簡介日本「u-Japan政策」

　　美國聯邦貿易委員會（Federal Trade Commission, FTC）於2014年間以路由器(Router)與雲端服務的安全漏洞，導生消費者面臨資安與隱私風險之虞，而依據《聯邦貿易委員會法》第5條（Federal Trade Commission Act, 15 U.S.C. § 45(a)）委員會防止不公平競爭違法手段（unfair methods of competition unlawful ; prevention by Commission）之規定，即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由，對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 　　本案歷經FTC近二年的調查程序後，華碩公司於2016年2月23日同意FTC的和解條件，即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善，並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出，華碩於銷售其所生產的路由器產品時，曾對消費者強調該產品具許多資安保障措施，具有得以防止使用者不受駭客攻擊等效果；然而，該產品實際上卻具有嚴重的軟體設計漏洞，使駭客得以在使用者未知的情況下，利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞，任意改變路由器的安全設定；更有專家發現駭客於入侵華碩製造之路由器產品後，得以強佔使用者的網路頻寬。 　　此外，華碩允許使用者沿用路由器產品的預設帳號密碼，再加上華碩所提供的AiCloud與AiDisk雲端服務功能，讓使用者得以隨身硬碟建立其私有的雲端儲存空間，使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出，駭客利用華碩路由器產品與相關服務的漏洞，於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外，使華碩更加備受譴責的是，當該漏洞被發現之後，其並未主動向產品的使用者強調產品存在該資安問題，更未告知使用者應下載更正該設計漏洞的軟體更新，因此FTC始決定對華碩進行起訴。

　　歐盟第29條工作小組於2017年10月3日為因應歐盟一般資料保護規則（GDPR）第22條規定發布「自動化個人決策和分析指引」（Guidelines on Automated individual decision-making and Profiling for the purposes of Regulation 2016/679，2018年2月6日進一步修正，下稱指引），處理對個人資料自動化決策（automated decision-making）和個人檔案剖析（Profiling）的建立。 　　指引分為五個部分與最佳實踐建議，旨在幫助資料控制者（controller）合乎GDPR對個人資料自動化決策和分析的要求，內容包括下幾點：1.定義自動化決策和分析，以及GDPR對這些概念的處理方法；2.對GDPR第22條中關於自動化決策的具體規定；3.對自動決策和分析的一般規定；4.兒童和個人檔案剖析（Profiling）的建立；5.資料保護影響評估。 　　指引的主要內容包括： 　　個人檔案剖析（Profiling），意謂收集關於個人（或一群個人）的資料，並分析他們的特徵或行為模式，加以分類或分群，放入特定的類別或組中，和/或進行預測或評估（例如，他們執行任務的能力，興趣或可能的行為）。 　　禁止對個人資料完全自動化決策，包括有法律上法或相類重大影響的檔案剖析，但規則也有例外。應有措施保障資料主體的權利，自由和合法利益。 　　GDPR第22條第二項a之例外規定，（履行契約所必需的），自動化個人決策時，應該作狹義解釋。資料控制者必須能夠提出分析、自動化個人決策的必要性，同時考慮是否可以採取侵害隱私較少之方法。 　　工作小組澄清，關於在要求提供有關自動化決策所涉及的邏輯上有意義的資料時，控制者應以簡單的方法，告訴資料主體其背後的理由或依據的標準，而不得總是以自動化決策所使用算法進行複雜的解釋或者公開完整的算法為之。所提供的資料應該對資料當事人有意義。 　　對資料主體提供關於處理自動化決策上有關重要性和預期後果的資料，其意義在於必須提供關於該資料之用途或資料未來處理以及自動化決策如何影響資料主體的重要訊息。例如，在信用評等的情況下，應有權知道其資料處理的基礎，資料主體並能對其作出正確與否的決定，而不僅僅是關於決策本身的資料。 　　「法律效果」是指對某人的法律權利有影響，或者影響到個人法律關係或者其契約上權利。 　　工作組並未將GDPR前言71段視為絕對禁止純粹與兒童有關的自動決定，指出僅在某些情況下才有其適用（例如，保護兒童的福利）。 　　在基於自動化處理（包括分析）以及基於哪些決策產生法律效應或類似顯著效果的基礎上對個人方面進行系統和廣泛評估的情況下，進行資料保護影響評估並不局限於「單獨」自動化處理/決定。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　「敏感科技」的普遍定義，係指若流出境外，將損害特定國家之安全或其整體經濟競爭優勢，具關鍵性或敏感性的高科技研發成果或資料，在部分法制政策與公眾論述中，亦被稱為關鍵技術或核心科技等。基此，保護敏感科技、避免相關資訊洩漏於國外的制度性目的，在於藉由維持關鍵技術帶來的科技優勢，保護持有該項科技之國家的國家安全與整體經濟競爭力。 　　各國立法例針對敏感科技建立的技術保護制度框架，多採分散型立法的模式，亦即，保護敏感科技不致外流的管制規範，分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型，分別為國家機密保護，貨物（技術）之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制，而我國法亦是採取這種立法架構。目前世界主要先進國家當中，有針對敏感科技保護議題設立專法者，則屬韓國的「防止產業技術外流及產業技術保護法」，由產業技術保護委員會作為主管機關，依法指定「國家核心科技」，但為避免管制措施造成自由市場經濟的過度限制，故該法規範指定應在必要的最小限度內為之。