日本成立供應鏈資通安全聯盟(Supply Chain Cybersecurity Consortium)
日本經濟產業省(下稱經產省)於2020年6月12日發布其國內產業資通安全現況與將來對策(昨今の産業を巡るサイバーセキュリティに係る状況の認識と、今後の取組の方向性)報告,指出近期針對供應鏈資通安全弱點企業所展開的攻擊,有顯著增長趨勢。為此,該報告建議共組供應鏈的企業間,應密切共享資訊;於關鍵技術之相關資訊有外洩之虞時,應向經產省提出報告;若會對多數利害關係人產生影響,並應公開該報告。遵循該報告之建議要旨,同年11月1日在各產業主要的工商團體引領下,設立了「供應鏈資通安全聯盟(原文為サプライチェーン・サイバーセキュリティ・コンソーシアム,簡稱SC3)」,以獨立行政法人資訊處理推進機構(独立行政法人情報処理推進機構,IPA)為主管機關。其目的在於擬定與推動供應鏈資通安全之整體性策略,而經產省則以觀察員(オブザーバー)的身分加入,除支援產業界合作,亦藉此強化政府與業界就供應鏈資通安全議題之對話。
只要贊同上述經產省政策方向與聯盟方針,任何法人或個人均得參加SC3。針對產業供應鏈遭遇資安攻擊的問題,經產省與IPA已有建構「資通安全協助隊(サイバーセキュリティお助け隊)」服務制度(以下稱協助隊服務),邀集具相關專長之企業,在其他企業遭遇供應鏈資安攻擊時,協助進行事故應變處理、或擔任事故發生時之諮詢窗口。而SC3則規畫為這些參與提供協助隊服務的企業建立審查認證制度。其具體任務包含擬定認證制度的審查基準草案、以及審查機關基準草案,提供IPA來建構上述基準。依該制度取得認證的企業,將獲授權使用「資通安全協助隊」的商標。同時在業界推廣協助隊服務制度,讓取得認證的中小企業得以之為拓展其業務的優勢與宣傳材料。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉純妤
法律研究員 編譯整理
許祐寧,〈美國《確保關鍵礦產安全可靠供應的聯邦戰略》〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8360(最後瀏覽日:2020/11/05)。
歐盟法院在UsedSoft GmbH v. Oracle International Corp.(Case C-128/11)一案中,認定軟體開發商之散佈權在第一次銷售後即耗盡,不得限制其後二手軟體之再銷售。此一判決發展將影響軟體開發商之市場銷售策略。 本案軟體開發商Oracle以授權合約中的禁止移轉條款為據,起訴欲終止UsedSoft的二手軟體銷售模式。在此商業模式中,原始被授權人書面說明其被授權使用某軟體,同時聲明後續不再使用,相關文件經公證後,UsedSoft即以此文件及合約進行二手軟體的銷售,新的使用者可直接由UsedSoft取得軟體。 本案的關鍵點在於著作權是否隨著軟體第一次銷售而權利耗盡,如權利耗盡則合約中的禁止移轉條款將無任何效力。在傳統軟體光碟銷售的情形,被授權人可以將軟體再轉賣給任何人,權利耗盡是被確認的,但網站下載的軟體販售模式,權利是否隨之耗盡,則不無疑問。 歐盟法院在本案判決中表示,不管是負載於光碟或網站下載的軟體銷售,一旦開發商售出軟體,其權利即隨之耗盡;但同時也指出,如果原授權使用數量較多,權利耗盡並不得作為後續二手軟體切割販售授權的依據,開發商也不因此判決而必須提供軟體支援給二手被授權人。 此一判決可能刺激二手市場的成長,但同時也可能對軟體開發商帶來負面影響,開發商無法再掌握確實的被授權人,也無有效的方法確認原始授權人是否仍使用軟體。建議軟體開發商應檢視其授權作業,並嘗試從授權合約中處理,例如增加授權轉讓時應通知開發商的條款等。
2018年直布羅陀公布一系列DLT應用商業活動管制規範英國海外屬地直布羅陀,針對透過與日俱增的首次發行代幣(Initial Coin Offerings, 簡稱ICO)募集商業活動,早在2017年9月,其金融服務委員會(Gibraltar Financial Service Commission, 簡稱GFSC)已公布官方聲明,警告投資人運用分散式帳本技術(Distributed Ledger Technology,簡稱DLT)之商業活動,如:虛擬貨幣交易或ICO等具高風險且投機之性質,投資人應謹慎。 GFSC又於2018年1月公布「分散式帳本技術管制架構」(Distributed Ledger Technology Regulatory Framework),凡直布羅陀境內成立或從其境內發展之商業活動,若涉及利用DLT儲存(store)或傳輸(transmit)他人有價財產(value belong)者,均須先向GFSC申請成為DLT提供者(DLT provider),並負擔以下義務: 應秉持誠信(honesty and integrity)進行商業活動。 應提供客戶適當利息,且以公平,清楚和非誤導方式與其溝通。 應準備相當金融或非金融資源(non-financial resources)。 應有效管理和掌控商業活動,且善盡管理人注意義務(due skill, care and diligence),包含適當地告知客戶風險。 應有效配置(arrangement)客戶資產和金錢。 應具備有效公司治理,如:與GFSC合作且關係透明。 應確保高度保護系統和安全存取協定。 應具備系統以預防、偵測且揭發金融犯罪風險,如:洗錢和資恐。 應提供突發事件預備方案以維持商業活動繼續進行。 GFSC和商業部(Ministry of Commerce)又於2018年2月聯合公布,將於第二季提出全世界第一部ICO規範,管制境內行銷(promotion)、販售和散布數位代幣(digital token)行為,強調贊助人須先授權(authorized sponsor),並有義務確保遵守有關資訊揭露和避免金融犯罪之法律。
台灣、美國與日本對歐盟所徵收三項高科技產品進口關稅向WTO爭端解決小組(Panel)提出成立一個爭端解決小組台灣、美國與日本因為歐盟所徵收進口機頂盒、平板顯示器以及多功能列印三項科技產品的高進口關稅,於8月19日正式向世界貿易組織(WTO)爭端解決小組(Panel)提出成立一個爭端解決小組的請求。 WTO會員國於1996年針對特定的高科技產品簽署禁止課稅的「資訊科技協議」(WTO Information Technology Agreement,簡稱ITA),歐盟也同意依WTO關稅時程表取消「資訊科技協定」中所約定產品的關稅。然而,歐盟目前對進口的機頂盒課徵13.9%、平板顯示器14%以及對多功能列印機6%的高進口關稅。美國的貿易談判代表Susan Schwab表示,歐盟對所承諾事項相悖的行為,不僅違反1994年關稅及貿易總協定第2條,並有礙資訊科技產業的技術創新發展。該不公平的進口關稅,事實上也影響相關業者與消費者的權益。 依照複邊簽定而在次年生效的ITA協定,該協定下產品應為零關稅。但歐盟自前年起,以稅則附註等法規,將部分平面顯示器、具硬碟的機上盒及多功能事務機等新技術科技產品,以功能增強或有新功能為由,歸類為家電產品,排除適用同一協定。WTO爭端解決機構(The WTO dispute settlement body,簡稱DSB)將會於 8 月29日召開會議時對本爭端案件進行討論。