德國聯邦網路局發布電信網路安全要求要點

  德國聯邦網路局(BNetzA)於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定,與聯邦資訊安全局(BSI)和德國聯邦資料保護與資訊自由委員會(BfDI)達成協議後制定,並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路,因該技術係為未來核心關鍵基礎設施,為確保技術發展之安全性,電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性,故用於構建5G之技術必須符合最高安全標準,且應盡可能排除安全問題,該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下:

(1)系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規,且值得信賴之供應商處獲得。

(2)必須定期且持續監控網路流量異常情況,如有疑問,應採取適當的保護措施。

(3)僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件(以下簡稱關鍵核心組件)。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。

(4)安全相關的關鍵核心組)應在交付期間進行適當之驗收測試後方能使用,且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。

(5)在安全相關領域,只能聘用經過培訓之專業人員。

(6)電信網路營運商須證明所使用的產品中,實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。

(7)在規劃和建立網路時,應使用來自不同製造商的網路和系統組件,以避免類似「單一耕作」(Monokulturen),即避免技術生態圈無法均衡發展,以及易受市場波動影響之不良效應。

(8)外包與安全相關勞務時,僅可考慮有能力,可靠且值得信賴的承包商。

(9)對於關鍵且與安全相關的關鍵核心組件,必須提供足夠的冗餘(Redundanzen)。

  鑑於德國於3月中旬已拍賣5G頻譜,聯邦政府將大力推廣附加要求,並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求,聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範,並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商,應適用於整體供應鏈。此外,德國聯邦政府擬針對聯邦資訊安全局法進行修訂,包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定,將在認證框架內提供可信賴性證明。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 德國聯邦網路局發布電信網路安全要求要點, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8273&no=57&tp=5 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
德國制定衛星資料保護專法,約束衛星地理資料商業性的利用

  今年年初德國聯邦政府向參議會提出「衛星資料保護法(SatDSiG)草案」,為國家以外的衛星資料利用,制定明確的規範。該草案將是歐洲第一個針對此議題所提出的草案。   該草案指出,利用「地表遙感偵查系統(Erdfernerkundungssystem)」所得資料或其所衍生的產品,不僅對國家軍事、外交安全帶來威脅,也可能造成個人隱私權的侵害。   該草案其他內容包括,所有「地表遙感偵查系統」的經營均須經過政府許可且受公權力監督。業者在接受客戶委託時,須特別注意是否有任何危害到德國國家安全的可能。其中判斷的標準如,所得資料涉及的內容、委託者身分、受委託偵測的地區、受委託的時間。如經衡量有涉及國家安全,則該資料的散佈須得政府的同意。   草案所稱衛星資料衍生產品例如照片、雷達資料以及其他經數位化商品如手機定位系統服務。違反者將面臨最高5年徒刑或50萬歐元罰金。   德國國會經濟委員會在9月10日針對該草案舉辦公聽會。會中隱私權保護團體也表達支持制定該法,各界亦贊同以專法約束具商業性的衛星資料取得利用,以保護個人隱私權。隱私權團體進一步表示,所有的衛星資料都涉及到地理資料,當衛星地理資料與其他可供識別個人身分的資料結合,則威脅到個人隱私權,而這些資料不當使用對於公眾人物格外敏感。   Google則表示,該草案適用客體應明確排除如搜索引擎等服務,且Google針對搜尋結果的圖片上網前,均會檢查其內容是否不當或違法。

