歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。
因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:
- 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
- 行動設備威脅:行動設備遭竊或遺失與不當近用。
- 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
- 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
- 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
- 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
- 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
- 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。
因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:
- 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
- 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
- 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
- 行動支付業者應當建立詐騙監控機制。
網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖凱民
法律研究員 編譯整理
Cyber security key for the successful adoption of mobile payments, ENISA, https://www.enisa.europa.eu/news/enisa-news/cyber-security-key-for-the-successful-adoption-of-mobile-payments (last visited Feb. 17, 2017)
Security of Mobile Payments and Digital Wallets, ENISA, https://www.enisa.europa.eu/publications/mobile-payments-security/ (last visited Feb. 17, 2017)
因應生成式AI(Generative AI)快速發展,日本經產省和總務省彙整及更新自2017年起陸續發布之各項AI指引,於2024年1月19日共同公布「AI業者指引草案」(AI事業者ガイドライン案,以下簡稱指引),公開向民眾徵集意見。上述草案除提出AI業者應遵守以人為本、安全性、公平性、隱私保護、透明性、問責性、公平競爭、創新等共通性原則外,並進一步針對AI開發者(AI Developer)、AI提供者(AI Provider)及AI利用者(AI Business User)提出具體注意事項,簡述如下: (1)AI開發者:研發AI系統之業者。由於在開發階段設計或變更AI模型將影響後續使用,故指引認為開發者應事先採取可能對策,並在倫理和風險之間進行權衡,避免因重視正確性而侵害隱私或公平性,或因過度在意隱私保護而影響透明性。此外,開發者應盡量保留紀錄,以便於預期外事故發生時可以進行說明。 (2)AI提供者:向AI使用者或非業務上使用者提供AI系統、產品或服務之業者。提供者應以系統順利運作及正常使用為前提,提供AI系統和服務,並避免侵害利害關係人之利益。 (3)AI使用者:基於商業活動使用AI系統或服務之業者。使用者應於提供者所設定之範圍內使用AI,以最大限度發揮AI效益,提高業務效率及生產力。
流行音樂「取樣」之著作權概念流行音樂之抄襲,於我國著作權法之評價上,是以著作權法第91條第1項「擅自以重製之方法侵害他人之著作財產權者」來評價,我國智慧財產法院已有相關判決可供參酌,如智慧財產法院 103 年刑智上易字第 47 號刑事判決。惟流行音樂之創作,往往受到流行趨勢及過去其他作品的啟發,但將任何的風格上的模仿皆認為係著作權之侵害顯然並不恰當,而旋律相似度高達九成左右者屬於抄襲固然無庸置疑,然僅取樣(sampling)使用少數詞曲,用以表達概念或致敬之使用他人創作情形,其判斷標準,或可參考美國法院之判決見解。 2003年的Newton v. Diamond案中,第九巡迴上訴法院認可「微量取用」(de minimis use)原則,認為在有數十秒的取樣情形時,當一般聽眾不認為是挪用,即構成微量取用,並無實質近似,且若未取樣原曲之重要部分,亦不構成抄襲。但2005年時,聯邦第六巡迴上訴法院在Bridgeport Music, Inc. v. Dimension Films案中,對微量取用的情形提出「明確性規則」(bright- line rule),認為必須要取得授權方得取樣;而美國最高法院則在1994年的Campbell v. Acuff-Rose案中,認為雖有擷取他曲旋律,但整體曲風不同時,採取轉化性原則,認為構成合理使用。
澳洲發布國家身分韌性戰略所謂「身分」(Identity)是「特徵」(characteristics)或「屬性」(attributes)的組合,可讓個人在特定環境中與其他人區分開來,以證明自己的身分,例如出生日期和地點、臉部圖像等。澳洲政府有鑑於數位經濟的快速成長,線上身分驗證比實體身分驗證更為頻繁,促使犯罪人竊取和濫用身分資訊與資格證明(credentials),使得越來越多人面臨網路犯罪和詐欺的風險,澳洲在2021年時更因為身分竊盜事件橫行,造成超過18億美元的經濟損失。 為此,澳洲資料和數位部長會議(Data and Digital Ministers Meeting, DDMM)於2023年6月23日發布「國家身分韌性戰略」(National Strategy for Identity Resilience),以取代2012年國家身分安全戰略(National Identity Security Strategy),宣示澳洲政府加強身分基礎設施和對身分竊盜的韌性與復原力,推動澳洲各州、領地(territory)和聯邦(Commonwealth)採用全國一致的身分韌性方法,使得個人身分難以被竊取,縱然不幸遭竊取,受害人亦能夠輕易自身分犯罪中恢復身分。 該戰略由十項原則組成,包含:(1)無縫接軌的聯邦、州和領地數位身分系統;(2)具包容性的身分辨識機制;(3)個人與公私部門都有各自角色;(4)制定國家實體與數位資格證明標準;(5)建立生物辨識和經同意的身分驗證;(6)便利個人跨機構更新身分資訊;(7)更少的資料蒐集與保存;(8)明確的資料分享協議;(9)資格證明的一致撤銷和重新簽發;(10)明確的問責與責任。搭配短、中、長期的實施規畫,循序漸進地加強與一制化澳洲跨司法管轄區的身分安全管理機制。
美國推動產業巨量資料(Big Data)新型應用分析--SunShot子計畫近年來,巨量資料(Big Data)狂潮來襲,各產業競相採用此種新型態模式,將充斥各領域之資料量,加以深度分析及集合、比對,篩選具價值性之各項資料。以美國為例,於2011年2月份正式啟動SunShot計畫,期透過聯邦政府的資源,加強推動不同領域之巨量資料分析,有利各領域之政府資源重整運用,以期使推動計畫更經濟效率且具競爭力。並且,美國政府更於2013年1月30日,宣布將挹資900萬元資助7項科專計畫,補助對象分別為: (1) SRI International; (2) 麻省理工學院(MIT); (3)北卡羅萊納大學 (Charlotte校區); (4) Sandia 國家實驗室;(5) 國家再生能源實驗室;(6) 耶魯大學;(7) 德州大學奧斯汀分校,加強各領域推動及整合。 此項「巨量資料」參與計畫之研究團隊將與公私營金融機構(financial institutions)、事業單位(utilities)及州層級之行政機關(agencies)展開合作(partnership),運用統計和電腦工具(statistical and computational tools),解決產業面之難題(challenges);同時,其將運用發展出之模型(Models),測試分散全美不同地區領航計畫(pilot projects)創新研發之影響和規模。計畫中,美國政府亦將以200萬元的預算,分析數十年來的科學報告、專利、成本、生產等資料,期能拼湊出相關產業之全貌,加速發掘科技突破之方法並有效降低成本。以德州(Texas)為例,奧斯汀分校(UT Austin)研究團隊乃與六個不同事業單位(utilities)進行合作,研析經營所蒐集之資料(datasets),以有效了解消費者的需求,提升太陽能未來安裝和聯結(installation and interconnection)之效率。 時值全球鼓勵產業轉型及資源整合,作為世界先進國家的美國,善用聯邦政府和高等學術研究機構之資源,進行整體產業之資料分析,殊值我國借鏡參考。