德國聯邦網路局發布電信網路安全要求要點
德國聯邦網路局(BNetzA)於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定,與聯邦資訊安全局(BSI)和德國聯邦資料保護與資訊自由委員會(BfDI)達成協議後制定,並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路,因該技術係為未來核心關鍵基礎設施,為確保技術發展之安全性,電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性,故用於構建5G之技術必須符合最高安全標準,且應盡可能排除安全問題,該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下:
(1)系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規,且值得信賴之供應商處獲得。
(2)必須定期且持續監控網路流量異常情況,如有疑問,應採取適當的保護措施。
(3)僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件(以下簡稱關鍵核心組件)。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。
(4)安全相關的關鍵核心組)應在交付期間進行適當之驗收測試後方能使用,且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。
(5)在安全相關領域,只能聘用經過培訓之專業人員。
(6)電信網路營運商須證明所使用的產品中,實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。
(7)在規劃和建立網路時,應使用來自不同製造商的網路和系統組件,以避免類似「單一耕作」(Monokulturen),即避免技術生態圈無法均衡發展,以及易受市場波動影響之不良效應。
(8)外包與安全相關勞務時,僅可考慮有能力,可靠且值得信賴的承包商。
(9)對於關鍵且與安全相關的關鍵核心組件,必須提供足夠的冗餘(Redundanzen)。
鑑於德國於3月中旬已拍賣5G頻譜,聯邦政府將大力推廣附加要求,並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求,聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範,並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商,應適用於整體供應鏈。此外,德國聯邦政府擬針對聯邦資訊安全局法進行修訂,包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定,將在認證框架內提供可信賴性證明。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
中國國務院發布AI行動意見,全面推動智慧應用加速現代化建設 資訊工業策進會科技法律研究所 2025年12月10日 隨著人工智慧(下稱AI)技術的快速發展,全球各國政府均積極推動AI在百工百業各領域的應用,以提升國家創新力、產業競爭力與社會治理效能,中國政府亦是如此。同時,受地緣政治及經貿競爭的影響,中國政府為強化國家供應鏈安全與韌性,由政府主導加速現代化建設,以推動智慧社會新型態的發展為目標。 壹、事件摘要 中國國務院於2025年8月26日發布「關於深入實施人工智能+行動的意見」(國發[2025〕11號)(下稱行動意見)[1],旨在全面推動AI應用於各行各業,以提升國內產業生產力與創新量能,並促進人機協作的智慧社會新型態,作為推動「中國式現代化」發展之重要建設。 貳、行動意見重點內容 於該行動意見中,中國國務院提出三項階段性目標,分別為: 一、 2027年前:AI應用普及率達70%以上 推動科技、產業、消費、民生、治理與全球合作的6大核心領域全面結合AI應用,擴大AI使用普及率達70%以上,以達加速公共治理與產業創新之成效。 二、 2030年前:AI應用普及率達90%以上 強化前述6大核心領域,持續擴大AI使用普及率可達90%以上,實現研發成果共享之效益。 三、 2035年前:AI應用普及率達100% 建立全面人機協作之智慧經濟與社會新型態,作為國家現代化建設之重要基礎。 為實現前述三階段目標,中國政府針對6大核心領域提出具體行動方向,重點整理如下: 一、 AI+科學技術 為加速科研進程並推動大模型建設與應用,將強化基礎科學研究平台和重要科技基礎建設的智慧化升級,打造開放式且高品質的共享資料集,以促進AI跨領域的結合發展。同時,亦積極促進AI帶動研發模式創新與效能的提升,以加速技術研發和產品應用落地。 二、 AI+產業發展 鼓勵企業將AI導入內部策略規劃、組織架構與業務流程設計等,以建構創新的商業模式;並在技術、產品與服務體系中推動智慧化應用,強化供應鏈各環節與AI的協作,同時最佳化工業、農業及服務業的生產與服務模式,藉以帶動傳統產業轉型升級,建構新型生態體系並加速整體產能提升。 