聯合國人權高級專員辦公室發布《數位時代隱私權》調查報告

　　英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計（Secure by Design）」報告，此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計，以確保用戶之資訊安全。 　　此報告中包含了一份經英國國家網路安全中心（National Cyber Security Centre, NCSC）、製造商及零售商共同討論後，提出之可供製造商遵循之行為準則（Code of Practice）草案。 　　此行為準則中指出，除設備製造商之外，其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 　　其中提出了13項行為準則：1. 不應設定預設密碼（default password）；2. 應實施漏洞揭露政策；3. 持續更新軟體；4. 確保機密與具有安全敏感性的資訊受到保護；5. 確保通訊之安全；6. 最小化可能受到攻擊的區域；7. 確保軟體的可信性；8. 確保個資受到妥善保障；9. 確保系統對於停電事故具有可回復性；10. 監督自動傳輸之數據；11. 使用戶以簡易的方式刪除個人資訊；12. 使設備可被容易的安裝與維護；13. 應驗證輸入之數據。 　　此草案將接受公眾意見，並於未來進一步檢視是否應立相關法律。

　　美國網路安全暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency，以下簡稱CISA）於2021年8月宣布成立聯合網路防禦協作機制（Joint Cyber Defense Collaborative，以下簡稱JCDC），依據《國防授權法》（National Defense Authorization Act of 2021, NDAA）所賦予的權限，匯集公私部門協力合作，以共同抵禦關鍵基礎設施的網路威脅，從而引領國家網路防禦計畫的制定。 　　聯合網路防禦協作辦公室（JCDC's office）將由具代表性的聯邦政府單位所組成，包括國土安全部（Department of Homeland Security, DHS）、司法部（Department of Justice, DOJ）、美國網路司令部（United States Cyber Command, USCYBERCOM）、國家安全局（National Security Agency, NSA）、聯邦調查局（Federal Bureau of Investigation, FBI）和國家情報總監辦公室（Office of the Director of National Intelligence, ODNI）。此外，JCDC將與自願參與的夥伴合作、協商，包括州、地方、部落和地區政府、資訊共享與分析組織和中心（ISAOs/ISACs），以及關鍵資訊系統的擁有者和營運商，以及其他私人企業實體等（例如：Microsoft、Amazon、google等服務提供商）。 　　目的在藉由這項新的合作機制，協調跨聯邦部門、各州地方政府、民間或組織等合作夥伴，來識別、防禦、檢測和應對涉及國家利益或關鍵基礎設施的惡意網路攻擊，尤其是勒索軟體，同時建立事件應變框架，進而提升國家整體資安防護和應變能力。 　　是以，JCDC此一新單位有以下特點： 具獨特的公私部門規劃要求和能力。 落實有效協調機制。 建立一套共同風險優先項目，並提供共享資訊。 制定、協調網路防禦計畫。 進行聯合演練和評估，以妥適衡量網路防禦行動的有效性。 　　而JCDC主要功能，整理如下： 全面、全國性的計畫，以處理穩定操作和事件期間的風險。 對情資進行分析，使公私合作夥伴間能採取應對風險的協調行動。 整合網路防禦能力，以保護國家的關鍵基礎設施。 確保網路防禦行動計畫具有適當性，以抵禦對方針對美國發動的網路攻擊。 計畫和合作的機動性，以滿足公私部門的網路防禦需求。 制度化的演練和評估，以持續衡量網路防禦計畫和能力的有效性。 與特定風險管理部門（Sector Risk Management Agencies, SRMAs）密切合作（例如：國土安全部-通訊部門、關鍵製造部門、資訊技術等），將其獨特專業知識用於量身定制計畫，以應對風險。

　　美國之政府管考辦公室（ Government Accountability Office ）針對聯邦政府推動醫療產業導入資訊應用之相關措施及作為，九月初向參議院政府再造委員會（ Committee on Government Reform, House of Representatives ）下轄之聯邦人事暨組織次委員會（ the Subcommittee on Federal Workforce and Agency Organization ）提出報告，綜合回顧 2004 以來之各項政策宣示及執行規劃，指出目前猶有未足之處以及今後適宜更加留意之方向。 　　簡言之，醫療產業導入資訊應用，可望帶來降低營運成本，提升經營效率，防免發生過誤，維護病患安全等諸多實益，已為各界所共認。另由於聯邦政府介入醫療產業之程度與影響層面既深且廣，不僅本諸規制角度主管產業，更推動諸多施政，投入大量資金，提供老人、傷殘、兒童、低收入戶、原住民、退伍軍人、退休公職人員等不同社會族群各式相關服務，從而責成聯邦政府領銜推動醫療產業導入資訊應用，藉此提升醫療之品質及效率，應屬妥適。 　　自 2004 年提出行動綱領以降，聯邦政府即已陸續接櫫各項目標及其實施策略，並區分病歷資料格式、傳輸互通標準、網路基礎架構、隱私安全議題、公衛服務整合等面向分別開展，獲致相當成效。惟據管考辦公室之分析，既有之政策措施及各項作為，似乏詳盡之細部規劃及具體之實踐要項可資遵循，亦無妥善之績效評比指標以利參考。由是觀之，迄今之努力及其成果固值稱許，然就 2014 年普遍採用電子病歷並且得以交流互通之願景而言，還有很多需要努力的地方。

　　於今年 5 月中旬，歐盟無線頻譜政策小組 ( Radio Spectrum Policy Group ，以下簡稱 RSPG ) 對於是否允許使用用以提供廣播電視服務之頻段，提供多媒體服務 (multimedia services) 一事，表示意見並徵詢共眾意見，而所稱的多媒體服務係指於行動通信環境中，提供結合傳統廣播 ( 一對多 ) 以及通訊 ( 點對點 ) 的服務。於此次的公眾意見諮詢書中， RSPG 表示此次意見諮詢的目的旨在促進多媒體服務的提供，但亦指出多媒體服務的發展不應扭曲頻譜的整體使用規劃以及市場競爭。除此之外，亦不應與歐盟各會員國境內以促進文化及媒體多元化之媒介內容規範相左。而就如何導入多媒體服務一事， RSPG 考量核發新執照，或是重新檢視現有的執照制度，以允許業者得使用頻譜提供多媒體服務。此次的公眾意見諮詢將於 6 月 14 日 結束，其發展有待未來更進一步的觀察。