美國聯邦通信委員會通過新「5年軌道碎片規則」，以應對日益增加之軌道碎片風險

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　美國聯邦貿易委員會（The Federal Trade Commission, FTC）於2023年1月5日提出聯邦規則彙編（Code of Federal Regulations, CFR）之修正草案，其基於競業禁止條款（Non-Compete Clauses）將阻止員工離職及員工之競爭、降低員工的薪資、阻止新企業之形成及阻礙創新等立法目的，擬禁止僱用人及受僱人間約定競業禁止條款及使現有的競業禁止條款歸於無效。 　　美國亦有相關報導提到員工流動於技術領域尤為常見，因技術領域之企業對營業秘密高度重視，故對於員工離職到競爭對手會特別留意，例如加州的許多企業（尤其是位於矽谷之企業）會與員工簽署保密合約規範對於機密資訊的處理，部分合約甚至包含競業禁止條款以限制員工於離職後至競爭對手處工作，不論係保密合約或競業禁止條款，其目的均係延遲或避免員工於離職後帶走公司敏感資訊並將其用於對前僱主不利之用途。 　　聯邦規則之修正草案一旦通過，未來美國的企業將不得再以約定競業禁止條款之方式限制離職員工至競爭對手處工作，但企業仍可透過在員工離職前或離職後採取相關措施，盡早發現並降低離職員工竊取公司敏感資訊的風險，可採取的措施例如： 　　1.留意員工離職前是否有未經授權或為完成工作以外之目的複製或存取公司的資料之行為，意即，這些蒐集來的資訊是否將用於新公司的工作（如改良競爭對手的產品、擴大競爭對手的客群等）； 　　2.對員工個人工作設備（如：公司提供之筆電及手機）或網路存取紀錄等進行調查，檢視是否有異常檔案存取紀錄或異常行為（例如是否突然大量刪除/複製檔案）； 　　3.了解員工的離職原因及於離職後的規劃——可以了解員工未來可能從事的職業、就職的企業以調整離職前調查的程度； 　　4.留意員工於找到新雇主後是否仍持續使用公司的營業祕密——新雇主亦須留意的是，新進員工是否仍持續使用前公司的營業秘密，以避免公司被訴。 　　本文同步刊登於TIPS網站（https://www.tips.org.tw）

　　歐盟網路與資訊安全局（ENISA）成立於2004年，目的在於確保歐盟內部網路與資訊安全保持在最高水準，同時也為執行2016年8月生效之歐盟網路和資訊系統安全指令（NIS- Directive），提高歐洲的網路安全準備，以防止並抵禦網路安全事件措施。計有84名工作人員，共同運作位於希臘的兩個辦公室：Heraklion （2005年成立之總部）辦公室；與雅典辦公室（2013年成立），以提高該機構的運作效率。 　　ENISA在NIS指令的執行中扮演重要的角色，任務包括支援歐盟機構、會員國國與產業界，快速對網路威脅與資訊安全問題做出反應。它也被要求在執行任務中協助各國間成立的合作小組。此外，更透過指令要求ENISA協助成員國與執委會，提供他的專業意見和建議。 　　ENISA戰略有五個面向： 　　　　•提供關鍵網路設施和資訊安全問題之資訊和專業知識。 　　　　•制定和執行歐盟網路政策。 　　　　•建立歐盟間跨國支援能力。 　　　　•培育網路與資訊安全社群的網路演習、協調與支援。 　　　　•促進各國間的合作關係。 　　由於ENISA在建立之後網路發展情勢有顯著的演變，其任務和目標應該因應新發展做出調整，故歐盟執委會也在2017年1月開始重新審視其設立之法律依據以應對新情勢發展。

　　美國國家航空暨太空總署(National Aeronautics and Space Administration，NASA)向企業購買月球Regolith(岩屑層)與岩石物質，並於2020年9月提出《月球Regolith採購工作績效聲明》(Lunar Regolith Purchase Request Performance Work Statement)。惟月球的物質，是否可以開採？ 　　依據《各國探索與應用外太空、月球暨其他天體之活動管理原則條約》(Treaty on Principles Governing the Activities of States in the Exploration and Use of Outer Space, Including the Moon and Other Celestial Bodies)第2條，外太空、月球與其他星體，非任何國家可藉由使用、占領與其他方式，或應用國家經費，而宣稱擁有主權。針對NASA的月球物質採購計畫，是否合乎該條約？NASA署長Jim Bridenstine指出，Artemis計畫增加商業參與，要求企業蒐集小型的月球「塵埃」(dirt)，或月球表面的岩石。Jim Bridenstine並認為此項提案，充分遵守該條約與其他國際義務。申言之，NASA認為月球之物質，具有私有化之可能性。 　　為採購企業蒐集之月球物質，NASA擬定《月球Regolith採購工作績效聲明》，規範企業的義務為：1、自月球表面蒐集50克至500克的Regolith或岩石物質；2、提供NASA蒐集與物質的影像，該資料足以識別蒐集地點為月球表面；3、就地(in-place)移轉NASA蒐集物質的所有權，此些物質並將成為NASA得以使用的私有財產(sole property)。企業得以決定在月球表面的任何地點蒐集，且無須評估蒐集的材料；NASA係採購蒐集狀態(“as-collected” condition)，並有權利獨立確認企業蒐集物質的聲明。亦即企業的任務為採購物質，並提出證明；對月球物質的評估，則由NASA為之。 　　企業對NASA採購月球物質之履行，須於2024年以前完成；NASA對契約的獎勵，並不以月球物質蒐集的數量為基準。NASA對企業採購月球物質的支付依據：10%來自於企業完成NASA概念審查的提案；10%係企業為此蒐集任務，而由企業系統發射航空器至太空；80%為達成移轉NASA太空物質的所有權。另外，機器人登陸器(robotic lander)的設計與建構，並非屬NASA向企業徵集太空物質之內容。換言之，NASA之採購計畫並非強調太空物質之蒐集數量，而係著重於太空物質所有權之移轉。 　　綜上所論，NASA向企業採購月球Regolith與岩石物質，並以所有權之移轉為主，開啟太空物質私有化的可能性。