美國商標註冊發布新規定：外國人需透過美國執業律師代理其商標業務

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　延續過去兩年針對全國寬頻網路服務進行檢視，FCC在2013年2月公布第三次「美國寬頻測量報告」(Measuring Broadband America)。這份報告有別於過去，將受測技術從DSL、有線電視與光纖，涵蓋至衛星寬頻，使資訊更加多元。此外，網路服務供應商(Internet Service Provider，ISP)在今年尖峰時段(工作日晚間7點至9點)提供寬頻實際速度與網速的契合率達97%，而較2011、2012年進步，因此，這份報告的另一個重點，便是提出寬頻速度與廣告相符的三大關鍵： 　　1.ISP業者盡力改善網路效能(Network Performance)，而非調降牌告價(Speed Tiers )。 　　2.民眾接納更快速的網路意願，更甚過往。FCC指出，消費者訂閱網速的層級，逐漸從每秒14.3Mbps ，發展至15.6 Mbps。至於，使用網速低於1Mbps、或是1Mbps到3Mbps的民眾，近年也逐步採用更高速的網路。 　　3.衛星寬頻的進步：雖然，衛星技術在傳輸上仍有延遲的缺陷，但是，有近90%的民眾於尖峰時段，得到超過業者寬頻廣告速度的140%(業者宣稱具有12Mbps)，使消費者感受不出網路尖峰期。 　　為使2015年實現50Mbps寬頻網路具有1億家戶可連結，美國逐步發展國家寬頻計畫(National Broadband Plan，NBP)。FCC避免寬頻廣告速度與實際速度不符影響NBP發展，未來將要求ISP業者對於網路牌告負起責任(Accountability)，藉此增加市場競爭性與提高資訊透明度。以「美國寬頻測量報告」為例，藉由委員會、產業與其他利益相關人合作的方式，促進資訊的透明，使消費者在取得訊息後，有能力做出正確的決定，便是一種提高透明度的方式。 　　雖然，FCC認為寬頻網路進步與民眾採納較高速的網路，對於市場發展是一項利多，但部分輿論卻認為這與2011年12月31日FCC網路接取報告(Internet Access Report)結論相距甚遠。根據報告顯示，美國有高達42%的民眾下載速度不到3 Mbps、上傳速度不到769 kbps，而這與「美國寬頻測量報告」結果，確實大相逕庭。無論如何，可以窺見FCC視民眾使用意願與網路基礎建設同等重要，因此，如何增加消費者選擇較高速的網路，將是市場未來發展的關鍵。

　　歐盟執委會（ EC ）一名資深官員 30 日大聲抨擊幾家美國的大型 IT 企業，指控他們對開放原始碼社群的發展產生過多影響。 　　EC 的資訊社會與媒體理事會軟體科技首長 Jesus Villasante 表示，如 IBM 、惠普（ HP ）和昇陽（ Sun Microsystems ）這些大公司，只是把開放原始碼社群當作承包商，而非鼓勵他們開發獨立的商業產品。 　　Villasante 在阿姆斯特丹舉行的荷蘭開放軟體大會（ Holland Open Software Conference ）中指出：「 IBM 會問顧客：你要專有或開放軟體？（如果他們選擇開放原始碼）然後他們會說：好，你要的是 IBM 的開放原始碼軟體。開放原始碼都將變成 IBM 、惠普或昇陽的財產。」 　　Villasante 說：「這些公司以承包商的模式，利用（開放原始碼）社群的潛能 – 當今的開放原始碼社群，等於是美國跨國企業的承包商。」他呼籲開放原始碼社群應發展更大的獨立性。 　　他表示：「開放原始碼社群需要看重自己，並瞭解他們對本身和社會都已作出貢獻。從他們瞭解自己是推動社會進化的一部分，並試圖發揮影響的那一刻起，我們才能朝正確的方向前進。」 　　Villasante 的看法令其他參與討論的成員頗為意外，包括 Sun One Consulting 的首席設計師 James Baty 。業界專家曾表示， IBM 等大公司對開放原始碼軟體的發展，作出相當大的貢獻，他們幫助說服企業與 IT 專業人員相信開放軟體與專有軟體一樣可靠。 　　Baty 並未直接回應 Villasante 的評論，但表示包括他的雇主在內的大型企業，都有責任奉獻給開放原始碼社群。昇陽捐助若干開放原始碼計劃，包括生產力應用軟體 OpenOffice.org 。 　　Baty 說：「有些公司僭取了開放原始碼社群的成果，其他公司則抱持他們必須奉獻的態度。（開放原始碼）應被視為一個機會，不是供人奪取和濫用的東西。」 　　Villasante 也利用稍早的演說，表達對歐洲軟體業的擔憂。他說：「我的看法是，歐洲目前根本沒有軟體產業 – 當今唯一的軟體產業只存在美國，未來或許還會出現在中國或印度。我們應該決定將來是否要建立歐洲的軟體產業。」 　　Villasante 認為開放原始碼是歐洲軟體產業發產的重要部分，但這種過程卻受到智慧財產遊說團體與傳統軟體業的壓力，及開放原始碼社群本身的分裂所壓抑。他說：「開放原始碼處於徹底的混亂 – 許多人作很多不同的東西。造成現在完全的混亂。」 　　一位聽眾指出， EC 也要為推動可能損害開放原始碼的軟體專利規章負責。 Villasante 回答，並非所有 EC 的成員都自動支持該規章。他說：「首先，我不負責軟體專利 – 軟體專利規章是由內部（市場）局長管理。資訊協會（ Villasante 工作的單位）局長的意見，不一定與內部局長相同。」（陳智文）