論網路環境下的通訊監察法制

刊登期別
2005年02月
 

※ 論網路環境下的通訊監察法制, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=792&no=67&tp=1 (最後瀏覽日:2024/11/22)
引註此篇文章
你可能還會想看
美國參議員力推再生能源投資稅額扣抵法案

  為鼓勵再生能源科技研發之投入,並確保美國人民能持續享有穩定之電力供給來源,同時增加更多的工作需求機會,美國參議員相繼於今年10月31日和11月10日提出Make it in America Tax Credit Act, S. 1764和Storage Technology for Renewable and Green Energy(STORAGE) Act, S. 1845兩個再生能源投資稅額扣抵法案。   在當今清潔能源技術(clean energy technology)之研發重要性與日俱增的趨勢下,為活絡與刺激美國清潔能源製造產業的成長,美國參議員期待透過S.1764這項法案的通過,額外投注美金5億元於先進製造者稅額扣抵計畫(Advanced Manufacturers Tax Credit program),進而達成強化清潔能源產業發展之目的,同時提供美國境內相關產業市場更多工作機會。另外,為克服再生能源如太陽能和風力等發電方式所具有的不確定性(如風力未達可發電標準等),如何儲存此類綠色能源之技術研發乃為現今各界戮力強化的領域。為集結並鼓勵更多研發資源投注於能源儲存系統(energy storage systems)的研發,美國參議員乃進而提出STORAGE Act,提供以下兩項優惠措施,包括:1. 能源製造商於投入與電網相關之能源儲存系統研發時,得享有20%之投資稅額扣抵(investment tax credit, ITC),其最高上限為美金4億元;2. 裝設商業和家用儲存系統時,得享有30%的投資稅額扣抵,其最高上限為美金1百萬元。   儘管目前上述兩法案仍於美國參議院財政委員會(Senate Finance Committee)進行法案審查,然而在各界對於能源產業儲存技術之提升與促進產業發展的期盼、法案所能帶來更穩定的電力供給與有效儲存再生能源等誘因之下,委員會的審查結果確實已引起各界的關注與期待。

OECD將就第一支柱金額A召開公開諮詢會議

  OECD(經合組織)於2022年9月12日巴黎時間12時至17時召開第一支柱金額A(Amount A of Pillar One)的公開諮詢會議。蓋2021年10月,共137個成員同意自2023年啟用雙柱計畫(Two-Pillar Plan),OECD為提供能協助各國制訂相關內國法之「示範規則(Model Rules)」,已多次並持續公開徵詢意見。   其中,作為第一支柱的全球利潤分配稅制,係針對全球收入逾200億歐元且稅前淨利逾10%的大型跨國企業,定其逾10%的利潤為「剩餘利潤」,並取25%依關聯性(Nexus)重新分配至價值創造地,此剩餘利潤即本次會議欲討論之金額A。   一旦劃歸金額A將適用高達25%之稅率,故2022年7月11日,OECD所公布第一支柱的「進度報告(Progress Report)」,即針對如何計算大型跨國企業之全球總所得、如何量化系爭所得為金額A之稅基、如何定關連性原則以決定各價值創造地對金額A徵稅權之有無及高低、稅捐競合時如何避免對金額A造成雙重課稅,以及各該要件之定義等核心問題,列出7項標題(Title)作為本次會議討論重點。   然而,除了金額A徵稅權之跨國分配所涉利害關係錯綜複雜外,因各國稅制與發展不一致、美國對雙柱計畫之態度似有保留、歐盟成員國迄今仍無法達成一致共識,以及烏俄戰爭引發的通貨膨脹等各種內外因素,均為第一支柱示範規則之訂定,甚至雙柱計畫之實施增加了不確定性。準此,本次會議重要性不言可喻,值得我國持續注意。

