英國頒布電子通訊之網路與資訊系統規則
2018年英國頒布電子通訊之網路與資訊系統規則(The Network and Information Systems Regulations 2018),該規則實施歐盟2016年網路與資訊系統安全指令(Network and Information Security Directive, NIS Directive)。該規則分成幾個部分,第一部分是介紹性條文,例如介紹網路及資訊系統之定義:「(a)2003年通訊法(Communications Act 2003)第32條第1項所指的電子通訊網路;(b)一組或多組互聯或相關設備,其中之設備或程序根據程式自動化處理數位資料;(c)為操作、使用、保護和維護目的,由(a)或(b)款所涵蓋的儲存、處理、檢索或傳輸的數位資料。」
第二部分是英國政府相關組織架構規定,包括網路及資訊系統的國家政策(The NIS national strategy)、國家權責機關的指定(Designation of national competent authorities)、單一聯絡點的指定(Designation of the single point of contact)、電腦安全事件應變小組的指定(Designation of computer security incident response team)、執行機關的資訊分享(Information sharing–enforcement authorities)、北愛爾蘭的資訊分享(Information sharing–Northern Ireland)。
第三部分則是基本服務營運商(類似於我國的關鍵基礎設施營運商)與其職責,包括基本服務營運商的確定、營運權廢止、基本服務營運商的安全維護職責、事故通報的責任等。根據第8條第1項之規定,如果營運商提供本規則附表2所載明的基本服務(包括電力、石油、天然氣、航空運輸、船務運輸、鐵路運輸、公路運輸、醫療健康、數位基礎設施等),並且符合基本服務一定門檻要求者,則該廠商即被視為基本服務營運商(operator of an essential service, OES)。舉例而言,規章之附表2第1項載明,營運商提供電力供應之基本服務者,其一定門檻要求包括:若營運商位於英國,符合「為英國國內超過25萬名消費者提供電力服務」或「輸電系統的發電量大於或等於2 gigawatts」之條件者,該營運商即為基本服務營運商(OES);若營運商位於北愛爾蘭,則應「依據北愛爾蘭1992年的電力法規命令取得供電執照」,且「為北愛爾蘭境內超過8千名消費者提供電力服務」,或符合「發電量大於或等於350 megawatts」等條件,則該營運商即為基本服務營運商(OES)。
再者,若營運商符合第8條第3項所列之條件,則可由主管機關指定為基本服務營運商(OES)。此外,主管機關可根據第9條撤銷基本服務營運商(OES)的認定,基本服務營運商(OES)必須履行第10條規定的安全維護責任,並對於第11條規定的事件負有事故通報的責任。
第四部分則是數位服務,包括相關數位服務提供者、成員國跨境合作與行動、向資訊專門委員進行登記(Registration with the Information Commissioner)、資訊通知(Information notices)、檢查權限、違反義務之強制執行、裁罰、對行政機關裁罰決定之獨立審查、罰鍰之執行、費用、裁罰程序、執法行為的一般考量因素、審查與報告。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
何念修
法律研究員 編譯整理
The Network and Information Systems Regulations 2018, http://www.legislation.gov.uk/uksi/2018/506/pdfs/uksi_20180506_en.pdf (last visited July. 31, 2018).
Network and Information Systems Regulations 2018 come into force in the UK and government cybersecurity survey is published, https://www.technologylawdispatch.com/2018/05/regulatory/network-and-information-systems-regulations-2018-come-into-force-in-the-uk-and-government-cybersecurity-survey-is-published/ (last visited July. 31, 2018).
Network and Information Systems Regulations 2018: health sector guide, https://www.gov.uk/government/publications/network-and-information-systems-regulations-2018-health-sector-guide (last visited July. 31, 2018).
美國能源部於今年(2012)6月28日發布一套新的網路安全自我評估調查工具(Cybersecurity Self-Evaluation Survey Tool),以強化保護公共事業的業者避免遭受網路安全的攻擊,這套工具也是能源部為施行其於5月31日公布的網路安全能力成熟度模型(Cybersecurity Capability Maturity Model)的一部分,同時此模型的發展也是為了支持白宮的電力網路安全風險管理成熟度倡議( Electricity Subsector Cybersecurity Risk Management Maturity Initiative)。 網路安全成熟度模型的發展乃係由能源部與國土安全部共同領導,並且與業界、其他聯邦機構以及卡內基大學軟體工程研究所合作進行,該模型的四個目標在於:加強電力網路安全能力、使相關業者可以有效並持續設立網路安全能力的基準、分享知識、解決的方法與其他相關的參考資料、使業者得以排定對於改善網路安全的行動以及投資上的優先順序,以幫助業者發展並且評估他們的網路安全能力。 此次發佈的評估工具則是以問卷的方式,著重在情境式的認知與威脅及弱點的管理,而後能源部將針對自願提供評估結果的業者提供個案報告,幫助業者改善其網路安全能力,同時,能源部也建議業者,建立優先行動方案,以解決差距的問題,並且定期評估追蹤網路安全能力的改善進度,能源部也提醒業者注意網路威脅環境上與技術上的改變,以進行應變的評估。
