美國公布「保護資通訊技術與服務供應鏈安全」行政命令

於2023年5月22日愛爾蘭資料保護委員會（Ireland's Data Protection Commission, DPC）對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定，並暫停資料跨境傳輸行為，再次引起了各界對於資料跨境傳輸的關注。 針對跨國提供網路服務的企業，如何確保企業處理資料的方式可以符合多國的法規要求，向來是一困難的問題。自從2015年「安全港隱私準則」（Safe Harbour Privacy Principles）被歐盟法院宣告失效後，美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架，包含2020年被歐盟法院宣告無效的「隱私盾框架」（EU-US Privacy Shield Framework），而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架（EU-U.S. Data Privacy Framework, DPF），惟就美國於同年10月發布用以實施之行政命令（EO 14086），亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。 2023年6月8日英國跟美國共同發布建立英美資料橋（UK-US data bridge）的聯合聲明，以建立起英美之間的資料流動機制，但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展，能否符合歐盟對於資料保護的要求，目前尚無法預期。 目前的商業模式中資料跨境傳輸是難以避免的現實困境，各國亦就資料跨境傳輸建立框架，企業需持續關注自身營業所在地之法規變化，以即時因應調整自身管理機制。 本文同步刊登於TIPS網站（https://www.tips.org.tw/）

　　中國大陸政府在《國民經濟和社會發展第十二個五年規劃綱要》，以及《國家中長期科學技術發展規劃綱要》中揭示繼續增強自主創新能力，進而推動中國大陸科技進步以及經濟發展。上述指導性的綱要落實到中國大陸立法層面，可從《科學技術進步法》第25條規定「政府必須優先採購自主創新產品」等類似的條文中發現這樣的精神。 　　2011年11月30日由廣東省第11屆人民代表大會所通過的《廣東省自主創新條例》，即是在這樣的立法背景下所訂定。該條例具體規定「自主創新」之定義、自主創新產業的人才培育措施、自主創新產業的財政性資金補助措施，以及鼓勵研究成果轉化與產業化之措施等，並分別設立專章予以規定。其中特別值得注意者，乃是該條例第18條明文鼓勵自主創新產業與澳門、香港，以及臺灣的企業、大學、研發單位合作科技研發，並建立科學技術創新平臺。 　　過去中國科研相關政策綱要中雖不乏有鼓勵兩岸產學研合作的宣示，但於法律條文位階中明文鼓勵「台灣參與中國大陸自主創新科技研發」卻還是首見，大幅提高了未來台灣產學研界主動參與大陸地區科技研發的可能性。由於中國大陸在立法特色上，通常係由地方法規率先就特定事務進行規範，爾後政府若認為有以中央法律位階作統一規範時，始進一步訂定法律或中央機關部門規章，因此本條例之制定是否會對於其他中國科研創新法制帶來拋磚引玉之效，頗值得觀察

　　美國國家公路交通安全管理局（National Highway Traffic Safety Administration, NHTSA）於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐（Cybersecurity Best Practices for the Safety of Modern Vehicles），強化政府對先進聯網車輛網路安全之把關。 　　文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊，前者主要為公司整體組織網路安全文化與監管機制之建立；後者則偏重於技術性的建議內涵。 　　「一般網路安全最佳實踐」共有45項要點，核心概念為：公司應訂定明確的網路安全評估程序，由領導階層負責相關監督責任，定期執行網路安全之風險評估及第三方公正稽核，並對其所發現之風險弱點採取保護措施並持續監控，同時應妥善保存所有網路安全相關之紀錄文件，並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時，應將產品使用者、售後服務維修商，以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 　　「車輛技術網路安全最佳實踐」共有25項，核心理念為：對於產品開發人員，應建立存取權限管理，避免有心人士濫用權限。產品所使用的加密技術應隨時更新，若車輛具備診斷功能，應慎防遭到不當利用，且應防止車輛所搭載之感測器遭到惡意干擾或改動，感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新（Over-the-air, OTA）以及公司作業軟體所產生之風險漏洞。 　　本文件屬於自願性質，無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上，例如國際標準組織與國際汽車工程師協會（International Standards Organization, ISO/SAE International, SAE）先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下，進一步提出政府對車輛網路安全要求的努力。

　　台灣、美國與日本因為歐盟所徵收進口機頂盒、平板顯示器以及多功能列印三項科技產品的高進口關稅，於8月19日正式向世界貿易組織（WTO）爭端解決小組（Panel）提出成立一個爭端解決小組的請求。 　　WTO會員國於1996年針對特定的高科技產品簽署禁止課稅的「資訊科技協議」（WTO Information Technology Agreement，簡稱ITA），歐盟也同意依WTO關稅時程表取消「資訊科技協定」中所約定產品的關稅。然而，歐盟目前對進口的機頂盒課徵13.9%、平板顯示器14%以及對多功能列印機6%的高進口關稅。美國的貿易談判代表Susan Schwab表示，歐盟對所承諾事項相悖的行為，不僅違反1994年關稅及貿易總協定第2條，並有礙資訊科技產業的技術創新發展。該不公平的進口關稅，事實上也影響相關業者與消費者的權益。 　　依照複邊簽定而在次年生效的ITA協定，該協定下產品應為零關稅。但歐盟自前年起，以稅則附註等法規，將部分平面顯示器、具硬碟的機上盒及多功能事務機等新技術科技產品，以功能增強或有新功能為由，歸類為家電產品，排除適用同一協定。WTO爭端解決機構（The WTO dispute settlement body，簡稱DSB）將會於 8 月29日召開會議時對本爭端案件進行討論。