美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循

  美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。

  文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。

  「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。

  「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。

  本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8909&no=55&tp=1 (最後瀏覽日:2026/07/03)
引註此篇文章
科法觀點
你可能還會想看
日本發布新版之農業資料利用推動報告,並透過資料交換及利用機制確保資料共享及協作

日本農林水產省於2025年9月在智慧農業網站上發布新版之農業資料利用推動(下稱報告),其內容包含2025年通過閣議決定之食材、農業、農村基本計畫,並指出為確保農業數位資料與人工智慧(下稱AI)之間的串聯應用,農業資料合作基礎平台(下稱WAGRI)的建立與資料協作、共有、提供功能是其不可或缺的要素。 報告指出,透過各式農業數位資料的蒐集與整合,諸如過往作物收成量資料、市場價格資料、土壤資料、農地資料、氣象資料等,並經過統合及分析後,可以達到提升作業效率及收益、減少勞動作業時間與器材損耗,以及降低環境負荷之效果。截至2025年9月為止,WAGRI網站上已提供高達223種農業數位資料相關的API,供農業領域從業者介接運用,並作為未來開發農業領域基礎AI模型的前置準備。 此外,報告亦指出WAGRI已於日本全國範圍內蒐集大量的農業數位資料,用以開發農業領域之基礎AI模型,並預計於2026年在WAGRI網站上提供基礎AI模型服務。未來農業領域從業者可透過WAGRI網站提供之基礎AI模型服務,輔以自身之農業數位資料,建立符合自身農業場域特性之特化型AI模型。 然而,報告亦指出不論是農業數位資料的API介接運用,還是將農業數位資料用以開發基礎AI模型,農業數位資料之法制配套仍需整備。因此,除了資料權屬等關係釐清外,報告特別提出於AI開發應用、資料共享之模式下,尚須建立「涵蓋資料整體生命週期之資料交換及利用機制」,包含資料對外公開之選擇權、資料提供之事前同意權、資料安全管理對策,以及資料刪除請求權等範圍,以確保農業數位資料在利用前的安心共享與協作。 我國政府如欲於農業領域發展基本AI模型,除應於全國範圍內蒐集大量之農業領域數位資料外,亦應建立串聯資料整體生命週期之資料交換及利用機制,以降低農業數位資料之間的協作風險。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)

印度政府公告個人資料保護法草案

  2018年7月27日印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)公告個人資料保護法草案(Protection of Personal Data Bill),若施行將成為印度首部個人資料保護專法。   其立法背景主要可追溯2017年8月24日印度最高法院之判決,由於印度政府立法規範名為Aadhaar之全國性身分辨識系統,能夠依法強制蒐集國民之指紋及虹膜等生物辨識,國民在進行退稅、社會補助、使用福利措施等行為時都必須提供其個人生物辨識資料,因此遭到人權團體控訴侵害隱私權。最高法院最後以隱私權為印度憲法第21條「個人享有決定生活與自由權利」之保護內涵,進而認為國民有資料自主權,能決定個人資料應如何被蒐集、處理與利用而不被他人任意侵害,因此認定Aadhaar專法與相關法律違憲,政府應有義務提出個人資料專法以保護國民之個人資料。此判決結果迫使印度政府成立由前最高法院BN Srikrishna法官所領導之專家委員會,研擬個人資料保護法草案。   草案全文共112條,分為15章節。主要重點架構說明如下: 設立個資保護專責機構(Data Protection Authority of India, DPAI):規範於草案第49至68條,隸屬於中央政府並由16名委員所組成之委員會性質,具有獨立調查權以及行政檢查權力。 對於敏感個人資料(Sensitive personal data)[1]之特別保護:草案在第4章與第5章兩章節,規範個人與兒童之敏感個人資料保護。其中草案第18條規定蒐集、處理與利用敏感個人資料前,必須獲得資料主體者(Data principal)之明確同意(Explicit consent)。而明確同意是指,取得資料主體者同意前,應具體且明確告知使用其敏感個人資料之目的、範圍、操作與處理方式,以及可能對資料主體者產生之影響。 明確資料主體者之權利:規範於草案第24至28條,原則上資料主體者擁有確認與近用權(Right to confirmation and access)、更正權(Right to correction)、資料可攜權(Right to data portability)及被遺忘權(Right to be forgotten)等權利。 導入隱私保護設計(Privacy by design)概念:規範於草案第29條,資料保有者(Data fiduciary)應採取措施,確保處理個人資料所用之技術符合商業認可或認證標準,從蒐集到刪除資料過程皆應透明並保護隱私,同時所有組織管理、業務執行與設備技術等設計皆是可預測,以避免對資料主體者造成損害等。 指派(Appoint)資料保護專員(Data protection officer):散見於草案第36條等,處理個人資料為主之機構、組織皆須指派資料保護專員,負責進行資料保護影響評估(Data Protection Impact Assessment, DPIA),洩漏通知以及監控資料處理等作業。 資料保存之限制(Data storage limitation):規範於草案第10條與第40條等,資料保有者只能在合理期間內保存個人資料,同時應確保個人資料只能保存於本國內,即資料在地化限制。 違反草案規定處高額罰金與刑罰:規範於草案第69條以下,資料保有者若違反相關規定,依情節會處以5億至15億盧比(INR)或是上一年度全球營業總額2%-4%罰金以及依據相關刑事法處罰。 [1]對於敏感個人資料之定義,草案第3-35條規定,包含財務資料、密碼、身分證號碼、性生活、性取向、生物辨識資料、遺傳資料、跨性別身分(transgender status)、雙性人身分(intersex status)、種族、宗教或政治信仰,以及與資料主體者現在、過去或未來相連結之身體或精神健康狀態的健康資料(health data)。

