英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」，強化消費者隱私與資安保護

　　由於新興通訊技術的應用與網路頻寬的快速成長，透過網路收看電視已不再是遙不可及的科技願景。網路電視（Internet Protocol Television；IPTV）在許多國家都已經是逐漸應用成熟的服務，但是相對而言，法規的管制架構卻多仍處於追趕摸索的階段。 　　網路電視之相關法制爭議眾多，曾被提出討論者如攸關管制基準之網路電視定位，是否視同傳統廣播電視加以管制？相關之義務是否比照要求（如對於無線電視之必載義務）？網路電視市場之界定？市場力量之監督與公平競爭環境之維護等，皆為重要的關注焦點。 　　韓國國會傳播特別委員會於上月（11月）通過一項網路電視法案（IPTV Bill），對於重要之網路電視相關規範加以界定。此一國會傳播特別委員會所通過之網路電視服務法草案，對未來網路電視可能的市場主導者（包含廣播電視公司、網際網路服務提供者、電信公司等）之行為，事先加以規範。例如規定KT等重要電信公司提供網路電視服務並不需要另行成立附屬公司；另一方面，廣播電視公司未來將可提供全國性的網路電視服務，惟其市場佔有率將限於整體市場的三分之一以下。 　　未來的網路電視型態可能包含被動收視或主動要求播送，其他附加的服務更包含透過網路電視進行購物、遊戲、金融服務等，潛藏之商機已引起各界注意，也值得國內盡早思考整體管制架構，促進產業成熟發展。

日本建立物聯網產品資安符合性評鑑及標籤制度（JC-STAR），助消費者提升產品資安識別 資訊工業策進會科技法律研究所 2025年10月30日 壹、事件摘要 為因應物聯網（Internet of Things，簡稱IoT）產品日趨嚴重的資安威脅，日本陸續訂定針對物聯網產品資安之國內法規與政策方針，除了為強化物聯網產品之資安要求以外，藉由具體的資安評級要求，適用不同類型的物聯網產品，再透過資安標籤制度以區別產品，提升產品之資安識別，以供消費者選購時參考。據此，本文觀測日本近期建立的JC-STAR制度與其所適用國內法規，供我國未來參考與借鏡。 貳、重點說明 一、日本JC-STAR制度背景與目的 日本資訊處理推動機構（独立行政法人情報処理推進機構，Information-Technology Promotion Agency, Japan，簡稱IPA），依日本經濟產業省於2024年8月23日所公布之《IoT產品資安符合性評鑑制度建構方針》政策架構下[1]，建立了《物聯網產品資安符合性評鑑及標籤制度》（セキュリティ要件適合評価及びラベリング制度，Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements，簡稱JC-STAR），並於2025年7月29日完成《物聯網產品資安符合性評鑑與標籤制度之基本規章》[2]（セキュリティ要件適合評価及びラベリング制度の基本規程，簡稱本規章）之最終修訂，建立了JC-STAR制度的框架。本規章將物聯網產品的定義、產品所需的附隨服務（含數位服務等）、可提供驗證服務之單位、第三方監督、廠商自我宣告機制、資安符合性基準、評鑑與評鑑報告書、資安符合性標籤及分級機制等多種要件、適用對象與要求事項明確化，確立了以星等為評級的JC-STAR資安標籤制度框架。此外，JC-STAR制度針對物聯網產品採購方、使用方等不同的資安需求，透過附有資安標籤的產品以供各自選購時為考量，因此JC-STAR制度有以下二點優勢： （一） 較易滿足政府或企業的採購標準 針對政府機關或企業等所需採購的物聯網產品，事前已透過共通性的適用標準，將物聯網產品資安進行評鑑分級，並將評鑑流程可視化管理，不僅使產品符合各組織或單位的資安防護需求，同時使產品選購更加便利。 （二） 確保特定領域事業或行業等符合資安法規要求 基於特定領域事業或行業可能有特殊的資安需求，通過符合性評鑑的物聯網產品，因經第三方驗證後以最高等級的標籤呈現，故可確保符合特定領域事業團體之特殊資安需求，或配合指定使用，以確保其採購之物聯網產品均具備合規性。 二、日本JC-STAR框架與資安要求 日本JC-STAR制度是結合歐洲電信標準協會（ETSI）網路安全技術委員會於2022年6月所公布的《網路安全暨隱私保護標準》（ETSI EN 303 645），以及美國國家標準與技術研究所（NIST）於2022年9月公布的《消費者物聯網產品之核心基準》（NISTIR 8425）等適用標準，並經日本官方改定調整成為適用於日本國內之獨特制度。[3]JC-STAR是基於日本官方所定義之物聯網產品符合性標準（涉及資安技術要求事項等），確認物聯網產品是否符合資安要求以及進行可視化的管理。JC-STAR將物聯網產品區分成四種星級，詳述如下： （一） 一星級（★1） 物聯網產品須符合產品共通性之要求，並適用最低限度之資安要求事項，倘若產品已滿足相關要求事項，由產品供應商自我宣告即可。 （二） 二星級（★2） 視物聯網產品的類型、功能特徵等因素，於一星級以上增訂基礎的資安要求事項，倘若產品已滿足相關要求，仍由產品供應商自我宣告即可。 （三） 三星級（★3） 視物聯網產品的使用對象，包含政府機關、關鍵基礎設施或相關業者、地方政府或人民團體、大型企業之關鍵系統等，依產品類型、功能特徵等因素，訂定共通性之資安要件，並須由獨立第三方進行驗證，並須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。 （四） 四星級（★4） 適用程序上雖與三星級相同，依產品類型、功能特徵等因素，訂定共通性之資安要件，並由獨立第三方進行驗證，須取得評鑑機關作成的符合性評鑑報告書以及受相關單位賦予標籤。惟物聯網產品中，諸如通信設備等所適用的資安要求及相關風險層級較高，因此為最高防護等級。 值得注意的是，日本正積極與新加坡、英國、美國、歐盟等各國專責機關等交涉中[4]，預計將JC-STAR制度與各國物聯網產品制度相互承認並使其與國際接軌。 參、事件評析 日本透過國內政策方針及訂定規章，結合其他先進國家的資安標準，建立了屬於日本自己的物聯網產品資安標籤JC-STAR制度。主要將各種不同類型的物聯網產品，賦予不同星等評級，供一般消費者或政府、企業法人等選購時參考，具體提升針對物聯網產品的資安識別。此外，依產品適用對象或風險層級不同，適用不同程度的資安要求事項。倘若涉及政府或企業法人等採購需求，則可能適用三星或四星等級，且產品均須經獨立第三方進行評鑑後，才能取得符合性評鑑報告書，並添附資安標籤。 因此，JC-STAR並非僅針對政府或公部門單位採購適用，而是擴及日本國內產業或是一般消費者，因此日常中物聯網產品的使用，均受到全面性的資安保障。另一方面，倘若未來日本JC-STAR制度受到其他各國承認，即代表物聯網產品可在已簽署承認的國家間受到信任而流通產品，故可望大幅降低日本國內物聯網產品供應鏈符合國際法規或契約要求的成本，有助於提升產業競爭力。據此，日本以資安標籤提升消費者識別，並有物聯網產品資安驗證機制之整體性規劃，均可供我國推動物聯網產品資安治理政策之未來借鏡與參考。 [1]〈IoT製品に対するセキュリティ適合性評価制度構築方針〉，経済産業省，https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/pdf/20240823_1.pdf （最後瀏覽日：2025/10/13）。 [2]〈セキュリティ要件適合評価及びラベリング制度の基本規程〉，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj90000003563-att/JSS-01.pdf （最後瀏覽日：2025/10/13）。 [3]〈IoT製品のセキュリティ確保に向けて ～セキュリティ要件適合評価及びラベリング制度（JC-STAR*）の紹介～〉，頁25，独立行政法人情報処理推進機構，https://www.ipa.go.jp/security/jc-star/begoj9000000gg60-att/JC-STARsetumeikai_1.pdf （最後瀏覽日：2025/10/13）。 [4]〈ファクトシート：岸田総理大臣の国賓待遇での米国公式訪問〉，日本外務省，https://www.mofa.go.jp/files/100652150.pdf （最後瀏覽日：2025/10/13）。

