歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。
因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:
- 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
- 行動設備威脅:行動設備遭竊或遺失與不當近用。
- 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
- 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
- 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
- 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
- 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
- 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。
因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:
- 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
- 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
- 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
- 行動支付業者應當建立詐騙監控機制。
網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖凱民
法律研究員 編譯整理
Cyber security key for the successful adoption of mobile payments, ENISA, https://www.enisa.europa.eu/news/enisa-news/cyber-security-key-for-the-successful-adoption-of-mobile-payments (last visited Feb. 17, 2017)
Security of Mobile Payments and Digital Wallets, ENISA, https://www.enisa.europa.eu/publications/mobile-payments-security/ (last visited Feb. 17, 2017)
位於歐洲東北部全國人口約僅有130萬的愛沙尼亞為了吸引更多外資與新創家前往,除了廣推網路登記公司設立、網路銀行,以及透過網路管理公司營運等改善投資環境相關措施之外,更領先全球推出網路市民證「e-Residency Card」。 隨著科技與網路的快速發展,網路市民證的推出打破了國家與地域疆界的限制,讓即使不住在愛沙尼亞的人士也可利用網路於18分鐘內完成登記設立公司流程。申請愛沙尼亞網路銀行相關服務與帳號、運營公司、進行線上簽章/簽約,甚至完成報稅等,讓外資、新創家大幅簡化公司申請設立程序與進入門檻。 此外,網路市民證也提供新創事業免除營業所得稅,吸引了眾多新創家前往該國創業,並於該項政策施行的前七個月內讓超過4,000名的新創家前往申請。同時,由於愛沙尼亞為歐盟會員國之一,因此也使外資與新創家在愛沙尼亞投資設立公司後,等同於在歐盟境內設立營運據點,成為進入歐盟市場的敲門磚。 正因為網路市民證所獲得的成功迴響,愛沙尼亞政府進而推行網路市民計畫「e-Residency Program」強化此項優惠政策,預計讓網路市民人數增加至數百萬人,活絡愛沙尼亞的經濟產業體系,進而傳播愛沙尼亞文化與知識。
為加速解決智財、民事相關爭議,日本推動司法制度改革日本政府一直希望能透過改革司法制度,用以解決日本日益增加的跨國民事、智財爭議、消費爭議等案件,故從今(2019)年4月起,日本內閣官房聯合日本最高法院、法務省、外務省等相關單位,積極針對現行的司法制度進行檢討。日本政府期盼透過這次的司法改革,能降低訴訟成本、加速解決爭議案件。 日本內閣官房,於12月9日發表了第九次民事司法制度改革推進會議的決議,這次的會議針對日本現行的民事訴訟程序制度提出了制度改革大綱與具體的改革建議,如日本現行的民事裁判應進行全面IT化,並希望擴充非訟事件的類型。 在這次的會議中,有三個主要的重點:首先在民事裁判上,將增加訴訟代理人律師有提出電子化訴訟文件之義務,民事訴訟法修法通過後,要求訴訟代理人應線上提出訴訟相關文件,未來也會進一步要求本人自訴的案件,自訴者也負有與訴訟代理人同等之義務。 再者在智慧財產爭議案件上,日本政府正在評估是否導入「二階段訴訟制度」。未來在專利權是否侵權的判斷上,會將侵權與否的判斷與損害賠償的裁量拆分為兩階段,且未來在判斷與裁量上,希望法院能採用第三方的專家學者意見做為判斷的依據。 最後,為因應近年的國際化社會,日本新設了「日本國際紛爭解決中心」,希望能強化現行商業爭議案件的裁判程序。另外擴充了現行「國民生活中心」裡「越境消費者中心CCJ」的功能,除了針對跨境消費者外,更提供了在日外國人多國語言的諮詢管道。綜上所述,未來將會修正日本現行的民事訴訟法、專利法等相關法規,司法制度改革細節預計於2020年3月做出最終決議。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」。
加拿大隱私專員呼籲提升加拿大人在美國之隱私保護加拿大隱私專員表示,其國人在美國雖享有一些隱私保護,但該保護主要係依賴不具法律效力之行政協議,因而相當脆弱。 隱私專員Daniel Therrien在一封致加拿大司法部長、公共安全部長及國防部長的公開信中,請求加拿大政府官員們向其對口之美國政府部門,要求藉由將加拿大列入美國國會去(2016)年通過之「司法賠償法案(Judicial Redress Act of 2015)」指定國家清單,以強化對其國人之隱私保護。隱私專員並表示,國人關切並請加拿大隱私專員辦公室(OPC)針對美國總統唐納.川普(Donald John Trump)所發布之行政命令進行影響評估,因其將排除非美國公民及合法永久居民隱私權法中關於個人可資識別資料之保護。 倘若加拿大能如同歐洲聯盟(European Union)及26個歐洲國家一般,於今年初時被列入前述指定清單,則其公民即可透過美國法院之強制執行,獲得隱私保障。此外亦可同時強化行政協議,如:美加邊境安全行動計劃(Canada-U.S. Beyond the Border Action Plan)及其聯合隱私聲明原則(Joint Statement of Privacy Principles)給予加拿大人之保護。 聯合隱私聲明原則涵括12項,其重要者有: 1.善盡一切合理努力,確保個人資料之正確性,以及後續請求查閱及更正錯誤之權利。 2.個人資料適當安全維護措施。 3.蒐集個人資料之相關性及必要性。 4.當事人認為其隱私受侵害時,得受繼有國家當局之賠償。 5.公務機關之有效監督。 縱算美國隱私權法自始即從未適用於加拿大人,且前開行政命令亦未改變現況,該命令仍突顯出「在南邊境上對加拿大人個人資料保護的顯著差距」。 「作為一個長期盟友以及密切的貿易夥伴,加拿大應要求被給予和那些經指定列入清單之歐洲國家相同程度之保護。」
英國展開「碳排放交易框架」修正意見徵集,擬將溫室氣體移除技術納入現行機制英格蘭、蘇格蘭、威爾斯政府,以及北愛爾蘭農業、環境和鄉村事務部於2024年5月23日共同提出「溫室氣體移除納入碳交易框架」(Integrating Greenhouse Gas Removals in the UK Emissions Trading Scheme)聯合諮詢文件,擬將「溫室氣體移除」(Greenhouse Gas Removals, GGRs)技術納入現行英國碳排放交易體系。GGRs係指主動將大氣中的溫室氣體移除之方法,又稱「二氧化碳移除」(Carbon Dioxide Removal, CDR)、「負碳技術」(Negative Emission Technologies, NETs),此類技術被認為能協助「難減排產業」減少排放。 此次意見徵集主要針對以下四大面向: 1.基本原則:將GGRs整合進UK ETS,須以維持減碳誘因、確保市場誠信、創造長期有效率的碳權交易市場、環境友善、具備可操作性、最小干預性、未來靈活性保障、考量財務影響等原則為基本前提。 2.總量管制:UK ETS於納入GGRs後,預計仍將維持當前總量上限,以避免實質上增加企業的排放容許量。 3.配額發給:GGRs能獲得的配額,擬採取「事後發給」的方式,於移除完成並經過驗證後,才發給配額,以維持交易市場的可信性。 4.市場整合:英國目前暫不考慮建立獨立的溫室氣體移除交易市場,擬將GGRs完全整合進既有的UK ETS中,並透過總量及需求控制或免費配額等措施調節市場供需,穩定並促進市場發展。 英國政府相信,透過將GGRs納入現行UK ETS中,可以增加企業對於碳移除之需求,提高負碳技術的投資誘因,進而持續對於淨零排放的目標有所貢獻。