日本內閣府研議「網路資訊安全判斷基準草案」並將作為未來機關處理共同標準
日本內閣府網路安全戰略本部(サイバーセキュリティ戦略本部)於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧(2020年及びその後を見据えたサイバーセキュリティの在り方(案)-サイバーセキュリティ戦略中間レビュー-),針對網路攻擊嚴重程度,訂立網路安全判斷基準(下稱本基準)草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀,為使相關機關可以做出適當之處理,進而可以迅速採取相應之行動,特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論,將於2017年年底發布相關政策。
本基準設置目的:為了於事故發生時,具有視覺上立即判斷標準,以有助於事故相關主體間溝通與理解,並可以做為政府在面對網路侵害時判斷之基準,成為相關事件資訊共享之體制與方法之基準。
本基準以侵害程度由低至高,分為第0級至第5級。第0級(無)為無侵害,乃對國民生活無影響之可能性;第1級(低)為對國民生活影響之可能性低;第2級(中)為對國民生活有影響之可能性;第3級(高)為明顯的對國民生活影響,並具高可能性;第4級(重大)為顯著的對國民生活影響,並具高可能性;第5級(危機)為對國民生活廣泛顯著的影響,並具有急迫性。除了對國民及社會影響,另外在相關系統(システム)評估上,在緊急狀況時,判斷對重要關鍵基礎設施之安全性、持續性之影響時,基準在第0級至第4級;平常時期,判斷對關鍵基礎設施之影響,只利用第0級至第3級。
本次報告及相關政策將陸續在一年內施行,日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作,按照統一之標準採取措施,並依據資訊系統所收集和管理之資料作出適當的監控及觀測,藉由構建之資訊共享系統,可以防止網絡攻擊造成重大的損失,並防止侵害持續蔓延及擴大,同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」,而日本以國民生活之影響程度標準列成0至5等級,其區分較為精細,且有區分平時基準及非常時期基準等,日本之相關標準可作為綱要修正時之參考。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蕭仁豪
法律研究員 編譯整理
1.日本內閣府,内閣サイバーセキュリティセンター, http://www.nisc.go.jp/conference/cs/(最後瀏覽日:2017/08/14)。
2.内閣サイバーセキュリティセンター,2020 年及びその後を見据えたサイバーセキュリティの在り方~ サイバーセキュリティ戦略中間レビュー ~,頁6,http://www.nisc.go.jp/conference/cs/taisaku/ciso/dai13/pdf/13shiryou01.pdf(最後瀏覽日:2017/08/14)。
馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。
日本產業活力再生法等修正案公布施行日本政府為求讓日本經濟發展能因應當前國際經濟現勢的結構性變化,相關產業活動有進行革新之必要;因此,日本政府提出「促進我國產業活動革新之產業活力再生特別措施法等法律部分修正案」(以下簡稱修正案),修正案係採包裹立法方式,修正「產業活力再生特別措施法」(簡稱產活法)、「礦工業技術研究組合法」(簡稱研究組合法),以及「產業技術力強化法」(簡稱產技法)等法律。修正案於今(2009)年4月22日經日本國會立法通過,同月30日公布(平成21年4月30日法律第29号),並於同年6月22日施行。以下針對三部法律中之主要修正項目簡介之。 首先,在產活法中,主要修正處是日本政府將出資與民間合作,成立「產業革新機構」股份有限公司,目的在結合公私資源,投資創新活動,包括集結最尖端基礎技術以協助進入應用開發階段,建立連結創投資本、新創企業與擔任將技術事業化之大企業的機制,以及將有技術優勢但埋沒大企業中之技術加以組合,並集中投入人力及資金以發揮價值。其次,在研究組合法中,主要修正處包括,擴大研究組合中可研發主題之技術範圍,放寬加入組合成員之資格,賦予研究組合組織變更、分割合併之可能。最後,在產技法中,主要修正處在於讓國有研發成果可以低於市價之價格實施,以促進將成果活用轉化成為產業實用之支援。日本政府之相關革新作法,其實際成效及對我國之啟發值得後續加以關注。
日本內閣決議通過航空法修正案,增列小型無人機管制規範 奈米級化粧品的安全尚待評估近年來,越來越多的化粧品標榜與奈米科技結合,其 業者表示,奈米顆粒較傳統化粧品為小,可由深層肌膚吸收 , 進而達到 強化保養的功能。不過 ,美國食品藥物管理局( FDA )及英國皇家學會則持相對保留的態度,認為奈米顆粒對於人體的長期風險還不明確,有待進一步研究 , 特別是針對細小微粒進入人體細胞或滲入血液時 ,對人體 可能產生的影響。 為了確保奈米級化粧品的安全性 , FDA 曾考慮針對此類產品建立一套類似製藥體系的實驗與許可證制度 ,並積極從事相關研究,以求增加此方面的知識進而 評估風險。此外 , 英國皇家學會也表示,目前仍不清楚這些微粒是否真能深入肌膚,以及是否會對血液產生長期影響。雖然 , 至今無人能夠證實奈米科技對於人體的危害,但卻有人相當擔心,它可能和基改一樣有利有弊。 目前化妝品市場平均每年成長百分之十,若干業者更深信奈米科技能夠協助製造新一代產品。由於看好奈米級化粧品的一片榮景 , 目前國際知名的化妝品公司紛紛投入此類產品的開發 , 我國相關產業似乎也躍躍欲試 。面對越來越多的業者投入奈米級化粧品的開發與生產, 我國衛生署則提醒,奈米科技在化妝品上的運用是否成熟還需要觀察,其效果與安全性也有待進一步評估 , 因而民眾選購時應審慎判斷。