歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。
因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:
- 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
- 行動設備威脅:行動設備遭竊或遺失與不當近用。
- 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
- 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
- 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
- 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
- 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
- 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。
因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:
- 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
- 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
- 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
- 行動支付業者應當建立詐騙監控機制。
網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖凱民
法律研究員 編譯整理
Cyber security key for the successful adoption of mobile payments, ENISA, https://www.enisa.europa.eu/news/enisa-news/cyber-security-key-for-the-successful-adoption-of-mobile-payments (last visited Feb. 17, 2017)
Security of Mobile Payments and Digital Wallets, ENISA, https://www.enisa.europa.eu/publications/mobile-payments-security/ (last visited Feb. 17, 2017)
歐盟理事會於2023年11月27日批准通過資料法法案(Data Act),該法案雖預計於2025年才會生效,該草案自2022年公告以來,各界對該法案都紛紛從不同角度表示意見,如企業對於資料共享是否對營業秘密外流的風險表達擔憂,歐盟在發揮資料經濟價值(資料交易與資料使用)的方向下,將業界考量納入進行修改,以下就經理事會通過之資料法法案關鍵影響概要如下: 1、資料共享 有鑑於因網路裝置/服務所產出的數位資料往往掌握於產品製造商或服務提供商身上,資料法建立了資料共享的基本規則,確保數位資料由製造商/服務商流動至第三人(包含產品/服務使用者),另資料法所保護之資料包含使用AI所產生之資料。 2、營業秘密保護 為避免資料持有人的營業秘密因此外流,資料持有人可以與請求提供資料的第三人(資料請求者)協議應採取之保密措施,在保密措施未達成一致或使用者未實施保密措施,資料持有人可暫停資料共享,在有重大經濟損失之虞時甚可拒絕資料共享。 3、對資料持有者的限制 資料持有者僅能在與使用者約定之範圍內使用資料,在無使用者許可下,不得用使用者所產出之資料去回推使用者的經濟、資產或生產等資訊,以避免損及使用者的商業地位。 資料法法案的主要目標在於塑造具競爭性的資料市場生態,確保資料的價值可公平分配到不同參與者身上,其聚焦在非個人資料的數位資料上,除適用於對歐盟提供產品/服務之廠商外,亦包含可於歐盟境內取得資料之情況。國內廠商宜先檢視自身商業行為與歐盟之關聯性,盤點現有產品或服務所產出的資料屬性,如可能需特別約定保密措施之營業秘密,預先規劃資料管理機制與對應管制措施,就重要資料或營業秘密管理機制可參資策會科法所公布之《重要數位資料治理暨管理制度規範(EDGS)》、《營業秘密保護管理規範》。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國FCC廢除網路中立法規2017年12月14日美國聯邦通信委員會(Federal Communications Commission, FCC)以3票對2票表決通過,廢止自2015年來所採取網路寬頻服務的高壓監管規定,並恢復了原來所採取低管制監管框架。