歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」

  歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎,並作為後續發展相關方案與措施之基準點。

  由於廣泛應用於各個領域,智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此,了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果,以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景,並提出以下可以廣泛運用之智慧聯網安全措施與實作:

  (一) 資訊系統安全治理與風險管理
  包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。

  (二) 生態系管理
   包含生態系繪製以及各生態系的關聯。

  (三) IT安全建築
   包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。

  (四) IT安全管理
  帳戶管理與資訊系統管理之相關安全措施。

  (五) 身分與存取管理
  有關身分確認、授權以及存取權限之安全措施。

  (六) IT安全維護
  有關IT安全維護程序以及遠端存取之安全措施。

  (七) 偵測
  包含探測、紀錄日誌以及其間之關聯與分析之安全措施。

  (八) 電腦安全事件管理
  資訊系統安全事件分析與回應、報告之資安措施。

本文為「經濟部產業技術司科技專案成果」

你可能會想參加
※ 歐洲網路暨資訊安全局發布「重要資訊基礎設施下智慧聯網之安全基準建議」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7987&no=67&tp=1 (最後瀏覽日:2026/05/04)
引註此篇文章
你可能還會想看
美韓兩國反托拉斯法主管機關共同簽署反托拉斯備忘錄

  為了促進美國、韓國兩國之間的反托拉斯法主管機關合作。今年9月8日,美國司法部(Department of Justice,DOJ)、美國聯邦貿易委員會(Federal Trade Commission,FTC)與韓國公平貿易委員會(Korea Fair Trade Commission,KFTC)於華盛頓特區簽訂一反托拉斯備忘錄(memorandum of understanding,MOU);該備忘錄係由美國司法部反托拉斯署助理檢察總長Bill Baer與聯邦貿易委員會女主席Edith Ramirez及韓國公平交易委員會Jeong Jae-chan共同簽署。本備忘錄於簽署後立即生效。   反托拉斯署助理檢察總長Bill Baer表示:「具有坦誠和建設性對話之執法合作對於美國、韓國及全世界各地之競爭市場維持皆極其重要。本備忘錄標示了一直以來美國與韓國公平貿易委員會之間的合作關係;並展現出我們在未來日子中,欲持續加強該合作關係的企圖心。」該備忘錄的重點包含: 反托拉斯合作重要性的相互承認,包括在進行共同執法時,互相協調的重要性。 闡明了美國反托拉斯執法機關與韓國公平貿易委員會之間溝通的重要性。 承諾保護另一方所提供訊息之機密性;並承諾在法規不允許的情況下,禁止分享資訊。   自韓國1981年通過其反托拉斯法後,美國反托拉斯主管機關和韓國公平貿易委員會之合作關係越來越緊密;其中包括政策意見的交換,並視情況進行合作開展調查。本次所簽訂之備忘錄旨在進一步推動這些合作關係。

