歐盟執委會提案將電子設備之充電連接埠統一為USB Type-C

　　近期幾家大信用卡公司遭駭客入侵，使得消費者受到了越來越大的身份被盜用的威脅。對此，能使購物更加安全的技術，特別是生物識別技術，包括電影中常見到的虹膜掃描，以及相對普及的指紋，聲音，臉部特徵識別等，越來越引發了人們的興趣。 　　目前，美國第二大零售連鎖店 Albertson 已經和其他數百個零售商一起加入了生物識別付款的試點行列。該公司發言人表示，新付款方式則大大加速了結帳的速度；另外也可以自動識別是否賣菸酒給未成年人。 　　不過生物識別技術的根本的缺陷在於隱私問題，因?這項技術意味著對個人資訊的集中儲存。而這個系統必然會成?駭客和其他居心不良者的「蜜罐」，一旦這個儲存系統被攻破，並將受害者的生物資訊惡意更改，受害者將面臨身份被終極盜用的噩夢。

　　自2012年開始，荷蘭科學研究組織(Netherlands Organisation for Scientific Research, NWO)會擇定幾個重點領域，該重點領域係包含：農業食品，園藝及繁殖材料，水 ( Agri & Food, Horticulture & Propagation Materials, Water)、生物經濟，化學，跨部門的信息和通信技術方案(Biobased Economy, Chemistry, Cross-sector theme ICT)、創意產業(Creative Industry)、能源產業(Energy)、生命科學與健康(Life Sciences and Health)…等等領域，並由其中擇定有發展前景的計畫(top program)，以公私夥伴關係推動發展，其每年投注於該重點領域研究金額大約245,000,000歐元，而投注於公私夥伴關係計畫中的金額更高達100,000,000歐元。公部門與產業間以及研究者間權利義務關係依合作強度以及產業投入的資金而有所不同。荷蘭此類公私夥伴關係依發動者不同而分三種不同類型： 1.科學家發動的公私夥伴關係(Science Takes Initiative) 2.共同發動的公私夥伴關係(Joint Initiative) 3.由產界發動之公私夥伴關係(Business Takes Initiative) 　　NWO在評估是否給予補助時，可以採取面談或現場參觀評估之方式，而NWO亦得附帶條件要求補助所購買的特殊儀器設備提供他人使用。而NWO補助所生的研究成果應盡可能公開並有利於未來的研究使用，例外情形則可延後公開。 　　又研究成果原則上係歸屬受補助者，但NWO在於特定研究補助之目的有此必要，得於事前與受補助者簽訂書面協定取得研究成果之權利。又若該研究計畫是在國外執行且完全由該國之學術機構負責，在該國的專利法並不損及荷蘭方之當事人依荷蘭專利法可享的權利下，則該國之學術機構就研究成果之開發及利用得依該國專利法之規定。國際合作的公私夥伴間彼此的權利義務會因個案約定而有不同。

　　為促進美國境內個人化診斷醫療器材發展並進一步實現個人化醫療之理想與目標，於今(2011)年7月14日時，FDA於各界期盼下，正式對外公布了一份「個人化診斷醫療器材管理指引文件草案」(Draft Guidance on In Vitro Companion Diagnostic Devices)。而於此份新指引文件草案內容中，FDA除將體外個人化診斷醫療器材定義為：「一種提供可使用相對應之安全且有效治療產品資訊之體外診斷儀器」外，亦明確指出，將視此類個人化檢測醫療器材產品為具第三風險等級之醫療器材，並採「以風險為基礎」(Risk-Based)之管理方式。 　　依據上述新指引文件草案內容，FDA對於此類產品之管理，除明訂其基本管理原則外，於其中，亦另列出兩項較具重要性之例外核准條件。第一項，是關於「新治療方法」(new therapeutics)部分，FDA認為，於後述情況下，例如：(1)該項新治療方法係針對「嚴重」或「威脅病患生命」、(2)「無其他可替代該新治療方法存在」、或(3)將某治療產品與未經核准(或未釐清)安全或功效之體外個人化診斷醫療器材並用時，其為病患所帶來之利益，明顯高於使用該項未經許可或未釐清之體外個人化診斷醫療器材所將產生之風險等前提下，FDA或將例外核准該項新治療方法。其二，是關於「已上市治療產品」部分，依據新指引文件草案，於下列各條件下，或將例外核准製造商以補充方式所提出之「新標示」產品之上市申請案，包括：(1)該新標示產品乃係一項已通過主管機關審查之醫療產品，且已修正並可滿足主管機關於安全方面之要求；(2)該產品所進行之改良須仰賴使用此類診斷試劑(尚未取得核准或未釐清安全功效)；(3)將此項已上市治療產品與未經核准或未查驗釐清安全(或功效)之體外個人化診斷醫療器材並用時，其為病患所帶來之利益，明顯高於使用該項未經許可或查驗釐清之體外個人化診斷醫療器材所具之風險等。 　　此外，FDA方面還強調，若針對某項個人化診斷醫療器材之試驗結果顯示，其具較顯著之風險時，將進一步要求業者進行醫療器材臨床試驗(Investigational Device Exemption，簡稱IDE)。而截至目前為止，此項新指引文件草案自公布日起算，將開放60天供外界提供建議，其後FDA將參考各界回應，於修正後，再提出最終修正版本指引文件；然而，究竟FDA目前所擬採取之規範方式與態度，究否能符合境內業者及公眾之期待與需求？則有待後續之觀察，方得揭曉。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。