愛沙尼亞首創「數位遊牧簽證」吸引高收入高專業的數位遊牧民族

歐盟執委會於2025年5月6日發布《數位身分皮夾信賴方登錄實施規則》（Commission Implementing Regulation (EU) 2025/848 Laying down Rules for the Application of Regulation (EU) No 910/2024 of the European Parliament and of the Council as regards the Registration of Wallet-Relying Parties）（下稱實施規則），旨在幫助數位身分皮夾（Digital Identity Wallet）用戶確保其身分資料傳輸至可信賴對象，且傳輸之資料並未超過預期用途。 實施規則規範重點如下： （1）建置及維運登錄資料庫：會員國應建置皮夾信賴方(wallet-relying party)登錄資料庫，並指定登錄管理員負責管理及維運。 （2）訂定登錄政策及程序：會員國應訂定登錄政策，內容須涵蓋皮夾信賴方註冊時之身分識別及核實程序、登錄程序所需配套文件及佐證資料、用以確認皮夾信賴方提供資訊正確之真實來源、皮夾信賴方之救濟機制、驗證已註冊信賴方身分之規則及程序，並盡可能採自動化流程。 （3）申請登錄所需資訊：皮夾信賴方申請登錄時應提供之資訊，包括與官方身分紀錄一致之姓名或組織名稱、身分識別資料（如國民身分識別碼、商業登記號碼、加值營業稅號、歐盟經濟營運者註冊及識別碼（Economic Operator Registration and Identification Number））、地址、聯絡資訊、服務類型描述、針對各項預期用途擬請求之資料清單、是否為公務機關等。 （4）簽發相關憑證：會員國應授權至少1家憑證機構簽發皮夾信賴方存取憑證（access certificate），以確認皮夾信賴方之身分。會員國另得授權憑證機構簽發皮夾信賴方登錄憑證（registration certificate），以證明皮夾信賴方所取得之資料未超過預期用途。 （5）暫停或取消登錄資格事由：若有登錄資訊不實、違反登錄政策、請求資料超過預期用途等情事，將暫停或取消皮夾信賴方登錄資格。 （6）紀錄保存年限：登錄及憑證簽發紀錄應保存10年。 此實施規則已於2025年5月27日生效，將於2026年12月24日施行。

　　美國參議員2017年08月01日提案立法，要求提供給美國政府的物聯網網路連結設備，須符合產業資訊安全標準，同時規範設備供應商，提供之設備必須可持續更新，不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員，共和黨為Cory Gardner和Steve Daines，以及民主黨的Mark Warner和Ron Wyden。 　　由於物聯網連結數持續成長，與物聯網相連的裝置與感應器，預計在2020年會超過200億台裝置，相關裝置的資料蒐集與傳輸，同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數，即預設固定程式無法更新，則該裝置連接物聯網時，會因裝置無法更新程式，而可能產生資安漏洞，進而影響物聯網上其它連結設備之安全性。 　　2016至今，物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。 　　Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案，主要關注： 聯邦政府採購的物聯網相關設備，須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。 行政管理和預算局(Direct the Office of Management and Budget ,OMB)，須發展可供替代網路級(network-level)資安設備以供限制性資料處理。 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商，發布整合性的資安漏洞揭露指導原則。 免除資安研究人員基於誠實信用研究時，所揭露與資安漏洞有關之法規責任。 要求所有執行機構清點所有連結物聯網的設備。

　　2022年2月23日，歐盟委員會（European Commission，以下簡稱委員會）公開資料法案草案（Data Act，以下簡稱草案），基於促進資料共享的目的，草案其中一個目標是使不同規模的企業、用戶在資料利用上有著更加平等的地位，內容包含確保用戶資料可攜性、打破資料存取限制、推動大型企業的資料共享，扶植微/小型企業等幾大方向。 　　以下就草案對大型企業要求的義務切入，說明草案所帶來的影響： 確保用戶訪問資料的權利： 基本資訊的告知，包含所蒐集資料性質以及訪問方式、使用資料的目的；用戶可在不同產品/服務提供者（以下簡稱提供者）之間切換，且提供者須有技術支援；提供者需要有合理技術，避免資料在未經授權被查閱。 對於提供者的限制： 提供者不得將所蒐集的資料用於取得用戶的經濟地位、資產、使用喜好；具守門人性質的企業不得採取獎勵措施以鼓勵用戶提供自其他提供者處所取得的資料；提供者提供資料可以收取補償，但必須以公平、合理、非歧視、透明的方式為之，需要提供補償計算方式與基礎。 對於微/小/中型企業的保護 提供者對於微/小型企業所收取的資料補償，不得超過提供資料所需的成本；提供者利用市場優勢，對於微/小/中型企業的不合理/公平的約定無效（如單方面免除一方的重大過失/故意行為的責任）。 　　該資料法案草案須經歐盟議會（European Parliament）通過後才會生效，目前草案規定只要有在歐盟提供物聯網產品或服務之企業，就須遵守草案內容規範，考量到網路服務可跨國提供服務，草案規範與進度仍值得國內企業關注。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　企業實證特例制度規定於日本產業競爭力強化法第8條、第10條、第14條及第15條，在企業或任何事業團體有進行新事業活動(引進新商品或服務之開發或生產、新商品或服務之導入)之需要時，若現行法規上有滯礙難行之處，則可提出創設新規制措施之申請，藉以排除某些法令之限制，使新事業活動得以進行。 　　企業實證特例制度分為兩階段，首先由欲實施新事業活動者向事業主管機關提出申請，而事業主管機關將會與法規主管機關討論後，在安全性得到確保之情形下，由事業主管機關同意創設新規制措施。第二階段則需提出新事業活動計畫申請核准，經核准後便得在一定期間內於一定地區進行新事業活動。 　　新事業活動計畫備核准後，事業團體得進行新事業之活動，其需於各事業年度終了後3個月內向事業主管機關提出報告，就新事業活動之進行情形(包含新事業活動目標達成程度、新特例措施施形狀況、法規所要求之安全性目的之確保措施…等事項)為報告。法規主管機關亦會綜合新事業活動之施形狀況、國外相關法制情形以及技術進步等等情形，決定是否進行修法。