美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制
美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。
被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可:
- 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。
- 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。
- 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。
- 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities, U.S. DEPARTMENT OF COMMERCE, Oct. 20, 2021, https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private (last visited Dec. 5, 2021).
Information Security Controls: Cybersecurity Items, 86 Fed. Reg. 58,205,58,216 (Oct. 21, 2021) (to be codified at 15 CFR Parts 740, 772 and 774).
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8495&no=64(最後瀏覽日:2021/12/05)。
許祐寧,〈美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8502&no=64(最後瀏覽日:2021/12/05)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8548&no=64(最後瀏覽日:2021/12/05)。
今(2010)年8月中,美國聯邦地方法院法官Jeffrey S. White撤銷了美國農業部(United States Department of Agriculture,簡稱USDA)對基因改造甜菜根(genetically modified sugar beets)之同意案,並發出非永久性之禁制令(non-permanent injunction),從2011年開始禁止商業種植基因改造甜菜根。 事實上,早在去(2009)年由多個環保與消費者團體所提起的訴訟中,White法官即已認定美國農業部並未適切地評估商業化種植基因改造甜菜根所可能帶來的生態影響,特別是遠血緣繁殖(out-crossing)的風險,因此,該同意案實已違反國家環境政策法(National Environmental Policy Act,簡稱 NEPA)之規定,但當時法院並未具體指明補救之辦法;在今年8月上旬的聽證會結束後,White法官認為原告已充分闡明基因改造甜菜根可能對環境造成「無可修補之傷害」,在考量到可能造成之經濟影響後,聯邦地方法院特意裁定允許農民仍可按期收穫尚在成長中之基因改造甜菜根,直至2011年春季始完全禁止。然而,美國農業部則是初步回應,他們打算在明年准許基因改造甜菜根在受到控制的情況下有限度地栽種,持續地努力讓傳統、有機與生物科技生產系統得以共存。 由甜菜根所製取的(食用)糖,大約供應了美國國內50%的需求;其中,從2007年開始種植的基因改造甜菜根,其耕地面積在2010年時已達470,000公頃,佔全美甜菜根收成總數的95%之譜!本案深刻地點出基因改造生物體(Genetically Modified Organism,簡稱GMO)所涉及之安全風險與經濟效益的衡平問題,後續所引發的討論值得我們追蹤下去。
歐盟執委會發布新產業策略指導方針,協助企業面對氣候中和及數位領導轉型之挑戰歐盟執委會於2020年3月10日公布產業策略指導方針,名為「因應全球競爭、綠色、和數位歐洲的新產業策略」(A new industrial strategy for a globally competitive, green and digital Europe),以幫助歐洲產業在面臨近年氣候中和及數位領導變遷時,因轉型而產生的過渡期。此次公布的產業策略指導方針,包含三大主題,分別是:(1)新產業策略(A new industrial strategy)、(2)新中小型企業策略(A new SME strategy)以及(3)企業與消費者的單一市場(A single market that delivers for our businesses and consumers);而其中又以「新產業策略」為該指導方針之重點。 為提升歐洲的產業領導地位,「新產業策略」中論以三個關鍵優先事項,分別為:維持歐洲產業的全球競爭力和公平競爭環境、2050年以前達成氣候中和(climate-neutral)目標,以及塑造歐洲未來數位化。為達成前述優先事項,歐盟執委會提出一系列未來行動: 推行智財權行動計畫(Intellectual Property Action Plan)以保護歐盟技術主權,並採行適合綠色和數位轉型的法規框架; 持續檢討修正歐盟競爭相關法令(EU competition rules),確保法規能適應快速變化的經濟環境; 為維護產業在歐盟境內外的公平競爭環境,執委會將於在2020年中以前出版白皮書,處理歐盟單一市場中因外國補貼而引起的扭曲效應,以及歐盟境內的外國採購和外國資金問題; 推行關鍵原料行動方案(Action Plan on Critical Raw Materials),確保關鍵原物料穩定供應;支持戰略數位基礎設施和關鍵技術發展,增強歐洲產業及戰略自主地位; 其它則有對綠色公共採購進一步立法、發展低碳產業和技術、支持永續型智慧交通產業等。
美國食品藥物管理局發布《品質管理系統法規最終規則》美國食品藥物管理局(U.S. Food and drug administration, FDA)於2024年1月31日發布《品質管理系統法規最終規則》(Quality Management System Regulation(QMSR)Final Rule),主要內容為修改美國聯邦法規(Code of Federal Regulations, CFR)第21章第820條,品質系統規範(Quality System Regulation, QSR)中現行優良製造規範(Current Good Manufacturing Practice, cGMP, CGMP)內容,以降低美國國內法規與國際醫療器材品質管理系統標準ISO 13485的差異,達到減輕醫材製造商、進口商的監管負擔之效。 與美國QSR相比,ISO 13485對「風險」與「透明度」規範的要求更加嚴格,故此最終規則主要將QSR中風險管理與透明度的規範依照ISO 13485進行補足。並增修QSR中未出現於ISO 13485中或即將取代ISO 13485中同義的名詞或術語的定義,用以降低原先QSR與ISO 13485的差異。同時增設對記錄保存、標籤和資訊可追溯性要求等FDA認為ISO 13485未涵蓋完全的額外規定,用以完善整體規則完整性。 該最終規則預計於2026年2月2日正式實施。FDA預估此次修訂會有效降低醫材製造、進口商的潛在金錢與時間成本,FDA提供近3年的緩衝期,即希望相關工作人員與醫材製造商能熟悉並遵循新的QMSR。未來FDA會追蹤並評估是否應將ISO13485的變更納入QMSR中,以促進醫材監管的一致性,並為病人及時推出安全、有效且高品質的醫材。
淺析英國建築能源效率政策—Green Deal之融資運作政策研究