歐盟《5G網絡安全風險聯合評估報告》
歐盟執委會(European Commission, EC)於2019年10月9日發布《5G網絡安全風險聯合評估報告》(report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks),為執委會調查歐盟成員國家5G網路安全風險評鑑。該評估報告將由歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)後續進一步分析歐盟發展5G行動通訊所帶來的網路安全威脅。
報告中顯示,5G網路的安全挑戰,主要來自(1)5G技術關鍵創新:尤其是5G軟體重要組成部分與5G廣泛的服務和應用等技術創新,以及技術創新所帶來的安全性更新;(2)供應商:若5G通訊營運業者對供應商過度依賴,會導致攻擊者可利用的攻擊路徑的增加。
5G網路開展將帶來許多影響,包含:
- 隨著5G網路軟體發展,攻擊者有更多潛在切入點;與軟體有關的安全風險漏洞管理十分重要,供應商內部不良的軟體開發流程會使攻擊者容易將惡意軟件植入後門,且難以被發現。
- 對單一供應商的依賴也會帶來風險增加,包含供應鏈中斷風險、增加供應商變更成本、供應商受到非歐盟國家有意介入的可能性、以及在產品供應瑕疵的情況下營運業者難以採行應變措施等。
- 隨著5G網絡作為許多關鍵資通訊應用的骨幹,對5G網路可用性、完整性、機密性的威脅將成為國家安全隱憂,也是歐盟未來需要面對的最大的網路安全挑戰。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉芷宜
法律研究員 編譯整理
英國工黨政府為解決當前民生、產業用電,過於仰賴化石燃料價格波動的社會課題,於2025年6月30日發布《太陽光電發展路徑:太陽能如何驅動英國》(Solar roadmap: United Kingdom powered by solar),透過62項具體的政策行動,減輕用電負擔,可視為歐盟《可負擔行動計畫》(Action Plan for Affordable Energy)的英國光電版本。 為實現2024年年末發布的《2030潔淨電力行動計畫》(Clean Power 2030 Action Plan)的政策目標,即2030年從目前裝置容量18GW,提升到45至47GW,該報告宣示將啟動「屋頂光電革命」(Rooftop Revolution),克服長久以來阻礙商業、住宅與公共建築物屋頂布建的障礙,政策方向擬定如下: 1. 發展「大英能源公司」(Great British Energy)的潛力,如目前已推動英格蘭約200所學校、醫院等安裝屋頂太陽能,降低電費支出。 2. 預計將修訂新建、既有住宅的《溫暖住宅計畫》(Warm Homes Plan)與《未來住宅與建築標準》(Future Homes and Buildings Standards),如規範新建築物裝設太陽光電的義務。 3. 針對大型戶外停車場建置太陽能車棚,進行意見徵詢。 4. 簡化利害關係人協作流程,如研擬工業、商業類型建築物出租屋頂安裝太陽能的標準合約範本。 英國政府除積極推動屋頂光電外,亦針對電力網路、供應鏈、培養人才、國土計畫、社區參與等,規劃一系列太陽光電發展路徑中的配套措施,如改善英國國家能源系統營運商(National Energy System Operator, NESO)併網流程,要求應確保併網申請順序的分配保持公平;並於《大英能源法》(Great British Energy Act 2025)規範大英能源公司於採購時,得拒絕與任何供應鏈中涉及強迫勞動的廠商簽約等;並與英國太陽能產業協會(Solar Energy UK)協作,促成產業實踐社區參與溝通。
德國聯邦工業聯盟與Noerr法律事務所所公布「工業4.0 – 數位化進程面臨之法律挑戰」意見報告德國聯邦工業聯盟(Bundesverband der Deutschen Industrie)與Noerr法律事務所於2015年11月共同公布「工業4.0 – 數位化進程面臨之法律挑戰」(Industrie 4.0 – Rechtliche Herausforderungen der Digitalisierung)意見報告。該報告透過德國聯邦工業聯盟與Noerr法律事務所訪談德國數家企業法務部門,以釐清業界在邁入工業4.0轉型下會遇到的法律議題,並對此議題提出法律意見。 此報告針對工業4.0相關法律議題提出以下建議: 1.資料保護:業者可透過技術性設計達到資料保護的目的,例如隱私設計(Privacy by Design)。另,繼歐盟法院針對安全港判決的裁定,業者應積極關注歐盟第29條資料保護工作小組針對跨國資料傳輸的指引或德國聯邦資料保護委員(Datenschutzbeauftragten des Bundes)針對跨境資料保護規範的建議。 2.資料產權:在立法上不應急於規範管制,有恐危及企業資料分享的空間。建議企業間可透過雙方性契約規定資料的使用權 3.資訊安全:雖支持於2015年7月通過之德國資訊系統安全法(IT-Sicherheitsgesetz),強制性業者履行在遭資安攻擊時履行通報義務(Meldepflicht)。但是,若能實施以業者本身主動完成資安保護措施之鼓勵機制,則更能積極性的鼓勵業者履行其資安義務。 4.智慧財產權:標準必要專利的授權及使用係業者在工業4.0體系中,特別在系統的互通性上,非常重要的一環。在法制環境上應讓各個業者,在一定的條件下,均享有標準必要專利授權。 5.產品責任:因智慧工廠下之自治系統(autonome Systeme)有自主決定的能力,而因其所導致的民事糾紛,可透過新民事責任概念的架構所解決,並不一定要將該自治系統視為一獨立的數位法人(ePerson)。
簡介美國FTC垃圾電郵法制施行成效報告 Google被遺忘權近期歐洲法院判決趨勢德國聯邦最高法院(Bundesgerichtshof, BGH)於今(2020)年7月「VI ZR 405/18」」案中拒絕當事人請求Google刪除有關其健康個資之主張,為2018年歐盟通過一般資料保護規則(General Data Protection Regulation, GDPR)後,德國聯邦最高法院第一件與被遺忘權相關之判決。本案當事人曾為德國一慈善團體之負責人,該團體於2011年陷入財務危機,而當時有報導指稱當事人作為團體負責人,竟稱病不回應媒體訪談。當事人認為上述報導資料有損其名譽,請求Google刪除與其健康個資相關之搜尋結果。德國聯邦最高法院於判決中強調,網路搜尋結果是否須被移除,應衡量相關之基本權利,個案分別認定。本案中大眾知的權利(right to information)優於當事人被遺忘權,故駁回原告之請求,判決Google勝訴。 被遺忘權首見於2014年歐盟判決(Google Spain v. AEPD and Mario Costeja Conzalez),賦予人民要求搜尋引擎移除對自身造成負面影響資訊之權利。GDPR進一步於第17條明文化此一權利之內涵,於個資依原本蒐集之目的已不具必要性、當事人撤回同意、當事人反對個資自動化處理、當事人個資遭不法侵害、依照法律規定應刪除個資及青少年與兒童個資等六種情形,當事人得請求資料控制者刪除個資。 法國近期亦有被遺忘權相關法院判決。法國最高行政法院(Conseil d’État)於今(2020)年3月撤銷法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)於2016年3月對Google作出十萬歐元之裁罰,因其僅刪除存在於法國網域內之當事人個資,而未及於全球網域。法國最高行政法院於本判決重申2019年歐盟法院(European Court of Justice)於Google v. CNIL之立場,認定Google履行被遺忘權之網域範圍僅適用於歐盟地區,而不及於全球,撤銷CNIL於2016年對Google作出之裁罰。