歐盟資通安全局公布《提升歐盟軟體安全性》研究報告
歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。
本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。
報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括:
- 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。
- 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。
- 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。
- 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。
- 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
本文為「經濟部產業技術司科技專案成果」
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
何穎欣
研究助理 編譯整理
許祐寧,〈數位歐洲計畫(Digital Europe Programme)〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8268(最後瀏覽日:2020/08/04)。
美國民主黨議員Ed Markey於2019年10月22日提出2019年「網路盾」草案(Cyber Shield Act of 2019),將設立委員會以建立美國物聯網網路安全標準。 雖由參議員MarkWarner所提出之2019年物聯網網路安全促進法(Internet of Things Cybersecurity Improvement Act of 2019)已通過並施行,惟該法僅適用於聯邦政府機構之設備採購。而「網路盾」草案之目的則係設立委員會並建立美國物聯網設備認證標章。依據該草案第3條,於該法通過並經總統簽署後90天內,美國國務卿必須建立網路盾諮詢委員會,該委員會之任務為擬定並建立美國網路盾標章。 另依據該草案第4條,物聯網產品之自願性認證程序與認證標章,內容必須符合特定產業之網路安全與資料保護標準。該標章應為數位標章,並標示於產品之上,且可劃分數個等級,以表彰其符合產業所需求之網路安全與資料安全等級。而針對標章之內容,該法要求美國國務卿於法律通過90天內應建立諮詢相關利益團體之程序,以確保其充分符合產業需求與利益。美國國務卿與各聯邦主管機關亦須合作以持續維護網路安全與資料安全標章之運作,且確保獲得該標章之產品,其資安與資料保護品質均優於未受認證之產品。
澳洲個人資料洩漏計畫將於二月施行澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。 根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。 NBD計畫主要內容如下: 一 、規範對象: 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。 若數機構共享個人資料,則該告知義務由各機構自行分配責任。 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。 二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。 三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。 四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。 五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動,避免再度造成損害。 惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。
英國Ofcom公佈感知無線電技術之諮詢結論英國Ofcom於2011年9月1日公佈了關於閒置頻譜、地理定位(geolocation)資料庫與感知無線電的最新諮詢結論,本次行動使英國成為歐盟中第一個宣佈感知無線電發展計畫的國家。 Ofcom自2005年「數位紅利審查報告書」(Digital Dividend Review)以來,藉多次的聲明與諮詢確立數位紅利閒置頻譜使用的三大方向: 其一,將用於enhanced Wi-Fi,相較於當前使用2.4G的Wi-Fi技術,透過原本無線電視所使用的低頻段(介於470至790MHz間)特性,可使新技術的涵蓋範圍更廣、建築穿透力更強。 其二,透過無線傳輸連結大城市與鄉村地區,以建置鄉村地區之寬頻網路。 其三、用以智慧聯網(Machine-to-Machine Communications,或譯為物聯網)。 由於相關議題在歐盟仍屬初始階段,Ofcom決定先行發展國內和諧使用設備之標準,待歐盟確立標準後,再調整規管與之一致。 有意願經營資料庫之第三方,皆須向Ofcom申請其管理、或交由可信任機構管理之網站的清單,以供感知無線電設備選擇,導入資料庫供應商之競爭。Ofcom將與複數之資料庫供應商簽訂契約或管制協議;至於申請者的最低條件、契約內容與申請費用,仍待定義與諮詢 Ofcom預計於2013年正式使用該技術;此外,依據科技進展,亦考慮回收FM廣播頻段發展感知無線電。
何謂「權利懈怠原則」?美國專利法中,權利懈怠原則係指當事人構成怠於行使權利之情形時,可作為專利侵權之防禦抗辯事由。目前美國專利法282條(b)款(1)項已將權利懈怠抗辯成文法化,聯邦最高法院相關判決之見解認為權利懈怠原則之目的為填補法律缺陷(filling the gap),主要針對法律條文並未明確規範時效時之特殊情況,考量到專利法第286條之規定以及聯邦最高法院曾於2014年Petrella v. Metro-Goldwyn-Mayer一案中判決權利懈怠不得作為美國著作權法第507條(b)款訴訟時效限制之抗辯理由。因此美國專利法上的權利懈怠原則並非訴訟時效限制(statute of limitations),而是侵權賠償時效限制(damage limitations)。此外,不會產生類似衡平禁反言之誤導當事人及造成該方後續損失之結果,基於兩者此一性質不同,也不會直接排除當事人持續權利金之權利資格。