日本總務省公告第一次Startup×Act計畫成果

初探物聯網的資通安全與法制政策趨勢 資訊工業策進會科技法律研究所 2021年03月25日 壹、事件摘要 　　在5G網路技術下，物聯網（Internet of Things, IoT）的智慧應用正逐步滲入各場域，如智慧家庭、車聯網、智慧工廠及智慧醫療等。惟傳統的資安防護已不足以因應萬物聯網的技術發展，需要擴大供應鏈安全，以避免成為駭客的突破口[1]。自2019年5月「布拉格提案[2]」（Prague Proposal）提出後，美國、歐盟皆有相關法制政策，試圖建立各類資通訊設備、系統與服務之安全要求，以強化物聯網及相關供應鏈之資安防護。是以，本文觀測近年來美國及歐盟主要的物聯網安全法制政策，以供我國借鏡。 貳、重點說明 一、美國物聯網安全法制政策 （一）核心網路與機敏性設備之高度管制 1.潔淨網路計畫 　　基於資訊安全及民眾隱私之考量，美國政府於2020年4月提出「5G潔淨路徑倡議[3]」（5G Clean Path initiative），並區分成五大構面，包括：潔淨電信（Clean Carrier）、潔淨商店（Clean Store）、潔淨APPs（Clean Apps）、潔淨雲（Clean Cloud）及潔淨電纜（Clean Cable）；上述構面涵蓋之業者只可與受信賴的供應鏈合作，其可信賴的標準包括：設備供應商設籍國的政治與治理、設備供應商之商業行為、（高）風險供應商網路安全風險緩和標準，以及提升供應商信賴度之政府作為[4]。 2.政府部門之物聯網安全 　　美國於2020年12月通過《物聯網網路安全法[5]》（IoT Cybersecurity Improvement Act of 2020），旨在提升聯邦政府購買和使用物聯網設備的安全性要求，進而鼓勵供應商從設計上導入安全防範意識。本法施行後，美國聯邦政府機關僅能採購和使用符合最低安全標準的設備，將間接影響欲承接政府物聯網訂單之民間業者及產業標準[6]。 　　另外，美國國防部亦推行「網路安全成熟度模型認證[7]」（Cybersecurity Maturity Model Certification, CMMC），用以確保國防工程之承包商具備適當的資訊安全水平，確保政府敏感文件（未達機密性標準）受到妥適保護。透過強制性認證，以查核民間承包商是否擁有適當的網路安全控制措施，消除供應鏈中的網路漏洞，保護承包商所持有的敏感資訊。 （二）物聯網安全標準與驗證 　　有鑑於產業界亟需物聯網產品之安全標準供參考，美國國家標準暨技術研究院（National Institute of Standards and Technology, NIST）提出「物聯網網路安全計畫」，並提出各項標準指南，如IR 8228：管理物聯網資安及隱私風險、IR 8259（草案）：確保物聯網裝置之核心資安基準等。 　　此外，美國參議院民主黨議員Ed Markey亦曾提出「網路盾」草案[8]（Cyber Shield Act of 2019），欲建立美國物聯網設備驗證標章（又稱網路盾標章），作為物聯網產品之自願性驗證標章，表彰該產品符合特定產業之資訊安全與資料保護標準。 二、歐盟物聯網安全法制政策 （一）核心網路安全建議與風險評估 　　歐盟執委會於2019年3月26日提出「5G網路資通安全建議[9] 」，認為各會員國應評鑑5G網路資通安全之潛在風險，並採取必要安全措施。又在嗣後提出之「5G網路安全整合風險評估報告[10]」中提及，5G網路的技術漏洞可能來自軟體、硬體或安全流程中的潛在缺陷所導致。雖然現行3G、4G的基礎架構仍有許多漏洞，並非5G網路所特有，但隨著技術的複雜性提升、以及經濟及社會對於網路之依賴日益加深，必須特別關注。同時，對供應商的依賴，可能會擴大攻擊表面，也讓個別供應商風險評估變得特別重要，包含供應商與第三國政府關係密切、供應商之產品製造可能會受到第三國政府施壓。 　　是故，各會員國應加強對電信營運商及其供應鏈的安全要求，包括評估供應商的背景、管控高風險供應商的裝置、減少對單一供應商之依賴性（多元化分散風險）等。其次，機敏性基礎設施禁止高風險供應商的參與。 （二）資通安全驗證制度 　　歐盟2019年6月27日生效之《網路安全法[11]》（Cybersecurity Act），責成歐盟網路與資訊安全局（European Union Agency for Cybersecurity, ENISA）協助建立資通訊產品、服務或流程之資通安全驗證制度，確保資通訊產品、服務或流程，符合對應的安全要求事項，包含：具備一定的安全功能，且經評估能減少資通安全事件及網路攻擊風險。原則上，取得資安驗證之產品、服務及流程可通用於歐盟各會員國，將有助於供應商跨境營運，同時能協助消費者識別產品或服務的安全性。