敏感科技保護

　　歐盟執委會研究創新總署之高級專家小組(High Level Group)2017年7月3日提交名為《研究、生產、應用—投資於我們所期待的歐洲未來》(LAB- FAB - APP- Investing in the European future we want)報告，呼籲歐盟及成員國大幅增加對研發創新的投入。該報告認為過去20年，工業化國家2/3的經濟增長歸功於研發創新。歐洲必須妥善利用大量知識，將創新潛力轉化為現實的經濟增長，從而促進歐洲繁榮，解決社會挑戰。該報告提出11項建議：(1)將歐盟及成員國的預算優先考慮投入研發創新，將下一個歐盟研發創新計畫的預算提高一倍；(2)建立可創造未來市場的歐盟創新政策；(3)投入未來教育培訓，投資創新人才；(4)編制能夠發揮更大影響力的歐盟研發創新計畫，堅持目標、完善評估系統以增加計畫靈活度；(5)採取任務導向、焦點式措施應對全球挑戰；(6)使歐盟資金分配更加合理，實現與歐盟結構性基金的協同效應；(7)進一步簡化計畫管理模式，更注重效果而不是過程；(8)激勵公眾參與創新；(9)更好地促進歐盟及成員國的研發創新投資合作；(10)使國際合作成為歐盟研發創新的特徵，通過共同資助等方式，開放歐盟研發創新計畫；(11)將歐盟研發創新品牌化，擴大研究創新成果及作用。

　　美國電影協會(Motion Picture Association of America, MPAA)和美國唱片業協會(Recording Industry Association of America, RIAA)於2011年6月共同組成著作權資訊中心(Center for Copyright Information，簡稱CCI)，並說服Verizon、AT&T、Time Warner、Comcast、Cablevision等美國5大網路服務提供者加入，簽訂備忘錄，表示合作建置「著作權警告系統(Copyright Alert System，簡稱CAS)」，又謂「Six Strike系統」，該網站可向有提供下載非法檔案服務之網站業者發出警告或給予處罰，預計於2013年正式運作。 　　所謂「Six Strikes」，係指網路服務提供者發現有盜版行為時，會發出不同程度的6次警告。至於Six Strikes系統運作方式，係由各網路服務提供者自行決定要採取可有效打擊網路盜版的方式。目前美國5大網路服務提供者中，除Comcast及Cablevision以外，其它3個網路服務提供者已公開Six Strikes警告措施內容。 　　基本上，第1、2次警告屬於「通知(notice)」，僅利用電子郵件或電話通知使用者已侵害著作權；第3、4次警告屬「承認(acknowledgement)」，即利用彈跳視窗(pop-up)告知使用者侵害著作權情形已有3次以上等訊息，並且使用者應點選該告知侵權訊息之彈跳視窗方可進入其欲瀏覽的網站，使用者若點選視窗則視為其承認本身侵權行為；第5、6次警告則屬「因應措施(mitigation)」，即其它3個網路服務提供者會讓使用者感受到上網速度變慢，或是直到使用者上完著作權教育課程前，不讓其進入常瀏覽的網站等措施，而使用者亦可對網路服務提供者採取的措施提出異議。 　　但仍有論者對此提出不同看法，諸如若使用者利用虛擬私人網路(VPN)或非BitTorrent之檔案共享形式，分享檔案，即可迴避Six Strikes系統，或有論者認為侵權與否應由法院判斷，而非由網路服提供者逕行判斷等質疑，此一系統後續發展有待進一步關注。

歐盟個人資料保護委員會 （European Data Protection Board, EDPB）在徵詢公眾意見後，於今（2023）年5月24日通過了「歐盟一般資料保護規則行政裁罰計算指引04/2022」（Guidelines 04/2022 on the calculation of administrative fines under the GDPR）。此一指引，旨在協調各國資料保護主管機關（Data Protection Authorities, DPAs）計算行政罰鍰的方法，以及建立計算《歐盟一般資料保護規則》(General Data Protection Regulation, GDPR )裁罰金額的「起點」（Starting Point）。 時值我國於今（2023）年5月29日甫通過《個人資料保護法》之修法，將違反安全措施義務的行為提高裁罰數額至最高1500萬，金額之提高更需要一個明確且透明的定裁罰基準，因此該指引所揭露的裁罰計算步驟值得我國參考。指引分為五個步驟，說明如下： 1.確定案件中違反GDPR行為的行為數以及各行為最高的裁罰數額。如控管者或處理者以數個行為違反GDPR時，應分別裁罰；而如以一行為因故意或過失違反數GDPR規定者，罰鍰總額不得超過最嚴重違規情事所定之數額（指引第三章）。 2.確定計算裁罰金額的起點。EDPB將違反GDPR行為嚴重程度分為低度、中度與高度三個不同的級別，並界定不同級別的起算金額範圍，個案依照違反GDPR行為嚴重程度決定金額範圍後，尚需考量企業的營業額度以定其確切金額作為裁罰數額起點（指引第四章）。 3.控管者/處理者行為對金額的加重或減輕。評估控管者/處理者過去或現在相關行為的作為加重或減輕的因素而相應調整罰鍰金額（指引第五章）。 4.針對各違反行為，參照GPDR第83條第4項至第6項確定行政裁罰上限。GDPR並沒有對具體的違反行為設定固定的罰款金額，而是對不同違反行為規範了裁罰最高額度上限，EDPB提醒，適用第三步驟或下述第五步驟所增加的額度不能超過GDPR第83條第4至第6項度對不同違反行為所訂的最高額度限制（指引第六章）。 5.有效性、嚇阻性與比例原則的考量。個資保護主管機關應針對具體個案情況量以裁罰，必須分析計算出的最終額度是否有效、是否發揮嚇阻以及是否符合比例原則，而予以相應調整裁罰額度，而如果有客觀證據表明裁罰金額可能危及企業的生存，可以考慮依據成員國法律減輕裁罰金額（指引第七章）。 EDPB重申其將不斷審查這些步驟與方法，其亦提醒上述所有步驟必須牢記，罰鍰並非簡單數學計算，裁罰金額的關鍵因素應取決具體個案實際情況。

　　美國參議員2017年08月01日提案立法，要求提供給美國政府的物聯網網路連結設備，須符合產業資訊安全標準，同時規範設備供應商，提供之設備必須可持續更新，不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員，共和黨為Cory Gardner和Steve Daines，以及民主黨的Mark Warner和Ron Wyden。 　　由於物聯網連結數持續成長，與物聯網相連的裝置與感應器，預計在2020年會超過200億台裝置，相關裝置的資料蒐集與傳輸，同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數，即預設固定程式無法更新，則該裝置連接物聯網時，會因裝置無法更新程式，而可能產生資安漏洞，進而影響物聯網上其它連結設備之安全性。 　　2016至今，物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。 　　Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案，主要關注： 聯邦政府採購的物聯網相關設備，須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。 行政管理和預算局(Direct the Office of Management and Budget ,OMB)，須發展可供替代網路級(network-level)資安設備以供限制性資料處理。 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商，發布整合性的資安漏洞揭露指導原則。 免除資安研究人員基於誠實信用研究時，所揭露與資安漏洞有關之法規責任。 要求所有執行機構清點所有連結物聯網的設備。