什麼是「外太空條約」？

　　根據美國公共電視台在2016年1月6日的新聞，指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵，諸如：指紋、虹膜等進行支付。採用生物支付技術，未來將無須使用信用卡或行動裝置，僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利，但同時，生物支付的安全性卻也不無疑義。 　　即便生物辨識屬於高層級的資訊安全保護機制，但水能載舟，亦能覆舟。生物辨識利用生物不可變之特性進行身分識別，涉及高度個人隱私，為妥善保護個人資訊安全，需訂立生物辨識相關規範加以管制，否則將衍生許多法律問題。 　　例如：在2015年6月，美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者，也從未同意其生物辨識資訊被該公司蒐集，但其面紋(Face print)卻被上傳至該公司網站，並標註姓名，儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範： 1.第10條： 生物辨識之態樣，包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描，但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a)： 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱，並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1)： 蒐集生物辨識資訊應告知當事人。 　　Shutterfly公司提出要求法院不受理之抗辯，主張BIPA規定之臉部外觀，其文意解釋應為物理上個人親自接受掃描所得之資訊，並非原告所主張以照片辨識之臉部外觀，但法院認為Shutterfly之主張並不合理，因此同意受理此案。 　　觀察該案可發現，儘管生物辨識提高資訊安全之保護，但相關法規範解釋仍待實務完備。另一方面，生物特徵資訊極易被他人蒐集，因此，如何建置蒐集個人辨識資訊及完善相關措施，也是推行生物支付措施所需突破的關口。

　　歐盟為提升網路數位化產品之安全性，解決現有網路安全監管框架差距，歐盟執委會於2022年9月提出《網路韌性法案》（EU Cyber Resilience Act）草案，對網路供應鏈提供強制性網路安全標準，並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標： 　　1.確保製造商對於提升產品之網路安全涵蓋整個生產週期； 　　2.為歐盟網路安全之合法性創建單一且明確之監管架構； 　　3.提高網路安全實踐之透明度，以及製造商與其產品之屬性； 　　4.為消費者和企業提供隨時可用之安全產品。 　　《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時，須滿足法規要求之網路安全標準，始得於市場上銷售，並應提供清晰易懂之使用說明予消費者，使其充分知悉網路安全相關資訊，且至少應於五年內提供安全維護與軟體更新。 　　《網路韌性法案》將所涵蓋之數位化產品分為三種類別（產品示例可參考法案附件三）：I類別、II類別，以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別，須遵守法規要求之安全標準或經由第三方評估；II類別為與網路安全漏洞具密切關連之高風險產品，須完成第三方合格評估始符合網路安全標準；預設類別則為無嚴重網路安全漏洞之產品，公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品，惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。 　　若製造商未能遵守《網路韌性法案》之基本要求和義務，將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。

