歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。
歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。
此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。
我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
余和謙
法律研究員 編譯整理
European Union Agency for Network and Information Security https://www.enisa.europa.eu/news
Improving Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects https://www.enisa.europa.eu/publications/improving-cooperation-between-csirts-and-law-enforcement/at_download/fullReport
法國知名品牌公司路易威登(Louis Vuitton,下稱LV) 與網際網路服務提供者(Internet Service Providers,以下簡稱ISP)之商標及著作權訴訟案,在2009年8月31日獲得加州聯邦地方法院陪審團的裁定,判定LV贏得商標及著作權侵害訴訟,並可獲得3240萬美元的損害賠償。LV在找到使用相同網址並且明知販賣LV假貨的網站後,於2007年提出著作權及商標侵害訴訟。 Steven Chen管理的Akanoc Solutions公司、Managed Solutions Group公司提供侵害LV商標及著作權網站網際網路的服務,加州聯邦地方法院陪審團認定Akanoc、Managed Solutions和Steven Chen須負輔助商標及著作權侵權之責任,並且要負損害賠償3240萬。同時,LV聲明希望法院對侵權的網站提出永久禁制令,禁止網站上兜售LV假貨。 陪審團的這項裁定引起網路上的討論,一般輿論都認為此項裁定賦予ISP業者太重的責任,然而陪審團決定的關鍵要點在於他們相信被告(Web Host)明知或可得而知侵權行為正在發生。 每日財經(Daily Finance)專欄作者Sam Gustin觀察指出:對於美國的ISP業者來說,此項規定傳達出一個清楚且略微可怕的訊息,當ISP業者提供服務的網站,有販售假貨或侵權物品,即便ISP業者有試著去阻止這項非法的活動,但卻失敗了,仍須負責。 LV智慧財產主管Nathalie Moullé-Berteaux認為陪審團所做出的這項裁定。對減少網站非法販賣偽造品或假貨跨出重要的一步,並且強制建立網際網路的法律規範
歐盟執委會推遲個人資料保護指令修正計畫歐盟執委會主席Barroso在今年年初設立了負責「正義、基本權與公民」(Justice Fundamental Right and Citizenship)事務的新任務單位。而負責此單位的執委會委員Reding自年初以來已多次宣示對個人資料保護以及隱私權的重視。在今年三月份的演講中,Reding更宣布將在年底前提出修正歐盟個人資料保護指令的內容。惟此承諾在歐盟會員國的壓力下恐怕無法踐履了。歐盟執委會於日前已表示將提出一份新的行動宣示來取代原先的修法計畫。 歐盟目前的個人資料保護指令乃在1995年制定,迄今已有15年之久,雖然其許多原則在今日仍然適用,但面對新科技、新應用,如社交網站、雲端應用等的發展,該指令仍不免顯出不足之處。此外,在原先的架構下,執委會也無法介入所謂歐盟「第三支柱」下的事務(亦即與犯罪相關的警政、司法合作事務),但此狀況在里斯本條約通過後理應有所改變。以上兩點也正是Reding提議修正個人資料保護指令的理由。但由於部分歐盟會員國政府認為Reding所提有窒礙難行之處,例如法國即直言Reding的修法時程不切實際,執委會及Reding也因此放棄原先規劃。至於新的行動宣示到底會不會真的納入歐盟個人資料保護指令的修正計畫,其時程與內容如何,值得持續注意。
中國大陸商務部《不可靠實體清單規定》中國大陸商務部於2020年9月19日發布「不可靠實體清單規定」(商務部令2020年第4號),作為建立對外國實體(包含外國企業、其他組織或個人)與中國大陸貿易或投資等國際經貿相關活動實施限制之依據。即便中國大陸商務部主張「不可靠實體清單規定」係為落實《對外貿易法》與《國家安全法》之要求,並未針對特定國家或特定實體,但在美中貿易對抗局勢下,仍被認為顯係針對美國商務部貿易管制規則「實體清單」的反制作為。 依據「不可靠實體清單規定」,中國大陸政府堅持獨立自主的對外政策,互相尊重主權並互不干涉內政,在平等互利的原則下,任何外國實體在國際經貿及相關活動中,凡涉及危害中國大陸國家主權、安全、發展利益,或是違反正常的市場交易原則、中斷與中國大陸企業、其他組織或個人的正常交易,或是對中國大陸企業、其他組織或個人採取歧視性措施,嚴重損害其合法權益,中國大陸即有權透過建立不可靠實體清單制度,對上述外國實體採取相應措施。 中國大陸國務院商務主管部門將設置專責組織,負責就經建議或舉報之外國實體進行調查,凡經調查而被公告列入不可靠實體清單者,中國大陸政府可採取的相應措施包含限制或禁止與中國大陸有關之進出口活動、在中國大陸境內投資、限制或禁止其相關人員或交通工具等入境、限制或取消相關人員的工作許可或居留資格、相應數額的罰款或其他必要措施。若中國大陸企業、其他組織或個人因特殊情況須與被限制之外國實體交易,應事前提出申請取得同意。
義大利正式加入歐洲單一專利制度歐盟執行委員會宣布義大利於2015年9月30日成為「加強合作系統(enhanced corporation)」的第二十六個會員國,加強合作機制是里斯本條約下的法律工具,且加強合作機制允許九個或更多的歐盟會員國使用歐盟的程序及架構來制訂約束這些會員國的協議。經由加強合作機制規劃來發展新的單一專利制度,義大利成為會員國後即加入單一專利制度,就專利登記來說,因義大利是歐洲第四大市場,但義大利曾經是少數不涉及推動新單一專利框架的歐盟國家之一且曾隨西班牙挑戰單一專利法規的合法性,故這是相當重要的突破。 委員會發言人並表示隨著義大利申請加入加強合作系統,義大利已簽署單一專利法規。西班牙與克羅埃西亞是目前唯二未採用單一專利法規的歐盟國家。單一專利法規提供支持新單一專利制度的法律框架。法規讓參與單一專利國家的所屬企業能藉由向歐洲專利局單一專利申請取得專利保護,而不需要到各個國家單獨申請專利。然而,單一專利保護將只應用於這些已簽署及認可單一專利法院協議及採用單一專利法規的國家。到目前為止有八個國家已認可單一專利法院:奧地利、法國、比利時、瑞典、丹麥、馬爾他共和國、盧森堡及葡萄牙。