低軌通訊衛星發展及應用之法制觀察

低軌通訊衛星發展及應用之法制觀察 資訊工業策進會科技法律研究所 2022年04月25日 壹、事件摘要   隨著太空領域的技術突破,國際間主要國家已將焦點轉向太空場域,未來各類型太空商業活動及軍事性部署將大幅增加。低軌衛星(Low Earth Orbit Satellite)商業化發展趨勢最為明確[1],其所涉及的法制規範受到高度關注,對於國家如何承擔作為太空活動主體的國家責任,尤其是太空物體發射活動之風險控管、損害賠償責任問題,以及善盡減少太空碎片之國際義務等;此外,較為成熟的低軌衛星通訊服務,國際業者如SpaceX、OneWeb正積極於全球部署,則通訊傳播監管規範宜如何調適,亦為觀察重點。   本文以低軌通訊衛星發展及應用為核心,爬梳相關法制,面向涵蓋從火箭發射階段至衛星營運階段,說明其間涉及的活動規範之法制發展重點,以及供應鏈安全管理的議題,以供我國法規調適之參考。 貳、重點說明 一、發射階段   在衛星發射階段,主要涉及之國際太空法[2]為《登記公約》及《責任公約》,締約國必須遵守公約規定並善盡監管責任,是以美國、英國及日本對太空活動皆有嚴謹的許可審查制度[3]。一般而言,發射階段的審查通常分為「發射載具」及「太空載具」兩種,前者著重技術安全性的審查,避免發射過程中對他人造成損害,因此火箭發射業者必須盡可能採取相關安全措施,讓風險降至最低,而國家的角色則是評估該發射活動落於可接受的風險後,始可同意其施行。後者對於太空載具的審查,除了人造衛星本身的安全性之外,尚須說明該衛星之用途及設計,如是否會供軍事使用、若有核能之使用是否安全、是否符合國際無線電頻率秩序,以避免於外太空中造成危害或干涉到其他的人造衛星等。   除了太空五大公約之外,隨著太空活動的增加,尚有其他參考準則之提出,如2007年聯合國大會決議通過「太空碎片減緩指引」(Space Debris Mitigation Guidelines),該指引為自律性參考文件,並不具有國際法的法律拘束力,其建議在任務規劃、設計、製造發射火箭之飛行任務,應將太空碎片減緩措施納入考量[4]。美國聯邦通訊委員會(Federal Communications Commission, FCC)亦有提出其「太空碎片緩解政策與法令遵循指導」,以避免大量的低軌通訊衛星在結束任務後成為太空垃圾[5]。   我國已於2021年5月31日立法通過《太空發展法》,該法參照國際太空法規範,建立國家行政管理之法制基礎,特別是《登記公約》之太空載具登錄及許可規範;以及《責任公約》之太空事故損害賠償責任及保險制度等。至於太空活動之侵權案件,國際太空法係以國家為主體,無論是作為求償國或是被求償國,我國如何參與國際爭端解決,將有待實務觀察。 二、營運階段 (一)國際頻率協調   通訊衛星使用的無線電及微波的頻段較寬,為了避免訊號干擾,係由國際電信聯盟(International Telecommunication Union, ITU)依據無線電規則(Radio Regulation),協助無線電頻率分配及跨國頻率協調。   我國非ITU會員國,過往實務係以折衷方式參與國際頻率協調,如中華電信之中新一號及中新二號,採取與新加坡電信合作模式,爭取衛星通訊之營運機會;而科研用途之衛星可循專為科學研究及實驗之特殊保留頻段,可透過ITU下非官方機構組成的太空頻率協調小組(Space Frequency Coordination Group, SFCG)協調國際間科研使用頻段;或是透過國際業餘無線電聯盟(International Amateur Radio Union, IARU),取得頻率協調證明文件。   惟對於商用通訊衛星,因其需要供商業使用之專用頻譜,並且排除他人之干擾,仍必須透過ITU與他國進行頻率協調交涉並完成使用登記,始可提供衛星通訊服務。 (二)衛星通訊服務涉及之法規調適   通訊傳播服務屬於高度監管的行業,業者必須遵循電信管理法規之要求,始可於境內提供服務。我國已新增10.7-12.7GHz、13.75-14.5GHz、17.7-20.2GHz及27.5-30.0GHz等頻段供衛星通訊使用[6],惟申請人資格必須符合外資持股上限,即外國人直接持有股份總數不得超過49%,直接及間接持有股份總數不得超過60%[7]。法制政策上若欲放寬外資持股限制,則必須加以修法。另一途徑,國際衛星業者亦可透過具有衛星業務執照之國內業者代理申請,目前實務上中華電信已於2021年8月宣布與Starlink展開合作,可能協助代理Starlink的衛星通訊服務並在臺販售[8]。   之後衛星通訊服務的討論焦點可能會是「衛星間鏈路」(Inter Satellite Links, ISL)的應用,即允許資料在衛星之間傳輸及交換,無需再另外設置地面閘道站(gateway),而讓境內資料直接傳輸至外國。我國現行制度係外國業者在提交經營許可之申請時,自行承諾、遵守我國通訊監察之要求及義務。一旦衛星通訊服務盛行,是否會對國家主權之通傳監理產生挑戰,如通訊監察之資料調取協助義務、資料落地管理等,有待持續觀察[9]。 三、系統及零組件之資安管理   目前國際間僅有美國訂定衛星通訊之網路安全要求,惟其係針對軍事應用之衛星通訊,並非全面性之要求[10]。我國亦未對衛星的資通安全有相關的強制性規範,實務上衛星供應鏈業者主要是因應品牌商代工規格之要求,進行生產。是以,對於商用性低軌衛星通訊服務,現階段或許能參考5G行動通訊之共通適用原則,如供應鏈安全、資通安全維護計畫等。 參、事件評析   為了掌握太空產業商機,特別是現階段可預期的低軌通訊衛星的發展,我國相關的法制政策宜迎合產業需要,並促進各種太空活動的創新應用,以厚植人才與技術能量。   首先,在發射階段部分,我國《太空發展法》對於太空活動之監管與權利義務分配,已建立了法制基盤,本文認為後續細部的法制監管密度宜配合產業成熟程度加以定之。