英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案

  英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。

  此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。

  此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。

  其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。

  此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。

本文為「經濟部產業技術司科技專案成果」

※ 英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8092&no=67&tp=5 (最後瀏覽日:2026/07/16)
引註此篇文章
你可能還會想看
歐盟發布綠色政綱產業計畫,提供綠色轉型、國家補助、供應鏈韌性政策

  歐盟執委會於2023年2月1日公布「綠色政綱產業計畫(Green Deal Industrial Plan)」,該計畫主要包含淨零產品產業建立、國家補助、強化供應鏈、資金等綠色轉型重要政策。「綠色政綱產業計畫」將透過以下四大支柱協助歐盟進行綠色轉型。   (1)建立可預測、簡化且一致的管制環境   歐盟將提出《淨零產業法(Net-Zero Industry Act)》草案簡化管制框架來支持電池、風車、熱汞、太陽能板、電解、碳捕捉等技術;本法案將分析各產業部門後,建立各部門2030年能力目標,確保產業供應鏈不會遭遇瓶頸,並縮短淨零產品工廠選址和中小企業補助核准流程時間,以及增強核准流程的可預測性。另外歐盟並將提出《關鍵原物料法(Critical Raw Material Act)》草案,以管制生產淨零產品的關鍵物資,並透過回收、來源多樣化等方式來降低歐盟對第三方國家的依賴。   (2)更快的提供充足資金   歐盟將放寬各會員國的補助程序,並提高補助金額上限。另外因應中國和美國對淨零產業的補助,本計畫將提高歐盟與歐盟會員國的淨零產業補助額度,讓補助效果能和其他非會員國的補助達同樣程度。   (3)人才訓練與技術強化   歐盟將透過人才訓練、認證和補助來增加綠色及數位轉型技術之勞動力。   (4)為建立韌性供應鏈開放貿易   歐盟將加強與非會員國的自由貿易協定,增加關鍵原物料來源。歐盟也將透過《外國補助規則(Regulation on Foreign Subsidies)》保護歐盟市場的公平性、調查非會員國的傾銷行為、扭曲市場的補助。

美國加州法院期透過數位方式管理證據生命週期,帶動司法效率提升

2024年9月23日起,美國加州洛杉磯高等法院於康普頓(Compton)與比佛利山莊(Beverly Hills)法院試行數位證據系統,旨於簡化小額訴訟程序,使訴訟當事人透過數位證據系統平臺進行數位證據開示,節省郵寄實體證據副本所花費的時間、人力、物力。洛杉磯高等法院為全美最大之一審法院,法院轄區人數逾1千萬人,其所推動之數位證據系統具參考價值。 以下說明數位證據系統的重點: 1.數位證據系統適用的案件範圍 適用於「小額訴訟當事人於聽證會前之證據開示程序」。 關於證據開示程序,訴訟當事人應至少於訴訟聽證會前10 日完成證據開示。證據開示程序的傳統做法為當事人將證據副本「郵寄」給對造,而數位證據系統允許訴訟兩造於聽證會前,以「電子方式」交換證據。 依加州法規定,小額訴訟指原告向被告(個人、企業或政府單位)請求給付的金額在1.25萬美元以下。 2.數位證據系統可上傳的數位證據類型 訴訟當事人輸入「案號、聽證會具體日期、個人資訊(電子信箱或手機號碼)及6位數字金鑰」以驗證身分、註冊數位證據系統帳號後,可於數位證據系統分批上傳多種文件格式,包含時戳證據(Time stamp evidence)、圖片、影片、文字檔(如Word、OpenOffice)、PDF檔案、HTML檔案、簡報檔案等。並勾選上傳資料之當事人身分(原告或被告),確認上傳證據。 當事人應於確認上傳之每筆證據的註解中,簡述(briefly)該證據資訊。 經當事人確認、成功上傳至數位證據系統的每筆證據,都會擁有其唯一的(unique)證據編號(Exhibit Number)。 該系統最終會製作出一份「涵蓋該案件所有數位證據資訊的證據清單(Exhibit List)」PDF檔案,包含:案號、數位證據編號、證據縮圖及證據之簡述資訊等資訊,以便當事人依證據清單,參考(refer to)證據編號進行證據開示。 3.數位證據系統的檔案權限控管之設定 (1)上傳、編輯、刪除權限 訴訟當事人可上傳數位證據。 於系統上傳、未確認送出數位證據的階段,當事人則可編輯、刪除數位證據。 (2)線上瀏覽權限 上傳證據之當事人、司法人員擁有線上瀏覽「所有經當事人確認上傳之數位證據」的權限。 於系統確認數位證據後,上傳證據之當事人可於系統「勾選欲共享之數位證據」後,輸入對造之姓名、電子信箱,與對造共享其指定之數位證據。 (3)下載權限 訴訟期間至結案後60日內,訴訟兩造均可於數位證據系統下載數位證據。 4.證據於數位證據系統的保存期限 於小額訴訟結案後60日內,系統將自動刪除該案上傳之數位證據。 美國加州推動數位證據平臺,使當事人於平臺驗證身分、上傳時戳等數位證據,由平臺產出涵蓋案號、證據編號及證據資訊之證據清單,透過系統之權限控管加強證據管理,以數位證據開示減輕傳統證據開示程序之負擔。關於司法資料交換,參照我國由司法院、法務部、臺灣高等檢察署、內政部警政署及法務部調查局於2024年4月正式啟用之「司法聯盟鏈共同驗證平台」,以「b-JADE證明標章」作為數位資料管理之標準,透過數位資料歷程管理與資料存證機制,鞏固證物保管機制。 上述之國內外趨勢之資料管理之作法可被資策會科法所發布之《重要數位資料治理暨管理制度規範(下稱EDGS)》所涵蓋,美國加州數位證據系統,透過管理證據生命週期之各階段,首先由當事人上傳、確認證物資訊及建置清單;其次設有不同程度的檔案使用權限;並訂有證據資料之保存期限,以便進行證據管理、加速司法訴訟之證據開示程序。而為方便資料管理者控管數位資料,EDGS同樣強調資料之生命週期管理,由「檔案標題或檔案的相關資訊,需要能對應特定的數位資料」,輔以建立「資料清單」有助於盤點多筆資料。並透過「控管資料權限」等保護措施,搭配「評估資料的維護期限」,以達到管理資料歷程的目標。建議企業將EDGS納入資料管理規劃,確保資料管控有方。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

