英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案

  英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。

  此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。

  此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。

  其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。

  此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。

本文為「經濟部產業技術司科技專案成果」

※ 英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8092&no=64&tp=5 (最後瀏覽日:2026/07/20)
引註此篇文章
你可能還會想看
美國第三州!科羅拉多州正式通過《科羅拉多州隱私法》

  美國科羅拉多州州長於2021年7月正式簽署《科羅拉多州隱私法》(Colorado Privacy Act, CPA)草案,科羅拉多州正式成為美國第三個制定全面性隱私專法的州,該法將於2023年7月1日施行。   隨著全球化及科技快速發展,以及大數據的應用趨勢,資料的蒐集、處理、利用規模及範圍逐漸擴大,全美各地隱私保護規範遍地開花,期待能促使企業在「保護個人資料」與「資料自由流通」及「資料商業運用」中取得平衡。 2018年美國加州首先制定《加州消費者隱私保護法》(California Consumer Privacy Act, CCPA)成為全美第一州級隱私保護專法後,包含華盛頓州、伊利諾州、紐約州等,也都提出各該州級隱私保護法案,而美國維吉尼亞州議會於今年2月通過《消費者資料保護法》(Consumer Data Protection Act, CDPA)法案,並在3月經由州長簽署,正式成為美國第二個擁有隱私保護專法的州,該法預計於2023年1月1日生效。   科羅拉多州於今年6月將CPA草案送交州長簽署後,於7月順利成為第三個通過隱私保護專法的州。一旦CPA生效,消費者除將享有近用權(right of access)、更正權(right of correct)、刪除權(right of delete)、資料可攜權(right of data portability)外;CPA規定在資料控制者對其消費者進行目標式廣告(targeted advertising)、銷售消費者個人資料,或者將對消費者決策產生重大影響時,消費者享有選擇退出權(right to opt out)。   整體而言,儘管 CPA 與CCPA及CDPA規範相似,在隱私保護規範上可能不是特別具有開創性,但CPA反映了美國各州強化隱私保護的趨勢與決心。舉例而言,去(2020)年不僅美國大選結果受矚目,美國各州隱私保護相關公投案,包含《加州第24號提案》、麻州《汽機車機械資料》、密西根州《電子資訊搜索票》及緬因州波特蘭市《臉部辨識禁令》也獲通過。美國在尚未具有統一聯邦隱私保護法下,透過州級隱私立法,保有各州特色並作為各州隱私保護執法依據。

美國聯邦貿易委員會與臉書就隱私議題達成和解

  臉書(Facebook)於今年11月底與美國聯邦貿易委員會(FTC)就2009年的隱私權控訴案達成和解。該控訴案指出「臉書欺騙消費者其在臉書上的資訊可以保持隱私,然而卻一再任這些資訊被公開分享與使用」。舉例而言,在2009年12月,臉書改版時未預先通知使用者進行設定,導致使用者的朋友名單被公開。除此之外,擁有全球8億用戶的臉書,允許廣告商在臉書使用者點選廣告時,蒐集其個人身分資訊。另外,縱使臉書的使用者將帳戶刪除,其照片等等影音資料仍能夠被該公司讀取。臉書的這些行為被聯邦貿易委員會指出,這是不公正的詐欺行為(unfair and deceptive)。   聯邦貿易委員會最終與臉書達成和解,未施加任何罰緩,也未指控臉書蓄意地違反任何法規。依照和解內容,臉書必須要在接下來的二十年內,每兩年一次受獨立公正第三人稽核其隱私保護措施。但假設臉書在未來違反了這些和解條款,臉書將被處以每行為每日16,000美元的罰緩。推特(Twitter)以及谷歌(Google)近來也與聯邦貿易委員會達成了類似的協議。   聯邦貿易委員會要求臉書必須要取得使用者「確切的同意」才可以變更其本身的隱私使用設定。比如說,假設使用者設定某些內容只能供「朋友」讀取,臉書就不能夠把這些內容提供給「朋友」以外的人,除非取得使用者的同意。

論數位環境下個人資料保護法制之發展與難題-以「 數位足跡」之評價為核心

Regolith的試煉:太空物質私有化

  美國國家航空暨太空總署(National Aeronautics and Space Administration,NASA)向企業購買月球Regolith(岩屑層)與岩石物質,並於2020年9月提出《月球Regolith採購工作績效聲明》(Lunar Regolith Purchase Request Performance Work Statement)。惟月球的物質,是否可以開採?   依據《各國探索與應用外太空、月球暨其他天體之活動管理原則條約》(Treaty on Principles Governing the Activities of States in the Exploration and Use of Outer Space, Including the Moon and Other Celestial Bodies)第2條,外太空、月球與其他星體,非任何國家可藉由使用、占領與其他方式,或應用國家經費,而宣稱擁有主權。針對NASA的月球物質採購計畫,是否合乎該條約?NASA署長Jim Bridenstine指出,Artemis計畫增加商業參與,要求企業蒐集小型的月球「塵埃」(dirt),或月球表面的岩石。Jim Bridenstine並認為此項提案,充分遵守該條約與其他國際義務。申言之,NASA認為月球之物質,具有私有化之可能性。   為採購企業蒐集之月球物質,NASA擬定《月球Regolith採購工作績效聲明》,規範企業的義務為:1、自月球表面蒐集50克至500克的Regolith或岩石物質;2、提供NASA蒐集與物質的影像,該資料足以識別蒐集地點為月球表面;3、就地(in-place)移轉NASA蒐集物質的所有權,此些物質並將成為NASA得以使用的私有財產(sole property)。企業得以決定在月球表面的任何地點蒐集,且無須評估蒐集的材料;NASA係採購蒐集狀態(“as-collected” condition),並有權利獨立確認企業蒐集物質的聲明。亦即企業的任務為採購物質,並提出證明;對月球物質的評估,則由NASA為之。   企業對NASA採購月球物質之履行,須於2024年以前完成;NASA對契約的獎勵,並不以月球物質蒐集的數量為基準。NASA對企業採購月球物質的支付依據:10%來自於企業完成NASA概念審查的提案;10%係企業為此蒐集任務,而由企業系統發射航空器至太空;80%為達成移轉NASA太空物質的所有權。另外,機器人登陸器(robotic lander)的設計與建構,並非屬NASA向企業徵集太空物質之內容。換言之,NASA之採購計畫並非強調太空物質之蒐集數量,而係著重於太空物質所有權之移轉。   綜上所論,NASA向企業採購月球Regolith與岩石物質,並以所有權之移轉為主,開啟太空物質私有化的可能性。

TOP