日本於2017年12月26日「第2次再生能源及氫氣等閣員會議」中,作為跨省廳之國家戰略,訂定「氫燃料基本戰略」(下稱「本戰略」),2050年為展望,以活用及普及氫燃料為目標,訂定至2030年為止之政府及民間共同行動計畫。此係在2017年4月召開之「第2次再生能源及氫氣等閣員會議」中,安倍總理大臣提出為了實現世界先驅之「氫經濟」,政府應為一體化策略實施,指示於年度內訂定基本戰略。為此,經濟產業省(下稱「經產省」)邀集產官學專家,召開「氫氣及燃料電池戰略協議會」為討論審議,擬定本戰略。其提示出2050年之未來之願景,從氫氣的生產到利用之過程,跨各省廳之管制改革、技術開發關鍵基礎設施的整備等各種政策,在同一目標下為整合,擬定過程中有經產省、國土交通省、環境省、文部科學省及內閣府為共同決定。
氫燃料基本戰略之訂定,欲解決之兩大課題:
第一,能源供給途徑多樣化及自給率的提高:日本94%的能源需依靠從海外輸入化石燃料,自給率僅有6-7%,自動車98%的燃料為石油,其中87%需從中東輸入。火力發電場所消費的燃料中,液態天然氣(LNG)所佔比例也在上升中,而LNG也幾乎全靠輸入。
第二,CO2排出量的削減。日本政府2030年度之CO2排出量預定比2013年度削減25%為目標。但是,受到東日本大地震後福島第一核能發電廠事故的影響,日本國內之核能電廠幾乎都停止運轉,因此LNG火力發電廠的運轉率也提高。LNG比起煤炭或石油,其燃燒時產生CO2之量較為少,但是現在日本電力的大部分是倚賴LNG火力發電,CO2排出量仍是增加中。
因此本次決定之氫燃料基本戰略,係以確實建構日本能源安全供給體制,並同時刪減CO2排出量為目標,能源如過度倚賴化石燃料,則係違反此二大目標,因此活用不產生CO2的氫燃料。但是日本活用氫燃料之狀況,尚處於極小規模,或者是實驗階段。把氫燃料作為能源之燃料電池車(FCV),其流通數量也非常少,而氫燃料販賣價格也並非便宜。
氫燃料戰略之目標係以大幅提高氫燃料消費量,降低其價格為目的。現在日本氫燃料年間約200噸消費,預定2020年提高至4000噸,2030年提高至30萬噸,同時並整備相關商用流通網。為了提高氫燃料消費量,需實現低成本氫燃料利用,使氫燃料之價格如同汽油及LNG同一程度之成本。現在1Nm3約為100日圓,2030年降低至30日圓,最終以20日圓為目標,約為目前價格之5分之一為目標,在包含環境上價值考量,使其具備與既有能源有同等競爭力。
實現此一目標需具備:1.以便宜原料製造氫, 建立氫大量製造與大量輸送之供應鏈;2.燃料電池汽車(FCV)、發電、產業利用等大量氫燃料利用及技術之開發。
此一氫燃料戰略之推行下,本年3月5日為了擴大普及FCV,由氫氣充填營運業者、汽車製造業者、金融投資等11家公司,共同進行氫氣充填站整備事業,設立「日本氫氣充填站網路合作公司(英文名稱:Japan H2 Mobility,下稱「JHyM」)」,加速並具體化氫氣充填站之機制,今後以JHyM為中心,推動相關政策與事業經營。預定,本年春天再設立8個充氣站,完成開設100個氫氣充填站之目標。
美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架,美國已有幾州開始透過立法限縮企業資安事件賠償責任,企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準,則於資安攻擊事件所致損害賠償訴訟中,將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料,企業往往投入大量資源打造資安防護架構,惟在現今網路威脅複雜多變的環境下,仍可能受到惡意資安攻擊,導致資料外洩事件發生,導致企業進一步面臨訴訟求償風險,其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任,以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令,讓已實施適當安全維護措施之企業,豁免資安攻擊所致資料外洩之損害賠償責任,佛羅里達州和西維吉尼亞州近期亦提出相似法案,以下介紹兩州法案之重點: 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 (H.B 473: Cybersecurity Incident Liability)[4],法案納入「安全港條款」(Safe Harbor),當企業遭受資安攻擊致生個資外洩事件,如可證明已遵循產業認可的資安標準或框架,實施適當的資安措施與風險控管機制,則可免於賠償責任,以鼓勵企業採納資安標準或框架。 為適用安全港條款,企業須遵循佛羅里達州資訊保護法(The Florida Information Protection Act),針對資料外洩事件,通知個人、監管機關和消費者,並建立與法案內所列當前產業認可的資安標準、框架,或是特定法令規範之內容具一致性的資安計畫(Cybersecurity Programs): (一)當前產業認可的資安標準、框架 1. 國家標準暨技術研究院(National Institute of Standards and Technology, NIST)改善關鍵基礎設施資安框架(Framework for Improving Critical Infrastructure Cybersecurity)。 2. NIST SP 800-171-保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A- 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫(Federal Risk and Authorization Management Program, FedRAMP)安全評估框架。 5. 資安中心( The Center for Internet Security, CIS)關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟(The Health Information Trust Alliance, HITRUST)通用安全框架(Common Security Framework)[6]。 8. 服務企業控制措施類型二(Service Organization Control Type 2, SOC 2)框架。 9. 安全控制措施框架(Secure Controls Framework)。 10. 其他類似的產業標準或框架。 (二)特定法令規範 企業(entity)如受以下法令規範,亦得適用安全港條款,如法令有修訂,企業應在發布修訂後的一年內更新其資安計畫: 1. 健康保險可攜與責任法(The Health Insurance Portability and Accountability Act, HIPAA)之安全要求。 2. 金融服務現代化法(The Gramm-Leach-Bliley Act)第五章。 3. 2014 年聯邦資訊安全現代化法(The Federal Information Security Modernization Act of 2014)。 4. 