從任天堂真人瑪莉歐賽車案談日本不正競爭防止法對於品牌的保護 資訊工業策進會科技法律研究所 洪偲瑜 法律研究員 2019年11月14日 　　近年在電玩圈最熱門的話題，就是百年日本遊戲公司任天堂創作的經典瑪莉歐賽車遊戲真實重現在日本街頭。運營真人瑪莉歐賽車的MariCar公司[1]提出了Go-Kart 租借服務，主打消費者可以化身為瑪莉歐賽車裡的遊戲人物直接在街頭享受奔馳的樂趣，為此替MariCar公司招攬不少客源。任天堂公司早在2016年就開始關注MariCar公司之行為，並曾於2016年針對MariCar公司在日本的註冊商標「マリカー」（中譯：瑪莉車，以下同）提出異議，惟受到日本特許廳的駁回處分。接著，2017年任天堂針對MariCar公司的公司名稱與租借遊戲角色服裝給消費者之行為，主張違反不正競爭防止法，並向東京地方法院提出告訴，獲得東京地方法院之認同。以下就任天堂與MariCar公司之爭議，分析任天堂公司保護自家品牌之方式－對於主張商標權保護品牌的侷限，如何藉由不正競爭防止法加以完善。 壹、事件背景 　　2016年任天堂公司就曾至日本特許廳（相當於我國智慧財產局）提出異議，要求撤銷MariCar公司的註冊商標「マリカー」，但2017年2月由於日本特許廳認為「マリカー」並非是一般社會大眾廣為認識之名稱「マリオカート」（中譯：瑪莉歐賽車，以下同），故駁回任天堂之異議申請。 　　異議申請被駁回後，任天堂公司立即至東京地方法院對MariCar公司提起告訴，控告MariCar公司違反不正競爭防止法，並向MariCar公司請求損害賠償。任天堂認MariCar公司違法的原因有三：一係MariCar的公司名稱近似瑪莉歐賽車Mario Kart；二為在未經任天堂公司授權的狀況下，租借瑪莉歐賽車角色服裝給消費者；三是MariCar公司在日本境內觀光熱門景點，利用真人版瑪莉歐賽車的名義及瑪莉歐賽車形象的圖像作為宣傳手段，有讓消費者產生MariCar公司與任天堂公司之間互有關聯之疑慮[2]。 　　經過近十八個月的審判，東京地方法院於2018年9月27日公開第6293號判決任天堂公司之主張於法有理，MariCar公司須支付任天堂公司一千萬日幣的損害賠償金，並令MariCar公司須停止租借與瑪莉歐賽車遊戲人物形象近似的服裝。MariCar公司與任天堂公司皆不服此判決內容，同時向東京智財高等法院提起上訴，2019年5月30日東京智財高等法院作出了中間判決[3]，更進一步說明任天堂主張有理之原因，並再擴大禁止MariCar公司使用「MariCar」作為網域名稱，另外同意任天堂公司主張MariCar公司在上訴期間持續對任天堂造成的損害，將賠償金額從一千萬日幣提高到五千萬日幣[4]。由於東京智財高等法院審理還未結束，故以下主要針對日本特許廳與東京地方法院，分別說明對於任天堂公司有關瑪莉歐品牌保護主張的見解。 貳、任天堂公司對於商標權與不正競爭的主張 （一）日本特許廳異議第2016-900309號[5] 1、爭議商標 　　MariCar公司於2016年6月24日登錄之第5860284號商標，其商標圖樣為日文片假名「マリカー」，註冊指定於第12類「車輛與其他類型的移動裝置」[6]、第35類「廣告、業務管理或運營、業務處理，及在零售或批發業務中向客戶提供的服務」[7]、第39類「交通工具租借與相關情報提供」[8]。 2、任天堂公司提出登錄異議 　　任天堂公司以其早於1996年9月27日登錄之第4222218號商標，其商標圖樣為英文字母「MARIO KART」及日文片假名「マリオカート」，註冊指定於第9類「家用電玩遊戲主機及相關配件零件、遊戲軟體等」[9]，且該商標於法定期限內定期進行延展，該商標目前仍為有效商標。故任天堂於2016年9月26日主張MariCar公司登錄之第5860284號「マリカー」之商標違反日本商標法第四條第一項第十五款 「與他人商品及業務會產生混淆的商標，不得註冊商標」[10]及第十九條 「商標權有效期間與延展規定」[11]，並依同法第四十三條之二第一項[12] ，向日本特許廳提出商標異議。 3、日本特許廳之決定 　　日本特許廳認MariCar公司所登錄之商標「マリカー」並非是廣為社會大眾所知「マリオカート」的縮寫，且任天堂公司沒有證據顯示「マリオカート」的縮寫即為「マリカー」。另外「マリオカート」與「マリカー」的字數並不相同不構成近似，且任天堂公司與MariCar公司的註冊商標指定登錄的商品及服務類別也不相同，故整體而言不太有致消費者混淆之可能，因此駁回任天堂公司之異議申請。 　　