目前此驗證制度為自願性，即供應商可以自行決定是否對將其產品送交驗證。 參、事件評析 　　我國在「資安即國安」之大架構下，行政院資通安全處於2020年底提出之國家資通安全發展方案（110年至113年）草案[12]，除了持續強化國家資安防禦外，對於物聯網應用安全亦多有關注，其間，策略四針對物聯網應用之安全，將輔導企業強化數位轉型之資安防護能量，並強化供應鏈安全管理，包括委外供應鏈風險管理及資通訊晶片產品安全性。 　　若進一步參考美國與歐盟的作法，我國後續法制政策，或可區分兩大性質主體，採取不同管制密度，一主體為受資安法規管等高度資安需求對象，包括公務機關及八大領域關鍵基礎設施之業者與其供應鏈，其必須遵守既有資安法課予之高規格的安全標準，未來宜完善資通設備使用規範，包括：明確設備禁用之法規（黑名單）、高風險設備緩解與准用機制（白名單）。 　　另一主體則為非資安法管制對象，亦即一般性產品及服務，目前可採軟性方式督促業者及消費者對於資通設備安全的重視，是以法制政策推行重點包括：發展一般性產品及服務的自我驗證、推動建構跨業安全標準與稽核制度，以及鼓勵聯網設備進行資安驗證與宣告。 [1]經濟部工業局，〈物聯網資安三部曲：資安團隊+設備安全+供應鏈安全〉，2020/08/31，https://www.acw.org.tw/News/Detail.aspx?id=1149 （最後瀏覽日：2020/12/06）。 [2]2019年5月3日全球32個國家的政府官員包括歐盟、北大西洋公約組織 （North Atlantic Treaty Organization, NATO）的代表，出席由捷克主辦的布拉格5G 安全會議 （Prague 5G Security Conference），商討對5G通訊供應安全問題。本會議結論，即「布拉格提案」，建構出網路安全框架，強調5G資安並非僅是技術議題，而包含技術性與非技術性之風險，國家應確保整體性資安並落實資安風險評估等，而其中最關鍵者，為確保5G基礎建設的供應鏈安全。是以，具體施行應從政策、技術、經濟、安全性、隱私及韌性（Security, Privacy, and Resilience）之四大構面著手。Available at GOVERNMENT OF THE CZECH REPUBLIC, The Prague Proposals, https://www.vlada.cz/en/media-centrum/aktualne/prague-5g-security-conference-announced-series-of-recommendations-the-prague-proposals-173422/ (last visited Jan. 22, 2021). [3]The Clean Network, U.S Department of State, https://2017-2021.state.gov/the-clean-network/index.html (last visited on Apr. 09, 2021)；The Tide Is Turning Toward Trusted 5G Vendors, U.S Department of State, Jun. 24, 2020, https://2017-2021.state.gov/the-tide-is-turning-toward-trusted-5g-vendors/index.html (last visited Apr. 09, 2021). [4]CSIS Working Group on Trust and Security in 5G Networks, Criteria for Security and Trust in Telecommunications Networks and Services (2020), https://csis-website-prod.s3.amazonaws.com/s3fs-public/publication/200511_Lewis_5G_v3.pdf (last visited Nov. 09, 2020). [5]H.R. 1668: IoT Cybersecurity Improvement Act of 2020, https://www.govtrack.us/congress/bills/116/hr1668 (last visited Mar. 14, 2021). [6]孫敏超，〈美國於2020年12月4日正式施行聯邦《物聯網網路安全法》〉，2020/12，https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8583 （最後瀏覽日：2021/02/19）。 [7]U.S. DEPARTMENT OF DEFENSE, Cybersecurity Maturity Model Certification, https://www.acq.osd.mil/cmmc/draft.html (last visited Nov. 09, 2020). [8]H.R.4792 - Cyber Shield Act of 2019, CONGRESS.GOV, https://www.congress.gov/bill/116th-congress/house-bill/4792/text (last visited Feb. 19, 2021). [9]COMMISSION RECOMMENDATION Cybersecurity of 5G networks, Mar. 26, 2019, https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019H0534&from=GA (last visited Feb. 18, 2021). [10]European Commission, Member States publish a report on EU coordinated risk assessment of 5G networks security, Oct. 09, 2019, https://ec.europa.eu/commission/presscorner/detail/en/IP_19_6049 (last visited Feb. 18, 2021). [11]Regulation (EU) 2019/881 of the European Parliament and of the Council of 17 April 2019 on ENISA and on Information and Communications Technology Cybersecurity Certification and Repealing Regulation (EU) No 526/2013 (Cybersecurity Act), Council Regulation 2019/881, 2019 O.J. (L151) 15. [12]行政院資通安全處，〈國家資通安全發展方案（110年至113年）草案〉，2020/12，https://download.nccst.nat.gov.tw/attachfilehandout/%E8%AD%B0%E9%A1%8C%E4%BA%8C%EF%BC%9A%E7%AC%AC%E5%85%AD%E6%9C%9F%E5%9C%8B%E5%AE%B6%E8%B3%87%E9%80%9A%E5%AE%89%E5%85%A8%E7%99%BC%E5%B1%95%E6%96%B9%E6%A1%88(%E8%8D%89%E6%A1%88)V3.0_1091128.pdf （最後瀏覽日：2021/04/09）。

　　歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則（一般資料保護規則）」（Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR），該草案內容包括行政罰鍰三審制（three-tiered system）。凡故意或過失違反歐洲資料保護基本權之企業，情節重大者，可能招致鉅額行政罰鍰，草案之裁罰性措施將讓從業者更加重視資料保護法益。 　　是否對違反GDPR之侵權行為裁處罰鍰，會員國政府有裁量權限；已受刑事制裁者，政府亦得免除罰鍰以避免重複處罰。資料保護主管機關（data protection authorities, DPAs）依三審制判斷，確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括：第一審，是否對資料當事人之資料要求延遲、變更回應；第二審，是否對資料當事人、DPAs盡資訊透明義務；第三審，各種具體侵權行為，包括對於資料取得缺乏法律依據、未能即時告知資料違反情事，或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 　　依草案，DPAs審酌罰鍰額度時，應依下列計算罰鍰： 　　(1) 企業故意或過失未能於一定期間內，回應資料當事人之資料查閱請求者，裁處上一會計年度全球總年營業額0.5%罰鍰。 　　(2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊；或未能對消費者充分揭露個人資料蒐集、處理的目的者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(3) 企業故意或過失未能維護消費者權益，更正或刪除消費者資料，違反GDPR所保障之消費者「被遺忘權」者，裁處上一會計年度全球總年營業額1%罰鍰。 　　(4) 企業故意或過失處理個人資料，行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域，該區域沒有適當安全資料保護者，就企業上一會計年度全球總年營業額裁處2%罰鍰。 　　六月中旬，歐盟各部長將就歐洲議會、歐盟理事會的提案，就罰鍰額度進行最後協商，未來將持續關注草案協商後續發展。

