德國聯邦網路局發布電信網路安全要求要點
德國聯邦網路局(BNetzA)於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定,與聯邦資訊安全局(BSI)和德國聯邦資料保護與資訊自由委員會(BfDI)達成協議後制定,並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路,因該技術係為未來核心關鍵基礎設施,為確保技術發展之安全性,電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性,故用於構建5G之技術必須符合最高安全標準,且應盡可能排除安全問題,該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下:
(1)系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規,且值得信賴之供應商處獲得。
(2)必須定期且持續監控網路流量異常情況,如有疑問,應採取適當的保護措施。
(3)僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件(以下簡稱關鍵核心組件)。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。
(4)安全相關的關鍵核心組)應在交付期間進行適當之驗收測試後方能使用,且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。
(5)在安全相關領域,只能聘用經過培訓之專業人員。
(6)電信網路營運商須證明所使用的產品中,實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。
(7)在規劃和建立網路時,應使用來自不同製造商的網路和系統組件,以避免類似「單一耕作」(Monokulturen),即避免技術生態圈無法均衡發展,以及易受市場波動影響之不良效應。
(8)外包與安全相關勞務時,僅可考慮有能力,可靠且值得信賴的承包商。
(9)對於關鍵且與安全相關的關鍵核心組件,必須提供足夠的冗餘(Redundanzen)。
鑑於德國於3月中旬已拍賣5G頻譜,聯邦政府將大力推廣附加要求,並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求,聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範,並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商,應適用於整體供應鏈。此外,德國聯邦政府擬針對聯邦資訊安全局法進行修訂,包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定,將在認證框架內提供可信賴性證明。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
從促參法修正談我國通訊傳播網路產業輔導之法制化 新興通訊設備與服務之無障礙義務—以ITU政策及美國CVAA為例 歐盟提出人工智慧法律框架草案歐盟執委會於2020年2月公布《人工智慧白皮書》(AI White Paper)後,持續蒐集各方意見並提出新的人工智慧規範與行動。2021年4月針對人工智慧法律框架提出規範草案(Proposal for a Regulation on a European approach for Artificial Intelligence),透過規範確保人民與企業運用人工智慧時之安全及基本權利,藉以強化歐盟對人工智慧之應用、投資與創新。 新的人工智慧法律框架未來預計將統一適用於歐盟各成員國,而基於風險規範方法將人工智慧系統主要分為「不可接受之風險」、「高風險」、「有限風險」及「最小風險」四個等級。「不可接受之風險」因為對人類安全、生活及基本權利構成明顯威脅,故將被禁止使用,例如:政府進行大規模的公民評分系統;「高風險」則是透過正面例舉方式提出,包括:可能使公民生命或健康處於危險之中的關鍵基礎設施、教育或職業培訓、產品安全、勞工與就業、基本之私人或公共服務、可能會干擾基本權之司法應用、移民與庇護等面向,而高風險之人工智慧在進入市場之前須要先行遵守嚴格之義務,並進行適當風險評估及緩解措施等。「有限風險」則是指部分人工智慧應有透明度之義務,例如當用戶在與該人工智慧系統交流時,需要告知並使用戶意識到其正與人工智慧系統交流。最後則是「最小風險」,大部分人工智慧應屬此類型,因對公民造成很小或零風險,各草案並未規範此類人工智慧。 未來在人工智慧之治理方面,歐盟執委會建議各國現有管理市場之主管機關督導新規範之執行,且將成立歐洲人工智慧委員會(European Artificial Intelligence Board),推動人工智慧相關規範、標準及準則之發展,也將提出法規沙盒以促進可信賴及負責任之人工智慧。