歐盟網路與資訊安全局發布「行動支付與電子錢包安全防護」報告
為因應探討並強化網路安全環境,歐盟網路與資訊安全局(European Union Agency for Network and Information Security , ENISA)2016年12月發布「行動支付與電子錢包安全防護」研究報告(Security of Mobile Payments and Digital Wallets)。歐盟網路與資訊安全局ENISA主要係因,近來行動支付興起,利用行動支付方式買賣貨品,係象徵著朝向數位化轉換趨勢,消費者希望透過更便捷的方式購物避免帶著實體錢包和一堆卡片,增加購物的不便。但是使用電子錢包和行動支付並非全然沒有安全疑慮,根據2015年的一項調查,有百分之20的美國消費者對於行動支付的過程中可能遭到有心人士擷取個人資料,這就表示此乃使用行動支付的主要擔心重點,有13%使用者擔心自己的電話遭到駭客入侵。此外根據另一項調查,針對九百名資安專家所做的調查顯示,僅有23%的的人員認為目前現有的安全機制足以防範個資外洩,但有47%的人員認為現有的機制缺乏安全性,但當中也有百分之30的回覆認為現在的安全機制是否安全不能確定。因此,目前而言,安全防護可謂是消費者最關心的重點,且對於安全的疑慮亦使得行動支付沒有辦法大量推行採用。
因此歐盟網路與資訊安全局ENISA於此報告提出了目前經確認的主要威脅有:
- 行動用戶的安全威脅:任意裝設惡意軟體、釣魚軟體、社交工程軟體。
- 行動設備威脅:行動設備遭竊或遺失與不當近用。
- 行動支付與電子錢包威脅:逆向工程、竄改支付軟體、使用在滲透到系統之後,會隱藏登錄項目、檔案或處理序等資源的一種軟體。
- 消費者威脅:POS惡意軟體、MiTM、重放攻擊。
- 付款服務提供者威脅:付款系統與資料連結崩潰的疑慮。
- 支付網路提供者威脅:代碼服務崩潰、拒絕服務。
- 發行商威脅:付款授權流程崩潰與代碼資料崩潰。
- 行動支付軟體提供者威脅:機敏個資外洩、雲端客戶資訊管理遭到入侵、代碼服務拒絕。
因此有鑑於行動支付產業目前仍在新興階段,欠缺明確標準,業者間的自主管理顯得相當重要,所以網路與資訊安全局ENISA提出了一些得以遵循的建議與標準:
- 消費者在使用行動支付的服務軟體時,必須採取多項最低安全防護措施。
- 行動主機提供業者應該確保軟體定時更新,並且修補安全上的漏洞,針對安全性與近用用戶資料的可能性部分加強。
- 行動支付的應用程式提供者,應該再提供服務給消費者時,同時提供消費者資訊,本應用軟體做了何種安全防護,供消費者知悉。
- 行動支付業者應當建立詐騙監控機制。
網路與資訊安全局ENISA提出上述建議與標準,主要係希望業者採用這樣的標準或好習慣的建議後,可以對於消費者、零售商、銀行等業者產生益處。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
廖凱民
法律研究員 編譯整理
Cyber security key for the successful adoption of mobile payments, ENISA, https://www.enisa.europa.eu/news/enisa-news/cyber-security-key-for-the-successful-adoption-of-mobile-payments (last visited Feb. 17, 2017)
Security of Mobile Payments and Digital Wallets, ENISA, https://www.enisa.europa.eu/publications/mobile-payments-security/ (last visited Feb. 17, 2017)
英國通訊管理局(Ofcom)於2021年7月26日提出「非同步衛星系統之執照更新」報告(Non-geostationary satellite systems: Licensing updates),表示若未能積極管理Amazon、OneWeb、SpaceX及Telesat等業者之低地球軌道衛星星座(satellite constellation)的通訊服務,後續恐會有局部干擾的疑慮,降低既有網路的通訊品質及可靠性,以及產生限制競爭的問題。 因此,Ofcom規劃調整衛星執照之許可制度,並向各界徵求諮詢意見。有關新的衛星執照修正重點包括: 1.衛星執照細部項目:將再細分成「終端設備」(user terminals)及「系統閘道站」(gateway)兩種許可證。 (1)衛星終端設備許可證:允許使用非同步衛星系統之終端設備,例如在用戶端安裝碟型天線及設備,但必須係衛星營運商所有。 (2)衛星系統閘道站許可證:授權設置地面閘道站,以作為衛星網路連結到網際網路、專用網路或雲端服務的大型樞紐(hub)。 2.執照申請審查程序:Ofcom將確保系統間可以共存而不會降低服務品質;避免執照取得者會對後續各方進入市場產生競爭限制;以及提供利害關係人評論期間,以便反映有關干擾或競爭之潛在風險。 3.附加許可條件:要求營運商之間進行技術合作;讓行政機關在必要時介入管理干擾案件,以確保英國消費者權益。
