美國總統拜登簽署「改善國家網路安全」行政命令
美國總統拜登於2021年5月12日簽署「改善國家網路安全」總統行政命令(Executive Order on Improving the Nation’s Cybersecurity),旨在增進美國政府與私部門在網路安全議題的資訊共享與合作,以加強美國對事件發生時的因應能力。本命令分從數個面向達成前述目標,分別為:
(1)情資共享之強化:消除威脅政府與私部門之間資訊共享的障礙,要求IT與OT服務者偵測到可疑動態時,與政府共享相關資訊與相關安全漏洞資料,簡化並提高服務商與聯邦政府系統服務合約之資安要求。
(2)現代化聯邦政府網路安全:針對聯邦政府網路,建構更現代化與嚴格的網路安全標準,並採取零信任架構,例如應強化雲端服務與未加密資訊之共享機制,包括由公眾直接透過WiFi連網取得或下載之資訊網頁等,針對其建構安全機制、更新加密金鑰與建構新的安全工具。
(3)強化軟體供應鏈安全:提高軟體供應鏈安全性,包括要求開發人員提高其軟體透明度、公開安全資料、利用聯邦資源促進軟體開發市場,以及建構軟體認證,使市場更容易確定該軟體的安全性。
(4)建立資安審查委員會:建立由公私部門共同合作的資安審查委員會(Cybersecurity Safety Review Board),針對重大資安事件做及時的回應、,並進行獨立第三方之審查與建議。
(5)標準化聯邦政府應對資安弱點及資安事件的教戰手冊:建構聯邦政府因應資安事件之資安事件教戰手冊,使聯邦政府得以及時並一致地回應網路攻擊事件。
(6)改進對聯邦政府網路資安弱點及資安事件之偵測:清查聯邦政府端點,改善聯邦政府對資通安全事件的偵查能力,並進一步布建強大的端點監測和回應系統(Endpoint Detect and Response, EDR)。
(7)提升聯邦政府調查與補救之能力:提升資訊安全事件調查與補救能力,並透過更頻繁與一致的資安事件日誌來減緩駭客對聯邦政府網路的入侵。
(8)建制國家安全系統:要求聯邦政府部門採用符合相關網路安全要求之國家安全系統。
本行政命令是美國政府在美國油管遭駭事件後,對相關事件之具體因應。本行政命令雖主要著眼於聯邦政府的網路安全,但亦透過總統行政命令鼓勵私部門在網路安全核心服務上加強合作與投資。預計美國在此總統行政命令基礎上,將有進一步強化公私合作的措施與資源挹注。
本文為「經濟部產業技術司科技專案成果」
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 112年度「領航臺灣數位轉型」國際研討會-實體場
- 112年度「領航臺灣數位轉型」國際研討會-直播場
- 2023年【Skill-up Seminar】新創出海全攻略 Ep.5 歐美稅務法規與實務-實體場
- 2023年【Skill-up Seminar】新創出海全攻略 Ep.5 歐美稅務法規與實務-直播場
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 商業服務業個資保護宣導說明會
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
陳文葳
法律研究員 編譯整理
Exec. Order No.10428, 86. Fed. Reg. 26633. (May 12, 2021). US Gov., The White House, FACT SHEET: President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks, May 12,2021 , https://www.whitehouse.gov/briefing-room/statements-releases/2021/05/12/fact-sheet-president-signs-executive-order-charting-new-course-to-improve-the-nations-cybersecurity-and-protect-federal-government-networks/, (last visited June 3, 2021).
World Economic Forum, What the cyber-attack on the US oil and gas pipeline means and how to increase security, May 10, 2021, https://www.weforum.org/agenda/2021/05/cyber-attack-on-the-us-major-oil-and-gas-pipeline-what-it-means-for-cybersecurity/ (last visited June 3, 2021).
