澳洲證券投資委員會與美國商品期貨交易委員會簽訂雙邊合作協議

　　歐盟為提升網路數位化產品之安全性，解決現有網路安全監管框架差距，歐盟執委會於2022年9月提出《網路韌性法案》（EU Cyber Resilience Act）草案，對網路供應鏈提供強制性網路安全標準，並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標： 　　1.確保製造商對於提升產品之網路安全涵蓋整個生產週期； 　　2.為歐盟網路安全之合法性創建單一且明確之監管架構； 　　3.提高網路安全實踐之透明度，以及製造商與其產品之屬性； 　　4.為消費者和企業提供隨時可用之安全產品。 　　《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時，須滿足法規要求之網路安全標準，始得於市場上銷售，並應提供清晰易懂之使用說明予消費者，使其充分知悉網路安全相關資訊，且至少應於五年內提供安全維護與軟體更新。 　　《網路韌性法案》將所涵蓋之數位化產品分為三種類別（產品示例可參考法案附件三）：I類別、II類別，以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別，須遵守法規要求之安全標準或經由第三方評估；II類別為與網路安全漏洞具密切關連之高風險產品，須完成第三方合格評估始符合網路安全標準；預設類別則為無嚴重網路安全漏洞之產品，公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品，惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。 　　若製造商未能遵守《網路韌性法案》之基本要求和義務，將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　為促進電信市場競爭與服務之普及，在2012年12月28日美國公佈FCC12-161命令，而透過該項命令，預計未來不論機組人員、亦或是旅客於商業客機、自用客機內，使用網路服務的比例將會提升。FCC認為此舉不僅可滿足消費者對無所不在(Ubiquitous)網路的需求外，亦可促後使經濟成長與創造就業機會。 　　其實，早於2001年，美國政府就透過同步軌道的方式(Geostationary-Orbit)開放網路服務，但在設置上必須設置多個地球站(earth station)，而FCC所命名的Earth Stations Aboard Aircraft(ESAA)，則延續過去設置於車輛、船舶之技術，在飛機外部安裝接收器，以和衛星固定業務(fixed satellite service)作為骨幹，使乘客手機透過例如Wifi技術取得網路服務；至於，在頻段的使用上，相較過去以非有害干擾為前提，ESAA則有明確之規定：下傳(downlink)頻率之選擇是依循車輛、船舶執行相同服務的規定、並考量將經過不同國域與領海，故選擇該10.95-11.2 GHz、11.45-11.7 GHz與11.7-12.2 GHz，以符合美國、國際頻譜配置；上傳(uplink)的頻率則是基於不受雙向干擾之情況下，選擇14.0-14.5 GHz頻段。 　　現階段，FCC為積極促進該業務發展，不僅允許航空公司與寬頻業者皆可提供服務外，亦建立一套管制架構，以保護飛航網路不受干擾、確保地面無線電服務能正常運作，並且，為減少行政資源與促進服務普及，FCC簡化業者申請流程，最多僅需原來時間的一半。雖然， FCC針對技術、執照的發放有詳細的規範，但尚未對旅客使用VOIP服務(Eg:Line、Skype)做任何規範，而這是FCC未來推廣該服務之隱憂。儘管如此，該服務推展確實可便利遊走各國間之旅客，但對於想在飛機上享受片刻寧靜的人而言，能普及使用Wifi可真是喜憂參半的消息。

　　消費者評論服務Angie's List於本月在印第安納州提起一項聯邦訴訟，對象是Amazon Local。Angie's List作為當地交易網站，提供高達75％的本地服務，包括產品和使用經驗。但Amazon Local員工卻通過註冊成為Angie's List的會員，以獲得其他會員名單和下載網站所提供的文件，也包括其他會員的評論和相關資訊。因此20餘名Amazon Local員工被列為共同被告。 　　該訴訟聲明中指控相關資訊被Amazon Local所使用，用以在西雅圖建立一個競爭性的服務。Angie's List在訴訟中指稱，他在會員協議“明確禁止使用Angie's List的帳戶和資料用於商業目的”，但Amazon Local員工卻違反了契約。“Amazon Local沒有投入必要的時間，資源和合法手段發展自己的研究與Angie's List競爭，相反的，Angie's List和它的員工都選擇了秘密訪問和挪用Angie's List專有信息的快捷方式。 　　Angie's List指控Amazon Local違反商業機密，竊盜，侵入電腦，民事侵權，電腦欺詐與濫用盜用行為和違反契約。Angie's List請求法院判決Amazon Local賠償其損失，並禁止Amazon Local再使用Angie's List，包括已經得到的資訊。Angie's List也請求未規定的損害賠償，“不當得利”和懲罰性的和其他損害。