從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

　　日本國會於2021年2月9日正式提出「數位社會形成基本法草案」（デジタル社会形成基本法案），立法目的為提升國家競爭力、國民生活便利性，以建置一個「數位社會」，基本原則為降低數位落差，而降低數位落差之重要手段即包括日本印章制度之改革。 　　日本政府對印章制度之改革，可分為「取消蓋章制度」及「增加電子簽章使用率」二條路線。由於新冠疫情（COVID-19）影響全球工作型態，日本政府為推動電子化服務，考慮取消印章使用，因為其徒增商業活動成本，亦可能提升染疫風險。日本行政改革大臣河野太郎在2020年11月13日內閣會議後之記者會上即表示，約1萬5000種需要使用印章的行政服務中，絕大多數將取消蓋章制度。「數位社會形成基本法草案」亦預告將修改48部要求使用印章之法律，本草案及相關修法將於2021年9月正式通過施行。 　　電子簽章使用方面，日本在野黨聯盟於2020年6月提出「電子署名及認證業務法一部修正草案」（電子署名及び認証業務に関する法律の一部を改正する法律案）。依照現行規定，電子簽章須本人以一定方式簽署始可推定為真正，推定真正之條件過度嚴苛，便利性未優於實體蓋章，致使電子簽章使用普及度低落。本草案則降低推定門檻，僅須以特定電子方式簽署即有推定真正效力，使電子簽章簽署人身分驗證更為容易。目前法案仍在眾議院提案階段，尚未經國會表決通過，後續發展值得關注。

　　2014年2月12日，美國發表「網路安全框架(Cybersecurity Framework)」，該框架係由美國政府、企業及民間機構花費一年的時間共同發展而成，其蒐集了全球現有的標準、指引與最佳實務作法，最後由國家標準技術局（National Institute of Standard and Technology, NIST）彙整後所提出。 　　本框架主要可分成三大部份： 1.框架核心（Framework Core） 框架核心包括辨識(Identify)、保護( Protect)、偵測( Detect)、應變( Respond)、與復原( Recover)等五項功能。這五項功能組成網路安全管理的生命週期，藉由這五項功能的要求項目與參考資訊的搭配運用，可使組織順利進行網路安全管理。 2. 框架實作等級（Framework Implementation Tiers） 共分成局部（Partial）、風險知悉（Risk Informed）、可重複實施（Repeatable）、合適（Adaptive）四個等級。組織可以透過對風險管理流程、整合風險管理計畫以及外部參與等三個面向的觀察，瞭解組織目前的安全防護等級。 3. 框架側寫（Framework Profile） 框架側寫係組織依照本框架實際操作後所產出的結果，可以協助組織依據其企業需求、風險容忍度，決定資源配置的優先順序，進一步調整其網路安全活動。 　　此一安全框架旨在提供整體規劃藍圖予尚未建立網路安全架構的組織參考，而針對已有建立網路安全架構者，該框架並未意圖取代組織原先的風險管理程序和網路安全計畫，而係希望協助公、私部門改善資通訊科技和工業控制系統風險管理的能力。

　　為因應金融產業數位化及鼓勵金融業創新，並在打造歐盟金融業競爭之同時，確保消費者之保護及金融市場之穩定，歐盟執委會於2020年9月間通過「數位金融整體計畫」（Digital Finance Package），該計劃包含之項目十分廣泛，建構了歐盟未來對於數位金融市場之整體性立法框架。 　　而2022年11月甫通過之「數位營運韌性法案」 （Digital Operational Resilience Act, DORA）便是數位金融整體計畫中之一分支，該法案預計將於2025年生效。有鑑於過去歐盟會員國各自對資通安全事件行動效果有限，且國家措施之不同調導致重疊、不一致、重複之要求而產生高昂之行政和法遵成本，此情況分裂了單一市場，破壞了歐盟金融機構之穩定性和完整性，並危及消費者和投資者保護，遂有本法案之誕生。 　　本法案主要之訂定目的在於建立資通安全事件之要求標準及通報流程機制以加強銀行、保險業、投信投顧等金融業者之資通安全，使其面臨網路攻擊時，能保有韌性及恢復力，並維持正常之營運狀態。具體而言，本法案為促金融業者達成高度數位經營韌性之統一要求，遂要求金融業者採取以下手段： 　　（一）資通風險管理監控 　　（二）資通事件之報告及建立於自願基礎上之重大網路威脅通報 　　（三）向主管機關通報重大營運或支付安全有關之事件 　　（四）數位營運韌性檢測 　　（五）有關網路威脅或漏洞有關之資訊情報共享 　　（六）健全控管對第三方資通技術供應者之機制。 　　總地而論，本法案透過建立歐盟統一之資通安全事件通報原則及營運韌性檢測標準等方式加強歐盟之眾金融機構在受網路攻擊之應對能力，且將可避免過去各國間無法取得共識，金融機構於發生資通安全事件時手足無措之窘境，值得讚許，或可為我國未來借鏡採納。