歐盟發布新版「向第三國傳輸個人資料標準契約條款」

　　英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計（Secure by Design）」報告，此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計，以確保用戶之資訊安全。 　　此報告中包含了一份經英國國家網路安全中心（National Cyber Security Centre, NCSC）、製造商及零售商共同討論後，提出之可供製造商遵循之行為準則（Code of Practice）草案。 　　此行為準則中指出，除設備製造商之外，其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 　　其中提出了13項行為準則：1. 不應設定預設密碼（default password）；2. 應實施漏洞揭露政策；3. 持續更新軟體；4. 確保機密與具有安全敏感性的資訊受到保護；5. 確保通訊之安全；6. 最小化可能受到攻擊的區域；7. 確保軟體的可信性；8. 確保個資受到妥善保障；9. 確保系統對於停電事故具有可回復性；10. 監督自動傳輸之數據；11. 使用戶以簡易的方式刪除個人資訊；12. 使設備可被容易的安裝與維護；13. 應驗證輸入之數據。 　　此草案將接受公眾意見，並於未來進一步檢視是否應立相關法律。

　　墨西哥的聯邦資料保護法在二０一０年四月經墨西哥國會通過後，已於同年七月六日生效。這個新法旨在保護個人的隱私權並強化個人對自身資訊的掌控。與我國新近通過的個人資料保護法相同，墨西哥的這個新法所規範的範圍也包括了私部門對個人資料的蒐集、處理與利用。 　　在新法通過之後，原本的聯邦公共資訊近用機構（Federal Institute for Access to Public Information），亦擴張執掌並更名為聯邦公共資料近用及資料保護機構（Federal Institute of Access to Information and Data Protection）。在新制下，該機構將在原有負責事務外，另肩負起監督私部門就個人資料保護的相關事務。 　　此外，該法設計了一個雙重的監督機制：當資料的蒐集、處理或利用人，也就是所謂的資料控制者（Data Controller）出現可能違反聯邦資料保護法的狀況，將先由各相關部門的主管機關，例如主管經濟事務的機關或主管交通事務的機關來介入處理，而非由聯邦公共資料近用及資料保護機構立刻介入。

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　歐洲藥品管理局（The European Medicines Agency，EMA）於3月底至6月初陸續發布四份利益衝突範。包括「處理管理董事會利益衝突政策方針」（European Medicines Agency Policy on the Handling of Conflicts of Interests of the Management Board），將董事會自過去的利益衝突獨立出來單獨規範；並針對違反利益聲明揭露訂立「EMA科學委員會和專家違反利益衝突信賴程序」（European Medicines Agency Breach of Trust Procedure on Conflicts of Interests for Scientific Committee Members and Experts），和「EMA管理董事會違反利益衝突信賴程序」（European Medicines Agency Breach of Trust Procedure on Conflicts of Interests for Management Board Members）；以及修定「處理管理董事會、科學委員會成員和專家利益衝突政策方針」（European Medicines Agency Breach of Trust Procedure on Conflicts of Interests for Scientific Committee Members and Experts）。 　　針對專家和管理董事會所制定的處理利益衝突規範，主要目的是確保兩者在參與EMA的活動時，不會發生與醫藥業者相關聯的利益衝突，影響EMA公正性。觀察上述規範，可以發現EMA對於專家和管理董事會兩者的規範原則相當一致，皆聚焦於增進利益衝突處理過程的強健性（robustness）、有效性（efficiency）和透明性（transparency）。分別規範的原因在於兩者功能上的區別，分述如下： 1. 專家規範層面，有鑒於在先進醫藥領域中的專家有限，缺少可替代性，因此規範目的在於兼顧公正性與專業之間的平衡； 2. 管理董事會層面，由於其主要任務為監管和決策，規範上區別成員所參與活動的程度和範圍做更為細部的規範，與專家不同，並非有利益衝突就必須迴避。 　　為進一步加強EMA處理利益衝突的強健性，EMA科學委員會和專家，以及管理董事會違反利益衝突信賴程序的主要規範內容為專家和管理董事會成員作出不實利益聲明時，EMA的處理程序。可區分為調查、聽證與修正三個階段，分述如下： 1.調查階段，首先調查系爭當事人是否為不實之利益聲明後，評估是否啟動違反利益衝突信賴程序； 2.聽證階段，召開聽證會，聽證系爭當事人陳述觀點。倘若確定違反利益衝突信賴，系爭當事人即自EMA除名； 3.修正階段，EMA將審查系爭當事人曾經參與科學審查案件的公正性，並評估是否進行補救措施。 　　雖然EMA對於專家是否確實聲明利益缺少強制力，然而仍能透過新的利益衝突機制設計，看出EMA對完善利益衝突規範的企圖，值得近來正在修訂利益衝突機制的我國學習。