歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。
因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:
- 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
- 行動設備威脅:行動設備遭竊或遺失與不當近用。
- 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
- 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
- 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
- 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
- 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
- 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。
因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:
- 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
- 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
- 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
- 行動支付業者應當建立詐騙監控機制。
網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
廖凱民
法律研究員 編譯整理
Cyber security key for the successful adoption of mobile payments, ENISA, https://www.enisa.europa.eu/news/enisa-news/cyber-security-key-for-the-successful-adoption-of-mobile-payments (last visited Feb. 17, 2017)
Security of Mobile Payments and Digital Wallets, ENISA, https://www.enisa.europa.eu/publications/mobile-payments-security/ (last visited Feb. 17, 2017)
美國食品和藥物管理局(U.S. Food and Drug Administration,FDA)於2010年9月19日到21日針對是否核准基因工程鮭魚(genetically-engineered salmon,GE salmon)上市舉行了公聽會。經過各界討論,目前仍未做出決定,但各界均同意於決定是否核准該鮭魚上市前,仍需做進一步的研究測試。 該基因工程鮭魚又名 AquAdvantage,其成長賀爾蒙不但只於較高溫度的水域環境時才分泌,而亦可全年都分泌該種賀爾蒙。因此特性,此種鮭魚成長速度比一般同類型的鮭魚快兩倍,而其所能被食用的時間也相對較早。 根據美國FDA的報告結論,基因工程鮭魚的安全性和其他類型的鮭魚一樣,所以如果為人類食用的話,並不會造成危險。此外,該鮭魚的養殖地點與海岸仍有一段距離,因此其可能對野生鮭魚造成威脅的問題可被忽視。然而,於本次公聽會中也提出,由於現階段的研究數據結果不足,因此仍須進行進一步的相關測試後才能做出結論。 另外,對於基因工程鮭魚上市後該如何標示該產品,也是另一個討論重點;針對此議題,美國FDA會另外舉行公聽會。目前,美國FDA對於上市核准的食物標示僅要求需標示其身分、營養成分、和潛在的過敏反應即可。由於美國FDA認定該基因工程鮭魚與一般鮭魚並沒有“生物學上的相關差異性”(no biologically relevant different)存在,對此,美國FDA表示,相同的作法有可能也會適用於基因工程鮭魚上。就社會大眾知的權利和現行法制的適用兩者間該如何取捨,即變成了當前該議題的討論重點所在。故,美國FDA未來是否會准許該種基因工程鮭魚上市,且上市後其食品標示又該如何加以標示,都是未來需要再做進一步觀察的。
KCC提出Giga Internet計畫南韓通訊傳播委員會(Korea Communications Commission, KCC)與國家資訊社會局(National Information Society Agency, NIA) 於2009年7月24日共同宣佈「Giga網路促進計劃」的開展,預計在2012年開始提供商轉服務。Giga網路可在十秒鐘內下載一部DVD影片,較既有的光纖區域網路快上十倍。 南韓政府選定Giga網路作為國家型計畫乃係為了在「寬頻匯流網路」(BcN)計畫後,能繼續提供世界上一流的廣播通訊基礎建設。另一目的是希望藉此能有效利用高品質、大容量與匯流之資訊。 為了發展與Giga網路相關的技術、設備及服務,「Giga網路促進計劃」的參與者包括南韓的資通訊大型企業,包括一類、二類電信業者、相關軟業體、終端設備商與研究機構。藉此以全面且有體系性地逐步於未來四年內推行此計劃。該計畫預計於在2012年底,提供3D與多角度IPTV、HD家庭閉路電視(CCTV)與電視多媒體訊息服務給2,000家戶 。 KCC常委Tae-Gun Hyung預測:該計畫不將止是促進產業發展,也增加了全球資通訊匯流的科技競爭力,提供了新的市場進入領域,改變人們生活型態,並且帶給社會極大的催化效力。 南韓未來四年推動Giga網路取代BcN的成效,相當值得資通訊產業與發展型態屬性相近的台灣參考,作為我國推動數位匯流的重要借鏡。
英國國家統計局政府資料品質中心發布《政府資料品質框架》英國國家統計局(Office for National Statistics)轄下之政府資料品質中心(Government Data Quality Hub)為實踐英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport)發布之《國家資料戰略》(National Data Strategy),於2020年12月3日釋出《政府資料品質框架》(The Government Data Quality Framework),以達成國家資料戰略中「資料基礎(Data Foundation)」之核心目標。該框架提出「資料品質原則」(Data quality principles),旨在解決目前政府資料品質低落的問題。該原則包含以下五點: 一、確保資料品質:機關內部應建立有效的資料治理機制,例如培訓員工具備管理資料的能力、持續改進資料品質等。 二、了解使用者需求:機關應將使用者對資料品質的需求視為優先處理事項。 三、評估資料於資料生命週期各階段之品質:機關應密切關注資料於生命週期各階段之品質,並與使用者及利益關係人交換意見。 四、持續溝通資料品質:機關應持續與使用者交流資料品質現況,提供使用者有效的文件及中繼資料(metadata)。 五、了解造成資料品質低落的主因:分析造成資料品質低落的根本原因,從源頭徹底解決資料品質問題。 英國國家統計局政府資料品質中心希望藉由本框架揭示的資料品質原則,提升政府機關人員主動辨別及解決資料品質問題的能力,以改善政府資料品質、為人民帶來更高品質的資料,釋放資料價值並促進社會經濟發展。