歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。
歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。
此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。
我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
余和謙
法律研究員 編譯整理
European Union Agency for Network and Information Security https://www.enisa.europa.eu/news
Improving Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects https://www.enisa.europa.eu/publications/improving-cooperation-between-csirts-and-law-enforcement/at_download/fullReport
歐盟執委會於2020年2月公布《人工智慧白皮書》(AI White Paper)後,持續蒐集各方意見並提出新的人工智慧規範與行動。2021年4月針對人工智慧法律框架提出規範草案(Proposal for a Regulation on a European approach for Artificial Intelligence),透過規範確保人民與企業運用人工智慧時之安全及基本權利,藉以強化歐盟對人工智慧之應用、投資與創新。 新的人工智慧法律框架未來預計將統一適用於歐盟各成員國,而基於風險規範方法將人工智慧系統主要分為「不可接受之風險」、「高風險」、「有限風險」及「最小風險」四個等級。「不可接受之風險」因為對人類安全、生活及基本權利構成明顯威脅,故將被禁止使用,例如:政府進行大規模的公民評分系統;「高風險」則是透過正面例舉方式提出,包括:可能使公民生命或健康處於危險之中的關鍵基礎設施、教育或職業培訓、產品安全、勞工與就業、基本之私人或公共服務、可能會干擾基本權之司法應用、移民與庇護等面向,而高風險之人工智慧在進入市場之前須要先行遵守嚴格之義務,並進行適當風險評估及緩解措施等。「有限風險」則是指部分人工智慧應有透明度之義務,例如當用戶在與該人工智慧系統交流時,需要告知並使用戶意識到其正與人工智慧系統交流。最後則是「最小風險」,大部分人工智慧應屬此類型,因對公民造成很小或零風險,各草案並未規範此類人工智慧。 未來在人工智慧之治理方面,歐盟執委會建議各國現有管理市場之主管機關督導新規範之執行,且將成立歐洲人工智慧委員會(European Artificial Intelligence Board),推動人工智慧相關規範、標準及準則之發展,也將提出法規沙盒以促進可信賴及負責任之人工智慧。
國衛院生物製劑先導工廠 三年內投產慶祝國家衛生研究院成立十周年,國衛院表示將規劃成立生物製劑先導工廠,今年可發包動工,預計三年內完成,未來除了生產台灣本土性傳染病所需疫苗外,也協助衛生署流感疫苗自製計劃提供技術來源。行政院核准通過十二億元的生物製劑先導工廠,目前已進入招標階段,預計六、七月份可正式動工,預計三年後完工投產,未來將成為符合聯合國國際疫苗中心 (The International Vaccine Institute, IVI) 的規格的 GMP 生產線。 此外,配合衛生署的公共衛生計劃,國衛院疫苗研發中心也將建立本土性傳染病如腸病毒、 SARS 、白喉、百日咳、破傷風及日本腦炎的資料庫,部份疫苗市場潛力發展有限,但是透過國衛院的保存,讓我國具備完整的疫苗量產能力。政府計劃投資五十億元興建大型流行感冒疫苗工廠,國衛院將扮演技術提供的角色,包括參考實驗室,人員訓練,及微生物量產疫苗的開發,都將由生物製劑先導工廠負責。
從間諜軟體談起 美國消費者金融保護局擬納管一般性數位支付應用程式2023年11月7日美國消費者金融保護局(Consumer Financial Protection Bureau, CFPB)發布擬議規則制定通知(notice of proposed rulemaking),計劃將一般性數位支付應用程式提供者的「較大參與者」(larger participants)納入監管,基於非銀行支付市場對消費者的日常金融生活日益重要,考量相關消費者保護風險,而有必要將此類支付公司納入《消費者金融保護法》(Consumer Financial Protection Act, CFPA)的監管範圍。 根據擬議規則,「提供一般性數位支付應用程式」是指消費者藉由應用程式的資金轉帳功能和數位錢包功能,進行「一般性」數位支付交易的應用程式。申言之,該數位支付應用程式係用於一般性產品或服務的消費,而非特定供應商所提供,且僅限用於支付其所提供商品或服務之數位交易手段。 此外,「較大參與者」之定義為透過行動通訊或網路應用程式提供數位錢包或個人對個人(person-to-person, P2P)支付的非銀行機構,並每年完成超過500萬筆支付交易,且該機構不屬於《小型企業法》(Small Business Act, SBA)所定義的小型企業(small business),根據CFPB估計,擬議規則將擴大監管於現行17家非銀行支付機構,其全年交易金額將近130億美元。 有鑑於消費者資訊貨幣化(Monetization)之資料治理議題,及數位支付領域的大型科技公司因持續發展而產生市場壟斷疑慮,CFPB擬藉由此項擬議規則擴大監管措施,將美國大型數位支付科技公司納入監管,要求其遵守CFPA的規範,使數位支付領域的非銀行機構及存款機構同步受到監管,一方面維持數位支付市場之公平競爭環境,並同時確保消費者受到CFPA的保障,降低消費者在使用數位支付時的交易風險。 近年我國因疫情的零接觸政策及數位經濟時代來臨,數位支付應用因而蓬勃發展,我國於2023年11月21日三讀通過《金融消費者保護法》修正案,將電子支付業納入金融服務業,逐步加強金融消費者權益保護,我國應持續追蹤外國金融消費者保障動態,在金融消費者保障上持續前進。