2017年2月任天堂公司的商標異議申請受日本特許廳駁回申請後，任天堂隨即改變品牌保護策略，於東京地方法院對MariCar公司提起不正競爭之訴。 （二）東京地方法院2018年9月27日（ワ）第6293號判決[13]： 1. 延續「マリオカート」與「マリカー」名稱使用之爭議 　　任天堂公司主張「マリオ」（英譯：MARIO，以下同）係廣為社會大眾所知之名稱，且任天堂於2011年11月曾對「マリオ」一詞對居住/訪問日本之外國人做調查，其廣泛認為「マリオ」一詞為任天堂公司之產品的標示，「マリオ」具高度識別性且能讓民眾直覺性地聯想到任天堂之產品，而MariCar公司使用「マリカー」與「MariCar」名稱之行為有引起消費者混淆之可能性，違反日本不正競爭防止法第二條第一項第一款與第二款[14]，使用與他人的知名產品相同或類似的標示作為自己產品標識之營業行為，可能引起第三者混淆之情形應被禁止。 　　東京地方法院認MariCar公司使用「マリカー」經營真人版瑪莉歐賽車，與任天堂公司製造販售的國際知名賽車遊戲「マリオカート」的簡稱「マリオ」，這兩者在日文片假名裡只有一字「オ」的差異，似有讓社會大眾混淆之可能性。再者瑪莉歐賽車為國際知名之遊戲，其英文標示「Mario Kart」與MariCar公司使用的「MariCar」，彼此也有混淆之可能，故MariCar公司應停止使用日文片假名「マリカー」與英文「MariCar」之標示，但不包括使用其他外國語（例如：中文、韓文）的標示。 2. MariCar公司其他違反不正競爭防止法之行為 　　一為MariCar公司提供租賃相同於瑪莉歐賽車遊戲角色服裝之行為。東京地方法院的判決指出瑪莉歐賽車遊戲（Mario Kart）為全球知名的遊戲軟體，任天堂公司的瑪莉歐賽車雖是一款遊戲軟體，但MariCar公司提供的服務是一種複製二次元世界至真實世界的行為（例如：迪士尼樂園與環球影城）。MariCar公司透過讓消費者穿上角色服裝，並在真實街道上駕駛車輛之行為，與任天堂公司的瑪莉歐賽車遊戲具有強烈的關聯性。東京地方法院認任天堂公司的遊戲軟體與MariCar公司的真人遊戲會造成消費者的混淆，故判決MariCar公司之行為違反不正競爭防止法規定之內容，應立即停止租借遊戲角色服裝之行為。 　　此外，任天堂公司主張MariCar公司租賃瑪莉歐賽車遊戲角色服裝之行為，未經任天堂授權，屬對於瑪莉歐遊戲角色的重製、改作，已侵害其著作權。但東京地院認MariCar公司僅是重製瑪莉歐賽車遊戲角色的服裝，並不等於重製瑪莉歐賽車遊戲的角色，且任天堂公司的請求是一種無差別的禁止，若認同任天堂公司之請求，禁止MariCar公司使用相似的服裝，影響層面恐怕過廣，故認MariCar公司之行為並不違反日本著作權法第二十六條之二第一項[15]之規定。其實日本目前對於著作權侵害的標準極為嚴格，以此案而言，如果僅用寫有M英文字母的紅色帽子、藍色工作服與白色手套等服裝就認定侵害著作權，這可能會造成類似服裝表現的壟斷，故東京地方法院僅認MariCar公司租賃角色服裝的行為，違反不正競爭防止法之規定[16]。 　　其二係MariCar公司未經允許擅自將瑪莉歐賽車遊戲角色的形象圖片、照片、動畫，以及穿著瑪莉歐賽車遊戲角色服裝用於廣告、行銷、宣傳真人賽車遊戲之行為，東京地方法院認為會讓消費者產生混淆，誤認兩者之間有相當的關聯性，故判決MariCar公司之該行為同樣違反不正競爭防止法，須立刻撤下使用瑪莉歐賽車遊戲角色的形象廣告與行銷內容。此外，MariCar公司也不得使用包含「MariCar」、「MARICAR」及「maricar」之網域名稱對外行銷宣傳。 參、案例評析 　　商標最主要的功能在於表彰自己的商品或服務，用以辨別或區別自己與他人的商品或服務。對消費者而言，商標是用於識別不同來源的商品與服務，以利消費者進行選購，故商標權是維護現代自由競爭市場一項重要的機制，而企業藉由商標權來保護自己企業的品牌形象與價值，也作為商業競爭之利器。 　　2016年任天堂公司與MariCar公司的商標近似爭議，任天堂公司的商標異議申請，被日本特許廳駁回，其判斷任天堂公司與MariCar公司的商標是否會造成消費者混淆商品或服務之來源的基準主要有二，分別是兩個商標是否近似，以及是否指定使用在相同或類似的商品或服務類別。