為，此等醫療器材設備在健康照護中十分重要，但相對於其他醫療器材，風險則較低，因此，將放寬程序。 　　行動健康應用程式亦可能歸類為上述之醫療器材，因此，為與上述的指導原則相符合，對於行動健康應用程式的審查亦作部分放寬。例如，當應用程式與資療資訊系統結合，而成為應受規範之醫療器材時，原先之規定為應進入醫療器材之規範程序，但新修訂之指導原則，則再放寬。僅將涉及積極的病人監測或醫療器材數據分析時，才需要回歸醫療器材之審查方式，其他醫療資訊系統若僅為儲存、傳輸等功能，而非主要提供診斷、治療等功能時，則可以不受醫療器材之規範限制，因風險程度較低，因此改由FDA視個案審查即可。為鼓勵相關產業的發展，FDA將風險性低之醫裁降低管理程度，其後續發展值得觀察。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).