歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。
因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:
- 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
- 行動設備威脅:行動設備遭竊或遺失與不當近用。
- 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
- 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
- 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
- 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
- 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
- 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。
因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:
- 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
- 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
- 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
- 行動支付業者應當建立詐騙監控機制。
網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖凱民
法律研究員 編譯整理
Cyber security key for the successful adoption of mobile payments, ENISA, https://www.enisa.europa.eu/news/enisa-news/cyber-security-key-for-the-successful-adoption-of-mobile-payments (last visited Feb. 17, 2017)
Security of Mobile Payments and Digital Wallets, ENISA, https://www.enisa.europa.eu/publications/mobile-payments-security/ (last visited Feb. 17, 2017)
英國街頭塗鴉藝術家班克斯(Banksy)曾因不齒資本主義商業行為而說過「著作權是為失敗者而設(copyright is for losers)」,然而近期卻因一場義大利展覽販賣未經其授權之塗鴉藝術週邊商品而提出商標侵權等訴訟。 去(2018)年底負責掌管班克斯智財權事務的Pest Control公司(後稱Pest Control公司)對一家義大利公司提告,該公司於米蘭文化博物館(MUDEC)籌辦名為「The art of Banksy. A visual protest」之展覽,儘管展出中之作品皆為原著或授權印製,然而該展覽紀念品店販售了未經授權之周邊商品,如筆記本、文具及明信片等。今(2019)年一月米蘭法院提出臨時裁決要求該展覽停止販售該些屬於班克斯品牌之重製商品,不過針對展覽擅自利用班克斯圖樣作為廣宣素材這一部分,法院確認為該些圖樣的使用屬於展覽行銷之必要之途,因此並無侵權。 在訴訟中,Pest Control公司主張以「班克斯(Banksy)」為名以及其著名之兩幅著作「手持氣球的女孩(Girl with balloon)」與「擲花者(Flower thrower)」之商標權與品牌,儘管法院認定該些註冊商標之有效性,但班克斯勢必開始透過商品或服務之行銷以持續使用該些商標權,才能維持權利之有效;此外,本訴訟並未主張著作權,其主要考量在於維護藝術家之神秘感─班克斯一直以來隱姓埋名地在街頭塗鴉創作,若Pest Control公司主張著作權,將同時公開班克斯之本名,此將降低班克斯一直以來營造之神祕氛圍而減損其作品之藝術價值。 儘管Pest Control公司為班克斯贏得了本次的訴訟,然而對於一向反對資本操作的班克斯而言,勢必再次評估藝術品牌之經營是否接受並採納市場導向的商業機制,以同時獲得商業智財法律之保護。換句話說,必須持續使用商標權與投入品牌經營以強化相對應之智財權。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
