歐盟公布智慧運輸系統指令授權規則
歐盟執委會於2019年3月13日針對清潔,聯網和自動化移動戰略,公布智慧運輸系統指令授權規則(Commission Delegated Regulation of 13.3.2019 supplementing Directive 2010/40/EU of the European Parliament and of the Council with regard to the deployment and operational use of cooperative intelligent transport systems),該授權規則(Delegated Regulation)係歐盟執委會為執行智慧運輸系統指令(ITS Directive)所制訂之相關細則,其目的使執委會與會員國合作提出指導分針,進一步讓各國能夠對自動及聯網化駕駛車輛進行型式認可,以加速相關創新運輸技術於歐洲協同式智慧運輸系統(C-ITS)之發展。其創新技術包含使車輛間可相互「交談」,或與道路基礎設施以及其他道路使用者「交談」,可應用在例如危險情況,道路施工和掌控交通號誌時間,將使公路運輸更安全,更清潔,更高效率。授權規則將符合容克委員會(Juncker Commission),即現任歐盟執委會主席容克領導的執政團隊,其所提出的清潔移動提案( Proposals on clean mobility),是歐盟移動現代化的另一步驟,也為本世紀下半葉的氣候中和(climate neutral)目標,即達到溫室氣體排放總量為零之目標作準備,並持續達到歐盟2050年交通事故近零死亡或零嚴重傷害的目標。
歐盟移動及運輸專員Violeta Bulc表示:「此決定將為車輛製造商,道路營運者和其他人提供一個法源依據,以便於歐洲開始大規模發展C-ITS服務,同時對新技術和市場發展持開放態度。此將極力促進我們實現我們對道路安全的願景,並作為實現聯網化和自動化移動性的重要基礎。」
車輛,交通號誌和高速公路在裝配合規之聯網技術裝置後,可向周圍的所有交通使用者發送標準化之訊息,此將是實現車間通訊的重要里程碑。該授權規則將確保不同系統間擁有協同工作能力,使所有配備該技術的站點能在開放網路中安全地與任何其他站點交換資訊,並讓系統可順利運行,透過車輛間以及車輛和交通基礎設施之間的連接,也能幫助駕駛員做出正確的決策並視交通狀況來改善道路安全性、交通效率及舒適性。
本文為「經濟部產業技術司科技專案成果」
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。 文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。 「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。 本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
歐盟正式通過資料治理法(DGA),歐盟資料共享發展跨出一大步歐盟理事會(Council of the European Union)於2022年5月16日正式通過了資料治理法(Data Governance Act, 簡稱DGA),本法是歐盟執委會(European Commission)於2020年11月提案,經過一年多的意見徵詢與協商,歐盟議會(European Parliament)於今(2022)年4月6日以501票贊成通過,隨後由歐盟理事會通過公布,本法預計將於2023年8月正式生效。 DGA包含幾大面向,除了針對資料中介服務(data intermediation)、資料利他主義(data altruism)、歐盟資料創新委員會(European Data Innovation Board)等機制建立的規定外,在第二章特別針對公部門所持有之特定類別資料的再利用(reuse)進行規定。當公部門持有的資料涉及第三方受特定法律保護的權利時(如涉及第三方之商業機密、智慧財產、個資等),本法規定公部門只要符合特定條件下可將此類資料提供外界申請利用;若為提供符合歐盟整體利益的服務且具有正當理由和必要性的例外情況下,得授予申請對象專有權(exclusive rights),但授權期間不得超過12個月;歐盟應以相關技術確保所提供資料之隱私和機密性。 再者,各會員國應指定現有機構或創建一個新機構擔任提供上述資料類型的單一資訊點(Single Information Point, SIP),以電子方式公開透明地提供資料清單,包含可申請利用之資料的來源及相關描述(至少包含資料格式、檔案大小、再利用的條件等),以提供中小企業、新創企業便利、可信的資料查詢管道。此外,歐盟執委會應建立一個單一近用點(Single Access Point, SAP),提供一個可搜尋公部門資料的電子登記機制(a searchable electronic register of public-sector data),讓使用者得直接搜尋各會員國單一資訊點(SIP)中所提供的資料及相關資訊。 DGA是歐盟2020年2月發布歐盟資料戰略(European Data Strategy)後的第一個立法,歐盟希望透過本法建立一套能提升資料可利用性和促進公私部門間資料共享的機制,以創造歐盟數位經濟的更高價值。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
「美國FTC處罰mHealth App不實廣告」美國聯邦貿易委員會(Federal Trade Commission,以下簡稱FTC)在2016年2月針對一款宣稱能矯正視力之Ultimeyes App處罰。此款App由Carrot Neurotechnology公司研發,以美金9.99元於平台上販售供民眾下載。App宣稱具有提升及改善視力功能,透過App使用即可在日常生活中的各種活動中,感受視力恢復而不需使用眼鏡。然而,FTC起訴認為,App所稱之使用療效,缺乏充分的文獻資料佐證說明。其必須具備完整及可信賴的科學證據來證明,包含臨床試驗或盲測等方式,且該科學證明必須符合相同領域專家所認定之標準,否則,該款App內容所標榜之效果即屬不實陳述,將造成民眾誤認。為此,Carrot Neurotechnology公司最終以美金15萬達成和解,並且經FTC要求,若將App說明當中未經科學證明的療效部份予以刪除,即可繼續再繼續販售此款App。此案並非美國FTC首度針對mHealth App處罰之案例,然而,可能造成mHealth App發展業者對FTC與FDA角色之間之混淆,後續兩者主管機關之間之角色如何調和將是未來關注之重點。反觀我國,目前雖無相關案例發生,然在鼓勵發展之際,亦應考量是否有違反消費者保護之情形。
歐盟提出雲端服務層級標準化指導原則2014年6月26日歐盟執委會提出電信網路層級服務協議標準化指導原則(Cloud Service Level Agreement Standardisation Guidelines)。網路服務提供業者通常會與消費者簽訂契約,內容約定有服務之等級,稱之為電信服務層級契約(SLAs),在雲端運算服務中,通常橫跨不同的管轄領域,適用的法律要件亦產生變化,而在雲端部分所儲存的個人資料保護部分尤其重要。不同的雲端服務與模式所需要的協議約定亦不同,這些都增加訂定的複雜性。 指導原則之提出將幫助專業的雲端服務業者在契約訂定時應該注意的內容,其中主要相關項目包括: 1.雲端服務的可利用性與真實性 2.從雲端服務提供業者中可取得服務的品質 3.安全層級 4.在雲端中如何妥善管理資料 指導原則首先明定原則,以做為雲端運算服務契約之參考。並同時針對不同的名詞定義解是,亦針對不同的契約與法律議題說明,包括業者在依據所訂定的契約中處理個人資料時,應符合歐盟資料保護之規範。 在指導原則提出之後,執委會將與雲端使用者,特別是一些小型企業進行檢視,後續並朝向通過國際ISO之認證。