歐盟資通安全局(ENISA)提出資通安全驗證標準化建議
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。
受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。
ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎:
- ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。
- IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。
- EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。
然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
張腕純
組長 編譯整理
Standardisaion in Support of the Cybersecurity Certification, ENISA, https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i (last visited Apr. 26, 2020).
EUROPEAN UNION AGENCY FOR CYBERSECURITY [ENISA], Standardisaion in Support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to Cybersecurity Act (Feb.4, 2020), https://www.enisa.europa.eu/publications/recommendations-for-european-standardisation-in-relation-to-csa-i/at_download/fullReport (last visited Apr. 26, 2020).
European Union Agency for Cybersecurity (ENISA) Publishes Two Studies on Standardisation and Cyber Security, WiGGiN, https://www.wiggin.co.uk/insight/european-union-agency-for-cybersecurity-enisa-publishes-two-studies-on-standardisation-and-cyber-security/ (last visited Apr. 26, 2020).
英國運輸部(Department for Transport)於2021年12月15日宣布更新對零碳排放車輛購車補助計畫,未來將擴大對平價零碳排放車輛(affordable zero-emission vehicles)的購車補助,以創造更多購買電動車之誘因。充電式車輛購車補助計畫(plug-in grant scheme)在過去十年間已經補助超過50萬輛,並在2021年達成超過15萬輛,約每10台新車就有1台受該計畫補助,顯示電動車輛市場的持續擴大與需求的增加。 本次更新將著眼於針對售價低於32,000英鎊的電動車輛(目前英國市場中約有20款車型符合條件),提供最高1,500英鎊的購車補助,並且針對無障礙車輛售價與購車補助金額上限提高至35,000英鎊與2,500英鎊。在貨車購車補助方面,每年將提供1,000位消費者購買大型貨車5,000英鎊或小型貨車2,500英鎊的購車補助,2021年充電貨車計畫的購車補助規模較2020年已成長超過250%。而在電動機車與電動自行車方面,英國政府將對於售價低於10,000英鎊的電動機車與電動自行車分別提供500英鎊及150英鎊的購車補助。 英國政府指出,針對電動車輛的購車補助政策已經逐漸顯現效果,2021年電動汽車的銷售量已經超越2019年與2020年的加總數量,未來政府也將加強對充電基礎設施的建設,針對7.1千瓦以上的充電(包含快速充電)站訂定支付方式基本要求(例如必須具備無接觸支付方式)。英國政府承諾將提供35億英鎊用於支持英國汽車與供應鏈的電動化、電動汽車購車補助與興建基礎設施。
泰國發布新法令規範數位平臺義務泰國政府於2022年12月22日在政府公報上發布規範數位平臺義務的「數位平臺業務營運通知皇家法令」(the Royal Decree on Operation of Digital Platform Services Which Require Notification,以下簡稱皇家法令),鑒於數位平臺治理的不足與電子交易安全性,泰國政府發布皇家法令用以補充電子交易法(Electronic Transaction Act)之空缺。泰國政府要求數位平臺採取必要措施以符合皇家法令,將於2023年8月20日生效。 皇家法令將「數位平臺」定義為透過電腦網路連結商家、消費者與使用者從而產生電子交易的電子中介平臺。營收達到180萬泰銖的自然人、或營收達到5000萬泰銖的法人、或在泰國境內每月活躍用戶達到5000人的數位平臺需要負擔一定義務,包含向主管機關電子交易發展署(Electronic Transactions Development Agency, ETDA)通報其相關資訊、向ETDA提供年度報告、變更條款的透明度義務、以及境外數位平臺需指定代理人等。