歐盟資通安全局（ENISA）提出資通安全驗證標準化建議

　　2015年8月24日，美國第三巡迴法院做出判決，宣告美國聯邦貿易委員會（the Federal Trade Commission, FTC）本於聯邦貿易委員會法第5章（Section 5 of the Federal Trade Commission Act）之規定，對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實，該委員會針對企業違法事實的判定將產生法律效力。 　　案件起因於2008年及2009年間，飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵，導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵，使客戶權益受損。Wyndham Hotels不服並上訴，表示FTC只有提供企業資料安全保護措施的建議權，無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 　　第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中，第三巡迴法院確立了FTC除了有一般建議權外，也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外，第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說，FTC僅需負一般性的告知義務。 　　此判決大幅擴張FTC監督管理企業資料安全保護措施的權力，對於廣大個人資料本人而言，可說是一大保障。

美國《德克薩斯州政府法（Government Code），以下簡稱政府法》的第406節「公證人、契約證明人（Notary Public; Commissioner of Deeds）」相關修正案於2024年1月1日正式生效，旨在針對該節的第406.101分節以下的線上公證相關規範，透過擴充線上公證要件，使遠端墨水公證（Remote Ink Notarization, RIN）成為法定線上公證方法，並明定相關程序要求，確保遠端墨水公證機制的安全性。 針對遠端墨水公證，依照美國土地產權協會（American Land Title Association, ALTA）提出的定義，係指文件透過影音媒體平台進行遠距公證，且無須經過多因子驗證。針對遠端墨水公證，雖然在新冠肺炎（COVID-19）流行期間，曾透過州長行政公告方式，承認在滿足指定條件下，得使用遠端墨水公證方式，進行交易，而本次修法則透過修正現有法規，以達到允許進行遠端墨水公證，且同時維持法定電子公證制度的安全架構。 本次修法內容如： 1.定義文件可包含實體及電子文件。 2.針對經電子公證的實體文件，承認委託人及公證人分別得使用實體符號（tangible symbol）及符合法定要求的辦公室印章，進行簽署。 3.強調電子公證應留存之紀錄內容，並非電子文件，而應留存文件的類型、標題及描述等規定。 跨境或電子交易已逐漸成為主流交易方式，而透過現行電子公證制度，雖然能夠強化電子或實體文件的可信性，惟公證制度實際上僅能針對公證當下的文件內容，提供擔保效力。若企業需要確保在公證前，相關文件內容未經偽變造，則必須在文件生成後落實適當資料管理措施。與此同時，公證人基於法規要求，對於經公證的電子、書面文件或公證紀錄等，負有法定保存或保密義務。若相關文件或紀錄發生外洩、外流等問題時，公證人除須負擔契約損害賠償責任外，甚至可能被科以刑責。因此，不論企業或公證人均可參考「重要數位資料治理暨管理制度規範（Essential Data Governance and Management System，簡稱EDGS）」，建立系統性的資料管理機制或強化既有管理機制，避免發生資料偽變造或外洩等問題。 本文同步刊登於TIPS網（https://www.tips.org.tw）

