美國網路安全暨基礎設施安全局(CISA)成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,JCDC),將領導推動國家網路聯防計畫
美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,以下簡稱CISA)於2021年8月宣布成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,以下簡稱JCDC),依據《國防授權法》(National Defense Authorization Act of 2021, NDAA)所賦予的權限,匯集公私部門協力合作,以共同抵禦關鍵基礎設施的網路威脅,從而引領國家網路防禦計畫的制定。
聯合網路防禦協作辦公室(JCDC's office)將由具代表性的聯邦政府單位所組成,包括國土安全部(Department of Homeland Security, DHS)、司法部(Department of Justice, DOJ)、美國網路司令部(United States Cyber Command, USCYBERCOM)、國家安全局(National Security Agency, NSA)、聯邦調查局(Federal Bureau of Investigation, FBI)和國家情報總監辦公室(Office of the Director of National Intelligence, ODNI)。此外,JCDC將與自願參與的夥伴合作、協商,包括州、地方、部落和地區政府、資訊共享與分析組織和中心(ISAOs/ISACs),以及關鍵資訊系統的擁有者和營運商,以及其他私人企業實體等(例如:Microsoft、Amazon、google等服務提供商)。
目的在藉由這項新的合作機制,協調跨聯邦部門、各州地方政府、民間或組織等合作夥伴,來識別、防禦、檢測和應對涉及國家利益或關鍵基礎設施的惡意網路攻擊,尤其是勒索軟體,同時建立事件應變框架,進而提升國家整體資安防護和應變能力。
是以,JCDC此一新單位有以下特點:
- 具獨特的公私部門規劃要求和能力。
- 落實有效協調機制。
- 建立一套共同風險優先項目,並提供共享資訊。
- 制定、協調網路防禦計畫。
- 進行聯合演練和評估,以妥適衡量網路防禦行動的有效性。
而JCDC主要功能,整理如下:
- 全面、全國性的計畫,以處理穩定操作和事件期間的風險。
- 對情資進行分析,使公私合作夥伴間能採取應對風險的協調行動。
- 整合網路防禦能力,以保護國家的關鍵基礎設施。
- 確保網路防禦行動計畫具有適當性,以抵禦對方針對美國發動的網路攻擊。
- 計畫和合作的機動性,以滿足公私部門的網路防禦需求。
- 制度化的演練和評估,以持續衡量網路防禦計畫和能力的有效性。
- 與特定風險管理部門(Sector Risk Management Agencies, SRMAs)密切合作(例如:國土安全部-通訊部門、關鍵製造部門、資訊技術等),將其獨特專業知識用於量身定制計畫,以應對風險。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
林玉書
法律研究員 編譯整理
1. Joint Cyber Defense Collaborative, CISA.GOV, https://www.cisa.gov/jcdc (last visited Aug 10, 2021).
2. JOINT CYBER DEFENSE COLLABORATIVE﹝JCDC﹞, Unifying cyber defense planning and operations (2020), https://www.cisa.gov/sites/default/files/publications/JCDC%20Slick%20Sheet_FINAL_508.pdf (last visited Aug 11, 2021).
3. Kirana Aisyah, U.S. Defence Agency Launches Joint Cyber Defence Collaborativ, OPEN GOV, Aug. 9, 2021, https://opengovasia.com/u-s-defence-agency-launches-joint-cyber-defence-collaborative/ (last visited Aug 12, 2021).
1. About CISA, CISA.GOV, https://www.dhs.gov/cisa/about-cisa (last visited Aug 10, 2021).
2. Joint Cyber Defense Collaborative Fact Sheet, CISA.GOV, https://www.cisa.gov/publication/jcdc-fact-sheet (last visited Aug 13, 2021).
3. Sector Risk Management Agencies, CISA.GOV, https://www.cisa.gov/sector-risk-management-agencies (last visited Aug 13, 2021).
