歐盟資通安全局(ENISA)提出資通安全驗證標準化建議
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。
受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。
ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎:
- ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。
- IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。
- EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。
然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張腕純
組長 編譯整理
Standardisaion in Support of the Cybersecurity Certification, ENISA, https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i (last visited Apr. 26, 2020).
EUROPEAN UNION AGENCY FOR CYBERSECURITY [ENISA], Standardisaion in Support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to Cybersecurity Act (Feb.4, 2020), https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i/at_download/fullReport (last visited Apr. 26, 2020).
European Union Agency for Cybersecurity (ENISA) Publishes Two Studies on Standardisation and Cyber Security, WiGGiN, https://www.wiggin.co.uk/insight/european-union-agency-for-cybersecurity-enisa-publishes-two-studies-on-standardisation-and-cyber-security/ (last visited Apr. 26, 2020).
高通案發展趨勢-美國聯邦地院判決與我國公平會和解決定 財團法人資訊工業策進會科技法律研究所 許祐寧 法律研究員 2019年09月10日 壹、前情提要 美國高通公司擁有大量標準必要專利(Standard Essential Patent, SEP),並運用三大商業模式(拒絕授權競爭對手、沒授權沒晶片、排他性獨家交易),對於行動通訊市場產生強大影響力,進而引發獨占甚至壟斷市場之疑慮,包括中國大陸、韓國、美國、歐盟等國際競爭主管機關,相繼對高通商業模式展開調查,近期多數國家已做出初步決定。 我國部分,2017年10月11日,公平交易委員會(簡稱公平會)以高通濫用市場支配地位,裁罰234億台幣;2018年8月10日,公平會旋即以產業經濟發展為由,與高通達成和解。而近期美國聯邦地方法院,針對美國聯邦貿易委員會(Federal Trade Commission, FTC)控訴高通違反反托拉斯規則作出第一審判決,認定高通商業模式違法並要求改正。本文以下針對我國及美國高通案近來判決走向為分析,提供SEP與反托拉斯法制及產業經濟發展政策面向的相關思考。 貳、我國高通案近來走向 2018年8月10日,我國公平會與高通達成訴訟上和解,高通並承諾在臺進行5年產業投資方案。和解內容中,針對手持設備廠,高通應本於善意重新協商授權條款、遵守行動通訊SEP授權之無歧視性待遇,降低整隻授權計價,以維持我國產品的國際競爭力;然而晶片廠部分,高通雖承諾不再簽署獨家交易之折讓約定,但實際上,我國和解案並未改變高通授權模式,高通仍無須授權晶片予競爭對手,商業模式未被打破。[1] 對於我國公平會的和解決定,各界有不同意見。立法院於2018年9月的立法院報告指出:「公平會職司管制及維護市場競爭秩序,主要權限在公平法案件之調查、審議及處分等;如確要促進投資、提升產業及技術發展,似應由各該主管機關另循其他途徑」[2]。監察院更於2019年5月21日,對公平會提起糾正,理由為公平會於高通案「過度介入市場機制,且以投資換罰鍰違反不當聯結禁止原則,和解磋商僅4個月完成,歷程倉促,未公開透明」[3]。 針對各界意見公平會發表聲明,強調以訴訟和解方式解決爭議,兼顧競爭機制的正常運作及促進產業經濟利益,並提出四項說明:(1)公平會與高通和解,是依法行使行政訴訟法所賦予的權利。(2)公平會為合議制獨立機關,監察院應尊重公平會和解專業判斷。(3)本案和解決定兼顧競爭機制與產業經濟利益。