日本成立供應鏈資通安全聯盟(Supply Chain Cybersecurity Consortium)
日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。
只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉純妤
法律研究員 編譯整理
許祐寧,〈美國《確保關鍵礦產安全可靠供應的聯邦戰略》〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8360(最後瀏覽日:2020/11/05)。
加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》(California Age-Appropriate Design Code Act AB 2273,以下簡稱該法),2023年4月28日,倡議團體與聯邦政府官員提交一份意見陳述以支持該法,預計於2024年7月1日生效;針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍: 1. 倘若企業提供的線上服務、產品或功能符合以下條件,則受該法所規範: (1) 提供服務的對象為兒童(年齡於13歲以下的孩童)之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站,或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA(California Privacy Rights Act)所規範之「企業」,是位於加州並蒐集加州居民個人資料的營利性組織,其須滿足以下條件之一: (1) 年度總收入超過 25,000,00美元,或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料,或者年收入的50%以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估:企業針對所營事業須完成資料保護評估,且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置:企業對於兒童使用者,須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款:企業必須簡明的提供隱私政策、服務條款和明確標準,並使用與兒童年齡相符的清晰語言,以便兒童理解語意。 (1) 將兒童依據年紀分為:0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 (2) 定位服務:要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時,向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護,確保兒童個人資料不會在沒有認知的情況下,因使用服務而被蒐集、處理及利用。該法特殊的地方為,對於未成年人進一步區分不同年齡段,若有明確區分出並針對各年齡段進行不同的告知事項設計,將更易使閱讀之未成年人明確了解個資告知內容,應值贊同。
德國於今年四月提出網路執行法修正案以提升平台使用者友善程度德國政府於今(2020)年4月提出「網路執行法」(Network Enforcement Act, NetzDG)之修法草案,將要求社群平台業者提供對使用者更為友善的申訴流程,並建立及維護「反通報程序」機制,讓使用者有機會針對其被平台刪除之貼文或評論提出反對意見,並得重新發佈於社群平台上。 德國於2018年1月起正式施行「網路執行法」,針對在德國境內擁有200萬以上使用者之社群平台業者,課予其限時處理平台上不實及不當言論之義務,並須提交其處理平台上相關言論之報告,若平台業者未能有效執行相關規定者將處以罰鍰。該法施行兩年後引發諸多批評與爭議,雖然並未如社會大眾所憂慮的對於網路言論自由造成重大侵害,亦無證據顯示社群平台業者比施行前刪除了更多的使用者評論;然該法僅要求平台業者刪除不實或不當言論,對於被誤刪之言論,卻未有相關事前預防或事後救濟之措施。為試圖改善原法規執行上之困境和兩難,德國政府遂於今年4月提出修法草案。 此次修法主要重點如下: 強化平台使用者權利 倘使用者於平台發佈之評論遭平台刪除者,使用者未來得要求平台重新檢視此決定,平台須依個案處理並向使用者釋明其決定理由,據此,平台業者須引入反通報程序之機制(counter-notification procedure)。 提升申訴管道之使用者友善性 申訴程序須更為使用者友善,即必須讓平台使用者更容易進入與使用。 簡化法院核發命令程序 未來將同步修訂聯邦電視媒體法案(Telemediengestez),以利法院核發命令,要求平台業者公布數據或揭露犯罪者身分。 加強每半年公布之透明報告資訊 平台業者未來在半年報上須特別提供有關反通報程序之申請與結果,並揭露說明用於查找、刪除平台上不實或不當內容的自動化程序;亦須在報告裡聲明是否授權獨立研究機構以科學目的之匿名訪問權限,了解與研析平台上之不實或不當言論是否有特別針對特定群體。 此修正草案係為德國政府打擊網路上右翼極端主義和仇恨犯罪的政策措施一部份,後續除了須修訂NetzDG以外,亦包含刑法、刑事訴訟法、電信法及聯邦刑事警察局法等四部法規之修訂,相關規範修訂是否有助於刑事起訴進而有效打擊平台上的不當言論,尚有待後續觀察。
論智慧財產交易於破產發生時之法律因應機制 巴西政府公布個人數據保護法草案巴西政府於2015年1月28日公布個人資料保護法草案(Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection),該草案適用於個人和通過自動化方式處理個人資料的公司,惟前提是(1)處理行為發生在巴西或(2)蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料,包括資料保護義務和要求: 一、企業必須使資料當事人能夠自由的、直接的,具體的使當事人知悉並取得人同意以處理個人資料。 二、除了在有限的例外情況下,禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險,並有具體的同意。敏感的個人資料包括,種族和民族淵源,宗教,哲學或道德信仰,政治觀點,健康和性取向資料,以及遺傳數據。 三、資料外洩時有義務立即報告主管機關。 四、當個人資料是不完整,不準確或已經過期時,允許資料當事人查詢他們的個人資料並更正之。 五、不得提供個人資料給資料保護水平不相似的國家。 六、有義務依比例原則採取安全保障措施以處理個人數據,防止未經授權的訪問,破壞,丟失,篡改,通訊或傳播資料。