美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。
文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。
「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。
「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。
本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
楊至善
法律研究員 編譯整理
NATIONAL HIGHWAY TRAFFIC SAFETY ADMINISTRATION, Cybersecurity Best Practices for the Safety of Modern Vehicles (2022), https://www.nhtsa.gov/sites/nhtsa.gov/files/2022-09/cybersecurity-best-practices-safety-modern-vehicles-2022-pre-final-tag_0_0.pdf (last visited Oct. 4, 2022).
楊至善,〈英國法律委員會提出75項自駕車修法具體建議,突破框架建構新體系〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8798&no=64(最後瀏覽日:2022/10/5)
江敔菲,〈美國交通部發布國家道路安全戰略,建立五大核心目標期待實現道路零死亡願景〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8785&no=64(最後瀏覽日:2022/10/5)
張雅婷,〈加拿大運輸部發布自駕系統測試指引2.0,為建立全國一致的實驗準則〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8781&no=64 最後瀏覽日:2022/10/5)
科法觀點
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。 FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
挪威推動修法舒緩泛歐盟區域內國際漫遊費率問題挪威交通部(Ministry of Transportation)甫於本月推出電子通訊法(Electronic Communication Act)修法草案,其主要針對1-5、2-12、4-14條之規定進行修正,期望透過確認主管機關對費率和爭端處理程序等事項之管轄權和財務補貼,解決歐盟(European Union;EU)和歐洲經濟區(European Economic Area;EEA)內,長期爭議不決的國際漫遊費率問題。 強調區域整合的泛歐盟經濟體(含27個EU會員國和挪威、列支敦士登、冰島3個EEA會員國),雖在貨物、人口、服務、貨幣之自由流通等,各項單一市場上的努力上相當成功,但其電信漫遊之跨國界服務,卻經常受到各界批評,主要問題即源自於居高不下的跨國漫遊費率。因歐洲地理和人口分佈稠密度甚高,居民極容易使用跨國電信服務,但卻需負擔動輒數倍的國際漫遊費用問題。近年來歐盟有意對此尋求解決之道,而挪威此次修法即為初步重要嘗試之一。
俄羅斯聯邦政府發布第299號法令,得不經授權利用「不友好國家」的專利權俄羅斯聯邦政府於2022年3月7日發布第299號法令(Постановление Правительства Российской Федерации № 299,下稱本法令),規定於有國家利益考量之情況下,得不經授權利用「不友好國家」的專利權。而我國也在前述「不友好國家」名單之列。 具體而言,本法令之解釋脈絡應從俄羅斯民法(Гражданский кодекс Российской Федерации)第1360條談起,該條規定在確保國家安全或保護公民生命與健康之極端必要情況下,俄羅斯聯邦政府有權決定,未經專利權人同意,使用相關發明、新型和工業品外觀設計,惟需儘快通知專利權人,並支付相應之補償金。 2021年10月18日,俄羅斯聯邦政府按民法第1360條第2項規定,頒布第1767號法令(Постановление Правительства Российской Федерации № 1767)確定補償數額為受專利保護之商品與服務所產生實際收益之0.5%。 然而,因烏俄戰爭持續延燒致俄羅斯聯邦政府採取反西方制裁措施之故,其發布第299號法令,針對第1767號法令再次增修補償數額之認定方法,規定:「倘專利權人來自『不友好國家』,則俄羅斯實體或個人未經專利權人同意,使用相關發明、新型或工業設計進行生產、銷售商品、提供勞務及服務時,須向權利人支付權利金為前述活動所產生實際收益之0%」。 基此,第299號法令應限縮在有國家利益考量之情況下(如:與國家安全或保護俄羅斯公民的生命、健康相關),針對使用特定的專利或商品,可免支付專利強制授權的補償金。換言之,本法令不應解讀為,任何專利在俄羅斯都可恣意利用,而無需經權利人同意或支付適當補償。惟因無法預期未來俄羅斯聯邦政府對「不友好國家」會否有其他強制授權情事,故我國經濟部智慧財產局發函通知專利權人,應密切關注相關議題,並預作準備以降低風險。
美國FDA公告食品營養強化物添加之指導原則添加營養素到一般之食物中,對於維持或增進整體食物之營養品質來說,是一個非常有效率之方式。然而,不當添加或濫用這些外加之營養素,卻可能造成消費者過度或不足攝取某些特定之營養成分,甚至更可能造成某些食物之營養價值有誤導或詐騙消費者之嫌。 美國食品藥物管理局(Food and Drug Administration,以下簡稱FDA)為了統一回應食品廠商、其他聯邦主管機關以及相關學會之問題,針對添加到食物中之必需營養補充品,在2015年11月6日公告了一份指導原則(Questions and Answers on FDA’s Fortification Policy)。本指導原則以Q&A之形式呈現,,列出FDA對於食品營養強化物(Fortification of Foods)政策之態度(並未變更其自1980年代以來對於食品營養強化物之向來立場)以及建議遵循規定。 FDA建議食品營養強化物添加之基本原則如下:校正飲食之缺陷;補充因食物於處理、流通之過程中所喪失之營養素;根據食物整體熱量計算之結果,均衡添加各種食品營養強化物等。 本指導原則僅適用於人類使用之食品,動物用食品並不在其建議範圍內;另外,其亦不適用於嬰幼兒配方或是一般之保健營養品,其僅適用於一般常規之食物,例如:牛奶、果汁、豆漿、麥片、麵包、通心粉、乳瑪琳等。但是要注意,針對一些新鮮的食物或本身即非營養的食物,例如:新鮮蔬菜、魚肉類、糖、甜點、碳水化合物等,並不建議再額外添加食品營養強化物。 另外,只有人體所必須的營養素(essential nutrients)才可額外添加到常規的食品中,亦即所有添加物都須依據膳食營養素參考攝取量(Reference Daily Intakes;RDI)所規定之種類及建議量,做適當的添加;且添加物必須合法且安全。 食品營養強化物之標示,則必須依據食品標示相關法規恰當為之,不可出現會誤導消費者的任何詞彙,也不宜做出任何可以預防營養素缺乏之陳述,因為這麼做可能使消費者誤認有添加物的食品其營養成分較原始食物高。 本指導原則對廠商並無強制力,然要是廠商有違反本指導原則之情形,FDA將會發出警告信,顯示出FDA強烈建議廠商遵守本指導原則之決心。