　　德國聯邦網路局（BNetzA）於2019年3月7日公布電信網路營運安全發展需求目錄關鍵要點。該要點係德國聯邦網路局電信通訊法第109條第6項規定，與聯邦資訊安全局（BSI）和德國聯邦資料保護與資訊自由委員會（BfDI）達成協議後制定，並由德國聯邦網路局發布之。此尤其適用於在德國發展5G網路，因該技術係為未來核心關鍵基礎設施，為確保技術發展之安全性，電信網路公司必須滿足相關安全要求。鑑於5G對未來競爭力極具重要性，故用於構建5G之技術必須符合最高安全標準，且應盡可能排除安全問題，該標準同樣適用於所使用的硬體和軟體。附加的安全目錄要點基本內容如下： （1）系統僅允許從嚴格遵守國家安全法規及電信保密和隱私法規，且值得信賴之供應商處獲得。 （2）必須定期且持續監控網路流量異常情況，如有疑問，應採取適當的保護措施。 （3）僅可使用經聯邦資訊安全局對其IT安全性檢查核可且取得認證之安全相關的網路和系統組件（以下簡稱關鍵核心組件）。關鍵核心組件僅能從獲得信賴保證之供應商/製造商中取得。 （4）安全相關的關鍵核心組）應在交付期間進行適當之驗收測試後方能使用，且須定期和持續進行安全檢查。關鍵核心組件之定義將由德國聯邦網路局和聯邦資訊安全局共同協議訂定。 （5）在安全相關領域，只能聘用經過培訓之專業人員。 （6）電信網路營運商須證明所使用的產品中，實際使用經測試合格之安全相關組件硬體和供應鏈末端的原始碼。 （7）在規劃和建立網路時，應使用來自不同製造商的網路和系統組件，以避免類似「單一耕作」（Monokulturen），即避免技術生態圈無法均衡發展，以及易受市場波動影響之不良效應。 （8）外包與安全相關勞務時，僅可考慮有能力，可靠且值得信賴的承包商。 （9）對於關鍵且與安全相關的關鍵核心組件，必須提供足夠的冗餘（Redundanzen）。 　　鑑於德國於3月中旬已拍賣5G頻譜，聯邦政府將大力推廣附加要求，並讓相關企業可以清楚了解進一步計畫。為確保立法層面之具體要求，聯邦政府計畫將對電信法第109條作重大修訂。明確規定操作人員必須證明符合安全規範，並由法律規範相關認證義務。針對關鍵基礎設施中使用的關鍵核心組件應來自可信賴之供應商/製造商，應適用於整體供應鏈。此外，德國聯邦政府擬針對聯邦資訊安全局法進行修訂，包括關鍵基礎設施、其組件可信賴性之相關規範。依聯邦資訊安全局法第9條規定，將在認證框架內提供可信賴性證明。

　　歐盟執委會（European Commission, EC）於2022年7月5日通過「新歐洲創新議程」（New European Innovation Agenda，下稱創新議程），藉由引領創新，特別是在「深度技術」（Deep Tech），例如AI、量子科學、光子技術等領域之創新，強化歐洲在綠色轉型和數位轉型的中心角色，並為氣候變遷及網路威脅等迫切的社會問題，提供創新的解決方案，以減少能源依賴、改善民眾健康，並繁榮歐洲經濟。創新議程包括以下5項旗艦項目： （1）資助新創公司（start-ups）：使歐洲私人機構及其他私人投資者更願意投資於「深度技術」之新創公司。除此之外，簡化上市規則，使公司上市成本減少，以增加公司上市意願，更易於向公眾募集資金。 （2）重視實驗場域及創新採購：讓創新的企業可藉由「監理沙盒」（Regulatory Sandbox）等實驗場域（experimentation spaces）驗證其概念，政府則加強對創新產品和服務的公共採購（public procurement），促進創新研發。 （3）打造歐洲創新生態系（European Innovation Ecosystems）：支持包括低度開發地區在內的區域，建立多個「區域創新谷」（regional innovation valleys），以強化歐洲創新者間的連結，並促進會員國投入至少100億歐元於各區域創新谷包含「深度技術」在內的創新專案。 （4）育才、攬才及留才：確保「深度技術」的人才能來到歐盟國家，並在歐盟國家間流動及發展，當中包括針對新創公司的創新實習生計畫、幫助新創公司尋找非歐盟人才的歐盟人才資料庫（talent pool）計畫、女性創業和領導計畫、新創公司員工有認股權（stock option）等。 （5）優化政策制定之流程及架構，促進歐盟內部協調一致：藉由開發可供各國比對的資料集（data set），以及對於新創公司設立階段（start-up）及成長階段（scale-up）之共通定義，提升並強化政策的傳播及落實，並確保在歐洲創新理事會論壇（European Innovation Council）有更好的政策協調。