英國政府於2021年11月24日,提出產品安全及電信基礎設施法案(Product Security and Telecommunications Infrastructure Bill,PSTI法案),要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商,及經銷商符合新網路安全標準,並對未遵守規範者處以巨額罰款。
PSTI法案之通過將保護消費者免受資安攻擊,並使政府得以引入更加嚴格的安全標準。該法案之內容包含,禁止數位科技產品之業者使用單一且通用之預設密碼,產品之預設密碼都必須有所不同;供應商應具備漏洞揭露政策,並應向客戶公開公司正採取何種防禦作為,處理該安全漏洞;應公開相關聯繫資訊或建立聯繫平台,使安全研究人員或其他人發現產品缺陷及錯誤時,方便與其聯繫;另外,針對不符合要求之產品或服務,政府亦將有權阻止其於英國境內銷售。
在電信基礎設施改革方面,將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判,減少相關冗長的法律爭訟事件,例如,要求電信營運商透過訴訟外紛爭解決機制(Alternative Dispute Resolution,ADR)解決紛爭,無須訴諸法院。亦加快續約之談判流程,讓根據舊有協議安裝基礎設施之營運商,得以按照類似條款進行續約,英國政府希望透過這些措施使95%國土擁有4G網路覆蓋,至2027年大多數人口能使用5G網路。
PSTI法案生效後,英國政府將指定監管機構,其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰,或以其在全球之營業總額的4%作為罰款。
歐盟執委會於6月公布新的一般策略架構(Common Strategic Framework,CSF),在歐盟第七期研究架構計畫(FP7)於2013年告一段落後,CSF鎖定的研發策略方向仍會繼續,然此同時也引發一些不同的意見。為此執委會於6月間邀集產官學研進行討論,並於6月底揭示了新的計畫—Horizon 2020—。 歐盟執委會早於2011年初即發佈歐盟競爭力白皮書,揭櫫了未來新一期研究架構計畫之政策方向,其對於現有政策結構與資助機制有不小的衝擊。 新的CSF以氣候變遷、能源、健康與中小企業為研發資助之主軸,而為瞭解並蒐集各界包括大學、國有研究機構、各國政府以及企業界的意見,執委會於今年2月間發布了意見徵詢綠皮書以預先蒐集各界意見。根據執委會的規劃,新的CSF除要求教育體系應跟隨業界研發人才需求的腳步外,更鼓勵中小企業未來投入創新活動,因為執委會發現,歐洲的企業研發投資經費總額,僅有日本和南韓的一半。 歐盟執委會表示,氣候變遷、能源、健康與中小企業為未來研究資源資助與投入的方向,以呼應歐洲民眾的期待。此外,針對目前計畫所存在的行政效率不彰、缺乏透明性及計畫遲延等問題,也將列入未來改善重點,為此,歐洲議會已於6月進行FP7期中檢討時通過解決方案,日後將靠各國分別於歐盟及國家層級的計畫執行與管理中落實。 Horizon 2020計畫將於2014至2020年間斥資800億歐元於研發與工作機會的創造,以提升歐盟競爭力,後2013時期(post-2013)歐盟則將致力於化解計畫執行的分歧,確實協調各國投入新計畫的步調一致性。
日本通過數位社會形成基本法日本國會於2021年5月12日,通過由内閣官房資通訊技術總合戰略室提出之數位社會形成基本法(デジタル社会形成基本法)。數位社會之形成,將有助於提升國際競爭力與國民便利性,因應少子化、高齡化與其他重要課題,本法之立法目的係為推動數位社會形成,使日本國內經濟健全發展,幫助國民幸福之實現。 本法之重點概如下述: 數位社會之定義係指藉由先進資通訊技術,適當有效活用各式各樣大量之電磁紀錄資訊,使各領域均得創新蓬勃發展之社會。 數位社會形成之理念係為了使國民生活能切實感受到寬裕和富足,實現國民得安全安心生活之社會,降低數位落差,並確保在數位社會下,個人與法人權利以及其他法律所保護之利益。 國家須制定數位社會形成之政策,具體包含確保高度資訊通訊網路與資通訊技術之可及性、整合國家與地方自治團體資訊系統、使國民得活用國家與地方自治團體之資訊、建立公部門基礎資訊資料庫、確保資通安全等。 為形成數位社會,明定國家、地方政府及企業之相關責任義務。 依數位廳設置法設置由內閣管轄之數位廳,並制定數位社會形成相關之重點計畫。 廢止高度資通訊網路社會形成基本法(IT基本法),以數位社會形成基本法為新資通訊技術戰略。
愛爾蘭資料保護委員會發布《控制者資料安全指引》,提供資料控制者關於個人資料安全措施之依循指引愛爾蘭資料保護委員會(Ireland's Data Protection Commission)於今(2020)年2月公布控制者資料安全指引(Guidance for Controllers on Data Security),愛爾蘭資料保護委員會表示本指引亦適用於資料處理者。指引內針對17個面向說明控制者於資料處理時應考量之安全措施,分別為:(1)資料蒐集與留存政策(Data Collection and Retention Policies);(2)存取控制(Access Controls);(3)螢幕保護程式(Automatic Screen Savers);(4)加密(Encryption);(5)防毒軟體(Anti-Virus Software);(6)防火牆(Firewalls)(7)程式修補更新(Software Patching);(8)遠端存取(Remote Access);(9)無線網路(Wireless Networks);(10)可攜式設備(Portable Devices);(11)檔案日誌及軌跡紀錄(Logs and Audit Trails);(12)備份系統(Back-Up Systems);(13)事故應變計畫(Incident Response Plans);(14)設備汰除(Disposal of Equipment);(15)實體安全(Physical Security);(16)人為因素(The Human Factor);(17)認證(Certification)。 此外,愛爾蘭資料保護委員會還強調,歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第25條與第32條有關資料控制者之義務,可透過「從設計與預設機制著手資料保護(Data protection by design and by default)」,與適當的技術及組織措施等方式,並考量現有技術、執行成本、處理之本質、範圍、脈絡及目的與對當事人權利及自由之風險可能性與嚴重性等因素,以確保其安全措施符合相應資料風險之安全等級。 最後,愛爾蘭資料保護委員會表示資料控制者更應確保其組織內員工瞭解該等安全措施並確實遵守,資料控制者應於制定其資料安全政策時考量到本指引所列各項目,以履行其保護資料安全之義務。
智慧財產權管理標準之建立-由管理系統標準談起(上)