2015年10月27日歐洲議會通過電信網路新修規章(Regulation 2015/2120),內容包括網路中立(Net Neutrality)條款,該規章將拘束歐盟全體會員國之資訊通信法規,並確立歐盟境內之網路中立原則。在本次立法之前,歐盟境內未建立統一的網路中立法規,僅荷蘭、斯洛維尼亞及芬蘭制定國內網路中立法規。 網路中立係指各種網路應用、內容或服務,均應受到平等對待,網路服務業者 (Internet Service Provider,以下簡稱ISP)不得任意實施差別待遇,例如攔阻(blocking)、延後傳送順序或降速(throttling)等。依據歐盟新修規章第3(3)條規定,ISP應平等處理所有網路流量,但同條之例外條款允許ISP在特定條件下,採取合理的流量管制措施。ISP流量管制之標的必須係基於因技術上服務需求之差異,所客觀形成之不同類別,換句話說,ISP不得因商業考量而對個別網路使用者產生差別待遇,僅得針對客觀的類別進行流量差異管制,例如點對點(Peer-to-Peer,P2P)傳輸軟體下載與語音電話,因流量傳輸需求不同,屬於不同的類別,是故,對於這兩種類別可採取不同之傳輸速度。同時,ISP的管制措施必須符合透明、非歧視性及比例原則。ISP亦不得監看特定內容,而管制期間不得超過必要之期限。 除了上述因客觀類別所採取之差別待遇之外,該規章亦賦予ISP得因特定法定事項而採取流量管制,該法定事項包括: 1.基於法律規範或執法需要而進行管制:包括符合歐盟法或會員國國內法之規定、以及法院或行政機關之命令或授權。 2.為了維持網路服務之完整性及安全性所採取之管制,包括網路、透過網路提供之服務或終端使用者(個人及企業)之終端設備。 3.防止即將產生之網路塞車或減輕網路塞車情況,但其前提為相同之網路服務類別必須給予平等之待遇。 歐盟之新修規章試圖在網路中立原則下,建立合理的管制措施規範。但該規章仍存有一些爭議性,包括: 1.為了讓醫療用途等網路流量能被優先處理,該規章允許ISP針對類別差異給予不同傳輸速度。但類別之區分方式仍不夠明確,可能導致ISP得恣意實施差別待遇。 2.法條未限制網路公司與電信業者結盟,ISP可依據商業契約讓某些網路使用不計入資費的使用量(zero rating),可能導致大公司占據競爭優勢,不利新興公司的發展。 3.有關加密資料之類別決定,ISP須進行解密查看才知道該加密資料符合何種傳輸類別,但此舉會引發資料保護之問題,因此加密資料之傳輸問題仍尚待解決。 4.為了促使網路暢通,該規章允許網路塞車時或有塞車之虞時,ISP可進行流量管制。但後續必須清楚界定網路塞車之虞的情況,以避免賦予ISP過多管制權限。 歐盟新修規章已完成立法,後續將交由歐盟電信管制機關(Body of European Regulators for Electronic Communications,BEREC)訂立細部辦法,以拘束歐盟各會員國的網路服務業者,同時各會員國也必須修改國內相關法規,以符合該規章之規範。
由歐盟數位單一市場著作權指令觀察國際數位內容智慧財產權保障趨勢由歐盟數位單一市場著作權指令觀察國際數位內容智慧財產權保障趨勢 資策會科技法律研究所 許椀婷 法律研究員 2019年1月17日 壹、背景說明 考量互聯網跨境傳輸,以及各國間著作權制度差異所帶來的影響,歐盟早於2015年即提出立法草案,討論至今預定於今年(2019)1月進行最終表決的「歐盟數位單一市場著作權指令草案(Directive on Copyright in the Digital Single Market, COD)」,其中第13條規定:「線上內容共享服務提供商和權利人應真誠合作,以確保排除未經授權的受保護作品或其他主題服務。」[1],對線上內容共享服務提供商在提供權利人的權利保障上義務進行規範,引發許多有大量轉載用戶的大型數位內容平台(如google)的抗議。 以我國現況而言,著作權法敘明網路服務提供者之民事免責事由,並在第90-4條規範網路服務提供者應以契約、電子傳輸、自動偵測系統等方式,告知使用者其著作權或製版權保護措施,並確實履行該保護措施。並在告知累計三次侵權情事下,終止其提供的全部或部分服務。上述保護措施經主管機關核可,網路服務提供者應配合執行。[2]國家通訊傳播委員會更於2017年提出「數位通訊傳播法草案[3]」,賦予數位通訊平台業者(如:Facebook)概念相同之避風港條款:若平台提供者接獲有人檢舉平台內容侵權,業者將侵權內容下架就能免責,相對歐盟的立法方向,是以提供誘因以協助保障智慧財產權為核心作法。本文將對COD第13條所引發的爭議進行討論,做為我國後續相關修法之借鏡。 貳、侵權行為的刪除 COD第13條爭議之一,為該條款賦予線上內容共享服務提供商應刪除侵權內容之義務,但各界對應如何識別和刪除尚未達成共識。該指令過往版本中的「內容識別技術(content recognition technologies)」,普遍被解讀為要求平台使用自動化過濾器來掃描每一段上傳內容,阻止任何可能侵害著作權的行為。