德國聯邦政府提出《資訊科技安全法2.0》草案
德國聯邦政府(Bundesregierung)於2020年12月16日通過「提升資訊科技系統安全性的第二版法律(Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme)」草案,又稱「資訊科技安全法2.0(IT-Sicherheitsgesetz 2.0)」,該草案概述如下:
(1)加強德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)權限:
BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序,並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。
(2)加強消費者保護:
導入IT安全標籤(IT-Sicherheitskennzeichen),製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊;此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。
(3)加強企業作為義務:
關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務,該報告義務在草案中將擴張適用於具特定公共利益之公司,如與國防和保密資訊IT產業相關、具經濟上重要性的公司,以及受重大事故條例(Störfallverordnung, StöV)所規範者。
(4)加強國家保護功能:
國家應建立認證機制,並課予關鍵基礎設施的供應者通過該認證的義務,即供應者需確保其設施內的零件不具不適當的技術特性,尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。
該草案目前於德國聯邦議院(Deutscher Bundestag)進行審查。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
羅文妗
專案經理 編譯整理
潘俊良,〈德國聯邦網路局發布電信網路安全要求要點〉,資策會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8273&no=67(最後瀏覽日:2021/01/05)。
印度電子資訊產業技術部(MeitY)2022年11月在網站上公布了個人資料資訊保護法草案(Digital Personal Data Protection Bill,以下簡稱該法案),並於2023年7月提交議會審查。目前印度民法不承認未成年人(未滿18歲者)具有自主簽訂契約的能力。因此,取得的兒童同意不具有法律效力,必須徵得父母或是監護人的同意才能合法蒐集兒童個人資料。 根據印度2022年個人資料資訊保護法案草案,任何未滿18歲的人都被歸類為「兒童」。該法案中同時限制專門向兒童發送的廣告,並且監管任何追蹤兒童行為的情況。目前國際隱私法(例如:歐盟通用資料保護條例 (GDPR)、加州消費者隱私法(CCPA)等)的兒童定義多在13至17歲之間。但考慮到兒童個人資訊的敏感性和潛在危害,印度政府採取了較保守嚴謹的路線。政府也已被授權制定有關處理兒童個人資訊的細則,特别是確保資料使用人不可使用可能對兒童造成傷害的個人資料。 根據社會發展狀況,兒童若每次在網路平台上進行活動時都需經過父母或是監護人同意不甚妥適,且根據前述說明,兒童界定年齡為18歲以下,若依照統一年齡範圍進行控管,實際執行上面臨窒礙難行之處。故修法者在對於該法案修改意見中,引用了其他國家隱私法中的不同年齡分類限制,以求降低年齡門檻限制,或是根據用戶的年齡制定差異化的授權要求。 另一個產生的爭議為,該如何驗證父母或是監護人的同意表示。法條中目前無明確規範何為「有效之同意表示」,現行各平台使用不同的方法獲得父母或是監護人的同意,目前有兩種方式,包括點選「同意」按鈕,或是在用戶條款中表示若使用服務等同於監護人同意。 關於兒童年齡之界定,是否將參考其他國家規範進行差異化設定,目前暫無明確定論(包括如何調整、年齡級距設定),根據資訊使用的普及,兒童年齡的界定可以預期的將會進行調整;關於如何有效驗證父母或是監護人的同意表示,目前在技術上大多服務商都偏好透過會員註冊時的同意按鈕或是用戶條款中列明若使用服務即代表同意這兩種方式認定,在這兩種方式之後,系統是否有設定驗證機制,以及需要何種驗證方式才可以認定父母或是監護人的同意表示是符合法律效力的,都需後續再進行研擬。
美國佛羅里達州「基於保險目的之基因資訊法」最新修正於2020年7月1日正式施行美國佛羅里達州州長於2020年6月30日簽署「基於保險目的之基因資訊法」(Genetic Information for Insurance Purposes)法律修正案,並於2020年7月1日正式生效施行。本次「基於保險目的之基因資訊法」修正重點有二: 將「人壽保險」和「長期照護保險」保險人納入「禁止僅根據個人基因資訊即取消、限制、拒絕承保或設定不同保險費費率」之列; 明確規定醫療保險、人壽保險及長期照護保險之保險人,不得基於保險目的,向要保人、被保險人索取基因檢測結果,或要求要保人、被保險人須完成基因檢測後方同意核保。 同時,本次「基於保險目的之基因資訊法」修正理由亦明確說明:禁止醫療保險、人壽保險及長期照護保險之保險人利用基因檢測結果,並非禁止保險人依據醫療紀錄和醫療診斷結果進行核保或計算保險費費率,以此釋疑保險人對此次修正之擔憂。 美國聯邦參議院於2008年即通過「基因資訊平等法」(Genetic Information Nondiscrimination Act of 2008, GINA),惟「基因資訊平等法」僅禁止醫療保險保險人利用基因資訊進行核保,並未禁止其他類型之保險人。美國佛羅里達州本次修正「基於保險目的之基因資訊法」將人壽保險和長期照護保險一併納入規定,是全美首次擴大禁止利用基因資訊進行核保之保險類型。
網路廣告商標侵權爭議之最新實務發展趨勢介紹 歐盟為清潔能源轉型提出再生能源指令修正提案2016年11月30日,歐盟執委會正式推出了清潔能源轉型(Clean Energy Transition)包裹立法提案。這項又名為「全歐洲人的清潔能源」(Clean Energy for All Europeans)包裹立法提案有三個主要目標,分別為「能源效率優先」(putting energy efficiency first)、「讓歐盟於再生能源取得全球領導地位」,以及「提供消費者公平合理的方案」(providing a fair deal for consumers)。而整個包裹措施的內容,除了再生能源指令(2009/28/EC)的修正案的提出外,並包含能源效率指令(2012/27/EU)以及建築物能源績效指令(2010/31/EU)的修正規劃。 在再生能源指令的修正草案方面,根據執委會的說明文件 ,此次的修正大致延續2015年所提出公眾諮詢的架構,分為六個面向,分別為:(1)於電力部門創造可以促成再生能源進一步佈署之架構(2)供冷供熱部門再生能源的主流化(3)運輸部門的減碳與多元化(4)對於消費者之賦權與資訊之提供(5)強化歐盟對於生質能源的永續性門檻(6)確保歐盟層級的具拘束力目標(binding target)能及時並以符合成本效率之方式達成。 在「於電力部門創造可以促成再生能源進一步佈署之架構」方面,執委會指出,依照目前規劃,2030年時歐洲將有一半的電力來自再生能源。而因應上述規劃願景,此次的修正草案融入會員國在設計支持再生能源機制時所應遵循的一般原則,亦即除了確保相關支持機制對於投資人具透明性與安定性,系爭機制亦須符合成本效益且為市場導向。 在「供冷供熱部門再生能源的主流化」部分,執委會首先說明,供冷供熱佔歐洲能源需求的50%,但此部分再生能源的使用仍然發展遲緩。此次修正規劃的主要重點則首先在於讓會員國有機會以供冷供熱部門為選項來增加其再生能源佔比,以2030年為目標,預計每年增加1%。並在特定條件下,開放再生能源發電業者對於區域型供冷供熱系統的近用權利。 我國政府近來為推動能源轉型政策,亦致力提高再生能源配比,並由行政院核定諸如「太陽光電2年推動計畫」等配套方案,近來並將修正再生能源發展條例;歐盟所提出相關規劃內容,或亦有值得我國參酌之處。