健康資訊科技促進經濟和臨床健康法(The Health Information Technology for Economic and Clinical Health Act, HITECH)之安全要求。 5. 刑事司法資訊服務系統 (The Criminal Justice Information Services, CJIS)安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過,但於2024年6月26日遭州長否決[7],其表示法案對於企業的保障範圍過於廣泛,如企業採取基礎的資安措施與風險控管機制,便得主張適用安全港條款,將可能導致消費者於發生個資外洩事件時,無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會(Florida Cybersecurity Advisory Council)合作,探求法案的替代方案,以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8],修訂西維吉尼亞法典(Code of West Virginia),增訂第8H章資安計畫安全港條款(Safe Harbor for Cybersecurity Programs),如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫,包含個人資訊和機敏資料的管理、技術和企業保障措施,將能夠於侵權訴訟中,主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素,包含: 1. 企業的規模和複雜性; 2. 企業的活動性質和範圍; 3. 受保護資訊的敏感性; 4. 使用資安防護工具之成本和可用性; 5. 企業可運用的資源。 (一)當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同,另增加: 1 NIST SP 800-76-2個人身分驗證生物辨識規範(Biometric Specifications for Personal Identity Verification)[9]。 2. 資安成熟度模型認證(The Cybersecurity Maturity Model Certification, CMMC)至少達到第2級,並經外部驗證(external certification)。 (二)特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同,另增加:由聯邦環境保護局(Environmental Protection Agency, EPA)、資安暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)或北美可靠性公司(North American Reliability Corporation)[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11],其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好,但也可能遭濫用而帶來不當影響,例如TikTok等大型國際企業,如在違背公民意願情況下共享個人資料時,將免於訴訟,恐有損其公民權益,未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案,內容亦為相似,西維吉尼亞州之法案目前已遭否決,主要係擔心該豁免條款遭到不當濫用;佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量,而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令,有助企業明確遵循與採納,建立與實施資安計畫,惟如何舉證所建立之資安計畫或實施之資安措施,與法案所列之資安標準、框架,或是特定法令規範,具有實質上的一致性,仍不明確,將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障,仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心( The Center for Internet Security, CIS)為美國非營利組織,負責推動CIS Controls,針對實際發生的資安攻擊行為提供防禦建議,作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源:About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司(North American Electric Reliability Corporation, NERC),為一家非營利機構,致力推動關鍵基礎設施保護相關標準,以強化北美大規模電力系統(亦即電網)的可靠性和安全性,資料來源:https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).
由Meta案看數位資料商業化面臨之跨國問題於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。 針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。 2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。 目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)
加拿大推動聯邦互通醫療法案建立數位醫療資料共享體系加拿大聯邦政府於2026年2月4日於聯邦參議院提出《聯邦互通醫療法案》(Connected Care for Canadians Act, Bill S-5),由參議員 Pierre Moreau 擔任提案人,以改善該國長期存在的醫療資料不流通及仰賴紙本病歷之困境。據加拿大衛生部統計,目前僅有29%的初級照護提供者得在診所外透過電子方式共享病歷,建立聯邦醫療資訊系統的互通體系,遂為本法案之核心目標。 法案條文草案揭示兩大重點,其一為課予醫療資訊科技供應商(health information technology vendor)義務,其所提供的資訊系統或服務必須要具備互通性(Interoperability),且不得阻礙電子醫療資料的共享(data blocking)。法案亦授權訂定罰鍰機制,確保供應商遵循法規;其二則涉及中央法規與地方法規的分工,法案規定當省或地區尚未制定與本法案所要求實質相同或更嚴格(substantially similar to or exceed)的規定時,該省或地區必須適用法案的規定,法案將授權制定如何認定上述實質性要件的標準與程序。 法案仍在立法程序中,現已完成參議院二讀程序,並於2026年5月6日進入到三讀程序。本法案並非在創建數位身分、平台或醫療資訊資料庫。而是為病患提供安全存取途徑,並促進醫療服務提供者之間安全的資料共享,未來將值得關注法案對於醫療資料共享的貢獻及執行成效。