該識別技術讓人聯想到YouTube行之有年的Content ID[4],其對影片和音訊進行侵權比對,標記平台內重複的內容,權利人經系統通知可透過下述方式維護權利,包括封鎖內容或追蹤、獲取觀看者資訊,作為行銷分析之用;或直接於影片中插入廣告增加收入。此外,權利人還能在Content ID無法檢測到重覆內容下進行手動聲明。Content ID在實務運作上飽受抨擊,原因包括配合「數位千禧年著作權法(Digital Millennium Copyright Act, DMCA)」的通知與刪除制度,增加平台業者封鎖或復原影片的負擔;Content ID的比對更有因自動化產生錯誤、資料庫既存錯誤、或惡意舉報等風險。[5]Youtube雖已在技術開發上耗費6,000萬美元[6],且尚需負擔Content ID每日檢查大量數位內容的傳輸成本,結果仍然不是人人滿意,可見為何大眾會對內容識別技術的要求如此擔憂。由Content ID的案例可觀察出,辨識原始內容就遭遇如此多的困難,更不用說要準確辨識現在時下流行的二次創作,如對擷取新聞、電影畫面進行評論,或將圖片進行創意、詼諧嘲諷的改作等影片利用是否合法了。未來COD草案該條款的施行,恐對二次創作的流通產生一定程度的限制。 回顧我國目前著作權、及數位通訊傳播法草案等法規,針對網路服務提供者[7]、數位通訊傳播服務提供者[8]避風港,對業者的歸責較COD相對輕。而在業者需提供的技術上,經濟部智慧局已對著作權法第90條內提及之「通用辨識或保護技術措施」提出解釋,用以辨識(identify)或保護(protect)著作權或製版權之相關措施,如過濾網路侵權資訊、監測網路流量之技術等,均屬之,且強調該條款並非課予網路服務提供者負有發展該等技術措施之義務,智慧局將徵詢網路服務提供者、權利人及相關技術專家意見,並考量負擔成本等因素[9]。 參、結論與建議 在COD的進展上,目前COD的最新修訂草案已移除了內容識別技術的用詞,並補充例外應特別考慮基本權利,以例外和限制確保中小企業的負擔仍然適當,並避免自動封鎖內容[10]。回應大眾對於無法負擔技術成本的抗議,避免一些小規模網站可能無法負擔聘用人員監管成本的問題。此外,歐盟更釋出新聞稿說明指令草案並未具體說明需要以哪些工具來實踐目標,故自動化過濾器僅為一種可能的解決方案之一。[11] COD草案若通過,歐盟各成員國將被要求於2年內修改國內法規,以符合該指令之規定。若屆時該指令所產生的成本負擔,在業者評估下仍過於沉重,許多平台可能選擇避開歐盟市場,造成歐盟成員國民眾可獲取的內容驟減。 在內容創作者越來越重視自身權益的年代,針對數位平台與創作者間的權利與義務不斷被拿出來討論,不管是著作權法或是數位通訊傳播法草案,都有可能被要求配合國際趨勢和科技發展進行調整。未來若考量進一步導入如歐盟COD的審核機制,提供數位內容平台通知下架以外的義務,以促進著作權的合法授權及合理分配,應同理審慎評估我國實際可執行的技術能力範疇為何,估計產業可能需負擔的成本,降低對產業產生的衝擊,並檢視實施此類機制所能帶來的效益程度,作為增添此義務之佐證依據。 [1] European Parliament,Copyright in the Digital Single Market(2018), http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+TA+P8-TA-2018-0337+0+DOC+PDF+V0//EN (last visited Jan. 15, 2019 [2]《著作權法》第90-4條:「符合下列規定之網路服務提供者,適用第九十條之五至第九十條之八之規定:一、以契約、電子傳輸、自動偵測系統或其他方式,告知使用者其著作權或製版權保護措施,並確實履行該保護措施。二、以契約、電子傳輸、自動偵測系統或其他方式,告知使用者若有三次涉有侵權情事,應終止全部或部分服務。三、公告接收通知文件之聯繫窗口資訊。四、執行第三項之通用辨識或保護技術措施。連線服務提供者於接獲著作權人或製版權人就其使用者所為涉有侵權行為之通知後,將該通知以電子郵件轉送該使用者,視為符合前項第一款規定。著作權人或製版權人已提供為保護著作權或製版權之通用辨識或保護技術措施,經主管機關核可者,網路服務提供者應配合執行之。」 [3] 行政院,《數位通訊傳播草案》(2017) [4] Youtube,Content ID 的運作方式(2019),https://support.google.com/youtube/answer/2797370?hl=zh-Hant [5] PlagiarismToday,(2019), YouTube’s Copyright Insanityhttps://www.plagiarismtoday.com/2019/01/10/youtubes-copyright-insanity/ (last visited Jan. 15, 2019) [6] Google,How Google Fights Piracy 2016(2016), https://drive.google.com/file/d/0BwxyRPFduTN2cl91LXJ0YjlYSjA/view (last visited Jan. 15, 2019) [7] 指提供下列服務者:(一)連線服務提供者:透過所控制或營運之系統或網路,以有線或無線方式,提供資訊傳輸、發送、接收,或於前開過程中之中介及短暫儲存之服務者。