歐盟推出《網路韌性法案》補充歐盟網路安全框架
歐盟為提升網路數位化產品之安全性,解決現有網路安全監管框架差距,歐盟執委會於2022年9月提出《網路韌性法案》(EU Cyber Resilience Act)草案,對網路供應鏈提供強制性網路安全標準,並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標:
1.確保製造商對於提升產品之網路安全涵蓋整個生產週期;
2.為歐盟網路安全之合法性創建單一且明確之監管架構;
3.提高網路安全實踐之透明度,以及製造商與其產品之屬性;
4.為消費者和企業提供隨時可用之安全產品。
《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時,須滿足法規要求之網路安全標準,始得於市場上銷售,並應提供清晰易懂之使用說明予消費者,使其充分知悉網路安全相關資訊,且至少應於五年內提供安全維護與軟體更新。
《網路韌性法案》將所涵蓋之數位化產品分為三種類別(產品示例可參考法案附件三):I類別、II類別,以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別,須遵守法規要求之安全標準或經由第三方評估;II類別為與網路安全漏洞具密切關連之高風險產品,須完成第三方合格評估始符合網路安全標準;預設類別則為無嚴重網路安全漏洞之產品,公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品,惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。
若製造商未能遵守《網路韌性法案》之基本要求和義務,將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。
- European Commission, Cyber Resilience Act-Factsheet, Sep. 15, 2022
- European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022
- European Commission, New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022
張瀠心
法律研究員 編譯整理
European Commission, Cyber Resilience Act-Factsheet, Sep. 15, 2022, Cyber Resilience Act - Factsheet | Shaping Europe’s digital future (europa.eu) (last visited Nov. 4, 2022).
European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022, State of the Union: New EU cybersecurity rules (europa.eu) (last visited Nov. 4, 2022).
European Commission, New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022, New EU cybersecurity rules ensure more secure hardware and software products | Shaping Europe’s digital future (europa.eu) (last visited Nov. 4, 2022).
Center for data innovation,An Overview of the EU’s Cyber Resilience Act, Sep. 26, 2022,An Overview of the EU’s Cyber Resilience Act – Center for Data Innovation (last visited Nov. 4, 2022).
美國於2018年10月11日正式簽署通過《音樂現代化法》(Orrin G. Hatch-Bob Goodlatte Music Modernization Act, MMA),該法搭起時代鴻溝的橋樑。《音樂現代化法》囊括三個從2017年分別通過的子法,並成為《音樂現代化法》中的三個大標題: 第一部份:音樂授權現代化(Music Licensing Modernization) 音樂作品本身的著作權、重製權是「大權利」(Grand Right),而公開傳輸權則是「小權利」(Small Right)。前者是恢復市場機制、自由議價,愈自由愈好;後者則是愈方便、愈能夠使音樂作品被世人看見愈好。《音樂現代化法》實踐了這個理想。《音樂現代化法》成立職司音樂著作授權的非營利組織「音樂機械灌錄集體授權組織」(The Mechanical Licensing Collective, MLC)。該組織是針對「數位音樂串流業者」量身打造,進行音樂數位使用(Digital Uses)的概括式授權(Blanket License)。再者,根據舊法,授權金是法定的,但《音樂現代化法》予以音樂創作人對其作品的授權金額保有協商權(Authority to Negotiate)。同時透過音樂資料庫的建立和免費線上檢索系統,方便音樂使用人查詢與媒合。 第二部份:經典音樂法(CLASSICS Act) 溯及賦予1923年1月1日至1972年2月14日之間的音樂,就未經授權而進行「數位錄音傳輸」(Digital Audio Transmissions)之行為,使之有從首次公開發行後95年的著作權保護。這裡授權的客體所會得到的權利相近於1972年後錄音著作「非互動式數位串流服務」所得到的保護。 第三部份:音樂製作人分潤(Allocation for Music Producers) 在科技世代,一個偉大的音樂創作,並非作曲人獨力完成的,《音樂現代化法》以分潤制度,讓音樂製作人、混音師及音訊工程師首次獲得法律上的權利。
談日本基因改造實驗管理規範及其執行現況 Google被控不當蒐集蘋果公司Safari瀏覽器用戶的個人資料案件緣於Judith Vidal-Hall等三人對Google提告,主張Google規避蘋果公司Safari瀏覽器預設之隱私設定,在未取得用戶同意前,逕行使用cookies追蹤其網路活動,蒐集瀏覽器產生的資訊(the Browser-Generated Information, or ‘BGI’),並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知,而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決,並進入審理程序(裁判字號:[2015] EWCA Civ 311)。 本案主要爭點包含,究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料?濫用隱私資訊是否構成侵權行為?以及在沒有金錢損失(pecuniary loss)的情形下,是否仍符合英國資料保護法(Data Protection Act 1998)第13條所指損害(damage)的定義,進而得請求損害賠償? 法院於判決認定,英國資料保護法旨在實現「歐盟個人資料保護指令」(Data Protection Directive,95/46/EC)保護隱私權的規定,而非經濟上之權利,用以確保資料處理系統(data-processing systems)尊重並保護個人的基本權利及自由。並進一步說明,因隱私權的侵害往往造成精神損害,而非財產損害,從歐洲人權公約(European Convention of Human Rights)第八條之規定觀之,為求對於隱私權的保障,允許非財產權利的回復;倘若限縮對於損害(damage)的解釋,將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。 法院強調,該判決並未創造新的訴因(cause of action),而是對於已經存在的訴因給予正確的法律定位。從而,因資料控制者(data controller)的不法侵害行為的任何損害,都可以依據英國資料保護法第13條第2項請求損害賠償。 本案原告律師表示:「這是一則具有里程碑意義的判決。」、「這開啟了一扇門,讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定:「這是一場以弱勝強(David and Goliath)的勝利。」 註:Google 在2012年,曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資,與美國聯邦貿易委員會(United States Federal Trade Commission)以2,250萬美元進行和解。
歐盟佐審官建議修正與加拿大之「航空乘客個人資料共享協議(草案)」,以維護人權歐洲聯盟法院(CJEU)佐審官 (Advocate General ) Paolo Mengozzi 於今年(2016) 9月8日提出一份不具拘束力之「航空乘客個人資料共享協議(草案)」( European Union on the transfer and processing of passenger name record data (“PNR Agreement”)) 法律意見,認為協議應遵守歐盟憲章有關人權之基本原則。此份法律意見為歐洲聯盟法院首次就國際協議草案,檢視與歐盟憲章有關規範之一致性。 [背景] PNR協議草案於2010年5月開始協商,2014年6月25日簽署。主要以反恐為目的讓歐盟與加拿大交換航空乘客資訊(包括旅客姓名、旅行日期、行程記錄、機票、聯繫資訊、旅行社等其他有關資訊)。除加拿大之外,歐盟亦與美國、澳洲簽有類似資料共享協議。關注到PNR協議有關隱私、人權之議題,歐盟議會將PNR協議提至歐洲聯盟法院審議。 [法律意見] 佐審官認為,協議同意在特定條件下就限定目標之乘客蒐集其敏感資訊,未違反歐盟憲章;然PNR協議草案仍有部分內容違反歐盟憲章:即草案允許歐盟、加拿大主管機關使用乘客姓名等數據,已逾越預防恐怖組織犯罪和跨國犯罪的必要範圍。 因歐洲聯盟法院去年已廢除歐盟與美國之間之安全港(Safe Harbor)法案,隨後雖起草隱私保護協議(Privacy Shield),但仍有意見質疑隱私保護之完整性。PNR協議草案法律意見之提出,可窺歐盟關於隱私保護之立場。