《加州隱私權法(California Privacy Rights Act, CPRA)》現在備受關注;CCPA修正案

  2020年11月3日,加州於其大選中以公投方式批准通過第24號提案(Proposition 24),該提案頒布《加州隱私權法》(California Privacy Rights Act,以下簡稱CPRA)。CPRA對加州消費者隱私保護法(California Consumer Privacy Act 2018,以下簡稱CCPA)所規定之隱私權進行重要修正,改變了加州的隱私權格局。   CPRA賦予加州消費者新的隱私權利,並對企業施加新的義務,例如消費者將有權限制其敏感性個人資料(例如財務資料、生物特徵資料、健康狀況、精確的地理位置、電子郵件或簡訊內容及種族等)之使用與揭露;消費者有權利要求企業更正不正確的個人資料;CPRA同時修改現有的CCPA的「拒絕販售權」,擴張為「拒絕販售或共享權」,消費者有權拒絕企業針對其於網際網路上之商業活動、應用或服務而獲得的個人資料所進行之特定廣告推播。CPRA亦要求企業對各類別之個人資料,按其蒐集、處理、利用之目的範圍及個人資料揭露目的,設定預期的保留期限標準。   CPRA另創設「加州隱私保護局」(California Privacy Protection Agency)為隱私權執行機構,該機構具有CPRA之調查、執行和法規制定權,改變了CCPA 係由加州檢察長(California Attorney General)負責調查與執行起訴的規定,並規定加州隱私保護局應於2021年7月1日之前成立。    CPRA將在2022年7月1日之前通過最終法規,且自2023年1月1日起生效,並適用於2022年1月1日起所蒐集之消費者資料,隨著CPRA的通過,預期可能促使其他州效仿加州制定更嚴格之隱私法,企業應持續關注有關CPRA之資訊,並迅速評估因應措施。

何謂專利權的「權利耗盡」原則?

  專利權人一旦將專利物售出,專利權就耗盡,專利權人不得再行使專利權,稱為權利耗盡原則(the exhaustion doctrine)或第一次銷售原則(the first sale doctrine)。舉例而言,某人取得某種保溫技術專利製造保溫杯,他可以禁止任何人製造相同專利技術的保溫杯,但是一旦他將保溫杯銷售出去,他不可以禁止買受人將保溫杯再銷售出去。   我國關於「權利耗盡」之規定見諸於《專利法》第59條第1項第6款:   發明專利權之效力,不及於下列各款情事:   六、專利權人所製造或經其同意製造之專利物販賣後,使用或再販賣該物者。上述製造、販賣,不以國內為限。   耗盡原則又可分為「國內耗盡原則」及「國際耗盡原則」。採「國內耗盡原則」者,專利品在國外銷售,他人不得未經專利權人同意而進口專利品於國內,否則將構成侵權。採「國際耗盡原則」者,專利品雖在國外銷售,專利人不得禁止再度進口轉售至國內。   我國專利法採「國際耗盡原則」,故專利權人不得禁止專利品之平行輸入。

TOP