(4)政府將持續監督高通對產業投資方案的執行情況,5年執行期間內持續進行追蹤管考,維護市場競爭機制及廠商權益。[4] 參、美國聯邦地方法院高通案見解 2019年5月21日美國加州北區聯邦地方法院對高通案做出判決,認定高通商業模式侵害晶片競爭對手、手持設備廠及終端消費者權益,違反反托拉斯規則,要求七年內完成改正措施:(1)高通必須與客戶重談授權協議,不得以威脅切斷供貨等手段從事不公平競爭。(2)應以公平合理價格向其他競爭晶片廠商授權專利。(3)禁止和蘋果等智慧手機廠商簽訂排他性獨家供貨協議。[5]對此,高通表示不服,認為法院判決將引發「嚴重法律問題」,且法院排除2018年3月截止後的證據(例如蘋果改用英特爾,顯示高通並未箝制市場等),該判決已嚴重影響高通業務之執行,必將積極上訴救濟。[6] 針對美國聯邦地方法院判決,亦有不同看法。2019年7月16日美國司法部反托拉斯署對聯邦地院高通案判決發表聲明,以高通仍有勝訴可能為由,請求高通案暫緩執行。首先,聯邦地院判決高通濫用市場地位一案實不利競爭、創新與國家安全,判決容有質疑空間:包括授權金過高與反托拉斯違反間無直接關聯性、FRAND並非強制授權義務、高通並無惡意破壞競爭之行為等。再者,聯邦地院未舉行聽證會,卻要求高通支付鉅額損害賠償金,程序上未有保障。最後,是公共利益考量,美國國防部與能源部亦對此擬具建議文件,共同強調高通在美國5G供應鏈與國家資通訊安全發展的重要性。[7] 肆、評析 美國聯邦地院對高通案判決,支持先前美國FTC對高通指控,認定高通商業模式違反反托拉斯法;但美國司法部及相關部會因5G產業發展、中美貿易戰及國家資通訊安全等理由主張應維護高通,高通是否會在美國敗訴進而改變商業模式,重塑全球資通訊產業市場布局,未來仍應被持續關注。 至於我國公平會與高通和解部分,最大爭議在於,公平會作為維護市場競爭的獨立機關,何以產業經濟發展為由,逕行與高通達成和解?對此,依據公平交易法第1條,公平交易相關法制的訂定,包含維護交易秩序與消費者利益、確保自由與公平競爭,促進經濟之安定與繁榮等面向;產業經濟發展未嘗不是公平競爭秩序的考量要素之一。 另有論者質疑,美國聯邦地院判決,會不會使我國公平會的訴訟和解結果顯得不合理?且各國高通訴訟案部份尚在進行,公平會是否有必要迅速與高通達成和解?反托拉斯案講求市場特性與個案判斷,必須依照各別市場產業模式判斷高通的商業模式是否會侵害市場競爭秩序、剝奪消費者選擇機會。故各國競爭主管機關應依據案件事實與市場競爭進行判斷,結果自有不同不可一概而論。公平會與高通既已達成訴訟上和解,僅代表我國競爭主管機關認定,高通商業模式依照和解條件改正後不致侵害市場公平競爭與消費者權益,並期待以投資產業換取5G研發布局合作機會。未來,依據我國公平會與高通的和解條件,應持續追蹤並督促高通確實履行對臺產業投資方案等相關計畫。[8] [1]〈本會與Qualcomm Incorporated於智慧財產法院合議庭試行和解下,達成訴訟上和解〉,公平交易委員會新聞資料,2018年8月10日,https://www.ftc.gov.tw/internet/main/doc/docDetail.aspx?uid=126&docid=15551(最後瀏覽日:2019/09/23)。 [2]〈公平會處分高通案成立訴訟和解內容所涉權限之研析〉,立法院議題研析,2018年9月4日,https://www.ly.gov.tw/Pages/Detail.aspx?nodeid=6590&pid=173380(最後瀏覽日: 2019/09/23)。 [3]〈監察委員新聞稿〉,監察院,108年5月21日,https://www.cy.gov.tw/sp.asp?xdURL=./di/Message/message_1t2.asp&ctNode=2394&mp=1&msg_id=7111(最後瀏覽日: 2019/09/23)。 [4] 〈高通案和解遭糾正,公平會:兼顧競爭與產業利益〉,中央社,2019年05月30 日,https://money.udn.com/money/story/5612/3842772(最後瀏覽日: 2019/09/23)。 [5] FEDERAL TRADE COMMISSION v. QUALCOMM INCORPORATED, Case No. 17-CV-00220-LHK(2019). [6] Qualcomm Strongly Disagrees with Ruling in FTC Case and Will Seek Immediate Stay and Appeal of Ruling, Qualcomm, May 22, 2019, https://www.qualcomm.com/news/releases/2019/05/22/qualcomm-strongly-disagrees-ruling-ftc-case-and-will-seek-immediate-stay (last visited Sep. 23, 2019). [7] UNITED STATES' STATEMENT OF INTEREST