歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業
歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。
歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。
此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。
我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
余和謙
法律研究員 編譯整理
European Union Agency for Network and Information Security https://www.enisa.europa.eu/news
Improving Cooperation between CSIRTs and Law Enforcement: Legal and Organisational Aspects https://www.enisa.europa.eu/publications/improving-cooperation-between-csirts-and-law-enforcement/at_download/fullReport
據韓國媒體於2024年2月13日報導指出,越來越多韓國企業面臨因為營業秘密的外洩而導致企業虧損的問題,鑒於目前的韓國海關扣留制度(Customs Retention System)僅適用於對外公開的智慧財產權(如商標與專利),多方呼籲應將侵害企業內部營業秘密之侵權商品納入海關法的管制中,甚至有政黨提出法案,建議擴大海關法的適用範圍,禁止侵害韓國企業營業秘密的商品進出口。 該篇報導藉一起正在調查中的營業秘密侵害案件為例,涉案之韓國槍械零件製造商,以「前員工在職時,透過個人電子郵件與客戶進行業務往來,取得企業營業秘密資訊(包括設計圖),並於離職後,創設一間A企業並涉嫌出口利用獲得之營業秘密生產的侵權商品」為由,於2023年向該名離職員工提起訴訟,該案後經政府機關調查,最終於2024年2月底進行首次聽證會。 針對上述案件,國防產業相關人士(Defense Industry Insiders)指出,因為韓國海關僅得依法禁止專利、商標之侵權商品進出口,營業秘密的侵權商品在爭議案件調查期間仍可持續進出口。對此,韓國政黨提出了一項法案(下稱系爭法案),旨在修改海關法,從而允許海關扣留「侵害營業秘密的商品」以及「侵害國家指定的先進工業和國防技術的商品」。 該篇報導也指出,雖韓國海關局對於修法基本上持贊成態度,但也有相關疑慮,如:可能會因為海關扣留範圍的擴大被濫用於壓制競爭行為;相較於容易識別的商標侵權案,營業秘密的範圍很廣,界線模糊,可能造成海關難以立即識別侵權。 綜上,即使系爭法案有利於營業秘密侵權救濟,但仍有上述疑慮有待解決,故本議題仍值得持續關注。而本文仍建議相較於事後救濟,企業可參考資策會科法所發布之「營業秘密保護管理規範」,透過PDCA循環建置系統性營業秘密規範,協助企業從事前防範營業秘密侵權風險,始為企業長久經營之計。 本文同步刊登於TIPS網(https://www.tips.org.tw)
歐盟智慧財產局運用科技強化智財保護,正式啟動產品的區塊鏈物流認證計畫(EBSI-ELSA)歐盟智慧財產局(EUIPO)為打擊仿冒,保護歐盟消費者及智慧財產權人,於2023年5月31日宣布正式啟動產品的區塊鏈物流認證計畫(European Blockchain Services Infrastructure - European Logistics Services Authentication, 簡稱EBSI-ELSA)。 根據EUIPO與經濟合作暨發展組織(OECD)於2021年發布的研究指出,全球仿冒產品的貿易額高達4120億歐元,占全球貿易總額的2.5%;每年輸入歐盟的產品約有6%是仿冒產品,嚴重影響歐盟的經濟發展、消費者的健康及安全、智慧財產權人(歐盟品牌企業)的權益。 從2019年至今,EUIPO一直努力研擬透過區塊鏈技術保護智慧財產的具體方案。2022年底,EUIPO與4個不同產業的品牌企業(包含汽車業、電子業、醫藥業、服飾業)、物流業者、荷蘭海關進行一個合作的試驗計畫,內容為透過區塊鏈技術追蹤產品於海外製造後,運送至歐盟銷售的歷程軌跡,以達到認證產品為智慧財產權人生產的目標。該試驗計畫於2023年5月完成概念驗證(proof of concept)。 本計畫結合區塊鏈服務基礎設施(European Blockchain Services Infrastructure, EBSI)及數位分身(digital twins)的概念,於生產、運送、海關查驗、配送至消費者的各階段中,在產品上嵌入一個含有序列化代碼(serialization code)的標籤,該代碼必須經產品所屬智慧財產權人的可驗證憑證(Verifiable Credentials, VCs)認證,結合歐盟智慧財產權相關資料庫的資料,以確認產品與其數位分身的連結。 EUIPO將於2023年底前,正式建置一個開源的區塊鏈認證平台,介接執法機構的風險分析系統,以及商標資料庫(TM View)、設計資料庫(Design View)、歐盟執法入口網(IP Enforcement Portal, IPEP)、歐盟區塊鏈智慧財產註冊系統(IP Register in Blockchain),鼓勵供應鏈、物流鏈中的參與者於此平台上交換資料,以更有效率的方式達到認證產品來源真實性的目標。 EUIPO積極運用區塊鏈科技強化歐盟智慧財產的保護,本計畫除可避免消費者買到仿冒產品外,歐盟的品牌企業未來可於相關智財侵權訴訟中,提出區塊鏈紀錄作為證據,有效主張權益。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
何謂「Society 5.0」日本科技政策的制定依據來自日本「科學技術基本法」,該法第九條規定,要求國家在推動科技振興發展上,政府應制訂有關科學技術振興的「科學技術基本計畫」。「科學技術基本計畫」之推動以五年為一期,最近一期為第五期(2016-2020年),該期計畫以人工智慧與資通訊技術為核心,解決各式重要社會課題,打造「超智慧社會」,並命名為「Society 5.0」。 「Society 5.0」明訂日本實現超智慧社會的政策方向,其政策重點聚焦於產業創造與社會變革,並重新架構產業與整個社會的關係,因此,除了強化產業競爭力,實現產業變革以外,「Society 5.0」也規劃解決日本近年社會課題,包括老齡化社會、勞動力不足、能源短缺與自然災害等。而在前瞻性預測上,「Society 5.0」描繪20年後未來人類將生活在為高度電腦化、智慧化環境,為實現該目標,發展物聯網、大數據分析、電腦科學與技術、人工智慧與網路安全等相關科技基礎技術研發與應用,是「Society 5.0」的核心之一。 簡單來說,「Society 5.0」追求以人為中心的新經濟社會,運用高度融合網路虛擬空間及物理現實空間的相關技術,滿足未來人類生活上的各種需求,同步解決經濟發展與社會課題,並以此建構更貼近符合個人需求之社會。
德國法蘭克福高等法院判定ISP業者毋須揭露線上音樂下載使用者個人資料法蘭克福地區高等法院2005年1月25日駁回下級法院判決,後者判定一在家中經營非法音樂下載服務之網路使用者,其個人資料應被予以揭露。 高等法院認為,ISP業者僅提供網路接取的技術服務,毋須監測在其網路內傳輸的資料。只有當ISP業者知悉其本身網路傳輸內容涉非法時,始應被要求去攔截該網路接取。 目前德國法界實務已普遍認可是項判決結果,去年慕尼黑地區高等法院亦做出類似裁判。 然類似案件發生在英美者,則有部分ISP業者被判定,須提供網路音樂檔案持續交換者的個人細部資料。英國倫敦高等法院即於2004年一判決中,認定ISP業者應提供網路上使用者非法進行點對點音樂電影檔案傳輸之個人資料。