美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。
雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。
另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
本文為「經濟部產業技術司科技專案成果」
美國商務部(Department of Commerce, DOC)旗下國家標準及技術研究院(National Institute of Standards and Technology, NIST)於2023年2月28日發布《晶片與科學法》(CHIPS and Science Act)補助具體內容,重點如下: 一、申請時間:補助採滾動式錄取模式(rolling basis),先進製程製造補助將於2023年3月31日起開放預先申請(pre-application)與正式申請(full application);成熟製程與其他相關生產設施的製造補助,將分別於2023年5月1日及6月26日開放預先申請及正式申請。 二、補助方式與金額:補助分為直接補助(direct funding)、聯邦政府貸款(federal loans)或第三人提供貸款並由聯邦政府提供擔保(federal guarantees of third-party loans)。直接補助的金額上限預計為預估資本支出的15%。每個計畫可透過一種以上之方式獲得補助,然整體補助金額不得超出預估資本支出的35%。 三、申請流程 1.意向聲明(statement of interest):申請人須提供半導體製造工廠投資計畫的簡要說明,俾利NIST旗下晶片計畫辦公室(CHIPS Program Office)為未來審查進行準備。 2.預先申請:申請人提供更詳盡的計畫內容。晶片計畫辦公室將給予調整意見。 3.正式申請:依照晶片計畫辦公室給予的意見修改後,申請人應遞交完整的計畫申請書,內容必須包含投資計畫的技術與經濟可行性之分析。晶片辦公室審核完畢後,會與申請人簽訂不具約束力的初步備忘錄(non-binding Preliminary Memorandum of Terms),記載補助方式與金額。 4.盡職調查(due diligence):在經過上述程序後,晶片計畫辦公室如認為申請人合理且可能(reasonably likely)取得補助,將對申請人進行盡職調查。 5.補助發放:通過盡職調查後,DOC將開始準備發放補助。 四、補助規範與限制 1.禁止買回庫藏股(stock buybacks):受補助者不得將補助款用於買回庫藏股。 2.人力資源計畫:申請人要求的補助金額若超過1億5千萬美元,須額外說明將如何提供員工可負擔且高品質的子女托育服務。 3.建造期限:受補助者必須於DOC所決定的特定日期(target dates)前開始或完成廠房建造,否則DOC會視情況決定是否收回補助。 4.分潤:補助金額超過1億5千萬美元時,受補助者須與美國政府分享超過申請計畫中所預估之收益,但最高不超過直接補助金額的75%。 5.不得於特定國家擴產與進行研究:受補助者於10年內或與DOC合意的期間內,除特定情況下(15 U.S.C. § 4652(a)(6)(C)),不得於特定國家,如中國,進行大規模半導體製造的擴產(material expansion)、聯合研究(joint research)或技術授權(technology licensing),違反者將會被DOC收回全額補助。
日本提出「放送法施行規則」修正草案,強化智慧防救災訊息發佈設備整備措施日本總務省鑒於311地震時媒體播送的減災效果,在2014年2月14日對日本放送法施行規則的部分修正展開公眾諮詢。此次的修正係基於放送法母法第108條規定。依據該條的規範,基幹放送業者在進行國內的廣播時,若發生暴風、豪雨、洪水、地震、大型火災或有發生之虞時,為預防其發生或減輕其所造成之損害,應進行有效之廣播。 蓋日本在311災後,因其對對社會所產生巨大的衍生影響,後續規劃研擬了許多因應法制政策及措施。根據日本內閣府「2013年防災白皮書」,日本政府在311地震後所規劃政策方向及重要施政措施有:防災對策推進會議檢討會議的最終報告、災害對策法制的改正、與防災基本計畫的修正等各層面工作。 此外,依據日本防災對策推進會議檢討會議在2012年7月所完成之報告,其中對於災害立即回應體制的充實與強化,及建立綜合的防災資訊系統,建議應蒐集並提供必要之資訊,以盡早提供根本性的改善為目標。並且,為因應災害防救需要及強化即時應變能力,建立智慧防救災體系即屬刻不容緩,如何能運用各種多元性傳遞管道,落實將緊急性災害防救重要資訊傳送至每位國民,遂成關鍵議題。 而此次放送法施行規則的修正則擬增訂第86-2條,要求基幹放送業者應就基幹放送設備等向總務省所擬定的「基幹放送等整備計畫」;其中,關於母法108條廣播之確實實施而有特別必要者,並應取得總務省之確認。修正案擬增訂的101-2條除重複上述意旨,並要求總務省在確定確認上述計畫後,並應將公開其計畫的相關內容。 其中,對於地震防災對策特別措施法(地震防災対策特別措置法) 、水防法 與關於在土砂災害災害警戒區域內等的土砂災害防止推進的法律(土砂災害警戒区域等における土砂災害防止対策の推進に関する法律)等規範所訂定易受災區域內發信設備之設置,皆納入上述應被確認計畫的範圍。 日本屬地處地震頻繁國家,對於災害防救體系甚為重視,並投入大量資源加以發展。未來日本對於推動智慧防救災體系,是否會有更多進一步法制修改及調整,值得我們持續進行關注。
美國衛生部門公布個人健康資訊外洩責任實施綱領美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。 本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。 HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。 HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。 值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
歐盟和德國對於自動駕駛及智慧交通系統之個人資料保護發展