美國國會議員提出「網路盾」草案
美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。
雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。
另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
余和謙
法律研究員 編譯整理
2024年3月6日,南韓個資保護委員會(Personal Information Protection Commission, PIPC)宣布通過個人資料保護法施行法(Enforcement Decree of the Personal Information Protection Act, PIPA Enforcement Decree)修正案,並於2024年3月15日正式實行。 本次修法重點如下: 1.明訂個資主體可要求公開自動化決策過程之權利及應對不利結果時可採取之措施 針對使用AI等自動化系統處理個資並做出的自動化決策,個資主體(即,個人)有權要求解釋決策過程並進行審查,尤其當決策結果對個資主體權益有重大影響時(例如:不通過其社福補助申請),個資主體可拒絕自動化決策結果,並要求改為人為決策及告知重新決策結果。另為確保透明、公平,自動化決策依據的標準與程序亦須公開,並於必要時向公眾說明決策過程。 2.確立隱私長(Chief Privacy Officers, CPOs)的資格要求及適用範圍 為確保CPO能順利開展個資保護工作,要求處理大量或敏感個資機關之CPO至少具有4年個資、資安相關經驗,且個資經驗至少2年。適用機關包括:年營業額達1,500億韓元以上、處理超過100萬人個資或超過5萬人特種資料者;學生超過2萬人的大學;處理大量特種個資的教學醫院或大型私人醫院等;疾管局、社福、交通、環保等公共系統運營機構。 3.明訂評估公共機構個資保護效能之標準及程序 依據個資法第11-2條規定,PIPC每年需對公共機構(如:中央行政機關及其所屬機關、地方政府及總統令規定者)進行個資保護程度評估,而為使評估作業有所依循,本次新增評估標準及相關程序包括:政策和業務表現及其改進情形、管理體系適當性、保護個資措施及執行情形、防範個資侵害及確保安全性措施及執行情形等。 4.調整需要承擔損害賠償責任的適用範圍及門檻 為確保機關履行個資主體損害賠償責任,將需履行投保保險等義務之適用範圍由網路業者擴大至實體店面及公共機構等。同時,調整適用門檻,將年銷售額由5千萬韓元調整為10億韓元、個資主體數由1千人調整為1萬人,以減輕小型企業負擔。另亦明訂可豁免責任的對象包括:不符合CPO資格的公共機構,公益法人或非營利組織,及已委託給已投保保險之專業機構的小型企業。 PIPC另將公布一份指引草案,內容包括自動決策權利、CPO資格要求、公共機構個資保護評估標準、賠償責任保障制度等,並舉行說明會來收集回饋意見。
美國食品藥物管理局發布《品質管理系統法規最終規則》美國食品藥物管理局(U.S. Food and drug administration, FDA)於2024年1月31日發布《品質管理系統法規最終規則》(Quality Management System Regulation(QMSR)Final Rule),主要內容為修改美國聯邦法規(Code of Federal Regulations, CFR)第21章第820條,品質系統規範(Quality System Regulation, QSR)中現行優良製造規範(Current Good Manufacturing Practice, cGMP, CGMP)內容,以降低美國國內法規與國際醫療器材品質管理系統標準ISO 13485的差異,達到減輕醫材製造商、進口商的監管負擔之效。 與美國QSR相比,ISO 13485對「風險」與「透明度」規範的要求更加嚴格,故此最終規則主要將QSR中風險管理與透明度的規範依照ISO 13485進行補足。並增修QSR中未出現於ISO 13485中或即將取代ISO 13485中同義的名詞或術語的定義,用以降低原先QSR與ISO 13485的差異。同時增設對記錄保存、標籤和資訊可追溯性要求等FDA認為ISO 13485未涵蓋完全的額外規定,用以完善整體規則完整性。 該最終規則預計於2026年2月2日正式實施。FDA預估此次修訂會有效降低醫材製造、進口商的潛在金錢與時間成本,FDA提供近3年的緩衝期,即希望相關工作人員與醫材製造商能熟悉並遵循新的QMSR。未來FDA會追蹤並評估是否應將ISO13485的變更納入QMSR中,以促進醫材監管的一致性,並為病人及時推出安全、有效且高品質的醫材。
英國Ofcom公佈光纖網路備援電池之管制指引因預期超高速網路在英國將被廣泛佈建,Ofcom於2011年6月啟動諮詢程序,徵詢各界光纖網路備援電池的管制指引,以確保消費者的緊急電話服務;並於同年12月公佈諮詢結果與更新管制指引。 英國境內光纖到終端(FTTP)服務的覆蓋率已達到58%,雖得以提供消費者更高速的上網與影音內容,但卻有停電時無法運作的先天缺陷。由於傳統電話運作所需的電力係經由業者機房透過銅絞線供應,故即便消費者終端停電,仍能緊急電話。因此Ofcom曾於2009年要求公眾電話業者(PATS)確保消費者終端有維持供電4小時以上的備援電池,以保障民眾的身家安全。而此項管制則是納入ECN/ECS業者之第3項一般條件的管制中,業者有因而有遵守的義務。 此次徵詢結果,Ofcom確立了以下兩點管制指引: 1. PATS必須確保提供備援電池:PATS若由消費者選擇是否安裝備援電池,將被認為不符義務。若PATS選擇由消費者負擔更換電池之責任,應提供適切指引並確保易於取得電池;若責任由PATS承擔,則應建立適切處理程序。 2. 備援電池最低供電時數降為1小時:主要理由為英國大部分的斷電事件都不超過1小時;且行動電話相當普及,增加了安全保障。而備援電力降為1小時後,將使其電池更輕便和更易分離,因而更易於產製購買、取得與安裝。不過對於歷史上曾發生斷電超過1小時的家戶,PATS仍有義務確保較長時間的備援電力。