英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。
此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。
此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。
其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。
此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。
本文為「經濟部產業技術司科技專案成果」
美國財政部投資安全辦公室發布有關對外投資審查議題的法規預告 資訊工業策進會科技法律研究所 2024年09月16日 隨著地緣政治局勢升溫,國際主要國家為強化技術保護,並防止資源持續流入國族國家敵對勢力(Nation-state adversaries),有研議新增「對外投資審查」為監管工具的趨勢,例如歐盟執委會(European Commission)於2024年1月發布「對外投資白皮書」(White Paper on Outbound Investments),以及美國總統拜登於2023年8月9日發布《第14105號行政命令》(Executive Order 14105,以下簡稱《對外投資命令》),確立美國應增設對外投資審查制度之目標。 壹、事件摘要 為了落實《對外投資命令》,美國財政部(Department of the Treasury)投資安全辦公室(Office of Investment Security)於2024年7月5日發布「有關美國於關切國家投資特定國家安全技術與產品」的法規預告(Notice of Proposed Rulemaking:Provisions Pertaining to U.S. Investments in Certain National Security Technologies and Products in Countries of Concern,以下簡稱法規預告),將半導體與微電子、量子資訊技術以及人工智慧列為三大目標監控領域。 依據法規預告,未來「美國人」(U.S. Person)若從事涉及「特定外國人」(Covered Foreign Person)的三大「特定領域活動」(Covered Activity)投資交易,除合乎例外交易(Excepted Transactions)情形外,皆屬未來對外投資審查法規的管轄範圍。 貳、重點說明 以下簡介法規預告的重點規範內容: 一、三大特定領域活動:包含半導體與微電子、量子資訊技術以及人工智慧三個領域。 二、美國人:指美國公民、美國法定永久居留權人、任何依照美國法律設立或受美國管轄的法人實體(Entity),及任何在美國境內的自然人。 三、關切國家:指中國大陸,並包含香港及澳門地區。 四、特定外國人:指「屬於關切國家的個人或法人實體,並從事三大特定領域活動者」,具體而言包含關切國家公民或法定永久居留權人、政府單位或人員、依關切國家法律設立的法人實體、總部位於關切國家的法人實體等。 五、雙軌制:法規預告將對外投資分為兩大交易類別,即「禁止交易」(Prohibited Transactions)及「通報交易」(Notifiable Transactions)。原則上投資若涉及三大特定領域活動且屬於法規預告指定之「先進技術項目」者,為禁止交易;未涉及先進技術項目,則屬通報交易。 六、半導體領域之禁止交易: 鑒於半導體產業對於我國影響重大,且亦為我國管制重點項目,以下簡要說明半導體領域之禁止交易: (一)先進設計:禁止任何涉及超出美國《出口管制規則》(Export Administration Regulation, EAR)的「出口管制分類代碼」(Export Control Classification Number, ECCN)3A090.a技術參數,或可於4.5克耳文(Kelvin)以下溫度運作的半導體先進設計相關投資。ECCN 3A090.a技術參數係指半導體「總處理效能」(Total Processing Performance, TPP)為4800以上;或TPP為1600以上且「性能密度」(Performance Density, PD)為5.92以上者。 (二)先進製造: 禁止涉及以下項目的先進半導體製造相關投資: 1.使用非平面晶體管架構(non-planar transistor architecture)或16奈米、14奈米或以下製程技術的邏輯晶片。 2.具有128層以上的快閃(NOT-AND)記憶半導體。 3.使用18奈米以下半週距製程技術的動態隨機存取記憶體(dynamic random-access memory)晶片。 4.使用鎵化合物(gallium-based compound)的化合物半導體。 5.使用石墨稀電晶體(graphene transistors)或奈米碳管(carbon nanotubes)的半導體。 6.能於4.5克耳文以下溫度運行的半導體。 (三) 先進封裝:法規預告禁止任何使用先進封裝技術的半導體封裝相關投資。先進封裝係指「以2.5D及3D進行半導體封裝」,例如透過矽穿孔(through-silicon vias)、黏晶或鍵合技術(die or wafer bonding)、異質整合等先進技術進行半導體封裝。 (四) 電子設計自動化軟體(electronic design automation software,以下簡稱EDA軟體):禁止開發、生產用於先進半導體設計或先進封裝的任何EDA軟體。 七、不採取逐案審查模式:法規預告不採取逐案審查模式,而係由美國人自行判斷投資類型為禁止或通報交易。 八、通報程序:原則採取「事後通報」模式,美國人應於通報交易完成日(completion date)後的30個日曆天(calendars day)內,透過財政部對外投資安全計畫(Department of the Treasury’s Outbound Investment Security Program)網站進行通報,並應將相關需求文件提供予財政部,如投資交易雙方的交易後組織結構圖(post-transaction organizational chart)、交易總價值及其計算方式、交易對價描述、交易後對特定外國人的控制狀況等。 