此外,數位平臺在提供服務或對數位平臺相關資訊進行修改時,有通知平臺用戶必要資訊的義務。 單一服務營收每年超過3億泰銖、或整體服務營收每年超過10億泰銖、或泰國每月活躍用戶超過總人口10%的數位平臺則為大型數位平臺,大型數位平臺相較於其他數位平臺需要負擔額外義務,除前述數位平臺義務之外,大型數位平臺需要實施風險評估、風險管理措施、系統安全措施與危機管理措施等額外義務。 自歐盟制定數位服務法(Digital Services Act)後,各國陸續建立數位平臺治理制度。經觀察,泰國政府是基於維護電子交易安全目的要求數位平臺負擔相關義務,與歐盟所關注的監督數位平臺與保護使用者基本權利似有所區別,規範對象門檻相比數位服務法來得低,義務也比數位服務法來得少。同時其他亞洲鄰近國家也開始關注數位平臺治理,如南韓、新加坡等也在研擬數位平臺治理法制,各國數位平臺治理法制之發展與走向值得持續觀察。
當網路梗圖爆紅 潛藏的著作權侵權疑慮今(2021)年一月中旬在美國總統就職典禮中,由法新社(Agence France-Presse, AFP)攝影記者Brendan Smialowski捕捉到參議員桑德斯(Senator Bernie Sanders)戴著連指手套、雙手環胸在場邊靜候的攝影作品,意外受到網友關注並製作成各式梗圖迷因(meme) 而爆紅。然而,在這些成千上萬的梗圖創作中,除非獲得原創作者的允許或落在著作權法的合理使用範圍,否則皆潛在隱藏了著作權侵權之可能性。 檢視本事件,將該攝影著作去背以取得「寧靜而坐的桑德斯圖像」,而將該去背圖像合成於各式情境場景,甚至架設梗圖產生器網站供其他網友上傳照片以製作更多衍生梗圖。多數在網路上分享之創意梗圖為博取網友一笑為目的,尚屬於著作權合理使用之範圍,然而當藉由該去背圖像或衍生梗圖進行廣告或促銷之用途,如將該去背圖像或衍生梗圖成為商品行銷元素、多次使用於廠商的社群媒體貼文中,將可能落入商業使用之爭議。桑德斯本人便將該去背圖像製作成運動衫進行慈善募款,儘管所得為慈善用途,但仍屬於商業使用;此外,該去背圖像未將原創進行任何轉化而直接轉印在衣服上,亦無法主張合理使用。儘管存有侵權疑慮,現階段攝影師似乎樂見其攝影作品成為各式梗圖而瘋傳,不過當開始有人藉由其攝影著作賺取金錢,情境可能就有所不同,攝影師將可能進行追究。 回顧過去類似將網路梗圖迷因進行商業使用,而產生著作權侵權爭議之案件。早如2009年美聯社(Associated Press)記者所拍攝前美國總統歐巴馬競選活動之肖像特寫,遭到前衛街頭塗鴉藝術家費爾雷(Shepard Fairey)在未經授權使用之前提下,將該攝影著作改作名為《希望(Hope)》之海報與各式商品並進行販售,美聯社因而對費爾雷提出侵權訴訟,儘管最後雙方和解,但兩者在過程中皆投入不少訴訟資源。其他案例如2019年體育流行文化媒體Barstool Sports與社群媒體Jerry Media等,皆因藉由擷取網路梗圖吸引網路社群觸及以進行消費等商業行為,遭到原創者檢舉而被迫刪除歷年貼文。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
美國眾議院發布反壟斷五大法案,恢復數位市場競爭並防堵科技平台壟斷美國眾議院反壟斷委員會於2021年6月11日宣布五大反壟斷立法議案,目標是透過立法提升消費者、勞工和中小企業競爭空間,防止大型科技平台壟斷數位市場。2019年美國國會反壟斷委員會調查互聯網巨頭Amazon、Google、Facebook、Apple(GAFA)涉嫌濫用市場支配地位進行壟斷、抑制競爭、侵害用戶隱私、破壞新聞出版多元化。2020年10月發布《數位市場競爭調查》(Investigation of Competition In Digital Markets)強調恢復數位經濟市場競爭力重要性。2021年美國眾議院隨即提出五大反壟斷改革法案具體落實政策方向。 終止平台壟斷法案(Ending Platform Monopolies Act) 防止占主導地位的平台利用其對多個業務的控制能力,由董事或受託人持有公司25%以上的股票、盈利或資產,或以其他方式掌握實質控制權,要求用戶使用其平台購買產品或服務進而取得優勢地位。 美國選擇與創新線上法案(American Choice and Innovation Online Act) 禁止平台的歧視行為,包括使自家產品、服務及業務在平台上享有對手沒有的競爭優勢,禁止自我偏好或歧視其他同類業者之行為。 平台競爭與機會法案(Platform Competition and Opportunity Act) 禁止具獨占優勢平台藉由收購其他具競爭力對手,以擴大或鞏固線上平台市場力量。 透過啟動服務交換強化相容性和競爭力法案(Augmenting Compatibility and Competition by Enabling Service Switching Act) 透過啟動服務交換,滿足互操作性和資料可攜性,降低企業和消費者進入壁壘與轉換成本,使資料更容易移動到其他平台。 併購申報費現代化法案(Merger Filing Fee Modernization Act) 提高企業向政府申請併購案之審議費用,例如超過50億美金以上併購案審議費用從美金28萬提升至225萬,確保美國司法部和聯邦貿易委員會執行反壟斷資源。