瑞士洛桑國際管理發展學院公布《2022年IMD世界競爭力年報》

　　美國參議院於2015年10月27號通過網路安全資訊共享法（Cybersecurity Information Sharing Act; CISA）。本案以74票對21票通過，今年稍早眾議院通過類似法案，預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年，目前可望兩院就立法版本達成一致而立法成功。 　　主導本案的參議院情報委員會（Intelligence Committee）主席Richard Burr於法案通過後發表聲明表示，「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外，認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。 　　CISA授權私人機構於遭受網路攻擊，或攻擊之徵兆（threat indicators）時，基於網路安全的目的，立即將網路威脅的資訊分享給聯邦政府，並且取得洩漏客戶個資的責任豁免權。基於同樣的目的，私人機構也被授權得以監視其網路系統，甚至是其客戶或第三人的網路。但僅以防禦性措施為限，並且不得採取可能嚴重危害他人網路之行動。相對於此，聯邦政府所取得該等私人機構自發性提供的網路威脅資訊，係以具體且透明的條款規制。此外，國土安全部（Department of Homeland Security）於符合隱私義務方針的方式下，管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件，以保護隱私。 　　相對於此，許多科技公司對此持反對態度，例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制，稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款，這將會促使隱私憂慮。另一方面，法案反對者也不信任聯邦政府機構將會落實隱私保護，FBI、國家安全局（National Security Agency, NSA）及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。 　　這些憂慮或許可以由法案投票前，網路法及網路安全學者共同發出的公開信窺知。「整體來說，（CISA）對有缺陷的網路安全中非常根本但真切的問題一無所助，毋寧僅是為濫權製造成熟的條件」。信中提到，該法案使聯邦機構得近用迄今為止公眾的所有資訊，並且對公司授權的範圍無明確界線，使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助，方向應該是引導各機構提高自身的資訊安全及良好管理。

　　一直以來負責政府部門資訊軟體採購的中信局，均要求廠商出示所謂 " 原廠証明 "，但是自由軟體並無法取得 " 原廠証明 "，以致難以打入公部門。今年中信局第一季發佈的政府採購需求中，首度在個人電腦部份列出具備 Linux 相容測試以及中文化認證的產品。未來要做政府生意的非 Windows-based 桌面電腦軟硬體廠商，都必須取得 Linux 相容測試認證。這是政府為了擴大 Linux 軟硬體使用而推動 Linux 相容測試，第一次明文要求， Linux-based PC 必須要具備 Linux 相容性認證。Linux 相容認證列入 IT 產品採購規格中，將因政府需求的驅動而有助於刺激國內廠商參與測試、取得認證的意願，使推動 Linux 的力量更為聚焦。 　　眾多 Linux 版本 OS、應用彼此相容、以及中文化不足，是國內企業使用與佈署特別是 Linux 桌面軟體造成障礙。三年前工業局推動成立 Linux 相容測試中心，希望能降低 Linux 版本相容性問題，並在今年開始推動中文化認證。 　　過去 Linux 相容測試免費提供廠商產品測試服務，並沒有於政府需求銜接，導致在促進 Linux 產品取得認證過於發散，此次中信局僅在個人電腦部份列出需求，也有助於收斂投測產品種類。 Linux 相容測試中心，也將在本月頒發第一批「 Linux 軟硬體相容性基本驗證規範」及「基本中文化實用性驗證」的產品。 　　Linux 相容測試中心交由台北市電腦公會（TCA）負責的 Linux 促進會執行

　　歐盟於2016年7月6日公布了網路與資訊系統安全指令（Directive on Security of Network and Information Systems, NIS Directive），該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力，以提高歐盟內部市場之功能。 　　故至2018年11月前，各會員國須確認境內的關鍵基礎服務營運商並建立一份清單，包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分，其判斷標準為（a）提供維持社會重要或經濟活動之服務；（b）倚賴網路或資訊系統供應之服務；（c）該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務，如線上市場、搜尋引擎及雲端服務之數位服務提供者，而上述兩者所適用之規範略有不同，如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時，另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 　　此外，為了促進會員國間之策略合作及資訊交換，歐盟將會設立一個合作小組，亦將建立電腦安全事件因應小組（Computer Security Incident Response Teams, CSIRTs），主要負責監測國家資安事件、並對資安風險為預警、因應及分析等，另為確保各會員國彼此間在運作上之迅速與效率，並建立電腦安全事件因應小組網路（CSIRTs network），提供各會員國交換資安風險或事件相關資訊之平台。 　　該指令於今年8月生效，會員國須於指令生效後21個月內即2018年5月，將指令之內容適用至本國法並公布之，該指令之內容可做為我國訂定資安法規之參考。　　

　　歐盟執委會於2022年1月27日宣布批准Meta（原Facebook）對Kustomer的併購案。Kustomer公司本身為向企業銷售客戶關係管理（customer relation management, CRM）整合軟體之公司，故本項併購可能影響Meta對消費者資訊的掌握能力，進而提升廣告市場影響力。因之，歐盟執委會基於自去（2021）年8月起深入調查本併購案有無影響公平競爭的結果，作成批准本併購案之決定，但要求Meta應遵守其提出的條件。 　　依據歐盟執委會的調查結果，主要擔憂本併購案可能阻礙CRM整合軟體之供給市場、以及CRM整合軟體售後客戶服務之供給市場的公平競爭。同時，調查中亦確認到Meta限制Kustomer公司的潛在競爭對手、以及新參與上述市場的業者近用Meta的訊息傳遞路徑應用程式介面（message channel API）。上述潛在競爭對手與業者和Kustomer公司相同，以中小企業為其主要銷售客群。而Meta採取此種經營方式，則可能會劇烈減少CRM整合軟體供給市場、以及CRM整合軟體售後客戶服務供給市場的競爭，導致相關軟體產品或服務的價格上揚，並伴隨品質與創新能量的下降，更可能將之轉嫁予消費者。 　　對上述調查結果所提出違反公平競爭秩序的疑慮，Meta則提案追加以下約款，作為條件以圖本併購案能夠獲准：（1）Meta保證於10年內，將其訊息傳遞路徑應用程式介面以無償、非歧視的方式，公開予存在競爭關係之客戶服務CRM整合軟體供應商、與新參與市場的業者取用；（2）Kustomer公司之客戶所使用Messenger、Instagram之私人通訊服務，以及WhatsApp之功能未來有進行改良或更新時，Kustomer公司之競爭對手與新進業者同樣得使用該些更新的功能。歐盟執委會最終認為Meta若踐行上述約款，將能消除其違反公平競爭秩序的疑慮，而以Meta履行該些約款為條件批准本併購案。