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制

從美國「聯邦風險與授權管理計畫」看我國促進政府部門導入雲端運算之策略與機制 科技法律研究所 2013年07月03日   資訊科技的發展,從早期「超級電腦/大型電腦」、近期「個人電腦」,到即將邁入以超大規模數量電腦主機虛擬集結的「雲端運算」時代。雲端運算將電腦集中運用,未來電腦運算設施就像是水、電;資料儲存與應用就像是銀行,只要連上網路就可以使用,不必各自投資發展。因此,「雲端運算」未來將成為每個國家的重要基礎建設。   將雲端運算列為重要的產業發展重心,已是各國的趨勢,而運用雲端運算所帶來的效益,如節省經費、提升效率等,亦為普遍地承認,再加上公部門相較於民間,其擁有較多的經費及資源來進行雲端運算的導入,而藉由公部門導入雲端運算,可以帶動雲端運算產業的發展以及雲端運算應用的普及化。因此,各國均皆致力於促進公部門導入雲端運算。   然而,在雲端運算帶來龐大經濟效益的同時,伴隨而來的,是新的資訊管理議題,雲端安全防護聯盟(Cloud Security Alliance, CSA)提出了雲端運算可能遭遇的九大安全威脅 : 一、資料外洩(Data Breaches) 二、資料遺失(Data Loss) 三、帳號被駭(Account Hijacking) 四、不安全的APIs程式(Insecure APIs) 五、拒絕服務(Denial of Service) 六、惡意的內部人員(Malicious Insiders) 七、濫用雲端服務(Abuse of Cloud Services) 八、審慎評鑑不足(Insufficient Due Diligence) 九、共享環境議題(Shared Technology Issues)   面對前述的安全威脅,政府部門在考量導入雲端服務時,首先面對的就是要探討如何在導入雲端運算後仍能維持資訊安全的強度,以及政府部門要從何尋找符合其需求的業者。 壹、事件摘要   美國政府在2010年12月發表了25項聯邦IT轉型重點政策,其中一項核心的政策便是「雲優先政策」(cloud first policy)。根據「雲優先政策」,聯邦機構必須在三個月內找出三項轉移到雲端的政府服務,並且要在一年內導入其中一項。   然而,此種新型態的雲端運算服務為聯邦機構帶來資安管理的新挑戰,傳統由各機關分頭洽談所導入資訊系統與應用規格之方法,並實施個別的資訊安全需求與政策的作法,對服務商而言,其所提供的相同服務,在各機關導入時,卻必須將受各個機關的審查,造成各機關投入過多的資源在審查程序上,導致政府資源的浪費,不但耗費時間、審查重複,且無法達到建構妥善操作程序的效果。   2012年6月6日,聯邦政府總務管理局(General Service Administration, GSA)宣布「聯邦風險與授權管理計畫」(Federal Risk and Authorization Management Program,以下稱FedRAMP)開始正式運作,GSA並表示,「FedRAMP」的正式運作,將解決美國政府在雲端產品及服務需求上,因各自導入之標準不一致所導致的系統相容性問題、重複投資浪費,並可降低各政府機關自行進行風險評估及管理相關系統所耗費的人力、金錢成本。預估該計畫可為美國政府節省高達40%的預算及費用,預期效益相當可觀。   「FedRAMP」的目的是要為全國政府機關針對雲端產品與服務的風險評估、授權管理以及持續監控等標準作業規範,建立一套可遵循之依據。未來所有雲端產品的服務提供者,都必須遵守及達到該計畫的標準規範,才能為美國政府機關提供雲端產品及服務。 貳、重點說明   「聯邦風險與授權管理計畫」主要由預算與管理辦公室(Office of Management and Budget, OMB)負責組織預算與管理;聯邦資訊長(the Federal Chief Information Officer,CIO)負責跨部門的整合;國土安全部(Department of Homeland Security, DHS)負責網際網路的監控與分析;總務管理局(General Services Administration, GSA) 則建立FedRAMP之架構與程序,並成立計畫管理辦公室( Program Management Office, PMO)負責FedRAMP之操作與管理;以及國家科技研究所(National Institute of Science and Technology, NIST)負責提供技術分析與標準;最後由國防部(Department of Defense, DoD) 、國土安全部、總務管理局,組成共同授權委員會(Joint Authorization Board, JAB),負責對服務提供者的授權與定期檢視。   FedRAMP制度的精神在於「作一次並重複使用」(Do once ,Use Many Times),同一內容的雲端服務,透過FedRAMP,僅須經過一次的評估與授權,即得被多個機關所採用。早期各機關重複檢驗同一廠商的同一服務之安全性,造成資源浪費的問題,將可獲得解決。當其他機關欲採用雲端服務時,可透過FedRAMP,免去再一次的評估與驗證。   FedRAMP主要由第三方評估機構、對服務提供者的評估、以及持續監督與授權等三個部份所構成,簡單介紹如下: 一、第三方評估機構的認證   FedRAMP的特殊之處,在於雲端服務提供者應由通過FedRAMP認證的第三方評估機構(3PAO)來進行審查,而第三方評估機構欲通過認證,除了要符合FedRAMP的需求外,還必須具備雲端資訊系統的評估能力、備妥安全評估計畫、以及安全評估報告等,另外亦同時引進了ISO/IEC17020作為評估機構的資格。其認證程序如下: (一)申請檢視   機構首先必須符合ISO/IEC 17020 檢驗機構的品質與技術能力,並且自行檢視FedRAMP網站上的申請表,自行檢視是否合乎要求,然後決定是否提出申請。 (二)完成要求   機構須分別完成申請表所要求的系統安全計畫(system security plan, SSP)、系統評估計畫(system assessment plan, SAP)、安全評估報告(security assessment report, SAR)。於完成後向計畫管理辦公室提出申請。 (三)審查   在接受申請後,總務管理局會與ISO網路安全專家共同組成「專家審查委員會」(Expert Review Board , ERB),審查該申請。 (四)決議   審查完畢後,FedRAMP計畫管理辦公室(PMO)會檢視ERB的意見,決議是否通過該申請。   於通過申請後,該機構將會被列入FedRAMP官方網站(www.FedRAMP.gov)的第三方評估機構名單,目前為止,陸續已有十五個機構通過共同授權委員會的授權,日後得對雲端服務商進行評估。 二、對雲端服務提供者的評估   在「聯邦風險與授權管理計畫」的機制設計中,政府機關或雲端服務提供者任一方,皆可提出申請(Request)啟動雲端服務的安全性評估(Security Assessment)程序,此程序中共有四個主要階段: (一)提出申請   在申請人將所須文件初步填寫完畢之後,計畫管理辦公室(PMO)即會指派資訊系統安全官(Information Systems Security Officer, ISSO)進行指導,使之得進行安全控制、出具必要文件、並實施安全測試。之後,PMO會與雲端服務提供者簽署協議,並要求相關機關實施對雲端服務系統的安全性測試。 (二)檔案安全控管   雲端服務提供者必須作成系統安全計畫(System Security Plan, SSP),表明安全控制之實施方法,及其相關文件如IT系統永續計畫(IT Contingency Plan)、隱私衝擊調查(Privacy Impact Questionnaire),並送交ISSO進行審查,再由雲端服務提供者就對審查意見予以回覆之後,由ISSO將案件送至共同授權委員會(Joint Authorization Board, JAB)進行審查,以確認所提交的SSP安全措施符合雲端系統所需。 (三)進行安全測試   服務提供者與第三方評估機構(Third Party Assessment Organization, 3PAO)簽約,且由PMO約集雲端服務提供者與3PAO,確認雙方對於安全測試實施的期待與時程,再由3PAO獨立進行該雲端系統測試,並完成安全評估報告(Security Assessment Report, SAR),闡述評估結果並確認所暴露的風險。雲端服務提供者針對此評估結果,作成行動與查核點報告(Plan of Action & Milestones (POA&M)),以提出矯正弱點與殘餘風險(residual risks)的措施、資源與時程規劃。   雲端服務提供者再將前述SAR與POA&M提交予PMO,由JAB決定是否接受該弱點及其修正計畫,或者提出修正建議。倘若JAB可接受該弱點及其他因應措施,則由ISSO通知雲端服務提供者即將進入安全評估的最後階段。 (四)完成安全評估   雲端服務提供者將所有安全控制相關文件彙成單一的安全評估方案,並提出證明將確實執行其安全控制措施。由JAB檢視此方案,並作出最終決定是否授予「附條件之授權」(Provisional Authorization)。得到此授權的雲端服務提供者名單,將會被列在FedRAMP官方網站上。倘若雲端服務提供者未獲得此授權,PMO會指導如何進行重新申請。 三、持續的評估與授權   持續的評估與授權(ongoing Assessment and Authorization, A&A)通常也被稱為持續監控(Continuous Monitoring),在FedRAMP中第三個也是最後一個流程,透過持續的評估與授權機制,來確保雲端服務提供者持續的安全性授權。其中包含了三個主要層面: (一)操作的能見度   操作能見度的目標,是藉由自動化的方式來減少政府機構在監督作業上的行政耗費。亦即雲端服務提供者透過自動化的資料提供、定期提交具體控制的證據文件、以及年度自我認證報告等安全控制措施來說明操作的能見度,而不必政府機構另行要求。 (二)變更控制程序   雲端服務提供者更新她們的系統是常有的事,此處的變更控制程序並非針對例行性的維修或變更,而是要求若有發生影響臨時性授權或的顯著變更時,服務提供者必須提供此種具衝擊性變更的有效資訊,使FedRAMP得以評估此變更的影響與衝擊。 (三)事件回應   事件回應方面聚焦於新風險和漏洞的因應,服務提供者在發現影響授權的新風險或漏洞時,應向機構說明其針對保持系統安全的因應對策與作法。 參、事件評析   在各國紛紛投入雲端運算的推動熱潮中,我國也不能在此項產業推動中缺席。2010年4月,行政院科技顧問組(現已改組為行政院科技會報)責成經濟部,研擬「雲端運算產業發展方案」;2011年5月,行政院研究發展考核委員會亦公布了「第四階段電子化政府計畫」,在內部運作管理面向,將運用新興雲端運算技術推動以全國性的政府雲端應用服務,減少機關重複開發成本,並達成節能減碳效果。   雲端的安全問題,無論在私人企業或政府部門,均為選擇導入雲端服務的第一要務,「第四階段電子化政府計畫」中亦指出第四階段電子化政府將以雲端資安防護推動為重點,運用雲端運算技術,創新資安服務價值,確保政府資通安全防護。   然而,在服務提供者的安全性方面,我國並沒有像美國FedRAMP計畫般適度地提供服務提供者的安全性保證。對此,我國可借鏡各國的作法,適度的以透過公正第三方機構驗證,來消除雲端服務安全性的疑惑,並推動一個公開的平台,將通過驗證的廠商公布出來,提供公部門甚至私人企業作選擇,不僅可免去同一服務廠商不斷重複驗證的麻煩,亦可削減選擇上的難題,並藉此發展雲端資安技術與推動雲端產業,使我國的雲端環境能夠更臻成熟。