(二)快速存取服務提供者:應使用者之要求傳輸資訊後,透過所控制或營運之系統或網路,將該資訊為中介及暫時儲存,以供其後要求傳輸該資訊之使用者加速進入該資訊之服務者。(三)資訊儲存服務提供者:透過所控制或營運之系統或網路,應使用者之要求提供資訊儲存之服務者。(四)搜尋服務提供者:提供使用者有關網路資訊之索引、參考或連結之搜尋或連結之服務者。 [8] 指提供使用者數位通訊傳播服務(指提供公眾或他人使用數位通訊傳播-以有線、無線、衛星或其他電子傳輸設施傳送數位格式之聲音、影像、文字、數據或其他訊息之服務)之自然人、商號、法人或團體。 [9] 經濟部智慧財產局,著作權法網路服務提供者ISP民事免責事由Q&A(2013),https://www.tipo.gov.tw/ct.asp?xItem=207034&ctNode=7193&mp=1 [10] Special account shall be taken of fundamental rights, the use of exceptions and limitations as well as ensuring that the burden on SMEs remains appropriate and that automated blocking of content is avoided. [11] European Parliament, Q and A on the draft digital copyright directive(2019), http://www.europarl.europa.eu/news/en/press-room/20190111IPR23225/q-and-a-on-the-draft-digital-copyright-directive (last visited Jan. 15, 2019)
美國先進製造國家計畫辦公室於今年(2015) 6月10日研提現況檢討報告與相關政策資料為檢視國內先進製造業復甦與計畫推進之近況,美國先進製造國家計畫辦公室(Advanced Manufacturing National Program Office, AMNPO)於今年(2015) 6月10日研提現況檢討報告與相關政策資料,該項報告主要可歸結「國內產業現況」、「計畫執行成效」與「法制組織」等重要面向 ,茲就該項報告之重點摘要如下: (一)國內先進製造產業現況檢視: 報告指出美國目前正喪失在先進產品領域全球領導地位,在進出口貿易呈現嚴重赤字,雖近年致力於先進製造之資源整合與共同研發等措施,然而,觀察基礎科研端到市場端仍存有落差。 (二)先進製造領域已設立45個研發創新中心: 研發創新中心為產業與學研機構共構之「區域應用性組織」,主要由學術研究聯盟、企業和區域管理機構所組成專注於扶持區域具經濟優勢之新興技術研發,發展在地技術能量。先進製造領域,截至目前為止,已設立45個研發創新中心。除透過研發創新中心之扶持外,另可透過中心之設立選定各該重點關鍵技術發展,間接培育美國各區域之先進製造技術之專業領域。美國境內研究型大學或非營利組織皆得提案申請,而獲選之區域創新研究機構可獲得聯邦政府5至7年資金補助,政府欲透過補助模式,扶持區域新創機構之自主運作與發展。而於七年發展階段後,該機構將形成財政自主,由該機構之行政委員會主導研發資金運用與分配。
因應京都議定書生效壓力 工廠溫室氣體減量 將訂規範全國能源會議於六月二十日登場,面對京都議定書生效壓力,新舊工廠未來究竟應如何減量,備受企業高度關切,經濟部已擬出政策規劃,將自二○○七年開始推動既設工廠溫室氣體減量措施,至二○一五年減量一○%(二千年為減量基準年)。 工業部門溫室氣體排放量占全國排放總量五五%,但占全國 GDP 比例逐漸減少,工業局計畫在全國能源會議中,提出多項溫室氣體減量措施。 為建立產業減量機制,工業局規劃出短、中、長期三階段減量計畫外,並提出攸關溫室氣體查核機制的能源效率計算模式,藉由會議尋求共識後,逐步落實。 據瞭解,能源效率計算機制因各國規劃採取的措施不同而所有差異,有國家採用每人耗能量為計算基準,也有以生產產品所需耗能量計算,或是每創造單位國內生產毛額所需耗用的能源計算(即能源密集度)。 工業局認為,以能源密集度做為我國工業查核指標,可顯示能源消費與該產業的邊際效應變化趨勢,有助於落實工業部門減量策略的執行,因此建議我國未來在產業溫室氣體排放查核機制上,以能源密集度為查核指標。 至於,在溫室氣體減量機制上,工業局規劃我國自二○○七年時推動既設工廠實施溫室氣體減量措施,並至二○一五年時達到溫室氣體排放密集度降低一○%的目標,而其減量的基準年為二千年;在新設廠方面,則以全球一○%標竿能源效率製程的排放密集度擬訂排放標準加以審議。