　　巴西政府於2015年1月28日公布個人資料保護法草案（Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection），該草案適用於個人和通過自動化方式處理個人資料的公司，惟前提是（1）處理行為發生在巴西或（2）蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料，包括資料保護義務和要求： 一、企業必須使資料當事人能夠自由的、直接的，具體的使當事人知悉並取得人同意以處理個人資料。 二、除了在有限的例外情況下，禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險，並有具體的同意。敏感的個人資料包括，種族和民族淵源，宗教，哲學或道德信仰，政治觀點，健康和性取向資料，以及遺傳數據。 三、資料外洩時有義務立即報告主管機關。 四、當個人資料是不完整，不準確或已經過期時，允許資料當事人查詢他們的個人資料並更正之。 五、不得提供個人資料給資料保護水平不相似的國家。 六、有義務依比例原則採取安全保障措施以處理個人數據，防止未經授權的訪問，破壞，丟失，篡改，通訊或傳播資料。

日本政府怎樣對公部門管制DeepSeek？ 資訊工業策進會科技法律研究所 2025年07月07日 2025年2月3日，日本個人情報保護委員會（Personal Information Protection Commission，簡稱PPC）發布新聞稿指出[1]，DeepSeek所蒐集的資料，將會儲存在中國的伺服器裡，且為中國《國家情報法》的適用對象[2]。這可能將導致個人資料遭到中國政府調用或未經授權的存取。作為中國開發的生成式AI，DeepSeek雖以優異的文本能力迅速崛起，卻也引發資安疑慮。 身處地緣政治敏感區的日本對此高度警覺，成為率先提出警告的國家之一。台灣與日本面臨相似風險，因此日本的應對措施值得借鏡。本文將從PPC新聞稿出發，探討日本如何規範公部門使用DeepSeek。 壹、事件摘要 DeepSeek作為中國快速崛起之生成式AI服務，其使用範圍已快速在全球蔓延。然而，日本PPC發現該公司所公布之隱私政策，內容說明其所蒐集之資料將存儲於中國伺服器內，並依據中國《國家情報法》之適用範圍可能遭到中國政府調用或未經授權之存取。 日本PPC因而於2025年2月3日發布新聞稿，隨後日本數位廳於2月6日發函給各中央省廳，強調在尚未完成風險評估與資安審查之前，政府機關不應以任何形式將敏感資訊輸入DeepSeek，並建議所有業務使用應先諮詢內閣資安中心（内閣サイバーセキュリティセンター，NISC）與數位廳（デジタル庁）意見，才能判定可否導入該類工具[3]。數位大臣平將明亦在記者會中強調：「即使不是處理非機密資料，各機關也應充分考量風險，判斷是否可以使用。」（要機密情報を扱わない場合も、各省庁等でリスクを十分踏まえ、利用の可否を判断する）[4]。 本次事件成為日本對於生成式AI工具採取行政限制措施的首次案例，也引發公私部門對資料主權與跨境平台風險的新一輪討論。 貳、重點說明 一、日本對於人工智慧的治理模式 日本在人工智慧治理方面採取的是所謂的「軟法」（soft law）策略，也就是不依賴單一、強制性的法律來規範，而是以彈性、分散的方式，根據AI的實際應用場景與潛在風險，由相關機關分別負責，或透過部門之間協作因應。因此，針對DeepSeek的管理行動也不是由某一個政府部門單獨推動，而是透過跨部會協作完成的綜合性管控，例如： （一）PPC的警示性通知：PPC公開說明DeepSeek儲存架構與中國法規交錯風險，提醒政府機關與公務人員謹慎使用，避免洩漏資料。 （二）數位廳的行政指引：2025年2月6日，日本數位廳針對生成式AI的業務應用發布通知，明列三項原則：禁止涉密資料輸入、限制使用未明確審查之外部生成工具、導入前應諮詢資安機構。 （三）政策溝通與政治聲明：平將明大臣在記者會上多次強調DeepSeek雖未明列於法條中禁用，但其高風險屬性應視同「潛在危害工具」，需列入高敏感度審查項目。 