申言之,在初期發展過程,太空活動之監管似不宜課予過高的義務及責任,避免商業性太空活動之利害關係人望之卻步,建議以軟性方式,例如透過獎勵或輔導等途徑,促進業者符合太空碎片減量或其他環境保護之要求,待國內發射能量累積後,再採取拘束性規範並執行嚴格管理。   其次,在營運階段部分,國內產學界皆希望我國商業性太空活動能在國際間有所突破,惟受限於ITU國際頻率協調之困境,建議短期內宜推廣與外國合作的模式,政策上宜協助媒合國內設備元件業者與外國衛星所有者,以進入國際太空產業供應鏈。長期而言,商用衛星服務的經營仍需要透過ITU進行國際頻率協調,因此仍需動員外交力量,協助商用衛星拓展可行的頻率協調途徑。至於國際低軌衛星業者於我國落地提供服務部分,必須符合現行通傳法制規範,如取得公眾電信網路之使用核准、頻譜使用申請等,後續電信主管機關宜觀察ISL技術的使用情況、國際間對於衛星數據傳輸之要求,以及是否要求於境內設置閘道站等,以掌握對衛星網路之監管。   最後,在系統及零組件資安管理部分,由於國際間對於衛星網路技術標準仍在討論中,宜待國際間衛星資安標準形成,再據以制定相關規範。值得注意的是,衛星通訊網路為電信業之一環,屬於我國關鍵基礎設施領域並為《資通安全管理法》納管範圍,故其仍需遵守該法課予之高規格的安全標準,即衛星服務營運商應盡可能使用安全供應鏈及避免高風險設備,並從設計面納入資安考量。 [1] 低軌衛星係指佈署於低軌道之衛星,一般而言距離地球高度約160至2,000公里,相對於中軌道衛星、地球同步軌道衛星,低軌衛星離地球距離較近,因此傳輸延遲較短、功率耗損較少,進而可有效實現全球網路覆蓋。參考自楊可歆,〈低軌衛星於行動通訊業務之應用場景分析〉,MIC產業研究報告,2020/05/18, https://mic.iii.org.tw/aisp/Reports.aspx?id=CDOC20200507001 (最後瀏覽日:2022/03/31)。 [2] 目前國際太空法包括五大公約,分別為1967年《外太空條約》(Outer Space Treaty)、1967年《營救協定》(Rescue Agreement)、1971年《責任公約》(Liability Convention)、1974年《登記公約》(Registration Convention)及1979年《月球協定》(Moon Treaty)。 [3] 美國規範於《商業太空發射法》(Commercial Space Launch Act),可見於https://uscode.house.gov/view.xhtml?path=/prelim@title51/subtitle5/chapter509&edition=prelim (最後瀏覽日:2022/03/15);英國規範於《外太空法》(Outer Space Act),可見於https://www.legislation.gov.uk/ukpga/1986/38/contents (最後瀏覽日:2022/03/15);日本規範於《太空活動法》(宇宙活動法),可見於https://www8.cao.go.jp/space/english/activity/documents/space_activity_act.pdf (最後瀏覽日:2022/03/15)。 [4] UNOOSA, Space Debris Mitigation Guidelines of the Committee on the Peaceful Uses of Outer Space, 2010, https://www.unoosa.org/pdf/publications/st_space_49E.pdf (last visited Apr. 06, 2022). [5] FCC, Mitigation of Orbital Debris in the New Space Age, IB Docket No. 18-313, Apr. 02, 2020, https://docs.fcc.gov/public/attachments/DOC-363486A1.pdf (last visited Apr. 06, 2022). [6] 彭慧明,〈低軌衛星頻譜 6月開放申請〉,經濟日報,2022/03/24,https://udn.com/news/story/7240/6187130 (最後瀏覽日:2022/04/14)。 [7] 《電信管理法》第36條第4項及第5項 [8] 張瑞益,〈中華電、Starlink攜手合作 搶低軌道衛星商機〉,經濟日報,2021/08/30,https://udn.com/news/story/7240/5708752 (最後瀏覽日:2022/03/14)。 [9] Larry Press, Are Inter-Satellite Laser Links a Bug or a Feature of ISP Constellations?, CIRCLEID, Apr. 03, 2019, https://circleid.com/posts/20190403_inter_satellite_laser_links_bug_or_feature_of_isp_constellations/?fbclid=IwAR2iQEgPCm-ACC8kwvRaMDZPxCxLehHKvWvAn8tkr0njn8TubUTM_cLsIc4 (last visited Mar. 31, 2022). [10] 謝宜庭,〈美國白宮頒布有關於太空系統的網路安全原則《太空政策第5號指令》〉,資策會科技法律研究所,2021年4月,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8629 (最後瀏覽日:2022/03/14)。

