美國於2020年12月4日正式施行聯邦《物聯網網路安全法》

  美國現任總統川普(Donald J. Trump)於美國時間2020年12月4日簽署物聯網網路安全法(IoT Cybersecurity Improvement Act of 2020),針對美國聯邦政府未來採購物聯網設備(IoT Devices)制定了標準與架構。

  該法要求美國國家標準技術研究院(National Institute of Standards and Technology, NIST)應依據NIST先前的物聯網指引中關於辨識、管理物聯網設備安全弱點(Security Vulnerabilities)、物聯網科技發展、身分管理(Identity Management)、遠端軟體修補(Remote Software Patching)、型態管理(Configuration Management)等項目,為聯邦政府建立最低安全標準及相關指引。如果使用政府機關所採購或獲取之物聯網設備無法遵守NIST制定的標準或指引,則不得續簽採購、獲取或使用該設備之契約。

  安全標準和指引發布後,美國行政管理和預算局(the Office of Management and Budget)應就各政府機關的資訊安全政策對NIST標準的遵守情況進行審查,NIST每五年亦應對其標準進行必要的更新或修訂。此外,為促進第三方辨識並通報政府資安環境弱點,該法要求NIST針對聯邦政府擁有或使用資訊設備的安全性弱點制定通報、整合、發布與接收的聯邦指引。

  雖然該法適用範圍限於聯邦政府機關,惟因該法限制聯邦政府機關採購、獲取或使用不符合NIST標準或指引的物聯網設備,將促使民間業者為獲取美國政府訂單而選擇遵循NIST標準,未來該標準可能成為美國物聯網安全的統一標準。

相關連結
你可能會想參加
※ 美國於2020年12月4日正式施行聯邦《物聯網網路安全法》, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8583&no=67&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
你可能還會想看
歐盟執委會推遲個人資料保護指令修正計畫

  歐盟執委會主席Barroso在今年年初設立了負責「正義、基本權與公民」(Justice Fundamental Right and Citizenship)事務的新任務單位。而負責此單位的執委會委員Reding自年初以來已多次宣示對個人資料保護以及隱私權的重視。在今年三月份的演講中,Reding更宣布將在年底前提出修正歐盟個人資料保護指令的內容。惟此承諾在歐盟會員國的壓力下恐怕無法踐履了。歐盟執委會於日前已表示將提出一份新的行動宣示來取代原先的修法計畫。   歐盟目前的個人資料保護指令乃在1995年制定,迄今已有15年之久,雖然其許多原則在今日仍然適用,但面對新科技、新應用,如社交網站、雲端應用等的發展,該指令仍不免顯出不足之處。此外,在原先的架構下,執委會也無法介入所謂歐盟「第三支柱」下的事務(亦即與犯罪相關的警政、司法合作事務),但此狀況在里斯本條約通過後理應有所改變。以上兩點也正是Reding提議修正個人資料保護指令的理由。但由於部分歐盟會員國政府認為Reding所提有窒礙難行之處,例如法國即直言Reding的修法時程不切實際,執委會及Reding也因此放棄原先規劃。至於新的行動宣示到底會不會真的納入歐盟個人資料保護指令的修正計畫,其時程與內容如何,值得持續注意。

創投業景氣欠佳,政府扮演助力角色

  在網路泡沫化之後,曾經在九○年代紅極一時的資金投資機構 -- 創業投資 (Venture Capital) 也歷經了前所未有的低潮。創業意願的低落、股市的低迷,使得創投在投資目標的選擇與投資的回收上,都面臨很大的瓶頸。   然而近期以來,在美國,一股對創投支撐的力道,正逐漸成形。這股力量正是來自於各州的政府。目前在美國,除了六個州之外,各州的政府均積極投入創投產業,希望透過創投的中介功能,發展產業。各州政府經由創投發展的產業,主要有生技、醫療設備、軟體、電信、能源、半導體與網路等。   各州政府希望透過創投,發展當地的產業,並提供就業機會。在這波的潮流之下,四十四個州所支持的 151 支創投基金,已為創投業者帶來一股新的希望。

