資通安全管理法之簡介與因應

　　美國司法部（United States Department of Justice）、美國專利商標局（The United States Patent and Trademark Office）、美國國家標準與技術研究院（National Institute of Standards and Technology）於2021年12月6日共同發布「修改『標準必要專利』授權協議及司法救濟方法之政策宣言草案」（Draft Policy Statement On Licensing Negotiations And Remedies For Standards-Essential Patents Subject To Voluntary FRAND Commitments，下稱2021政策宣言草案），並徵集公眾意見，截止時間為2022年2月4日。2021政策宣言草案係在回應2021年7月9日「促進美國經濟體競爭性行政命令」（Executive Order on Promoting Competition in the American Economy）關於檢討2019年「有關『標準必要專利』司法救濟方法之政策宣言」（Policy Statement On Remedies For Standards-Essential Patents Subject To Voluntary FRAND Commitments，下稱2019政策宣言）之要求。 　　2021政策宣言草案揭示了兩大重點： （一）改變SEP被侵害時，對禁制令（injunction）之核發態度 　　2021政策宣言草案對於「SEP被侵害時，是否核發禁制令」一事，擬回歸適用聯邦最高法院自eBay Inc. v. MercExchange, L.L.C., 547 U.S. 388 (2006)案以來，就禁制令之核發所設立之原則—（1）原告（專利權人）會因專利侵權而遭受無法填補（irreparable）的損害；（2）目前法律上之其他救濟方法，是不足以賠償專利權人所受的損害；（3）衡量專利權人及被授權人可能遭遇之困難，足認有必要進行衡平法上的救濟；（4）核發禁制令不會傷害到任何公共利益。 （二）揭示何謂符合「誠信原則」（good-faith）授權協議的指導原則 （1）雙方應以合宜態度推進授權協議： 　　以SEP專利權人而言，其應向潛在被授權人告知可能侵害該SEP的行為態樣；其並以「公平、合理及無歧視」（fair, reasonable, and non-discriminatory, FRAND）原則進行授權。 　　以SEP被授權人而言，其應於知悉以上資訊後，於商業上得被認為合理的時間內，以合宜態度推進該協議，或逕自接受該授權協議，或拒絕原要約而反向提出一合於FRAND原則之新要約（counteroffer）。其他合宜態度例如：就SEP專利權人提出進一步探詢（例如：詢問該SEP目前之專利有效性及有無侵權情形）或請求提供更具體的資訊，或建議目前雙方所遇到的授權上爭議可透過公正第三方解決。 　　茲有附言者，SEP專利權人在收到以上回應後，亦應「於合理的時間以合宜態度」推進授權協議，例如接受被授權人反向提出之新要約，或為使原授權協議較可被接受，再行提出一合於FRAND原則之授權條款，或回應被授權人想得知更多資訊之請求，或亦提出「可透過公正第三方解決雙方所遇到之授權紛爭」的方案等。 （2）雙方應合宜妥善解決紛爭： 　　如雙方因授權而生紛爭，建議尋求替代爭議解決方式（alternative dispute resolution）；如仍欲透過司法解決，建議雙方就管轄法院達成合意，而非單方面擇定法院而提起訴訟。 　　此次徵求公眾意見的主要議題如下： （1）2021政策宣言草案是否較可適當平衡SEP專利權人及被授權人之利益？ （2）「可申請核發禁制令」一事是否為SEP專利權人願意遵守FRAND原則的重要因素？ （3）如何提升SEP授權協議之效率及透明度？ （4）2021政策宣言草案所揭示對於SEP授權時之「誠信原則」之指導原則，可否為SEP授權協議建構良好架構？ （5）是否有潛在SEP被授權人願意及不願意接受FRAND授權協議之情形？ （6）有關單位是否曾經或應就SEP授權協議提供其他參考資訊？

　　歐盟委員會（European Commission）原則上禁止將歐盟境內的個人資料傳輸至境外，只有經歐盟委員會認定其個人資料保護機制達到歐盟認可標準的國家或地區例外，例如：瑞士、加拿大、以色列等。而日本未能進入前揭國家之列的主要原因，係日本之個人資料保護法未將政府部門納入規範對象。但是基於經濟全球化的需求，日本與歐盟自2017年第一季開始加速進行雙邊合意協商。 　　日本個人資料保護委員會公布，於2017年5月修正施行的個人資料保護法，已符合歐盟資料保護規則中准許進行境外傳輸的標準。其中包括以獨立的個人資料保護機關來確保必要的保全機制能確實執行等五點（新設立個人資料保護委員會、個人資料定義的明確化、個人料去識別化、非法販賣個人資料之處罰、其他）。 　　 歐盟對此表示，雙邊對於個人資料保護之標準的差異性已經漸漸縮小，利於日本與歐盟間個人資料國際傳輸的環境也已經逐漸形成。目前於歐盟境內設立子公司或是設立法人的日本企業，預期2018年即能自由就歐盟境內雇員或顧客的個人資料，進行日本與歐盟間的國際傳輸。 　　 由於歐盟關於個人資料之保護，為歐洲聯盟基本權利憲章（Charter of Fundamental Rights of the European Union）所明定，企業若非法進行個人資料境外傳輸，會被處以高額罰金，金額約相當於該企業一年內全球營業額總額的4%或2000萬歐元，兩者取其高者為上限；股東甚至也可能面臨被提起訴訟的風險。日本此次修法，對日本在歐盟境內的企業經營將帶來莫大的裨益。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。