歐盟推出《網路韌性法案》補充歐盟網路安全框架
歐盟為提升網路數位化產品之安全性,解決現有網路安全監管框架差距,歐盟執委會於2022年9月提出《網路韌性法案》(EU Cyber Resilience Act)草案,對網路供應鏈提供強制性網路安全標準,並課予數位化產品製造商在網絡安全方面之義務。該法案亦提出以下四個具體目標:
1.確保製造商對於提升產品之網路安全涵蓋整個生產週期;
2.為歐盟網路安全之合法性創建單一且明確之監管架構;
3.提高網路安全實踐之透明度,以及製造商與其產品之屬性;
4.為消費者和企業提供隨時可用之安全產品。
《網路韌性法案》要求製造商設計、開發和生產各種硬體、有形及軟體、無形之數位化產品時,須滿足法規要求之網路安全標準,始得於市場上銷售,並應提供清晰易懂之使用說明予消費者,使其充分知悉網路安全相關資訊,且至少應於五年內提供安全維護與軟體更新。
《網路韌性法案》將所涵蓋之數位化產品分為三種類別(產品示例可參考法案附件三):I類別、II類別,以及預設類別。I類別產品之網路安全風險級別低於II類別產品、高於預設類別,須遵守法規要求之安全標準或經由第三方評估;II類別為與網路安全漏洞具密切關連之高風險產品,須完成第三方合格評估始符合網路安全標準;預設類別則為無嚴重網路安全漏洞之產品,公司得透過自我評估進行之。法案另豁免已受其他法律明文規範之數位化產品,惟並未豁免歐洲數位身份錢包、電子健康記錄系統或具有高風險人工智慧系統產品。
若製造商未能遵守《網路韌性法案》之基本要求和義務,將面臨高達1500萬歐元或前一年度全球總營業額2.5%之行政罰鍰。各歐盟成員國亦得自行制定有效且合於比例之處罰規則。
- European Commission, Cyber Resilience Act-Factsheet, Sep. 15, 2022
- European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022
- European Commission, New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022
張瀠心
法律研究員 編譯整理
European Commission, Cyber Resilience Act-Factsheet, Sep. 15, 2022, Cyber Resilience Act - Factsheet | Shaping Europe’s digital future (europa.eu) (last visited Nov. 4, 2022).
European Commission, State of the Union: New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022, State of the Union: New EU cybersecurity rules (europa.eu) (last visited Nov. 4, 2022).
European Commission, New EU cybersecurity rules ensure more secure hardware and software products, Sep. 15, 2022, New EU cybersecurity rules ensure more secure hardware and software products | Shaping Europe’s digital future (europa.eu) (last visited Nov. 4, 2022).
Center for data innovation,An Overview of the EU’s Cyber Resilience Act, Sep. 26, 2022,An Overview of the EU’s Cyber Resilience Act – Center for Data Innovation (last visited Nov. 4, 2022).
伊士曼柯達(Eastman Kodak)於1月10日向美國紐約州羅徹斯特(Rochester)聯邦法院與國際貿易委員會(ITC)提起訴訟,控告蘋果、宏達電侵犯5項有關數位相機影像處理之專利,意圖以法律訴訟作為擴大專利權價值的手段。 目前擁有超過1000項影像技術專利的131歲老店柯達,試圖出售1000多項專利權及提出專利訴訟,以挽回面臨破產邊緣的危機。柯達認為蘋果侵犯4項和數位相機影像相關專利(美國專利字號7,210,161、7,742,084、7,453,605、7,936,391),其中包含使用者可直接透過網路或e-mail傳送相機內照片的技術。而宏達電除被控侵犯上述4項專利之餘,柯達亦向國際貿易委員會申訴宏達電侵犯第5項的影像預覽技術專利(美國專利字號6,292,218),之前柯達方以該專利起訴蘋果和RIM。柯達要求蘋果立即停售侵權產品,同時支付3倍損失賠償。相關人士表示,柯達一直在尋找願意買下該公司影像專利的業者,起訴科技龍頭舉動之目的在於尋求好買家。 除此之外,柯達亦宣布進行業務重組,從3個部門合併成為2個部門,雖然對外宣稱乃為節省成本開支、盼能轉虧為盈,不過在可能破產的疑慮下,柯達內部氣氛相當低迷,出售技術專利仍無進展,加上大批主管相繼離職,過去兩周有3位董事辭職,上周四CCO(Chief Communications Officer)Gerard Meuchner宣佈離職之後,開始傳言柯達募資未成,未來數周可能就會宣布破產。
未事先告知即監視員工之通訊 企業被判侵犯個人隱私根據2005年一項統計調查指出,員工超過一千人的公司中,36.1%對員工從公司內部外寄的電子郵件加以監視,而同時亦有26.5%的公司正準備對員工由公司內部發送的電子郵件加以監視。若是以員工超過二萬人的公司來看,更有高達40%的公司已然利用過濾科技對員工外寄的電子郵件加以監視,而正準備利用相關科技對員工外寄的電子郵件加以監視的公司亦高達32%。 然而根據歐洲人權法院近日所做出的判決,不論公司是否訂有清楚的員工使用政策,一旦公司並未告知員工其在公司內的通訊或電子郵件往來可能會受到公司的監視,則該公司將可能違反歐洲人權公約(European Convention on Human Rights)。 該案例乃是由於一位任職於英國南威爾斯之卡馬森學院(Carmarthenshire College)的員工—Lynette Copland發現自己的網路使用情形及電話均遭到工作單位之監視,憤而向歐洲法院提出告訴。由於卡馬森學院並未提醒員工在工作場合之電子郵件、電話或其他通訊可能遭到監視,因此Lynette Copland之律師主張當事人在工作場合之電話、電子郵件、網路使用等其他通訊都應具有合理的隱私權期待,而受到歐洲人權公約第8條的保障。歐洲法院判決Lynette Copland可獲得約5910美元之損害賠償以及1,1820美元之訴訟費用。
美參議員盧比歐推動禁止與中國交易敏感科技之法案美國共和黨參議員盧比歐(Marco Rubio),亦為「美國國會及行政當局中國委員會」(Congressional-Executive Commission on China,簡稱CECC)之主席,於2018年5月宣布一項針對中國的立法——「美中公平貿易執行法」(Fair Trade with China Enforcement Act)。該法案以保護國家安全為目的,成為禁止美中兩國交易「敏感科技」之法源,同時,更提高課徵跨國公司來自中國的所得稅,藉以箝制中國竊取美國智慧財產。 而為因應中國國務院所提「中國製造2025」戰略計畫,其重點發展科技——機器人、航太、潔淨能源車(robotics, aerospace and clean-energy cars),該法案亦對中資持有美國研發製造上揭科技之公司的持股權予以限制。除此之外,該法更將禁止美國政府及其包商購買中國華為(Huawei)、中興通訊(ZTE)兩間公司的任何電信通訊設備或服務;美國國會和美國總統川普均指稱兩間公司會透過產品暗中監看美國,而施壓美國私人企業亦勿販售兩公司產品。 也許正如盧比歐參議員對外發表「美中公平貿易執行法」時所言,當今如何回應中國日益劇增對國家安全、竊取敏感科技之威脅,實為地緣政治(geopolitical)待解關鍵。