美國聯邦商務部修訂出口管制規則，對可用於惡意網路活動之項目出口、再出口與移轉進行管制

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　延續過去兩年針對全國寬頻網路服務進行檢視，FCC在2013年2月公布第三次「美國寬頻測量報告」(Measuring Broadband America)。這份報告有別於過去，將受測技術從DSL、有線電視與光纖，涵蓋至衛星寬頻，使資訊更加多元。此外，網路服務供應商(Internet Service Provider，ISP)在今年尖峰時段(工作日晚間7點至9點)提供寬頻實際速度與網速的契合率達97%，而較2011、2012年進步，因此，這份報告的另一個重點，便是提出寬頻速度與廣告相符的三大關鍵： 　　1.ISP業者盡力改善網路效能(Network Performance)，而非調降牌告價(Speed Tiers )。 　　2.民眾接納更快速的網路意願，更甚過往。FCC指出，消費者訂閱網速的層級，逐漸從每秒14.3Mbps ，發展至15.6 Mbps。至於，使用網速低於1Mbps、或是1Mbps到3Mbps的民眾，近年也逐步採用更高速的網路。 　　3.衛星寬頻的進步：雖然，衛星技術在傳輸上仍有延遲的缺陷，但是，有近90%的民眾於尖峰時段，得到超過業者寬頻廣告速度的140%(業者宣稱具有12Mbps)，使消費者感受不出網路尖峰期。 　　為使2015年實現50Mbps寬頻網路具有1億家戶可連結，美國逐步發展國家寬頻計畫(National Broadband Plan，NBP)。FCC避免寬頻廣告速度與實際速度不符影響NBP發展，未來將要求ISP業者對於網路牌告負起責任(Accountability)，藉此增加市場競爭性與提高資訊透明度。以「美國寬頻測量報告」為例，藉由委員會、產業與其他利益相關人合作的方式，促進資訊的透明，使消費者在取得訊息後，有能力做出正確的決定，便是一種提高透明度的方式。 　　雖然，FCC認為寬頻網路進步與民眾採納較高速的網路，對於市場發展是一項利多，但部分輿論卻認為這與2011年12月31日FCC網路接取報告(Internet Access Report)結論相距甚遠。根據報告顯示，美國有高達42%的民眾下載速度不到3 Mbps、上傳速度不到769 kbps，而這與「美國寬頻測量報告」結果，確實大相逕庭。無論如何，可以窺見FCC視民眾使用意願與網路基礎建設同等重要，因此，如何增加消費者選擇較高速的網路，將是市場未來發展的關鍵。

　　歐盟法院（ECJ- the Court of Justice of the European Communities）於11月28日針對Intel v CPM一案宣告，對於著名商標侵害的認定參考英國上訴法院（the Court of Appeal-England and Wales）的初審裁定「著名商標持有人得中止近似商標使用於完全非類似的產品或服務上，只要能舉證近似商標之使用造成對著名商標持有人的侵害並有實質的經濟影響」。   　　本案原告為Intel Corporation Inc. 註冊「Intel」為英國商標，指定使用於第9類電子商品、第16類文具商品、第38類通訊服務、及第42類電腦軟硬體設計服務，其中並在電腦微處理器及軟體等電子產品上更為全球知名的商標；CPM united Kingdom Ltd. 註冊「INTELMARK」為英國商標，指定使用於第35類的行銷及遠距行銷等廣告服務，Intel主張CPM使用INTELMARK為商標將有致侵害及淡化Intel商標的使用，並產生不正利益。惟英國商標局（Trade Mark Registry Hearing Officer）駁回Intel之申請案，且英國上訴法院初審判決維持原判，並向歐盟法院提出著名商標認定標準。   　　歐盟法院此次對著名商標的認定，將使著名商標持有人以後如果要保障其商標名稱不被稀釋，必須提出下列證明：1. 前商標（即著名商標）與後商標（近似商標）間必須有一定的關聯性；2. 後商標會使一般消費者產生對前商標的聯想；3.前商標與後商標所註冊的商品間並不一定要類似；4.後商標的使用造成不正利益或侵害前商標持有人的商譽。   　　本案將待英國上訴法院判決宣判後確定。

　　為了落實提供高速、穩定的寬頻服務，新加坡資訊通訊發展管理局（IDA）今( 2013)年4月針對新建物，修訂「建築物資通訊設施實施條例」(Code of Practice for Info-Communication Facilities in Buildings)，以加速家庭寬頻網路發展，滿足新興服務之所需。 　　本條例以光纖普及為前提，賦予新建物開發商或是業者諸多義務，以「用戶需要開放項目」與「限制建物內空間技術」最為重要。所謂的「用戶需要開放項目」，是指開發商或是屋主須讓新建物具有6項基礎設施，包括：(1)引進管(Lead-in pipes)、地下管(Underground pipes)與人手孔(Manholes)；(2)電信主配線箱(Main Distributor Frame, MDF)；(3)電信設備機房(Telecommunication Equipment Room, TER )；(4) 行動通訊布放室(Mobile Deployment Space，MDS)；(5)電信櫃豎版(Telecommunication risers)；(6)寬頻同軸電纜系統(a Broadband coaxial cable system)或具有光纖電纜(Optical Fibre Cable)等級之終端點。其中，第六項是要求開發商與擁有者鋪設線路範圍，包含現有道路至電信主配線箱之管道，且其線路等級必須是同軸電纜或光纖以上，以確保屋內終端線路皆得以承載100M以上速率。至於，「限制建物內空間技術」，是指屋內配線至家中客廳與每個房間，應鋪設同軸電纜或是非屏蔽雙絞線(六類以上)，使民眾能無所不在享受快速網路之便利。 　　除上述固網建設規範外，為了達成行動寬頻戶外覆蓋率99%、室內覆蓋率85%之規定，本條例亦要求開發商或擁有者須無償提供電信業者行動通訊佈放室。雖然，MDS的大小視行動寬頻涵蓋範圍與發展大小而定，最小的行動通訊發展室範圍是18平方米。不過，本條例允許MDS可不必是一個連續的空間，以兼顧開發商與擁有者對新建物空間之規劃。本草案落實後，預計不僅可減少電信商租賃放置基地台之成本外，亦可解決與管理委員會或業者交涉之時間，讓電信商能更為迅速完成行動寬頻覆蓋率。 　　IDA預計本條例實施後，將可達成「下一代國家資通訊基礎建設發展計畫」中，規劃2015年光纖覆蓋率100%、提供民眾1Gbps固網速度之理想，使新加光纖覆蓋率可達到95%。