歐盟推出《網路韌性法案》補充歐盟網路安全框架
歐盟為提升網路數位化產品之安全性,解決現有網路安全監管框架差距,歐盟執委會於2022年9月提出《網路韌性法案》(EU Cyber Resilience Act)草案,對網路供應鏈提供強制性網路安全標準,並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標:
1.確保製造商對於提升產品之網路安全涵蓋整個生產週期;
2.為歐盟網路安全之合法性創建單一且明確之監管架構;
3.提高網路安全實踐之透明度,以及製造商與其產品之屬性;
4.為消費者和企業提供隨時可用之安全產品。
《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時,須滿足法規要求之網路安全標準,始得於市場上銷售,並應提供清晰易懂之使用說明予消費者,使其充分知悉網路安全相關資訊,且至少應於五年內提供安全維護與軟體更新。
《網路韌性法案》將所涵蓋之數位化產品分為三種類別(產品示例可參考法案附件三):I類別、II類別,以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別,須遵守法規要求之安全標準或經由第三方評估;II類別為與網路安全漏洞具密切關連之高風險產品,須完成第三方合格評估始符合網路安全標準;預設類別則為無嚴重網路安全漏洞之產品,公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品,惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。
若製造商未能遵守《網路韌性法案》之基本要求和義務,將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。
- European Commission, Cyber Resilience Act-Factsheet, Sep. 15, 2022
- European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022
- European Commission, New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022
張瀠心
法律研究員 編譯整理
European Commission, Cyber Resilience Act-Factsheet, Sep. 15, 2022, Cyber Resilience Act - Factsheet | Shaping Europe’s digital future (europa.eu) (last visited Nov. 4, 2022).
European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022, State of the Union: New EU cybersecurity rules (europa.eu) (last visited Nov. 4, 2022).
European Commission, New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022, New EU cybersecurity rules ensure more secure hardware and software products | Shaping Europe’s digital future (europa.eu) (last visited Nov. 4, 2022).
Center for data innovation,An Overview of the EU’s Cyber Resilience Act, Sep. 26, 2022,An Overview of the EU’s Cyber Resilience Act – Center for Data Innovation (last visited Nov. 4, 2022).
歐盟執委會(European Commission, EC)於2023年5月10日宣布啟用《歐盟晶片法案》(EU Chips Act)三支柱之一的半導體供應鏈示警系統(Semiconductor Alert System),其目的在於監測半導體供應鏈短缺之問題。 根據《歐盟晶片法案》,歐盟各成員國的半導體供應鏈主管機關須定期執行半導體供應鏈的觀測任務,以隨時確認半導體供應鏈之狀況。然而,由於歐盟係由眾多不同的國家所組成,各成員國間訊息的流通相比於其他單一國家可能較為緩慢,故EC決定創建半導體供應鏈示警系統,交換半導體供應鏈資訊以解決上述問題。在此系統中,私人企業得單獨對所處產業中的早期半導體短缺進行回報,惟個別產業常常單獨誇大或高估危機的發生可能性,對此,EC成立了歐盟半導體專家小組(European Semiconductor Expert Group, ESEG),協助收集各半導體產業與成員國所回報之訊息,除將其用於建立風險評估外,亦彙整並分析成有價值的資訊後再分享給各成員國。 若資訊收集完成後,ESEG或EC察覺歐盟確實有發生半導體供應鏈崩潰的危險,EC將召開特別委員會會議(extraordinary board meeting),共同尋求解決方案,包含聯合政府採購(joint procurement),或與第三國進行合作,以合力解決半導體供應鏈之危機。
世界智慧財產權組織(WIPO)2005年之國際專利申請量再創新高根據WIPO之統計,去年(2005年)國際專利之申請件數再創新高,共有134,000件PCT申請案,較上一年增加9.4%。其中,相較於2004年,前五大國際專利申請國仍為美國、日本、德國、法國以及英國。值得注意的是,韓國超越荷蘭,成為WIPO的第六大國際專利申請國;而中國大陸則是擠下加拿大、義大利以及澳大利亞成為第十大PCT申請國。 此外,成長速度最顯著的國家連續兩年都來自東北亞,分別為日本(18.8%)、韓國(3.5%)以及中國大陸(1.8%),該三國共佔WIPO國際專利申請件數之24.1%。而歐洲專利公約(European Patent Convention)締約國之申請件數則佔34.6%,位居第一位的美國申請件數則佔33.6%。 “日本、韓國、中國大陸之成長速度極為突出,顯示這些國家的技術強度正快速擴張。自2000年以來,日本、韓國、中國大陸的申請量分別成長了162%、200%以及212%”,於WIPO中掌管PCT工作之副主任Francis Gurry表示。 其他排名國際專利申請案前五大之國家於2005年申請案件成長率分別為美國的3.8%;德國的4%;法國的6.6%;英國的1.5%。而排名前十五大的國家中,成長率達到二位數的有澳大利亞(排名第十三)的10.%以及芬蘭(排名第十四)的11.6%。
馬里蘭州去氧核醣核酸採集法(DNA Collection Act)引發隱私爭議2009年,馬里蘭州立法通過去氧核醣核酸(下稱DNA)採集法(DNA Collection Act),允許警方向已經被起訴但尚未定讞之犯罪嫌疑人採集DNA樣本,其適用對象主要在於暴力犯罪或一級竊盜案件。對此問題,美國大約有26州立有與馬里蘭州類似的法案,例如維吉尼亞州的執法單位對於暴力犯罪在經過逮捕後即可進行DNA採集。然而,該法案卻引發了隱私權利與公眾安全之平衡的爭論。 此次爭議爆發於Alonzo Jay King Jr. v. State of Maryland案,案件中Alonzo Jay King Jr.在2009年被起訴暴力攻擊,且因此被警方採集DNA,而後又在經過DNA比對之後,發現與2003年一宗強制性交案件所遺留下的DNA樣本符合,並據此判決Alonzo Jay King Jr.強制性交罪。本案經Alonzo Jay King Jr.上訴高等法院後,高等法院認為調查人員採集其基因資料並以之與舊案件進行比對,已經侵犯了美國憲法第四修正案所賦予人民的合理隱私期待,屬於不合法的搜索,並據此判決禁止向犯罪嫌疑人採集DNA樣本。本案目前正在最高法院上訴中,而最高法院首席法官John Roberts日前發布了一份命令,阻止了高等法院判決的生效,並使得馬里蘭州在最高法院作出判決之前仍然能夠採集DNA;全案預計將在10月進行聽證,未來,最高法院將如何判決,值得吾人注意。
從法規及經營面探討電力線通訊開放的相關問題-從美國聯邦通訊委員會的管制措施談起