美國勞動部就業培訓署發布《人工智慧素養框架》

美國勞動部就業培訓署(The U.S. Department of Labor’s Employment and Training Administration,簡稱ETA)於2026年2月13日發布《人工智慧素養框架》(Artificial Intelligence Literacy Framework,以下簡稱本框架),旨在鼓勵公共勞動力系統與教育系統擴大推動AI素養(AI literacy)相關教育與培訓,為美國勞工因應AI時代之經濟與工作變遷提供方向指引,協助其培備所需核心能力。 本框架目標在支援勞動部執行《美國AI行動計畫》(Winning the Race: America’s AI Action Plan)及《美國人才戰略:為黃金時代打造勞動力》(America’s Talent Strategy: Building the Workforce for the Golden Age)兩部政策文件所揭示之任務,二者均將AI素養列為應於勞動力與教育體系全面推展之基礎性優先事項。本框架可分為三部分,第一部分提出AI素養的工作定義,並就勞工、雇主、教育與培訓提供者及州與地方機構四類受眾,分別說明框架的應用方式;第二部分界定所有勞工應具備的AI素養能力及其具體範疇與實作要求;第三部分則就培訓方案的設計與執行,提供課程規劃與推動策略的具體指引。 一、概念定義 本框架將AI素養定義為一套使個人得以負責任地使用與評估AI技術的基礎能力,並以對現代職場日益重要的生成式AI為核心。美國勞動部指出,「素養」應理解為隨著AI普及各行各業,所有勞工與學生與AI工具互動之知識與技能基準。 本框架分別針對四類受眾分別說明其應用方式。就勞工而言,現有勞工、求職者及即將進入職場之學生,可以此了解AI素養對職涯發展的意義與技能培養方向,在提升工作效能之餘開創新的職涯機會。就雇主而言,可據此建立企業內部AI素養培訓,確保員工有效且負責任地使用AI工具。就教育培訓提供者而言,可將AI素養融入現有課程,為學習者建立職場所需的核心能力。就州與地方機構而言,則可推動勞動與教育體系之AI素養培育,協助學生與求職者因應市場變遷,並回應雇主對AI人才之需求。 二、AI素養五大基本內容領域 本框架界定五大AI素養基礎內容領域,構成所有勞工應具備的能力基線。 1.了解AI原則(Understand AI Principles):理解AI的核心概念、能力與限制,為有效應用奠定基礎。 2.探索AI用途(Explore AI Uses):探索不同AI工具與應用情境,及其如何與人類專業知識相輔相成。 3.有效導引AI(Direct AI Effectively):掌握如何提供適當情境脈絡與撰寫清晰提示詞,以產生有效輸出。 4.評估AI輸出(Evaluate AI Outputs):評估AI生成結果之準確性與相關性,並了解如何對其輸出進行迭代優化。 5.負責任地使用AI(Use AI Responsibly):以合乎倫理且安全的方式使用AI,保護重要資訊並對結果負責。 三、AI素養七大推行原則 本框架提出七大推行原則,作為培訓方案設計與執行的具體指引。 1.啟動體驗式學習(Enable Experiential Learning):透過實際操作培養AI素養,使學習者得於真實情境中練習AI技能。 2.將學習融入情境(Embed Learning in Context):將學習融入既有流程並結合產業特性,使學習成果更具實踐價值。 3.建立互補性人類技能(Build Complementary Human Skills):借助AI強化人類之判斷力、創造力與問題解決能力。 4.消除學習前置障礙(Address Prerequisites to AI Literacy):消弭AI素養學習之障礙,包括數位素養不足與寬頻網路取得的問題。 5.建立持續學習路徑(Create Pathways for Continued Learning):提供系統性進修路徑,協助學習者提升進階AI技能並拓展職涯發展。 6.培育賦能角色(Prepare Enabling Roles):培育管理者、輔導人員及其他於學習歷程中扮演支持角色之人員。 7.以敏捷性為設計原則(Design for Agility):建立主動的內建機制,以隨AI能力演進迅速更新素養內容與推動方式。 面對AI時代工作型態之快速變遷,美國《人工智慧素養框架》在政策制定、勞動力轉型與AI人才系統化培育等面向所揭示之架構與策略,具有參考價值,可以供我國政府機關研擬相關政策時參考。

在西班牙下載音樂無罪?!

  本週西班牙法官判決,認為行為人為私人用途而下載音樂,其行為並非藉以從中獲利,應認其為無罪。 即便,檢察官辦公室及音樂工會呼籲應對此下載音樂並且在郵件及聊天室提供音樂之被告,處以兩年有期徒刑,然而,在此案當中,卻無直接證據證明被告於銷售音樂之過程中獲利。   此判決震驚了音樂工會,如此一來,西班牙一千六百萬的網路使用者將可透過網路交換音樂而不會受到處罰。西班牙唱片工會聯盟 Promusicae 表示,他將對此項判決提起上訴。   由於歐洲不同的法律規定,關於分享檔案的訴訟也會因不同國家而有極大的差異。然而,大多數的歐洲國家傾向對此處以較高的刑罰。就同為歐盟成員的芬蘭而言,上週便有 22 人因為非法分享電影、音樂遊戲及軟體而被處以 427,000 歐元。   至於西班牙此項為個人用途而下載音樂之行為,據其司法院院長指出,則有待立法修正解決。

歐盟網路暨資訊安全局發布「重要基礎設施資訊安全培訓需求盤點報告」加強重要部門資訊安全作業

  歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件,點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。   歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。   此份報告指出,該重要性部門之資安等級需求並不盡相同,因此導致各部門面對資安事件之準備無法相提並論。例如,能源產業會用到SCADA系統,而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級,故此份報告目的係確認該部門當前的處境,並與現階段可取得之網路安全訓練對照,進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。   我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫,並向中央目的事業主管機關或直轄市、縣(市)政府提出該計畫之實施情形,在未來實際落實各重要性設施之資安維護以及資安小組訓練時,須意識到各重要性設施之資訊安全需求差異性,及相關人員必須針對不同單位而受不同之訓練。

TOP