九、例外交易: 法規預告的例外交易主要包含兩大類別,分述如下: (一) 技術不當外流風險較低的例外交易:某些交易類型的技術不當移轉風險較低,若實質上亦未賦予美國人超出「標準少數股東保護範圍之權限」(rights beyond standard minority shareholder protections),則此種投資即可排除於法規預告外,例如於公開交易市場的證券買賣、買斷關切國家法人實體的所有權,以及不取得管理決策權或出資金額低於100萬美元的有限合夥投資等。 (二) 基於其他外交、政治因素的例外交易:若交易發生於美國境外,且經財政部部長認為該國或地區已具備足以應對國安威脅的措施,或經財政部認定為對國家安全有利的交易,皆可排除於法規預告的管轄之外。 參、事件評析 美國財政部發布對外投資的法規預告,顯示出美國政府認為既有技術管制措施,如出口管制、營業秘密及對內投資審查等,已不足以涵蓋對外投資所生之技術外流風險,且對外投資若涉及關鍵領域的先進技術,所帶來的無形技術移轉利益,可能遠大於投資資金本身。 我國基於兩岸情勢及國安考量,自1992年以來即透過《臺灣地區與大陸地區人民關係條例》第35條,就赴中國大陸之投資進行審查。隨著地緣政治複雜化,加諸我國處於半導體等關鍵產業供應鏈的重要地位,我國應持續關注及研析美國等國家之對外投資審查制度發展,以利定期檢視相關機制的妥適性,並達到維護產業競爭力及防範先進技術遭到不當外流之目標。
歐盟法院被遺忘權2017年最新判決:Camera di Commercio di Lecce v. Manni案歐盟法院在2017年3月9日針對其於同日所公布的判決發布新聞稿,指出該院認定公司資料登記中的個人資料於此案中並無被遺忘權之適用。 該案件起源於2007年義大利的Manni先生對雷契商業登記處(Lecce Chamber of Commerce)所提之爭訟。在由雷契法院(Tribunal di Lecce)受理的案件中,Manni先生主張其所承接觀光性建案乃因商業登記處之資料清楚顯示其於1992年間擔任負責人的公司倒閉之影響而無法成交。 在一審判決中,雷契地方法院命雷契商業登記處將Manni先生與其之前所任職公司後來進入清算程序之聯結匿名化,並應對其為損害賠償。嗣後,雷契商業登記處向義大利最高法院(Corte suprema di cassazione)提起上訴,該院則決定聲請歐盟法院的先訴裁定(preliminary uuling)程序。 歐盟法院的判決指出:公司登記資料的公開性質,乃基於確保公司間以及與第三人間之法律安定性,特別是對於有意願入股上市公司或股份有限公司的第三人之利益。考量本案所涉法律權利之範圍,以及這些權利限制資料存取的時間在會員國各有所異,歐盟法院認為本案所涉之事實並不足以正當化系爭資料近用之限制,但其亦不排除未來有不同的可能,但須個案判斷。
英國公布包含爭議性斷網條款的數位經濟法案(Digital Economy Bill)持續引發反彈聲浪在眾多反對聲浪下,英國政府仍然發佈了包含爭議性斷網條款的數位經濟法案,該法案賦予國務大臣要求ISP業者對於疑似非法侵權檔案分享者斷網之權力,在沒有法院介入審查的前提下,得要求ISP業者對於涉嫌侵權的使用者斷網。法案公布後持續引發眾多反彈聲浪。 ISP業者如:TALK TALK以及BT等,都對於這項規定持續表達反對的立場。ISP業者認為此一作法不但有違無罪推定的原則,且對於ISP業者而言,也增加了行政與費用上的負擔;但相對的,音樂唱片業者則表現出樂見其成的態度,認為此一規定將有助於英國音樂產業的永續發展。 雖然法案內容大多來自於以振興英國數位經濟為目的Digital Britain報告,但斷網的作法並不是該報告所提出的建議。英國商務大臣Mandelson表示,此一條款將保護英國創意社群免於受到網路侵權的威脅,並獲得應有的報酬,同時也提供新的選擇給網路消費者。 歐盟希望透過電信產業規範的重整,禁止成員國通過未經法院審查的斷網條款,要求斷網必須要有先行程序,但給予成員國的卻是像設定三振條款作法的彈性,不見得是斷網法院審查前置的程序,因此,歐盟的相關指令對於英國的斷網規定未必會有阻擋的效果。
澳洲專利法新制上路澳洲於去(2012)年通過「智慧財產權法修正案」 (Intellectual Property Laws Amendment Act 2012),主要修正條文已於今(2013)年4月15日起正式施行。此次的修法大幅度提高了可專利性的審查標準,為澳洲專利制度帶來重大變革。新法適用於2013年4月15日以後提出實體審查申請之專利申請案,在新法施行後專利申請案將受到更嚴格的審查。 重要修正如下: ‧新法去除了舊專利法關於先前技術的地理區域範圍的限制。將其他各國的先前技術也一併納入考量,規範較舊法更為國際化。 ‧新法只要求所屬技術領域具有通常知識者「可能了解」且「技術相關」即可,放寬了用來判斷進步性根據之先前技術標準,使得符合進步性的要求較舊法為提高。 ‧新專利法要求專利說明書需揭露系爭發明特定的(specific)、主要的(substantial)、可信的(credible)用途,以滿足實用性的要件。此外,專利說明書上之描述必須清楚且完整,使所屬技術領域中具有通常知識者得以了解文件內容並可據以實施, ‧新法對於可專利性的認定改採「概然性權衡」(balance of probabilities)標準,亦即若專利審查員認為,未來在進行專利有效性審理,法院有超過50%的機率認定系爭發明不具可專利性時,審查委員即得駁回該申請案。 ‧增加了修正專利說明書時禁止加入新事項的限制規定,對於專利的申請益趨嚴格。 此次修法是澳洲專利制度近20年以來的最大變革,經過此次修正可預見未來申請取得澳洲專利的難度將大幅提升。更值得注意的是,由此次修正,可發現澳洲專利制度已向大多數國家的規範靠攏,使得澳洲專利法與國際間其他國家如美國、歐盟等國家的規定更為協調一致。