澳洲競爭及消費者委員會(ACCC)就大型數位平臺對於消費者權益和市場競爭的問題提出建言

澳洲競爭及消費者委員會(Australian Competition and Consumer Commission, ACCC)於2022年11月發佈了數位平臺第五份調查報告。該報告係ACCC受澳洲政府委託,於2020年起對數位平臺相關的消費者權益和市場競爭問題的調查,本次報告將重點放在監管如何改革。主要提供的建議和警示可分為五個方向: 1.反競爭行為 大型數位平臺擁有巨大的市場力量和重要的財政資源,佔據主導地位的數位平臺公司有能力和動機透過排他性行為和收購潛在競爭對手,以維持其在市場中的優勢地位。 2.消費者和中小企業保護不足 ACCC於2022年所發佈的最新報告與其自2017年開始進行數位平臺研究起所發布的其他報告一致,皆指出數位平臺的服務有以下潛在危害: ● 利用消費者偏見或引導消費者的方式向消費者提供服務。 ● 數位平臺上的詐騙明顯且持續增加。 ● 來自應用程式商店提供的不當和欺詐性應用程式的危害。 ● 創建、購買和銷售虛假評論以及以其他方式操縱評論的做法。 ● 欠缺救濟和爭議解決的途徑。 3.保護消費者的新措施 澳洲現有的競爭和消費者法律已難以因應數位平臺市場所面臨的消費者權益侵害和競爭危害等問題。該報告建議進行立法改革,具體如下: ● 商業市場中的消費者保護措施,包括禁止不公平交易行為和不公平契約條款。 ● 針對數位平臺的消費者爭議措施,包括強制規定內部和外部的爭議解決流程,以及平臺對詐騙、有害程式和虛假評論的預防和刪除義務。 ● 建立新的競爭框架,使受指定的數位平臺提供服務時受到適用於此一領域的強制性法規拘束。 ● 受指定數位平臺將應遵循之新框架和守則,以遵守競爭義務,避免其在市場中的反競爭行為,如競爭行為中的自我偏好(self-preference)等。 4.管轄 該調查報告亦指出適當且明確的管轄權限劃分對於新的監管框架來說非常重要,應在考慮到其專業知識和權責範圍的前提下,將監管責任分配給正確的管理機構,並且這些監管在流程中的各個環節都應受到適當的監督。 對於新的競爭框架及監管措施,ACCC建議可以參考英國當前的制度設計;英國政府成立了數位市場部門(Digital Markets Unit, DMU),該部門隸屬於競爭與市場管理局(Competition and Markets Authority),DMU負責監督受指定數位平臺,並在符合公平貿易、選擇開放、透明及信任等前提之下,DMU得視各個公司不同的情況對其進行特定的要求,如建立面對非法內容、對成人或未成年人有害內容時的應對措施等。 5.與國際方針的一致性 過去,澳洲在數位平臺監管策略採取了領先國際的創新行動,透過實施《新聞媒體議價法》(News Media Bargaining Code),要求數位平臺為新聞內容付費。但未來澳洲政府最終採用的策略將可能仿效他國經驗或是依循國際間共通模式,如英國推行中的《網路安全法》(Online Safety Bill)或歐盟的《數位市場法》(Digital Market Act)和《數位服務法》(Digital Services Act),而非獨樹一幟。 澳洲數位平臺監管策略之後續變化與進展值得持續追蹤,以做為我國數位平臺治理政策之借鏡。

TOP