歐盟資通安全局公布《提升歐盟軟體安全性》研究報告

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。

  本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。

  報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:

  1. 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
  2. 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
  3. 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
  4. 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
  5. 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 歐盟資通安全局公布《提升歐盟軟體安全性》研究報告, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8522&no=65&tp=5 (最後瀏覽日:2025/07/27)
引註此篇文章
你可能還會想看
歐盟提出人工智慧法律調和規則草案

  歐盟執委會(European Commission)於2021年4月21日提出「人工智慧法律調和規則草案」(Proposal for a Regulation Laying Down Harmonised Rules on Artificial Intelligence (Artificial Intelligence Act) and Amending Certain Union Legislative Acts)(簡稱AI規則草案),旨在平衡「AI運用所帶來的優勢」與「AI對個人或社會所帶來的潛在負面衝擊」,促使會員國在發展及運用AI時,能採取協調一致的態度及方法,共同維護歐洲公民基本權利與歐盟價值。   歐盟自2019年起即倡議發展「值得信賴的AI」(Trustworthy AI)。AI規則草案之提出,除了落實執委會2019年至2024年之政策願景外,亦呼應2020年歐洲議會(European Parliament)之建議—針對AI應用之機會與利益採取立法行動,並確保合乎倫理原則。惟鑒於歐盟在環境、健康、公共事務、金融、交通、農業等領域對AI應用之高度需求,以及企業仰賴AI技術提升競爭優勢等因素,執委會係以「風險為基礎」之概念取向(risk-based approach)制定AI規則草案,避免對新技術發展造成不必要的限制或阻礙。   本規則草案將AI系統,依其「對歐盟基本權利或價值所創造的風險程度」,分為下列三種類型,並施以不同程度的監理方式: 一、不可接受之風險:原則上禁止使用此類型AI系統或使其進入歐盟市場。例如:利用潛意識技術操控個人、在公共場合利用「即時遠端生物辨識系統」進行執法、公務機關普遍對個人進行社會評分等。 二、高風險:於附錄中列出所謂高風險AI系統,要求高風險AI系統之提供者遵循風險管理、資料治理、文件紀錄保存、透明性與資訊揭露、人為監督、健全性、準確性與資安等要求;且AI系統進入歐盟市場前,需進行符合性評估(conformity assessment),進入市場後,則需持續監控。 三、非不可接受之風險亦非高風險:鼓勵AI系統提供者或使用者,自願建立行為準則(codes of conduct)。   AI規則草案亦鼓勵會員國建立AI監理沙盒(regulatory sandbox)機制,且以中小企業、新創公司為優先對象,使創新AI系統進入市場之前,能於可控環境中依明確計畫進行開發、測試與驗證。

法國CNIL重罰微軟因搜尋引擎Bing違法運用cookie

  法國國家資訊自由委員會(Commission Nationale de l'Informatique et des Libertés, CNIL)基於cookie聲明(cookie banner)違反法國資料保護法(Act N°78-17 of 6 January 1978 on Information Technology, Data Files and Individual Liberties)裁罰微軟愛爾蘭分公司(Microsoft Ireland Operations LTD,下稱微軟)搜尋引擎Bing,並根據cookie蒐集資料間接產生的廣告收入、資料主題數量及處理的資料範圍定出6千萬歐元之罰鍰額度,且要求微軟應於3個月內限期改正,如逾期按日處以6萬歐元罰鍰。本案是繼2022年1月6日以來,CNIL以相同理由分別對Google與Facebook裁罰1.5億及6千萬歐元罰鍰後,再增1件科技巨頭因違法運用cookie遭受裁罰之案例。本案對我國隱私執法機關參酌於數位環境中,應就cookie聲明如何進行管理之理由與細節,具有參考價值。   而本案微軟之搜尋引擎Bing遭受裁罰之理由,主要可分為二面向:   一、未經使用者事前同意,逕於使用者設備中設置cookie   依法國資料保護法第82條規定,業者利用cookie或其他追蹤方式針對使用者終端設備上的資料進行讀取或寫入資料前,應盡告知義務並取得使用者同意。惟搜尋引擎Bing在使用者造訪網站時,未經使用者同意便設置一種具有安全及廣告等多種用途的cookie(MUID cookie)於其電腦設備,且當使用者繼續瀏覽網站時,將會另設置其他廣告cookie,然微軟亦未就此取得使用者同意。   二、拒絕設置cookie與給予同意之方式便利性應相同   在有效同意的標準與具體判斷上,由於搜尋引擎Bing的cookie聲明第一階層僅提供「接受」與「設定」兩類按鈕,並未提供「拒絕」按鈕,因此使用者同意或拒絕設置cookie之流程便利性有其差異,並未一致,如下說明:   (一)使用者同意設置cookie   如使用者同意設置cookie,僅需於cookie聲明的第一階層點擊「接受」按鈕,即完成設置。   (二)使用者拒絕設置cookie   若使用者欲拒絕設置cookie,需於cookie聲明的第一階層點擊「設定」按鈕;其後進入第二階層,使用者可於各類型cookie選擇開啟或關閉,再點擊「保存設定」按鈕,始完成設置。   是以使用者拒絕同意設置cookie與給予同意之方式,兩者的便利性並未一致。又因第二階層顯示默認未設置cookie,恐導致使用者誤以為網站並未設置cookie,故CNIL認為此種同意欠缺自願性而屬無效者。

