自日本產業競爭力強化法暨特區立法談監理沙盒立法之推動與課題

　　歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見，認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案，檢視與歐盟憲章有關規範之一致性。 [背景] 　　PNR協議草案於2010年5月開始協商，2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外，歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題，歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 　　佐審官認為，協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊，未違反歐盟憲章；然PNR協議草案仍有部分內容違反歐盟憲章：即草案允許歐盟、加拿大主管機關使用乘客姓名等數據，已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 　　因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案，隨後雖起草隱私保護協議(Privacy Shield)，但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出，可窺歐盟關於隱私保護之立場。

2023年6月9日，日本內閣閣議決定2023年度「朝向數位社會實現之重點計畫」（デジタル社会の実現に向けた重点計画）。該計畫是針對數位社會之實現，明確記載日本政府應迅速且重點性實施的政策及各行政機關於整體社會結構改革（こうぞうかいかく）、個別施行政策之努力，並做為日本向世界提出建言時的羅盤。 其中，值得關注的是日本對於為活用數位技術所做之法規整備。根據2022年12月日本數位廳轄下的數位臨時行政調查會（デジタル臨時行政調査会）的調查，確認與實地檢查、定期檢查、文件閱覽等相關之法律條文內含過時概念，以致於會對數位轉型之發展造成阻礙的條文（下稱過時法律）約有一萬條。對此，數位臨時行政調查會表示，數位改革與法律改革之間的關係為一體兩面，為了最大化發揮數位化的效果，法律改革的相關檢討亦應一併執行。各法律之相關行政機關應依照「基於數位原則對過時法律所作之修正工程表（デジタル原則を踏まえたアナログ規制の見直しに係る工程表）」對各過時法律做出相關檢討，並以2024年6月修正各過時法律為目標。 舉例來說，為實現民事判決的全面數位化，2022年5月18日，日本參議院通過了民事訴訟法等法律的部分修正案，其中最值得關注的部分為當事人可以透過網路向法院提起訴訟、提出準備資料，以及透過網路受領法院送達之相關訴訟文書等。該修正案亦包含訴訟中程序之修正，以言詞辯論程序為例，當事人可透過線上會議之方式進行言詞辯論程序，惟施行期間預計於公告後2年內開始實施。 台灣於2015年7月就智慧財產行政訴訟事件正式啟用線上起訴系統，同年9月開放稅務行政訴訟事件使用，並於2016年開放民事訴訟事件使用。該系統與日本體系不同之處在於，日本目前僅就民事訴訟事件開放線上起訴系統之使用。不過，日本2022年針對刑事訴訟法數位化之部分做出相關報告書，可預期日本將來也會將線上起訴及審理系統導入刑事訴訟法之領域。未來可以持續觀察日本就線上起訴及審理系統之訂定及政策施行方向，作為我國之參照。 本文同步刊登於TIPS網站（https://www.tips.org.tw）

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　2010年，美國聯邦政府展開「聯邦政府風險與授權管理計畫」（Federal Risk and Authorization Management Program，FedRAMP），在經過2年的研究與整備後，聯邦政府總務管理局於2012年06月06日宣佈FedRAMP正式運作。 FedRAMP是由國土安全部、聯邦政府總務管理局、國防部、國家安全局以及國家科技研究所共同撰寫及建置。該計畫的目的是建立一套全國政府機關可遵循依據，針對雲端服務的風險評估、授權管理的標準作業規範。 　　根據FedRAMP，雲端服務業者欲通過該計畫的評估，其評估程序可分為提出申請、檔案安全控管、進行安全測試、完成安全評估等四個階段。未來所有雲端產品與服務業者，都必須達到該計畫的標準規範，才能為美國政府機關提供雲端產品及服務。 　　對於雲端服務業者的評估，必須經由FedRAMP認證的第三方機構來進行審查，第三方評估機構欲通過認證，除了要符合FedRAMP的需求外，還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等，另外亦同時引進了ISO/IEC17020以及ISO/IEC17011之規定，來驗證檢驗機構的品質與技術能力。目前為止，聯邦政府總務管理局已經公佈十個獲得授權的機構。 　　聯邦政府總務管理局同時並期待在2012年的年底之前，能夠有三個雲端服務提供者通過審查，然而，由於制度才剛上路不久，是否能夠跟上產業變遷的腳步並順利達成目標，仍有待進一步觀察。