傳統織物及布料之圖樣是否能申請商標註冊—以「鬼滅之刃」為例

  最近不論在日本或是台灣,都吹起了一股鬼滅之刃的風潮。據統計,今年(2020)10月份所上映的鬼滅之刃劇場版,僅僅花了10天就達到超過100億日圓的票房收入。連日本首相菅義偉都在國會時質詢時說出「我也要用『全集中呼吸』來答辯」這番話。在這股風潮之下,出版者集英社有感於盜版猖獗,針對作品主角所穿的日本傳統服飾「羽織」的外觀圖樣申請商標,掀起網路上正反不同的討論。但是這樣的外觀圖樣是否可以申請商標呢?   依據日本商標法第6條規定,如果無法做為區辨與他人業務相關商品或服務之標準時,亦即不具「自他識別力」時,不得做為商標申請註冊如:地模樣(台灣稱「連續圖樣」商標)原則上即不得申請註冊。一般來說,如果連續圖樣非如Louis Vuitton 的經典Epi皮革般廣為人知,均難以做為商標申請註冊。   因此,若是鬼滅之刃中所使用的日本傳統市松(連續方格)花紋(為主角炭治郎所穿)及大麻葉花紋(為主角禰豆子所穿),較不易被認定具有自他識別力,而主管機關也不會希望因為商標而造成日本傳統和服業者的困擾。   此外,包括Cosplay玩家在內的反對者,也認為這些本來就是傳統的圖案,如果可以註冊商標,恐壟斷連續圖樣的使用。目前日本特許廳上針對相關申請案正在審理中,是否會核准註冊,值得後續關注。

WhatsApp因違反GDPR遭愛爾蘭資料保護委員會開罰2.25億歐元

  愛爾蘭資料保護委員會(Data Protection Commission,DPC)於今(2021)年9月宣告WhatsApp Ireland Limited(下稱WhatsApp)違反歐盟一般資料保護規則(General Data Protection Regulation,GDPR)並處以高額裁罰。   DPC自2018年12月起主動調查WhatsApp是否違反GDPR下的透明化義務,包括WhatsApp透過其軟體蒐集用戶與非用戶的個人資料時,是否有依GDPR第12條至第14條提供包括個資處理目的、法律依據等相關資訊,以及該資訊有無符合透明化原則等,其中又以WhatsApp是否提供「如何與其他關係企業(如Facebook)分享個資」之相關資訊為調查重點。   歷經長時間的調查,DPC作為本案領導監管機關(lead supervisory authority),於2020年12月依GDPR第60條提交裁決草案予其他相關監管機關(supervisory authorities concerned)審議。惟DPC與其他相關監管機關就該裁決草案無法達成共識,DPC復於今年6月依GDPR第65條啟動爭議解決程序,而歐洲資料委員會(European Data Protection Board)在同年7月對裁決草案中的疑義做出有拘束力之結論,要求DPC提高草案中擬定的罰鍰金額。   DPC最終在今年9月2日公布正式裁決,認定WhatsApp未依第12條至第14條提供資訊予「非軟體用戶」之資料主體,而「軟體用戶」的部分也僅有41%符合規範,嚴重違反GDPR第5(1)(a)條透明化原則。據此,以母公司Facebook全集團營業額作為裁罰基準,DPC對WhatsApp處2.25億歐元之罰鍰,為GDPR生效以來第二高的裁罰,並限期3個月改善。

TOP