三、 AI+消費增質 透過推動AI與服務的結合,建立多元及智慧化的服務模式,加速發展智慧消費相關基礎建設;此外,推動AI應用於各類商品與設備,重點發展智慧聯網汽車、智慧機器人、智慧家居、智慧穿戴等終端商品,加速技術融合與產品創新,以提升人民生活的品質。 四、 AI+民生福祉 透過推動人機協作的模式,提供新型的工作、學習與生活型態,建立更具智慧化的社會發展模式。例如,企業雇主可藉由AI協助建立新型組織架構和管理模式,提升傳統職務執行之效率,亦或是透過AI進行技能培訓以因應勞動力短缺之情形;學校教育面向則可推動AI融入教學教材,推動更加多元與互動之學習生態;生活方面則計劃推動AI健康照護、社會服務等領域廣泛應用,全面提升公共服務與生活品質,形成具包容性的智慧化社會。 五、 AI+智慧治理 推動AI全面導入社會治理過程,以促進市政管理、政務服務及公共資源運作的智慧化轉型,並利用AI強化公共安全與網路安全治理能力,完善國家安全防護的機制;於生態層面,將運用AI推動綠色永續與人機協作,強化於環境與碳管理領域的監測、預測及治理能力,促進高效及精準的治理模式。 六、 AI+全球合作 推動AI的普及與共向,建立開放生態系、強化運算能力、資料與人才領域的國際合作,共同提升全球南方AI基礎建設,縮減全球數位落差,協助各國可平等參與智慧化發展過程,共同因應AI應用相關風險,確保技術發展安全且可信賴地發展。 參、事件評析 從上述中國國務院發布之行動意見可知,其目標在於藉由強化安全及可信賴的AI,並促進AI應用於各領域的發展,以建構可持續性的智慧化生態系,提升社會治理效率與全民生活的品質,以利國家經濟與科技的共同發展。 然而,該行動意見雖明確提出國家整體目標及治理方向,為相關領域的智慧化發展提供指引,惟對於各項目標尚未提出可操作性措施、具體政策細節,或對產官學各單位可獲得的政府資源、技術支持與協助等進行明確規範。故後續仍需持續關注相應政策措施及配套資源的發布,以評估其實際推動AI應用之成效。 [1]《国务院关于深入实施“人工智能+”行动的意见》(國發[2025]11号)。
BS 10012:2017個人資訊管理系統新版標準已發布BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。 2017新版架構由原本的6章變為為10章,新架構如下: 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 新標準主要修改內容如下: 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用: (1)蒐集前須先告知當事人並取得其同意。 (2)蒐集應有必要性且最小化。 (3)兒童個資蒐集、利用須先經監護人同意。 (4)若個資利用目的為開放資料(Open data)須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。
歐洲新著作權指令 將影響互聯網環境下之著作使用2018年9月12日,歐洲議會通過歐盟委員會於2016年制定的「單一數位市場著作權指令」,其中包含最具爭議的兩項條款: 第11條是有關「鏈接稅」(link tax)的條款。針對使用或匯集新聞文章片段的網站,未來恐需向源頭出版之新聞業者支付授權費用。例如若Twitter推文中包含來自Guardian文章的螢幕或文字摘要截取,則Guardian可以要求Twitter支付授權費用。 第13條則是有關「上傳過濾器」(upload filter)或稱「Memes禁令」(meme ban)的條款。為加重網路平台服務業者防止上傳者侵害著作權的監控責任,要求如Google和Facebook等業者,須使用強制內容過濾的軟體以清除違規行為,且須建立快速刪除機制,避免侵害著作權。 該指令在歐洲議會通過後,將進入歐盟委員會、歐盟理事會和歐洲議會之間的非正式談判。這三個組織將決定最終版本,約2018年12月提交給歐盟法律事務委員會,最後於2019年1月再回到歐洲議會進行投票。 歐盟指令本身雖不是法律,如何解釋立法也將取決於各國,惟透過本次歐洲議會的結果,可預見未來在歐洲市場,對於著作權人的保護與使用者的行為,將朝權利衡平的方向作調整。
從思科(Cisco)策略看公司併購全球最大網路設備業者思科(Cisco)公司在去年1月同意以8.3億美元併購以攔截與過濾垃圾郵件著名的軟體供應商IronPort Systems,以強化思科在資訊安全相關軟體方面的實力。思科購入IronPort公司後,不僅可為其客戶提供包括垃圾郵件過濾軟體和其他資安防護軟體,而此一併購案也象徵思科公司除本業的網路設備(router)外,也跨入資安軟體的領域進而挑戰其他大型防毒軟體業者(如賽門鐵克Symantec)。 以併購取得其他公司的商標、專利或人力資源等,在競爭激烈的商場十分常見,本來不足為奇,但此案值得注意的是原本思科公司的併購策略(acquisition strategy)是指派專人,將被併購的公司迅速融入思科體系,除取得原有的資源外,也可以快速地進入市場,此種方式亦是目前大多數廠商所採行的方法。 但自2003年後思科公司開始思考採取不同的併購方式:保留被併購公司的商標與行銷團隊,除可避免併購之後所可能產生的文化衝擊、制度磨合等問題,透過新的方式思科公司仍然獲得極大的收益。近來常聽聞國內的廠商積極併購其他公司,除成本或智慧財產等,管理制度亦是考量的重點之一,或許思科公司的策略可以提供給國內廠商參考。