敏感科技保護

歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》（Cyber Resilience Act）草案，後續待歐盟理事會正式同意後，於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品（products with digital elements, PDEs）（下簡稱為「數位產品」）具備對抗資安威脅的韌性，並提高產品安全性之透明度。草案重點摘要如下： 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務，規定產品設計、開發與生產須符合資安要求（cybersecurity requirements），且製造商須遵循漏洞處理要求，產品始得進入歐盟市場。 二、數位產品合規評估程序（conformity assessment procedures） 為證明數位產品已符合資安及漏洞處理要求，依數位產品類別，製造商須對產品執行（或委託他人執行）合規評估程序：重要（無論I類或II類）數位產品及關鍵數位產品應透過第三方進行驗證，一般數位產品得由製造商自行評估。通過合規評估程序後，製造商須提供「歐盟符合性聲明」（EU declaration of conformity），並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞，並提供「安全更新」（security updates）等方式修補漏洞。安全更新後，應公開已修復漏洞之資訊，惟當製造商認為發布相關資訊之資安風險大於安全利益時，則可推遲揭露。 四、新增開源軟體管理者（open-source software steward）之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策，並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞，或遭受嚴重事故時，應及時透過單一通報平臺（single reporting platform）進行通報，並通知受影響之使用者。

　　美國聯邦通訊委員會（FCC）主席Genachowski於2009年9月21日表示，FCC將提出新的網路開放指導原則，要求包括無線網路服務提供商在內的業者，維持網路中立，不得因傳送或下載資訊種類之差異而進行流量差別管理。此提案若經同意，預計將能有效避免如AT＆T、Verizon與Comcast等大公司故意阻斷或是降低特定消耗大量頻寬網頁流量，或對不同用戶收取差異價格的情況。 　　現行的網路開放原則係於2005年提出，僅要求網路營運商不得阻斷（stop）使用者接取合法的網路內容、應用與服務，或抵制（prevent）不讓使用者以無害的設備，如智慧手機，連線接取相關服務。 FCC預計在現行的指導原則上加入兩條新的原則，以更確保網路的開放與中立性。此兩條新的原則包含對寬頻網路服務提供業者不得歧視的網路內容與應用規範之種類，以及對網路服務提供業者透明化其網路管理作法之要求等。 　　FCC主席表示，雖然這樣的提案肯定會遭受到電信業者的反對，但FCC仍應積極維護網路公開與自由。

　　德國聯邦政府（Bundesregierung）於2020年12月16日通過「提升資訊科技系統安全性的第二版法律（Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme）」草案，又稱「資訊科技安全法2.0（IT-Sicherheitsgesetz 2.0）」，該草案概述如下： (1)加強德國聯邦資訊安全局（Bundesamt für Sicherheit in der Informationstechnik, BSI）權限： BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序，並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。 (2)加強消費者保護： 導入IT安全標籤（IT-Sicherheitskennzeichen），製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊；此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。 (3)加強企業作為義務： 關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務，該報告義務在草案中將擴張適用於具特定公共利益之公司，如與國防和保密資訊IT產業相關、具經濟上重要性的公司，以及受重大事故條例（Störfallverordnung, StöV）所規範者。 (4)加強國家保護功能： 國家應建立認證機制，並課予關鍵基礎設施的供應者通過該認證的義務，即供應者需確保其設施內的零件不具不適當的技術特性，尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。 　　該草案目前於德國聯邦議院（Deutscher Bundestag）進行審查。