何謂「商標名稱通用化」?商標具有表彰商品來源之功能,其設計為配合商品特色而具有識別性。商標註冊後,若不具有識別及表彰商品來源之特徵,而失去商標應有之基本功能,依據商標法第63條第4款,不具識別性之商標,無法主張商標專用之權利。商標名稱通用化,即是指原本具有識別性之商標,通常為著名商標,因為社會大眾消費習慣以及認知的改變,變成商品的通用名稱,此時即認該商標失去識別性,失去法律保護。 商標名稱通用化形成之原因不一,可能是企業經營者設計商標時,有意使用社會大眾熟悉之名稱作為商標,也有可能非商標權利人自己故意造成,特別是著名商標,容易流於通用化。例如,「可樂(cola)」一詞由可口可樂(coca cola)公司率先註冊使用,但於消費者心目中已成為特定碳酸飲料之名稱,則不得由可口可樂公司獨占使用;又如火柴盒玩具汽車,為火柴盒大小包裝之玩具,企業經營者以 matchbox 作為該玩具的文字商標,但美國聯邦最高法院認為matchbox屬於該商品之通用名稱,否認其商標權。 實務上判斷商標名稱通用化,以該商標名稱在一般消費者心目中認識的主要意義為標準。一個經過市場行銷之註冊商標名稱,若在消費者心目中屬於商品通用名稱,而非特定商品來源,則表示該商標名稱已不具備商標功能,不受法律保護。
何謂「IoT推進聯盟( IoT推進コンソーシアム)」?日本政府為了對應智慧聯網(Internet of Things, IoT)、巨量資料(Big Data)以及人工智慧(AI)時代之到來,經濟產業省及總務省於2015年10月23日正式成立了產官學研聯合之「IoT推進聯盟( IoT推進コンソーシアム)」。該聯盟旨在超越企業及其產業類別的既有框架,以民間作為主導,目的為推動IoT之相關技術研發,以及促進新創事業成立之推進組織,未來並將針對IoT相關政策以對政府提出建言。在該聯盟下有三個工作小組,包括技術開發、實證、標準化的「智慧IoT推進論壇(スマートIoT推進フォーラム)」;推動先進實證事業,規制改革之「IoT推進實驗室(IoT推進ラボ)」,以及針對資訊安全、隱私保護的專門工作小組。 我國自2011年行政院首度召開「智慧聯網產業推動策略會議」以來,積極推動發展台灣成為全球智慧聯網創新中心,以及成為亞洲智慧聯網解決方案領先國;而目前我國有「台灣物聯網聯盟(TIOTA)」、「中華物聯網聯盟」等民間推進組織,旨皆為結合產官學研各界資源,促進產業與政府、國際間之合作。
美國總統發布行政命令,促進資料中心基礎建設之發展2025年7月23日,川普總統簽署行政命令,加速資料中心基礎建設(data center infrastructure)之發展。適用該命令之資料中心,需新增超過100百萬瓦(MW)電力負載,並新增瓦數專用於人工智慧推論、訓練、模擬或產生合成資料。 行政命令內容主要包含以下事項: 1. 政府將為合格資料中心基礎建設提供財政支持,如貸款、貸款擔保、補助金(grants)、稅收優惠(tax incentives)或承購協議(offtake agreements)。本行政命令所稱之合格資料中心基礎建設,其本體或相關設施需符合以下條件之一: (1) 業者承諾投資超過五億美元,五億以上之具體門檻以美國商務部長認定為準。 (2) 新增超過100百萬瓦(MW)之電力負載。 (3) 有助於維護國家安全。 (4) 經美國國防部、內政部、商務部或能源部之部長指定。 2. 撤銷拜登總統發布之14141號行政命令「推進美國在人工智慧基礎建設領域的領導地位」。該命令原要求在聯邦土地建設人工智慧資料中心者須提供關於多元與氣候議題之說明。 3. 指示政府機關簡化合格資料中心基礎建設的環境審查和許可。 (1) 相關政府機關應向環境品質委員會(Council on Environmental Quality)確定依《國家環境政策法》(National Environmental Policy Act),可以加速合格資料中心基礎建設建置的環境審查豁免措施。 (2) 環境品質委員會應考量資料中心基礎建設對環境產生之影響,制定新的環境審查豁免措施。 4. 對符合FAST-41計畫(FAST-41 program)要求之資料中心基礎建設,加速其取得建設相關許可之過程。 該計畫名稱及內涵緣起於《修復美國地面運輸法》第41章節(Title 41 of the Fixing America's Surface Transportation Act)。一般而言,參與該計畫之建設,需滿足指定投資額、受指定組織贊助、於指定地點興建,或合乎特定環境法規等要求。合乎計畫要求之建設,可與主管機關協調取得建設相關許可之時間,並由聯邦許可改善指導委員會(The Federal Permitting Improvement Steering Council)下屬團隊協助進行專案管理。 5. 環境保護局(Environmental Protection Agency)局長應依法定權限,加速確認可供合格資料中心基礎建設使用的棕地(brownfields)。 依美國環境保護局定義,棕地是指含有危險物質、污染物的土地,因開發利用困難,需進行養護、排除開發障礙,或以其他方式開發。 6. 內政部、能源部應依法確定適合用於建設資料中心的土地,適當授權合格資料中心基礎建設業者在聯邦土地上進行建造。 參酌該行政命令意指,美國政府期許減少環境政策對人工智慧資料中心及相關設施的影響,透過快速推動建設進程,確保美國經濟繁榮,以及在科學、數位經濟領域的領導地位。