支持者與反對者分別來自兩個不同的黨派。 經過詳細的分析以及對消費者和利益相關者的評論廣泛審查後,委員會認為自2015年來對網路寬頻服務採取的高壓規定,對整個網路生態系統施加了巨大的成本。為了取代這個嚴格的框架,FCC重新採用2015年之前的傳統低管制監管框架。 FCC 特別要求行動寬頻服務業者應公開揭露其網路管理政策例如:如何處理網路安全與壅塞問題、服務內容與商業條款等,以利於消費者與業者進行有效選擇,並促進政府對寬頻業者的行為進行有效的監督。此外 ,FCC恢復了聯邦貿易委員會(Federal Trade Commission, FTC)的管轄權,以便在寬頻業者從事反競爭、不公平或欺騙行為時採取行動。 在對消費者的影響方面,自由市場的支持者認為,付費優先的作法,意味在寬頻基礎建設上會有更多投資,使得上網和整體資料傳輸速度大為增加。 為達上述目標,委員會所採取之具體措施如下: 將寬頻接取服務(包括固定與行動寬頻服務)重新歸類為資訊服務。 將行動寬頻接取服務恢復歸類為私人行動服務。 將網路服務提供者有關隱私保護、不公平、詐欺和反競爭行為之管轄權回歸由聯邦貿易委員會負責。 要求網路服務提供者向消費者、企業和委員會揭露有關其做法的訊息,包括阻止,限制,支付優先次序或附屬優先次序。 此外FCC又禁止各州限制擴建寬頻網路服務的法律。據FCC統計,大約20個州有限制社區寬頻網路服務活動的法律,這些州的法律不公平地限制政府部門與有線電視和電信寬頻服務提供商的競爭。 FCC通過該案後引發不少如Google、Facebook及Netflix等科技公司,與消費者保護環體齊力撻伐,認為ISP業者在FCC力挺下,將可隨意限制民眾上網瀏覽的內容,大企業因此具優先權,不利新創網路公司生存發展,且投下反對票的政黨表示,將率領各州對聯邦傳播委員會這項決定提出法律挑戰,透過訴訟尋求翻盤機會。
美國交通部針對聯邦自駕車政策3.0徵集公眾意見2018年1月10號,美國交通部部長趙小蘭於出席內華達州拉斯維加斯之消費者科技聯盟(Consumer Technology Association)大會時表示,美國交通部正在研擬發布新版之聯邦自駕車政策3.0(Federal Automated Vehicle Policy 3.0, FAVP3.0)以因應自動駕駛技術於未來對安全性、機動性與消費者權益之衝擊。該聯邦自駕車政策3.0將會是一個綜合整體運輸業概況之自動駕駛政策,其將讓自動化運輸系統,包括,車子、貨車、輕軌、基礎設施與港口得以安全的整合。 為了達成上述目的,且讓公眾的意見得以協助辨識美國聯邦法規必須配合修正之部分,並鼓勵更多的創新研發。美國交通部於其網站上也發起了數個自動化車輛技術之意見徵集,讓其能更準確的找出當前美國法規對於自動駕駛技術創新所造成之阻礙。 該意見徵集主要分為四項,第一項是由美國交通部聯邦公路管理局(Federal Highway Administration, FHWA)主管,針對如何將自動駕駛系統整合進入公路運輸系統之資訊徵求書(Request for Information, RFI)。 第二項與第三項則是由聯邦公共運輸局(Federal Transit Administration, FTA)分別針對自駕巴士研究計畫(Automated Transit Buses Research Program)與移除相關障礙所發出之意見徵詢書(Request for Comments, RFC)。 最後一項則是由交通部國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)主管,針對移除自駕車法規障礙所發布之意見徵詢。
何謂「群眾募資(crowdfunding)」?「群眾募資(crowdfunding)」過去原泛指一切提出資金需求計畫,向社會大眾招募資金的行為;目前則指資金需求者透過群眾募資網路平台提出資金需求,由平台代為籌資後再將資金轉交與資金需求者之活動。 群眾募資可紓解創業家有創意無資金無擔保品的資金困境,因此主要運用於難以透過傳統金融管道取得資金之產業,例如文化創意產業。然而除了商品生產或短期計劃的募資,廣義的群眾募資運用尚包含永續的事業資本募集以及週轉資金募集。目前各種群眾募資模式可分為捐贈模式、股權模式及債權模式: 1、捐贈模式:群眾捐錢贊助某個特定方案,但不期待因個人的捐助而獲得任何金錢上的回報。但通常會獲得提案者承諾提供之實物或者是體驗服務作為回饋。 2、資本模式(或稱股權模式):群眾透過網路平台將金錢投入某個專案,未來可以獲得因該專案所成立之公司的股票,或者是獲得盈餘或收益的分配。 3、債權模式:群眾透過網路平台將金錢借給某個專案或某人某公司,承諾未來會償還所借之金額及利息。