中小企業創新核心計畫(Zentrales Innovationsprogramm Mittelstand ,以下簡稱ZIM)是一項覆蓋全國範圍、不限制技術領域和行業的補助計畫,補助對象除中小企業外,還包括與之合作的研究機構。該計畫整合過往其他許多補助計畫,德國聯邦經濟與能源部於2015年1月公佈了最新的ZIM計畫實施方針,擴大受補助中小企業的範圍,且提高資助資金的數額,將對企業補助的最高數額從35萬提高到38萬,對研究機構補助的最高數額從17.5萬提高到19萬歐元,以持續提升德國中小企業的創新能力與競爭力;企業與合作研究機構可以在補助的架構下針對先進技術研發獲得資金,研發主題不限,重點在於創新內容與市場價值。 ZIM計畫中的中小企業為員工人數不超過499人,同時年營業額低於5000萬歐元或資產負債表總額低於4300萬歐元的企業。在此基礎上,ZIM計畫中分為以下三種補助類型: 1.ZIM個人計畫(ZIM-Einzelproejkte):補助個別經營企業的研發計畫。 2.ZIM合作計畫(ZIM-Kooperationsprojekte):補助兩個或兩個以上的企業或研發機構之共同研發計畫。 3.ZIM網狀型合作計畫(ZIM-Kooperationsnetzwerke):補助在創新網狀架構下至少六個中小企業合作之全面性研發計畫。
中國大陸通過《中華人民共和國電子商務法》 針對「電子商務平台經營者」制定專節中國大陸於2018年8月31日第13屆全國人大常務委員會表決通過了《中華人民共和國電子商務法》(以下簡稱《電商法》),並將於2019年1月1日實施 。《電商法》首條揭示了「保障電子商務各方主體合法權益、規範電子商務行為、維護市場秩序」之意旨,除以「電子商務經營者」為主要規範對象外,亦涵蓋了法律行為、支付與物流、爭議解決等各個交易層面。 有鑑於電子商務平台對市場的主導作用,《電商法》特別針對「電子商務平台經營者」(以下簡稱「平台」)制定專節,要求其審核平台內經營者之資質資格,並課予其保障智慧財產權及消費者人身、財產安全之義務。分述如下: 為因應電子商務平台上仿冒偽劣品氾濫之窘境,《電商法》規定平台於接收權利人所發送之侵權通知後,須採取刪除、屏蔽、斷開鏈接、終止交易和服務等行動,否則需就損害擴大之部分,與平台內經營者負連帶責任。此外,平台「明知」或「可得而知」平台內經營者已侵害智慧財產權,而未採取必要措施者,亦須與侵權行為人承擔連帶責任。 如商品或服務涉及消費者之生命、健康,則平台負有:(1) 對平台內經營者資質資格之審核義務;以及(2) 對消費者之安全保障義務。如因未履行上開義務而造成消費者損害,需與該平台內經營者承擔「相應的責任」;換言之,平台是否踐履相關義務應依實際個案認定。同時增加行政罰規定,違者由市場監督管理部門責令限期改正,最重並得課處200萬元之罰款 。
美國修正通過外國情報偵察法(FISA)美國近期通過「外國情報偵察法」(Foreign Intelligence Surveillance Act, FISA)之修正案,其中,原先於1月份到期的第七章(Title VII)702條款(Section 702),重新延長授權6年,直至2023年12月31日。 此法案於1978年生效,為美國第一個要求政府須先獲得法院許可,始能進行電子監視的法律。法案宗旨係為平衡國家安全以及人民權利,基於憲法第四修正案對人民的保障,使身處美國領土內的人民免於被恣意監視,國家在通常情況下,須獲得外國情報偵察法院(Foreign Intelligence Surveillance Court, FISC)搜索票(warrant)才可對人民進行搜查。 本次法案修正通過後,使聯邦調查局能夠持續使用情報數據資料庫,以獲取有關美國人的信息,但法案新增要求聯邦調查局在預測性刑事調查中(predicated criminal investigation)如要索取與國家安全無關的內容,必須事先經FISC法院審查許可(court order)。 因911恐攻事件後出現的反恐需要,2008年增訂第七章702條款為FISA的正式條款,原本在今年1月到期,法案修正通過後,此條款延長授權6年。目的為美國公民提供隱私保護,禁止政府針對美國公民和位於美國境內的外國人為監視對象;僅處於國外的外國人,涉及外國情報資訊才可被列為本條進行監視的目標。允許情報部門,在三個政府部門(外國情報偵察法院,行政部門和國會)的監督下,收集關於國際恐怖分子,武器散布者以及其他位於美國境外的重要外國情報。 此項修正案保留702條款的操作靈活性,並加入了一些增強隱私措施及要求。惟,受質疑且具爭議的是,702條款條文內容規範,允許美國政府的情報機構--國家安全局(National Security Agency, NSA)基於該條款,例外不需法院搜索票,可向Google、Apple、微軟、Facebook或電信業者等美國企業蒐集、調閱國外非美國人用戶的海外通訊內容(包含電子郵件、電話、其他私人信息等),當這些被監聽的國外用戶之通訊對象係涉及美國人時亦同;意即,若美國人曾接觸被鎖定的國外對象,也會被納入調查並取得通訊紀錄等個資,且禁止業者通知受影響的用戶。曾有國會參議員試圖修改此法案,加入隱私保護條款,但最終並未獲多數同意。
巴西可能對美國非法補貼政策採取智慧財產報復行動為了報復美國非法補貼國內棉花業者,造成巴西的損失,巴西先是在3月初公布一份含102項美國產品之關稅調高名單,將在4月7日生效;在3月中旬又提出另外一份含21個項目的名單,包括中止(suspend)美國化學、醫藥、軟體、書籍和電影方面的專利權和智慧財產權,這份新的名單在公布後的未來20天,任何人都可以提出意見。 巴西的制裁措施是依據去年8月世界貿易組織(WTO)針對巴西和美國的貿易糾紛所作出的決定,WTO認為美國在1999年到2002年違法補貼其國內棉花業者,違反作為WTO成員所應遵守的義務,而給予巴西對美國進行8.29億美元的跨業報復(cross-sector retaliation)權利。 巴西政府估計3月初的調高進口關稅總值可達5.91億美元,3月中旬的智慧財產權報復行動可產生2.39億美元的衝擊。此外,如果3月中旬的制裁措施最後真的付諸實行,將會是WTO糾紛中第一次成功地利用智慧財產權作為報復手段的案例。 巴西政府希望藉由最新的報復手段可以迫使美國正視這個問題,美國貿易代表團則認為巴西此舉會帶來負面的先例影響,並且希望能和巴西政府協商共同解決這項議題,盡可能不使報復行動發生。