日本2021年修正《個人資料保護法》,整合個資法體系

  日本於2021年5月19日公布新修正之《個人資料保護法》(個人情報の保護に関する法律),並預計於2022年4月正式施行。修法重點如下: 一、法律形式及法律管轄一元化:現行日本個人資料保護法制依適用對象分為《個人資料保護法》、《行政機關個人資料保護法》(法律行政機関の保有する個人情報の保護に関する法律)、《獨立行政法人等個人資料保護法》(独立行政法人等の保有する個人情報の保護に関する法律)及各地方政府個人資料保護條例等不同規範,修法後將統一適用《個人資料保護法》,並受到個人資料保護委員會之監督管理。 二、整合醫療及學術領域之規範:目前醫療及學術機構因隸屬於公部門或私部門適用不同規範,修法後無論公私立醫院、大學等原則上均適用相同規範。 三、調整學術研究之豁免規定:基於學術研究自由為憲法保障之基本權,現行《個人資料保護法》明文規定學術研究一律排除適用本法規定,惟2019年日本取得《歐盟一般資料保護規則》(GDPR)適足性認定之範圍未包含學術研究,故修法調整豁免規定為例外情形排除適用,如變更利用目的、取得敏感性個人資料及提供予第三者之情形。 四、整合個人資料及匿名化資料之定義:修法將公部門與私部門對個人資料之定義,整合為包含「易於」與其他資料比對後得以識別特定個人之要件。而《行政機關個人資料保護法》所稱「去識別化資料」(非識別加工情報),與《個人資料保護法》所稱「匿名化資料」(匿名加工情報),修法後將統一稱為「匿名化資料」。   為銜接上述修法內容,日本個人資料保護委員會自2021年8月起陸續針對《個人資料保護法施行令》、《個人資料保護法施行規則》及個人資料保護法相關指引公開徵求意見,後續值得持續觀察日本個人資料保護法制發展。

歐盟宣布欲在2019年時達成U-space的管理系統建置以創造無人機服務市場

  歐盟執委會(European Commission)的移動與運輸專員(European Commissioner for Mobility and Transport )Violeta Bulc在2016年11月23日於華沙發表歐盟目前到2019年的無人機發展計畫───U-space管理系統,該計畫希望能使無人機融入歐盟公民日常生活中的一部分。   U-Space為都會區上的空間(Urban-Space),也代表「你的空間」(Your space),範圍為150公尺以下涉及日常生活的空域空間。其在經濟目標上,期望藉由具體的政策,包含全自動化的導航與空中交管系統的建立,可以使一般人可以公平且容易的使用無人機,讓無人機應用在未來的日常生活成為普遍的應用活動,藉以促進整個歐盟無人機產業的發展。因此,進一步在法規管理上,需要在歐盟地區確立有關無人機之註冊、辨識以及衛星輔助設備之要求的全面一體化(Harmonized)系統,以確保該系統下的無人機操作均符合安全和保安的標準且可以達到隱私與環境保護的訴求。   目前看來,U-Space是推動無人機應用的管理系統,法規方面需要歐洲航空安全總署(European Aviation Safety Agency, EASA)於2016年8月22日公布之的初步無人機法規草案(EASA ‘Prototype’ Commission Regulation on Unmanned Aircraft Operations)支持,像是全自動化的導航系統需要的衛星輔助系統(Geo-fencing)就在EASA草案中提及。   而根據歐盟同一天的新聞稿,為達成U-Space之建置有三個面向須努力: 1.新創技術專案之展示:根據U-Space制度涵蓋之項目為運作基礎的展示專案應該評估特定技術的可行性,以讓相關產品服務早日投入應用,具體專案計畫將在2017年上半年推出。 2.產業密切合作:必須在產業相信歐盟執委會的決心以及願意投資無人機科技的前提下,執委會發展相關基礎設施才有意義。 3.設立新的法規標準:即就前述提及之EASA初步無人機法規草案徵詢各界之意見,預計蒐集各界相關意見後,並經由歐盟執委會、歐盟理事會(Council of the European Union)以及歐洲議會(the European Parliament)的三方會議後,在近期內出現更為具體的草案,議題將包含安全、資安、環境以及隱私等。

TOP