針對商標是否近似，會從整體包括外觀、聲音、含義、商業印象等面向判斷，且基本上會以社會大眾對該商標的整體印象為判斷標準。本案任天堂公司與MariCar公司的註冊商標分別為「マリオカート」與「マリカー」，兩者字數不同，不構成近似商標，且社會大眾的整體印象，不認兩者互為全稱與簡稱，任天堂亦未提出佐證，故日本特許廳認任天堂公司與MariCar公司各自的註冊商標，不會造成消費者混淆。 　　商標法僅能就註冊商標圖樣及其指定保護的商品或服務類別主張，但不正競爭防止法對於品牌標註／標記的保護，不以註冊取得權利為前提，就能排除他人使用與自己知名品牌相同或近似的標註／標記，用以保護品牌之權益，並能對違法者請求損害賠償。 　　就此案而言，東京地方法院認為MariCar公司之行為係使用與任天堂公司遊戲名稱近似或類似標記，可能導致消費者產生混淆，這種情形係不正競爭防止法中被禁止之行為，該行為不僅嚴重侵害事業的權益，更影響市場競爭之公平性，屬於市場上的不當行為。 　　在此應該大多數人會有疑問，為何任天堂公司不直接向MariCar公司提出不正競爭防止之訴，而需要迂迴的先申請商標異議，原因在於雖然不正競爭法之保護的範圍較廣，但原告需負擔的舉證責任相當大，提出訴訟者需要提交大量的證據，證明被告之行為是一種不當競爭行為，這需要花費相當多時間與精力，且損害賠償的請求，也必須建立於被告有故意或過失的情形，若非有專門的法務部門或龐大的律師團，以及公司的充足資源，恐難以負擔其成本。故此案啟發了品牌企業維護自身品牌可以有的兩部曲，相互配合。通常先以提起商標異議為主，讓對方無法取得合法權利，進一步考量主張不正競爭，禁止對方侵害行為。任天堂公司在本案未獲商標權利救濟，後續進一步以違反不正競爭防止法提起訴訟，雖耗費了企業相當大的時間與金錢，但瑪莉歐角色可視為任天堂公司最大的生命線，若放任其他公司濫用或使用不精緻之產品或提供不當的服務，破壞瑪莉歐角色的形象，將會耗盡瑪莉歐一角的價值，故維護瑪莉歐的良好品牌形象與價值是任天堂公司最為關注的重點，這也是任天堂公司不惜重本也要密切注意這些非法使用瑪莉歐角色之原因。 [1]MARI mobility開發公司的前身，由於本文評析的案件當事人仍以MariCar公司稱之，為便於理解爭點，故本文仍以MariCar公司表示。 [2]任天堂ウェブページ、公道カートのレンタルサービスに伴う当社知的財産の利用行為に対する訴訟提起について、https://www.nintendo.co.jp/corporate/release/2017/170224.html（2019/10/10最終閲覧） [3]依據日本民事訴訟法第245條，中間判決係指在終局判決前法院就當事人在聽證過程中有爭議的事項（法律關係）作出的判決。中間判決與終局判決最大的差異點在於中間判決無法獨立進行上訴，若當事人對中間判決有疑義，僅能在終局判決提出上訴，而中間判決也係為終局判決做準備。通常中間判決會出現在因侵權行引起的損害賠償訴訟，若侵權行為的存否及損害賠償金額有爭議時，法院會先以侵權行為成立作前提，再進一步對損害賠償金額做出審查。事實上在日本中間判決的案例並不多，而此次任天堂一案東京智財高等法院會做出中間判決，係因任天堂公司與MariCar公司雙方當事人皆對東京地院2018年6293號判決結果不滿並同時向智財高等法院提出上訴。2019年的智財高等法院作出的中間判決表示，東京地院僅認「マリカー」係為產品的標示並非廣為周知的標示，對不了解日語的外國人而言也非知名標示，故MariCar公司在網站上宣傳行為不構成不正競爭，但東京智財高等法院認「マリカー」係為廣為人知的標示係構成不正競爭；且任天堂公司聲稱自己在一審判決提出的金額僅為部份損害賠償金額，在上訴過程中MariCar公司仍持續對任天堂公司造成損害故提高賠償額至5000萬日幣，而東京智財高等法院也採納這一說法，若雙方在終局判決前未達成和解，東京智財高等法院將會採納任天堂公司之主張。 [4]任天堂ウェブページ、公道カートのレンタルサービスに伴う当社知的財産の利用行為に関する知財高裁判決（中間判決）について、https://www.nintendo.co.jp/corporate/release/2019/190530.html（2019/10/10最終閲覧） [5]商標データベース、日本国特許庁商標決定公報異議2016－900309、http://shohyo.shinketsu.jp/originaltext/tm/1325078.html（2019/10/10最終閲覧） [6]特許庁ウェブペー、各区分の代表的な商品・役務第十二類、https://www.jpo.go.jp/system/laws/rule/guideline/trademark/ruiji_kijun/document/ruiji_kijun11-2019/12.pdf（2019/10/10最終閲覧） [7]特許庁ウェブペー、各区分の代表的な商品・役務第三十五類、https://www.jpo.go.jp/system/laws/rule/guideline/trademark/ruiji_kijun/document/ruiji_kijun11-2019/35.pdf（2019/10/10最終閲覧） [8]特許庁ウェブペー、各区分の代表的な商品・役務第三十九類、https://www.jpo.go.jp/system/laws/rule/guideline/trademark/ruiji_kijun/document/ruiji_kijun11-2019/39.pdf（2019/10/10最終閲覧） [9]特許庁ウェブペー、各区分の代表的な商品・役務第九類、https://www.jpo.go.jp/system/laws/rule/guideline/trademark/ruiji_kijun/document/ruiji_kijun11-2019/09.pdf（2019/10/10最終閲覧） [10]平成三十年法律第八十八号商標法第四条第一項第十五号「次に掲げる商標については、前条の規定にかかわらず、商標登録を受けることができない。十五、他人の業務に係る商品又は役務と混同を生ずるおそれがある商標（第十号から前号までに掲げるものを除く。」 [11]平成三十年法律第八十八号商標法第十九条「1商標権の存続期間は、設定の登録の日から十年をもつて終了する。2商標権の存続期間は、商標権者の更新登録の申請により更新することができる。3商標権の存続期間を更新した旨の登録があつたときは、存続期間は、その満了の時に更新さ。」 [12]平成三十年法律第八十八号商標法第四十三条之二第一項「何人も、商標掲載公報の発行の日から二月以内に限り、特許庁長官に、商標登録が次の各号のいずれかに該当することを理由として登録異議の申立てをすることができる。この場合において、二以上の指定商品又は指定役務に係る商標登録については、指定商品又は指定役務ごとに登録異議の申立てをすることができる。」 [13]東京地判平成30/9/27第6293号不正競争行為差止等請求事件、http://www.courts.go.jp/app/files/hanrei_jp/072/088072_hanrei.pdf（2019/10/10最終閲覧） [14]平成三十年法律第三十三号不正競争防止法第二条第一項第一款與第二款「この法律において「不正競争」とは、次に掲げるものをいう。一他人の商品等表示（人の業務に係る氏名、商号、商標、標章、商品の容器若しくは包装その他の商品又は営業を表示するものをいう。以下同じ。）として需要者の間に広く認識されているものと同一若しくは類似の商品等表示を使用し、又はその商品等表示を使用した商品を譲渡し、引き渡し、譲渡若しくは引渡しのために展示し、輸出し、輸入し、若しくは電気通信回線を通じて提供して、他人の商品又は営業と混同を生じさせる行為。二、自己の商品等表示として他人の著名な商品等表示と同一若しくは類似のものを使用し、又はその商品等表示を使用した商品を譲渡し、引き渡し、譲渡若しくは引渡しのために展示し、輸出し、輸入し、若しくは電気通信回線を通じて提供する行為。」 [15]平成三十年法律第七十二号著作権法第二十六條之二第一項「著作者は、その著作物（映画の著作物を除く。以下この条において同じ。）をその原作品又は複製物（映画の著作物において複製されている著作物にあつては、当該映画の著作物の複製物を除く。以下この条において同じ。）の譲渡により公衆に提供する権利を専有する。」 [16]前揭13第79頁。

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。