英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案
英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。
此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。
此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。
其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。
此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。
本文為「經濟部產業技術司科技專案成果」
歐洲數據保護監督組織(European Data Protection Supervipsor,EDPS)發表「關於在歐盟監督金融業之數據保護準則」(Guidelines on Data Protection for Financial Services Regulation),以作為確保歐盟的數據保護規範,將被整合進正在發展中的金融政策與相關規定之實用工具。該準則為金融市場監督機制的一部分,在金融業對個人資料的處理上,特別是透過監控、記錄保留、回報、以及資訊交換這些存有侵犯個人資料和隱私權風險的措施予以規範。 該準則包含10項步驟與建議,旨在協助歐盟後續金融監督政策的制定,其中一些重要的建議如下: (1)應評估資訊之處理是否可能妨礙隱私權。 (2)應為數據的處理建立法律基礎。 (3)評估適當的資訊保留期限並給予正當化依據。 (4)建立個人資料傳輸至歐盟外的正當法律依據。 (5)提供個人資料保護權利的適當保障。 (6)衡量適當的數據安全保護措施。 (7)應為數據處理的監督提供特定之程序。 有鑒於2008年金融危機的影響,該準則透過提供一個能確保個人資料被妥善保護的有效方法,期以重建金融市場的信心。Giovani Buttarelli,作為新任歐洲數據保護監督委員,在一份伴隨準則釋出的聲明稿當中表示:「個人資料的價值已經隨著數位經濟的成長不斷增加,確保各行業的個人資料得以受到保護也益顯重要。歐洲數據保護監督組織(EDPS)計畫對不同行業制定相關保護規範,此準則是第一個發佈的。」
因應2020年社會實現自動駕駛,日本訂定自動駕駛制度整備大綱日本IT綜合戰略本部及官民資料活用推進本部於4月17日公佈「自動駕駛制度整備大綱」。大綱設定2020年至2025年間,日本社會實現自動駕駛下,所需檢討修正之關連法制度。 本大綱中,係以2020年實現自動駕駛至等級4為前提(限定場所、速度、時間等一定條件下為前提,系統獨自自動駕駛之情形),以在高速公路及部分地區之道路實現為條件設定。社會實現自動駕駛有以下課題需克服: 道路交通環境的整備:以自駕系統為行駛,一般道路因為環境複雜,常有無法預期狀況發生,導致自駕車的電腦系統無法對應。 確保整體的安全性:依據技術程度,設定一般車也能適用之行駛環境、設定車輛、自動駕駛之行駛環境條件以及人之互相配合,以達成與一般車相同之安全程度為方針下,由關係省廳間為合作,擬定客觀之指標。此一指標,並非全國一致,應就地方之特性,設定符合安全基準及自動駕駛行駛環境條件,建構整體確保安全之體制。 防止過度信賴自駕系統:訂定安全基準,使日本事件最先端自動車技術擴及於世界,訂定包含自駕系統安全性、網路安全等自動駕駛安全性要件指針。 事故發生時之法律責任:自動駕駛其相關人為駕駛人、系統製造商、道路管理者等多方面,其法律責任相對複雜化。現在係以被害人救濟觀點,至等級4為止之自動駕駛,適用自動車損害賠償責任險(強制責任險)方式,但是民法、刑法及行政法等法律全體之對應,仍為今後之課題,必須為早期快速處理。為了強化民事責任求償權行使、明確刑事責任之因果關係、並實現車輛安全性確保、避免所有人過度負擔等,車輛行駛紀錄器之裝置義務化、事故原因究明機制等,關係機關應合作為制度檢討。 本大綱最後並提出,在自動駕駛技術快速發展下,就其發展實際狀況應為持續半年1次召開會議檢討檢討。
因應知識經濟社會 日本推動司法改革鑑於社會態度轉變與經濟面的需求,特別是隨著稅法和智慧財產權問題日益複雜,日本企業領袖紛紛延攬龐大的律師團,以借助其專長規劃並解決相關問題,以至法律專業人才需求更甚於以往。為此,日本改變壓低律師人數以及不鼓勵興訟的政策,大刀闊斧推動二次世界大戰以來最大的司法制度改革。本次司法制度大改革廣開職業考試大門,以便有足夠的律師、檢察官與法官,能在日益好訟的日本社會處理龐大民、刑事案件。 為填補需求缺口,日本政府決定將包括律師、檢察官和法官在內的法律專業人士的人數提高一倍以上,在 2018 年以前增至五萬人。同時,重大刑案將在 2009 年引進陪審團制度,以減輕法官負擔。在政府鼓勵下,日本第一所美式法學院於 2004 年成立,現在全國已有七十二所類似的法學院。過去日本大學法律系通常著重法律的學術或理論面,而新式法學院的重心則以實務訓練為主。這些法學院的畢業生不必考舊律師考試,只考專為他們設計的筆試。 我國法學教育改革研議已有幾十年,總統府人權諮詢小組在討論人權問題時,亦有專題涉及法律人養成與司法制度改革,因而研議全盤改革相關制度;行政院經建會在重要人才培育與運用的政策中,亦研擬自去( 94 )年開始推動法律專業學院制度。
日本政府擬修法全面禁止濫發商業電子郵件為解決日益嚴重的騷擾郵件問題,日本總務省於今(2008)年2月29日向國會提出「特定電子郵件送信適當化法修正案(特定電子メール送信適正化法改正案)」,將全面禁止未經收件人事前同意而擅自寄發宣傳廣告郵件,並將海外寄送之騷擾郵件列入適用範圍。 依據現行法之規定,未取得收件人同意寄送廣告或宣傳之郵件時,必須在主旨上標明「未經同意廣告」,並負有標示寄件人名稱、電話號碼之義務。如收件人發出拒絕收件之通知時,即禁止再傳送相關郵件;違反者將處以一年以下拘役或100萬日圓以下罰金。然而,一旦收件人回覆拒絕收件,將使業者察知該郵件帳號為有效帳號;故收件人對騷擾郵件大多不予理會,但如收件人未回覆拒絕收件之訊息時,該騷擾郵件仍得合法寄送。此外,依據調查,目前騷擾郵件中,有九成的電腦郵件及半數的行動電話簡訊,均是從海外所發出,而迴避了現行法之規範。 因此,本次修正草案明定全面禁止未經同意擅自傳送商業電子郵件至他人電腦或行動電話;即使取得收信同意,如中途拒絕時,其後即禁止再傳送郵件。此外,草案並課以郵件中應明示寄件者姓名、名稱及電子郵件地址,並要求須保存如何取得收件者同意之相關記錄。現行法不適用之海外寄送之騷擾電子郵件,也將與日本國內電子郵件受到相同規範。如偽裝電子郵件地址而傳送郵件時,或經總務省要求改善而未加以改善時,將處以最高3000萬日圓罰金。本修正法案預定於2008年中施行。