法國憲法委員會宣告《打擊網路仇恨言論法》違憲法國憲法委員會於今(2020)年6月18日宣告今年5月甫通過之《打擊網路仇恨言論法》(Lutte contre la haine sur internet, Fighting Hate on the Internet,又稱Avia Law)違憲,認該法侵害人民言論自由之權利。 為打擊網路上日益嚴重之仇恨性言論,法國國民議會於今年5月13日通過《打擊網路仇恨言論法》,該法旨在課予網路社交平台之責任,在其使用者提出檢舉後,平台應於24小時期限內移除明顯的不法言論,包含歧視、仇恨、暴力、煽動犯罪、涉及恐怖主義或兒童色情等,尤以,若該訊息涉及兒童色情或煽動恐怖主義者,則平台刪除該訊息之期限將縮短為1小時內。倘平台若未於期限內刪除之,面臨之罰緩最高達125萬歐元;如經法國高等視聽委員會(Conseil superieur de l'audiovisuel, CSA)審核,發現該平台之內容審查系統存在嚴重且反覆之缺陷者,則最高可對該平台處以其全球收入4%之罰鍰。 該法原定於今年7月1日施行,但經法國憲法委員會審查後,認該法如前述之多項條款要求私人企業判斷使用者之言論是否為明顯涉及非法,將鞏固私人審查權,高額罰款恐將促進平台積極刪除平台上之言論,違反憲法保障之言論自由,因而宣告該條款違憲無效。目前尚不確定法國政府是否會如期施行其餘條款,惟由該法即可看出,法國傾向授權CSA於對網路平台採取更嚴格監管之態度,然是否能有效抑制仇恨性言論,後續尚值得密切觀察。
英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護英國數位、文化、媒體暨體育部(Department for Digital, Culture, Media & Sport, DCMS)於2022年12月9日公布「應用程式商店經營者與開發者實踐準則」(Code of practice for app store operators and app developers),並規劃在未來九個月內要求Apple、華為、Microsoft等公司採行,以加強對消費者的隱私與資安保護。 根據該實踐準則之內容,APP商店經營者和開發者須滿足以下要求: (1)以友善使用者的方式與消費者共享資安和隱私資訊,如APP何時將無法在商店中取得、APP最近一次更新的時間、APP儲存與處理使用者資料的位置等。 (2)即便消費者禁用部分可選的功能與權限(如不允許APP使用麥克風或追蹤使用者位置),該APP仍可正常執行。 (3)制定穩定且具透明性的APP審查程序,以確保滿足實踐準則中資安與隱私最低要求的APP方能在商店內上架。 (4)當APP因資安或隱私原因無法於商店內上架時,向開發者提供明確的反饋。 (5)制定妥適的弱點揭露程序如聯絡表單(contact form),使軟體缺陷可在非公開(避免受駭客利用)的情況下被報告及解決。 (6)確保開發者即時更新其APP,以減少APP中的安全弱點數量。 總體而言,實踐準則要求APP必須具備相關程序,使安全專家能夠向開發者報告軟體弱點、確保安全性更新對消費者足夠醒目,以及將資安與隱私資訊透過明確易懂的方式提供給消費者。
《2022年保護美國智慧財產法》公布至今,所造成的影響仍有待觀察繼2023年1月5日美國總統拜登(Joe Biden)簽署《2022年保護美國智慧財產法》(Protecting American Intellectual Property Act of 2022)並生效後,至今尚未見任何根據該法規展開行動的報告,不過各界仍相當關注該法案的動向,因為其與過往的經濟制裁措施有著顯著的差異。 《2022年保護美國智慧財產法》與其他經濟制裁措施之差異包括: 1.僅針對營業秘密之重大竊盜,不包括其他智慧財產權如專利、著作權等; 2.未要求行為人主觀是為他國政府之利益而竊取營業秘密; 3.法規中使用到關鍵術語的標準及定義較少; 4.某些制裁措施具有強制性; 5.制裁的對象不僅包括竊取美國營業秘密者,也包括從他人竊取美國營業秘密中獲利者; 6.營業秘密盜竊行為須有合理可能性或已經對美國國家安全、外交、經濟、金融穩定構成重大威脅。 雖然《2022年保護美國智慧財產法》即將成為重要的政府工具,以解決營業秘密損失及其對國家安全之影響,且允許當事人面臨營業秘密訴訟或威脅時,將制裁措施武器化,但仍有部分問題有待解決,包括: 1.營業秘密受各州法律管轄,各州之管理機構是否會制定自己的營業秘密定義標準? 2.若在訴訟進行期間實施制裁措施,將產生甚麼影響? 3.是否產生《經濟間諜法》(Economic Espionage Act)之待審案件?美國司法部(US Department of Justice)是否必須參與? 4.判斷是否制裁的標準與美國司法部所採用的《經濟間諜法》之標準是否相同?若不同,則差異為何? 5.當事人或法院是否知道判定營業秘密盜竊行為時該適用什麼證據標準?(法規僅規定由總統決定) 6.法院能否將此類制裁措施作為其決策的一部分? 儘管《2022年保護美國智慧財產法》所衍生的問題及將產生的影響尚有待觀察,但建議企業採取下列合規措施,以避免成為美國新制裁措施的目標,包括: 1.制定並實施合規的營業秘密保護政策與程序; 2.對員工進行教育訓練,使其瞭解有關《2022年保護美國智慧財產法》的基礎知識以及對營業秘密之管理要求; 3.對有可能被盜竊營業秘密的流程進行稽核審查。 本文同步刊登於TIPS網站(https://www.tips.org.tw)。