國際間科學專家利益衝突管理規範趨向-以美、歐藥品審查機構科學諮詢委員會專家利益衝突解決政策與機制為例 日本於「再興戰略2016」中公布今後醫療等領域徹底ICT化之相關政策日本政府於2016年6月2日經內閣議決「再興戰略2016」,為提升國民健康、提高平均壽命,以「世界最先進的健康國家」大篇幅宣布未來政策。其中,在「醫療、長照等領域徹底ICT化」方面之具體新措施如下: (1)醫療等領域中導入ID制度 日本厚生勞動省於2015年11月18日召開第10次「醫療等領域利用識別號碼制度之研究會」(医療等分野における番号制度の活用等に関する研究会),並於次月公布相關研究報告書,其內容包含導入「醫療保險線上資格審查」以及「醫療ID制度」,上述制度預計自2018年開始階段性運用,並於2020年正式實施,因此,本年度工作目標設定為,著手勾勒具體之應用系統機制,並針對實務面相關議題進行討論,自明年開始落實系統開發,整體而言,日本現階段最重要的目標就是促使醫療領域徹底數位化及標準化。 (2)透過巨量資料之利用,增進相關領域之創新 「次世代醫療ICT基礎設施協議會」(次世代医療ICT基盤協議会策定)將延續2016年3月由其所策定之「醫療領域資料利用計畫」(「医療等分野データ利活用プログラム」,意即加強各資料庫(例如醫療資訊資料庫MID-NET)之交流並擴大相關應用。 此外,在現行法規範下,為達成促進醫療領域資訊利用、醫藥相關研發之目標,應成立「代理機關(暫稱)」,以便於擴大收集醫療、檢驗等數據資料,並妥善管理與去識別化,日本政府於「再興戰略2016」中將此機關之設置列為次世代醫療ICT基礎設施協議會之重要工作項目,期望透過協議會對相關制度之討論,能在明年訂定出具體的法律措施。 (3)個人醫療和健康資訊之綜合利用 日本政府期望透過不同終端設備收集關於醫療、健康等資料,並鼓勵民間依此開發新市場,但在此之前,政府必須先行建構一個能良性發展的環境。首先,為實現針對個人需求量身打造的「個別化健康服務」,保險業者、握有病歷的機構、健檢中心及可穿戴式終端設備等,得經當事人同意後收集、分析其日常健康資訊,該「個別化健康服務」之實證計畫將於本年度啟動,由地區中小企業開始。 為強化醫療保險業者去整合運用相關資源並應用於預防、健康醫學上,政府機關應訂定一些獎勵措施,鼓勵業者將ICT技術活用於預防、健康醫學領域上。 此外,今年度「次世代醫療ICT基礎設施協議會」還有一項重要的工作項目,即建立可記錄患者所有就醫過程資訊之系統(Peronal Health Recaord,簡稱PHR),讓相關醫療資料得以流通運用。同時,日本政府希望能在2018年達成「地區性醫療情報聯結網路」,並普及到全國各地,這麼做的目的在於,過往因為醫療資訊不流通,以及重症照護上的斷層,使身心障礙者往往難以離開長期利用的醫療環境,新政策希望讓這些患者無論遷居何處,在全國各地皆能安心接受醫療服務,而不受限於地區限制。
歐盟法院認為設立歐洲專利法院違反歐盟條約歐盟最高法院(European Court of Justice, ECJ)於2011年03月08日發表裁定,認為歐盟會員國所提出有關設立單一歐洲專利法院來統一受理歐盟境內專利訴訟之草案協議係違反歐盟條約,此裁定對於推動歐洲單一專利制度(unitary patent)勢必為一大打擊。 在此草案協議中,歐盟會員國及歐洲專利公約(European Patent Convention)締約國屬意設立一個全新的歐洲專利法院,並賦予其歐洲專利及未來歐洲單一專利相關的法律訴訟之管轄權,其架構下將有初審法院(court of first instance)、上訴法院(court of appeals)及專利註冊處(registry)。歐盟會員國在2009年時就此草案協議是否符合歐盟條約提請歐盟最高法院出具意見。 而歐盟高法院認為協議所設立之歐洲專利法院係屬歐盟架構外之國際法庭,但仍有權受理歐盟境內之專利訴訟案件,並對歐盟法律提出解釋與應用,這會剝奪歐盟會員國司法機關對專利案件的管轄權及其向歐盟最高法院申請初步裁決(preliminary ruling)等權益,以上都會影響到賦予給歐盟機構和歐盟會員國之重要權力,此為歐盟條約最基本之要件,因此,若設立歐洲專利法院將不符合歐盟法律。歐洲目前的專利制度常被視為非常繁瑣及昂貴,雖然當事人可以向歐洲專利局(European Patent Office)統一申請專利,但仍需經過各國專利局一一承認後方有效力,這明顯增加在歐洲申請專利之成本。另外,專利訴訟均屬歐洲各國法院之管轄,因此若有需要,當事人必須逐一在各國法院提出告訴,以保障其在歐洲的專利權,另又各國法院針對同一個專利也有可能會做出不同的判決,亦會造成專利權在歐洲市場執行的不便。因此,歐盟國家近年來持續推動歐洲專利制度改革,除了希望能在歐洲能建立單一專利制度之外,歐洲專利法院的設立以統一專利訴訟制度也是推動的改革之一。 歐盟最高法院03月08日的裁決是否會影響歐洲單一專利制度的推動,仍有待觀察,而歐盟委員會(EU Commission)針對此裁定表示將謹慎分析歐盟最高法院的判決並進一步構想適當的解決方案。另一方面,歐盟理事會(EU Council)已於03月10日發表聲明,宣布啟動強化合作(enhanced cooperation)機制以繼續朝向單一歐洲專利制度邁進。