歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告

  為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。

  因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:

  1. 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
  2. 行動設備威脅:行動設備遭竊或遺失與不當近用。
  3. 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
  4. 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
  5. 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
  6. 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
  7. 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
  8. 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。

  因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:

  1. 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
  2. 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
  3. 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
  4. 行動支付業者應當建立詐騙監控機制。

  網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。

相關連結
你可能會想參加
※ 歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7773&no=57&tp=1 (最後瀏覽日:2026/07/04)
引註此篇文章
你可能還會想看
著作權侵權暫停了妙娃種子園藝盆的銷售

  3D列印設計分享網站Shapeways在週五收到從任天堂神奇寶貝國際公司一個停止侵權的函(cease and desist),是有關於藝術家Claudia Ng的類似神奇寶貝妙娃種子的陶瓷園藝盆設計,他將園藝盆在Shapeways網站上販售,但Shapeways在收到警告信函後移除了網站上的產品列表。   根據Claudia Ng所述,任天堂神奇寶貝國際公司是要求所有有關此模型相關的收益。原本產品列表上並未直接將神奇寶貝遊戲名稱用於此盆栽設計名稱,Claudia Ng標註牠是植物怪獸(succulent monster),但產品列表中數次提及了神奇寶貝公司。最新版的設計將近2.5英吋(6.5公分)高,售價為49美元,目前有多種顏色提供銷售。   Claudia Ng表示:我想這是落於衍生和轉化著作的範疇,我並非一個律師,但我猜測這至少是最廣義的相關法規解釋裡。發生這件事我並不意外,只不過我原本預期該公司會追蹤的是那些有更多侵權設計的人。雖然我承認我個人喜愛的神奇寶貝啟發了我的靈感,但不是神奇寶貝的粉絲也都會喜歡這設計的原因就在於神奇寶貝本身的動物本質(generic-ness)。大多數都公認牠像一隻肥貓。而且我也被要求去設計其他的動物或生物。   Claudia Ng可能會被安排和任天堂神奇寶貝國際公司接觸,雖然他無法確定從這場可能的會議中會發生甚麼事。   3D列印設計分享上有可能設計的產品會侵害他人權利,設計者在靈感啟發上到設計成品時皆須有避免侵權的考量,以免不只無法獲利也有侵權的風險。

敏感科技保護

  「敏感科技」的普遍定義,係指若流出境外,將損害特定國家之安全或其整體經濟競爭優勢,具關鍵性或敏感性的高科技研發成果或資料,在部分法制政策與公眾論述中,亦被稱為關鍵技術或核心科技等。基此,保護敏感科技、避免相關資訊洩漏於國外的制度性目的,在於藉由維持關鍵技術帶來的科技優勢,保護持有該項科技之國家的國家安全與整體經濟競爭力。   各國立法例針對敏感科技建立的技術保護制度框架,多採分散型立法的模式,亦即,保護敏感科技不致外流的管制規範,分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型,分別為國家機密保護,貨物(技術)之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制,而我國法亦是採取這種立法架構。目前世界主要先進國家當中,有針對敏感科技保護議題設立專法者,則屬韓國的「防止產業技術外流及產業技術保護法」,由產業技術保護委員會作為主管機關,依法指定「國家核心科技」,但為避免管制措施造成自由市場經濟的過度限制,故該法規範指定應在必要的最小限度內為之。

中國大陸法院認定體育用品公司攀附日本知名動漫作品名稱係謀取不正當利益

  中國大陸北京知識產權法院於2016年10月26日作成(2015)京知行初字第6058號判決,依中國大陸商標法第41條第1款認定中國尚藍體育用品有限公司之「黑子的籃球」商標(商標號:11226352),係以不正當手段取得,應維持商標評審委員會對其之無效裁定。   法院認為,尚藍公司大量註冊100多個與日本集英社動漫作品《黑子的籃球》相關聯之商標,且無法證明予以實際使用,此行為擾亂商標註冊秩序。《黑子的籃球》在尚藍公司註冊商標前已於中國具有一定知名度,尚藍公司係攀附他人地位而謀取不正當利益。   據中國大陸商標法第41條第1款,已註冊之商標若以欺騙或不正當手段取得註冊,由商標局撤銷之,其他單位或個人得請求商標評審委員會裁定撤銷之。所謂不正當手段,按中國大陸最高人民法院之解釋,指擾亂商標秩序、損害公共利益、不正當占用公共資源及其他謀取不正當利益的手段。本案法院審理時,參酌系爭商標之實際使用情況,並以《黑子的籃球》在中國動漫展、漫畫出版、動畫撥放、網路討論等,認定其在中國具有高度知名度,且先於系爭商標,故對尚藍公司之訴訟主張不予支持。   此判決,可窺見中國大陸法院判斷商標知名度之標準,我國廠商在中國大陸對抗商標蟑螂時,應不可忽略品牌推廣之重要性。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

英國通訊管理局對於低軌衛星之加強監管提交公眾諮詢

  英國通訊管理局(Ofcom)於2021年7月26日提出「非同步衛星系統之執照更新」報告(Non-geostationary satellite systems: Licensing updates),表示若未能積極管理Amazon、OneWeb、SpaceX及Telesat等業者之低地球軌道衛星星座(satellite constellation)的通訊服務,後續恐會有局部干擾的疑慮,降低既有網路的通訊品質及可靠性,以及產生限制競爭的問題。   因此,Ofcom規劃調整衛星執照之許可制度,並向各界徵求諮詢意見。有關新的衛星執照修正重點包括: 1.衛星執照細部項目:將再細分成「終端設備」(user terminals)及「系統閘道站」(gateway)兩種許可證。 (1)衛星終端設備許可證:允許使用非同步衛星系統之終端設備,例如在用戶端安裝碟型天線及設備,但必須係衛星營運商所有。 (2)衛星系統閘道站許可證:授權設置地面閘道站,以作為衛星網路連結到網際網路、專用網路或雲端服務的大型樞紐(hub)。 2.執照申請審查程序:Ofcom將確保系統間可以共存而不會降低服務品質;避免執照取得者會對後續各方進入市場產生競爭限制;以及提供利害關係人評論期間,以便反映有關干擾或競爭之潛在風險。 3.附加許可條件:要求營運商之間進行技術合作;讓行政機關在必要時介入管理干擾案件,以確保英國消費者權益。

TOP