CONCERNING QUALCOMM'S MOTION FOR PARTIAL STAY OF INJUNCTION PENDING APPEAL, U.S. Department of Justice, July 16, 2019, https://www.justice.gov/atr/case-document/369345 (last visited Sep.23, 2019). [8]〈回應有關立法院國民黨團召開「公平會遭監察院糾正」記者會一事公平會說明〉,公平交易委員會新聞資料,108年5月23日,https://www.ftc.gov.tw/internet/main/doc/docDetail.aspx?uid=126&docid=15886(最後瀏覽日: 2019/09/23)。
Apple Inc. 因販售個人資料面臨團體訴訟三位來自Massachusetts州的州民,以Apple Inc.(下稱Apple)為被告,於該州地方法院提起團體訴訟。其等主張在2012年至2013年間,透過信用卡於Massachusetts州Apple的零售商店購買該公司相關商品時,Apple有過度蒐集與不當利用個人資料之情形。據Apple網站指出,消費者得選擇透過信用卡的方式購買商品,然若選擇信用卡方式付費,必須提供個人相關識別訊息,包含完整的郵政編碼,如果提供不完整,Apple將不會允許使用消費者使用信用卡方式付費;且Apple亦在網站上聲稱保有允許提供該類訊息予提供產品和服務的合作夥伴,或得利用該類訊息幫助行銷的權利。故原告等透過信用卡消費後,收到不必要的市場行銷資訊;又Apple將原告等人可識別的個人資訊銷售第三方公司,並在未顧及原告等權益下,挪用了該具有經濟價值的個人可識別資訊。基於上述理由,原告等請求至少500萬元美金之損害賠償,其中不包含訴訟費用以及相關利息等其他費用。 依據Mass. Gen. Laws ch. 93 §105 規定,不論是個人、商號、合夥、公司或一切營業人,當接受信用卡交易模式時,並不能要求消費者填寫任何個人可識別的資訊。若法院同意原告們的訴求,Apple將因「不公平且欺騙之貿易行為」而被認定違反該州法律而必須負擔賠償責任,且Apple也將被要求停止蒐集全州的個人可識別資料。
中國大陸商務部《不可靠實體清單規定》中國大陸商務部於2020年9月19日發布「不可靠實體清單規定」(商務部令2020年第4號),作為建立對外國實體(包含外國企業、其他組織或個人)與中國大陸貿易或投資等國際經貿相關活動實施限制之依據。即便中國大陸商務部主張「不可靠實體清單規定」係為落實《對外貿易法》與《國家安全法》之要求,並未針對特定國家或特定實體,但在美中貿易對抗局勢下,仍被認為顯係針對美國商務部貿易管制規則「實體清單」的反制作為。 依據「不可靠實體清單規定」,中國大陸政府堅持獨立自主的對外政策,互相尊重主權並互不干涉內政,在平等互利的原則下,任何外國實體在國際經貿及相關活動中,凡涉及危害中國大陸國家主權、安全、發展利益,或是違反正常的市場交易原則、中斷與中國大陸企業、其他組織或個人的正常交易,或是對中國大陸企業、其他組織或個人採取歧視性措施,嚴重損害其合法權益,中國大陸即有權透過建立不可靠實體清單制度,對上述外國實體採取相應措施。 中國大陸國務院商務主管部門將設置專責組織,負責就經建議或舉報之外國實體進行調查,凡經調查而被公告列入不可靠實體清單者,中國大陸政府可採取的相應措施包含限制或禁止與中國大陸有關之進出口活動、在中國大陸境內投資、限制或禁止其相關人員或交通工具等入境、限制或取消相關人員的工作許可或居留資格、相應數額的罰款或其他必要措施。若中國大陸企業、其他組織或個人因特殊情況須與被限制之外國實體交易,應事前提出申請取得同意。
美參議員盧比歐推動禁止與中國交易敏感科技之法案美國共和黨參議員盧比歐(Marco Rubio),亦為「美國國會及行政當局中國委員會」(Congressional-Executive Commission on China,簡稱CECC)之主席,於2018年5月宣布一項針對中國的立法——「美中公平貿易執行法」(Fair Trade with China Enforcement Act)。該法案以保護國家安全為目的,成為禁止美中兩國交易「敏感科技」之法源,同時,更提高課徵跨國公司來自中國的所得稅,藉以箝制中國竊取美國智慧財產。 而為因應中國國務院所提「中國製造2025」戰略計畫,其重點發展科技——機器人、航太、潔淨能源車(robotics, aerospace and clean-energy cars),該法案亦對中資持有美國研發製造上揭科技之公司的持股權予以限制。除此之外,該法更將禁止美國政府及其包商購買中國華為(Huawei)、中興通訊(ZTE)兩間公司的任何電信通訊設備或服務;美國國會和美國總統川普均指稱兩間公司會透過產品暗中監看美國,而施壓美國私人企業亦勿販售兩公司產品。 也許正如盧比歐參議員對外發表「美中公平貿易執行法」時所言,當今如何回應中國日益劇增對國家安全、竊取敏感科技之威脅,實為地緣政治(geopolitical)待解關鍵。