二、日本的漸進式預防原則 對於DeepSeek的管制措施並未升高至法律層級，日本政府亦沒有一概禁止DeepSeek的使用，而是交由各機關獨自判斷[5]。這反映出了日本在AI治理上的「漸進式預防原則」：先以行政指引建構紅線，再視實際風險與民間回饋考慮是否立法禁用。這樣的作法既保留彈性，又讓官僚系統有所依循，避免「先開放、後收緊」所帶來的信任危機。 三、日本跟循國際趨勢 隨著生成式AI技術迅速普及，其影響已不再侷限於產業應用與商業創新，而是逐漸牽動國家資安、個資保護以及國際政治秩序。特別是生成式AI在資料存取、模型訓練來源及跨境資料流通上的高度不透明，使其成為國家安全與數位主權的新興挑戰。在這樣的背景下，各國對生成式AI工具的風險管理，也從原先聚焦於產業自律與技術規範，提升至涉及國安與外交戰略層面。 日本所採取的標準與國際趨勢相仿。例如韓國行政安全部與教育部也在同時宣布限制DeepSeek使用，歐盟、美國、澳洲等國亦有不同程度的封鎖、審查或政策勸導。日本雖然和美國皆採取「軟法」（soft law）的治理策略，然而，相較於美國以技術封鎖為主，日本因其地緣政治的考量，對於中國的生成式AI採取明確防範的態度，這一點與韓國近期禁止政府機構與學校使用中國AI工具、澳洲政府全面禁止政府設備安裝特定中國應用程式類似。 參、事件評析 這次日本政府對於DeepSeek的應對措施，反映出科技治理中的「資料主權問題」（data sovereignty）：即一個國家是否有能力控制、保存與使用其管轄範圍內所生產的資料。尤其在跨境資料傳輸的背景下，一個國家是否能保障其資料不被外國企業或政府擅自使用、存取或監控，是資料主權的核心問題。 生成式AI不同於傳統AI，其運作依賴大規模訓練資料與即時伺服器連接，因此資料在輸入的瞬間可能已被收錄、轉存甚至交付第三方。日本因而對生成式AI建立「安全門檻」，要求跨境工具若未經審核，即不得進入政府資料處理流程。這樣的應對策略預示了未來國際數位政治的發展趨勢：生成式AI不只是科技商品，它已成為跨國治理與地緣競爭的核心工具。 中國通過的《國家情報法》賦予政府調閱私人企業資料的權力，使得中國境內所開發的生成式AI，儼然成為一種資訊戰略利器。若中國政府藉由DeepSeek滲透他國公部門，這將對國家安全構成潛在威脅。在此背景下，日本對公部門使用DeepSeek的管制，可被解讀為一種「數位防衛行為」，象徵著日本在數位主權議題上的前哨部署。 值得注意的是，日本在處理DeepSeek事件時，採取了「不立法限制、但公開警示」的方式來應對科技風險。此舉既避免激烈封鎖引發爭議，又對於資料的運用設下邊界。由於法令規範之制定曠日費時，為避免立法前可能產生之風險，日本先以軟性之限制與推廣手段以防止危害擴大。 台灣雖與日本同處地緣政治的敏感地帶，資料主權議題對社會影響深遠，為使我國可在尚未有立法規範之狀態下，參考日本所採之行政命令內控與公開說明外宣雙向並行之策略，對台灣或許是一種可行的借鏡模式。 本文為資策會科法所創智中心完成之著作，非經同意或授權，不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站（https://www.tips.org.tw） [1]個人情報保護委員会，DeepSeekに関する情報提供，https://www.ppc.go.jp/news/careful_information/250203_alert_deepseek/ （最後瀏覽日：2025/05/06）。 [2]《中华人民共和国国家情报法》第7条第1项：「任何组织和公民都应当依法支持、协助和配合国家情报工作，保守所知悉的国家情报工作秘密。」 [3]デジタル社会推進会議幹事会事務局，DeepSeek等の生成AIの業務利用に関する注意喚起（事務連絡），https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/d2a5bbd2-ae8f-450c-adaa-33979181d26a/e7bfeba7/20250206_councils_social-promotion-executive_outline_01.pdf （最後瀏覽日：2025/05/06）。 [4]デジタル庁，平大臣記者会見（令和7年2月7日），https://www.digital.go.jp/speech/minister-250207-01 （最後瀏覽日：2025/05/06）。 [5]Plus Web3 media，日本政府、ディープシークを一律禁止せず　「各機関が可否を判断する」，https://plus-web3.com/media/500ds/?utm_source=chatgpt.com （最後瀏覽日：2025/05/06）。