世界智慧財產組織(WIPO)及經濟合作暨發展組織(OECD)建立公共著作之線上授權機制

  為促進各國政府和國際組織間之研究資料、新聞報導、資料集(data set)等公共著作於網路自由流通、運用,世界智慧財產組織(World Intellectual Property Organization, WIPO)和經濟合作暨發展組織(Organization of Economic Co-operation and Development, OECD)等多個國際組織經過2年多的合作研究,終於2013年底開發出「創用CC 3.0 政府間組織授權(Creative Commons 3.0 Intergovernmental Organization (IGO) Li-cense,下稱IGO授權)」機制。聯合國教科文組織(United Nations Educational, Scientific and Cultural Organization,下稱UNESCO)亦將其建置之「開放近用著作資料庫(Open Access Repository,下稱OAR)」網站運用IGO授權。   IGO授權係為使特定內容再發行而設計的簡易公開授權程序。IGO授權同樣分為6種授權條件,即為「姓名標示」、「姓名標示-相同方式分享」、「姓名標示-商業性」、「姓名標示-禁止改作」、「姓名標示-非商業性-相同方式分享」、「姓名標示-非商業性-禁止改作」。   2013年12月UNESCO將IGO授權運用至儲存UNESCO之電子書、新聞報導、研究資料等之OAR。UNESCO之OAR係開放給全世界的人可免費下載內容,甚至進行重製、翻譯、改寫等。UNESCO只使用IGO授權中「姓名標示-相同方式分享」條件,若使用者要依其他授權條件使用著作的話,就須向UNESCO取得書面同意。   UNESCO為聯合國所屬組織中第一個對著作採取公開近用政策(Open Access Policy),透過OAR,UNESCO著作流通規模已有顯著增加。未來相關政府間組織之資料開放利用,若逐步地適用IGO授權機制,可預期的是將會有助於擴大公共資料加值利用市場規模。

美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障

  美國國家衛生資訊科技協調辦公室(The Office of the National Coordination for Health Information Technology, ONC)於2020年5月公告的「資訊封鎖最終規則(Information Blocking Final Rule)」,於2021年4月5日正式生效。   ONC依21世紀醫療法(21st Century Cure Act)授權,制定有「21世紀醫療法:協同操作性、資訊封鎖與ONC健康IT認證計畫」(21st Century Cures Act: Interoperability, Information Blocking, and the ONC Health IT Certification Program)最終規則,包含各面向關於新興醫療IT技術之規範,其中特別針對資訊封鎖的相關條文,又稱為「資訊封鎖最終規則」。   21世紀醫療法為了確保病患資料近用權利,在法條中明定禁止資訊封鎖行為。「資訊封鎖」,根據資訊封鎖最終規則的定義,是指健康照護業者或健康資訊技術廠商,包括受認證的健康資訊技術(health IT)、健康資料交換 (health information exchange)或健康資料網絡(health information network),在欠缺法律授權或非屬美國公共衛生服務部(Health and Human Service, HHS)認定合理且必要的情況下,所為之干擾、防止或嚴重阻礙電子健康資料(Electronic Health Information, EHI)獲取、交換及使用行為。但以下八種情況,不適用資訊封鎖最終規則:預防傷害(Preventing Harm)、隱私(Privacy)、安全(Security)、不可行性(Infeasibility) 健康IT性能(Health IT Performance)、內容與方式(Content and Manner)、費用(Fees)、授權(Licensing)。   21世紀醫療法在資訊封鎖章節中規定,資訊封鎖相關條文在資訊封鎖例外類型被定義出來後,始生效力。換言之,在資訊封鎖最終規則生效後,病患將有權依法近用其電子健康資料,資料持有者原則上不得拒絕。值得注意的是,資訊封鎖最終規則生效後至2022年10月6日止,適用資訊封鎖條文的電子健康資料範圍,係以美國協同操作核心資料(United States Core Data for Interoperability, USCDI)中所定義之電子健康資料為準。USCDI,是由ONC主導建立的一套資料標準格式,以統一健康資料交換格式,促進資料流通。2022年10月6日起,資訊封鎖最終規則所指的電子健康資料範圍將不僅只局限於USCDI標準所定義之電子健康資料,將擴及健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)所定義的所有電子健康資料。

TOP