新加坡智財申請政策介紹

新加坡智財申請政策介紹 科技法律研究所 法律研究員 羅育如 2014年10月31日 壹、前言   新加坡政府於2013年3月份提出IP (Intellectual Property) Hub Master Plan 10年期計畫[1],目標是成為亞洲智財匯流中心。本文針對該計畫中的智財申請政策進行觀察,目的在於了解新加坡政府如何運用政府資源,提供世界級的服務,建構吸引智財申請的環境。 貳、重點說明   IP 擁有者通常會依據商業利益來考量要在哪些國家申請智財權,但因為新加坡內需市場規模不大,故更需要由新加坡政府提供誘因,以吸引在新加坡境內提出IP註冊。為此,新加坡政府提出相關政策包括1.修改專利法提高專利品質,同時提升專利審查人員能力;2.專利審查高速網路,以下詳細說明。 一、專利法修法以及專利審查人員訓練計畫 (一)新加坡專利法修法   新加坡專利法於2011年開始修法,2014年2月14日開始實施新法,其中,最大差異在新法將新加坡智慧財產申請系統由「自我評估制度(patent self-assessment system)」轉為「實質審查制度(positive grant system)」。在舊有系統下,申請人只需要自行宣稱新穎性即可取得專利權。然而,此次修正後將改採「實質審查」制度,會增設專利審查員審查專利性,檢索報告亦須說明請求項是否具備前述專利性。此一修正之目的在於,希望能藉以提升新加坡核准專利申請案件水準。 (二)提升專利審查人員技術檢索和審查能力   配合前述專利法修法,新加坡智慧局即需要建構過去缺乏之實質審查的專利審查員。因此,提出審查委員訓練計畫,包含法規及專利領域的深入了解以及資深審查委員在職輔導等,希望審查委員能提供高品質及有效的檢索及審查結果。   新加坡智慧財產局投資5千萬星元(約合新台幣1億2千萬元),用以增進審查人員在重要技術領域的檢索和審查能力,以吸引企業在新加坡註冊IP。包括自2012年9月起,派出第一批專利檢索暨審查團隊(search and examination team;S&E)送往歐洲專利局及日本特許廳接受訓練[2]。2013年5月28日成立專利審查辦公室,2014年8月29日新加坡智慧局公布專利審查員團隊為80人規模(第一波招募40人;第二波招募40人),其中95%擁有博士學位,技術領域包括生技醫療、奈米材料、半導體以及資訊通訊技術 ,25%擁有英文/中文雙語能力。除此之外,今年9月也已完成第三波專利審查員招募作業。 二、專利審查高速網路(patent prosecution highway network;PPH)   新加坡智慧局現在與美國、日本、南韓、墨西哥以及中國專利局皆已建立專利審查高速網路(patent prosecution highway network;簡稱PPH),可加速新加坡專利申請人在海外的申請程序。   除此之外,2014年11月1日起,新加坡成為全球專利審查高速(GPPH)網路的一部分,GPPH允許來自全球的17個參與智慧財產權局彼此分享專利檢索和審查結果,包括美國、加拿大、澳大利亞、英國、丹麥、芬蘭、俄羅斯、匈牙利、西班牙、瑞典、葡萄牙、以色列、挪威、冰島、日本、韓國以及北歐。透過GPPH,新加坡擁有的PPH夥伴數量將從現在的5個增加到19個。   新加坡政府認為PPHs網絡,將促使新加坡成為優質專利申請註冊的首選之地。申請人將可在新加坡迅速取得具成本效益及優質的專利審查(S&E)報告,進而加速在其他國家智財局的專利舉發程序。 參、事件評析   新加坡政府了解新加坡國內市場小,很難吸引IP擁有者在新加坡註冊智財權,但新加坡政府還是願意花費大量的政府資源修改專利法、提升專利實質審查能力、加入PPHs,其最大的市場動力以及願景來自於東南亞智財市場。目前東南亞各國的專利制度都較新加坡起步慢,如果新加坡政府可提供高質量的智財審查服務並透過與東南亞國家之間簽署類似PPH的協定,新加坡智財局的智財服務可遍及整個東南亞國家,東南亞各國不需要自行設立相關的審查制度以及投入資源,僅需仰賴新加坡智財局即可,這樣新加坡的智財市場就不僅限新加坡國內,而是擴及至整個東南亞國家。 [1]IP STEERING COMMITTEE, Intellectual Property (IP) Hub Master Plan─Developing Singapore as a Global IP Hub in Asia (2013) http://www.ipos.gov.sg/Portals/0/Press%20Release/IP%20HUB%20MASTER%20PLAN%20REPORT%202%20APR%202013.pdf(最後瀏覽日2014/10/15) [2]2012年7月11日,日本專利局與新加坡智慧財產局於新加坡簽署兩局間合作備忘錄。目前日本專利局與新加坡間的"簡化改進的實質審查"(Modified Substantive Examination, MSE)和"專利審查高速公路"(The Patent Prosecution Highway, PPH)專案試行等,也為兩局在專利審查相關的積極合作。資訊來源:http://www.ipos.gov.sg/News/Readnews/tabid/873/articleid/200/category/Press%20Releases/parentId/80/year/2012/Default.aspx(最後瀏覽日期:2014/10/17)

德國聯邦內政部提出「資訊科技安全法」(草案),保障關鍵基礎設施及資訊安全

  德國聯邦內政部繼與德國聯邦經濟暨能源部與交通暨數位基礎設施部共同擬定之「數位議程2014 - 2017」(Digitale Agenda 2014 – 2017)政策裏,於本年8月19日提出資訊科技安全法(草案)(IT-Sicherheitsgesetz)。該草案的提出目的為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施。德國內政部長de Maizière在新聞發表會上,宣稱要讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範。除外,亦欲藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。   該草案的主要對象係關鍵基礎設施營運者(Kritische Infrastrukturbetreiber),例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。「關鍵基礎設施」的定義並未涵蓋德國聯邦政府部門之間使用的數據通信系統。不過,究竟係在這些基礎設施領域的哪些企業該受到資訊科技法的約束,德國內政部將陸續與各相關部會研討後再以行政法規的方式明確表列出來。   關鍵基礎設施企業必須採取適當的保護措施以保障關鍵基礎設施的正常運行。所採取的保護措施可符合同業或同業公會裡所認可的最新資訊安全標準,且得符合一定的付出成本比例。不過衡量標準,最後還是得由德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)〉做認定。上述之企業需兩年內完成安全防護措施的設置。為防止電信系統非法入侵,該草案也修增德國電信法(Telekommunikationsgesetz)為施予電信業者更高的資訊安全防護標準。針對網際網路服務提供者(Internet Service Providers, ISP)也特別施加設置防範駭客攻擊的尖端防護措施義務。   關鍵基礎設施業者的資訊安全系統均須透過德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)每兩年定期審核,若沒通過則會被要求依德國聯邦資訊安全局的標準去處裡該安全漏洞。   若是上述業者的資訊安全系統有受損,並且可導致關鍵基礎設施的故障或損毀,該企業需通報德國聯邦資訊安全局,且該記錄可匿名化。但是,若是因駭客攻擊直接導致關鍵基礎設施的故障或損毀,該企業則需立即通報德國聯邦資訊安全局,不可匿名。

TOP