　　歐盟27個會員國於5月24日在布魯塞爾通過新的電視指令（neue Fernsehrichtlinie），內容涉及「在線或離線電視服務（Fernsehen on- und offline）」、「廣告規範」及「來源國原則（Herkunftslandsprinzip：指跨國服務或商品依據來源國之標準處理。）」。新的電視指令乃源自於有18年歷史之電視指令，並重新命名為「影音媒體服務指令（Richtlinie über Audiovisuelle Mediendienste）」，指令內容包括線上直播節目、近似隨選視訊（Near-Video-on-Demand）、非線性傳輸節目（nicht-linear verbreitetes Programm）。 　　約一年半前歐盟就電視指令之規範，如何種經由網路傳輸之內容適用電視指令、廣告規範及來源國原則等議題加以討論；不具商業性之私人網站內容，如旅遊紀錄片，則不在本指令適用範圍。歐洲媒體法研究機構負責人Alexander Scheuer指出，類似YouTube網站，因其本身提供服務方式不涉及編輯性責任（redaktionelle Verantowrtung），故亦不在本指令適用範圍內；惟如YouTube將電視頻道引進其網站，則可能有適用本指令之餘地。Scheuer另外指出如何界定非商業性之難題，例如在個人儲存短片的網頁上打廣告，是否具商業性，值得討論。 　　指令中最具爭議的部份，除新聞時事及兒童節目仍嚴格禁止置入性行銷（Product Placement）外，新電視指令有條件放寬業者經營置入性行銷，前提是節目播出前須向觀眾為置入性行銷之揭露，此項放寬將使正常節目進行因廣告而中斷。另外關於禁止速食廣告於兒童節目中播出之建議則未被採納。 　　值得關注尚有適用來源國原則下對特定網站所發的禁制令問題，原則上對節目提供者只適用其來源國之法律，但指令第2a條明訂若有緊急情況（如內容違反青少年保護規定），可以對該特定網站發出制禁令，以防止規避會員國較嚴格之相關規定；而是否有緊急情況須提交委員會裁決。 　　新電視指令通過後引起多方關注，未來適用上仍存有挑戰空間。

　　有別於金融科技（Fintech）著重於運用科技手段使金融服務變得更有效率，因而形成促進金融產業發展的一種經濟產業。在美國源於對2008年金融風暴的恐懼，更傾向在金融科技提升金融服務便利與效率的同時，倡議如何使行政機關在監理過程中更能夠兼顧公平、安全及消費者保護。消費者保障與洗錢防制是行政機關進行金融監理的兩大核心目標，而金融科技服務下的客戶身分核實、信用紀錄與償債能力查核等風險控管措施，在全球發展金融科技方興未艾之際，美國則積極發展監理科技「Regtech」。意指行政機關嘗試透過科技手段有效監理業者的營運動態，如區塊鏈技術（Block-Chain）改變銀行現行運作模式，不僅降低業者營運成本外，更透過科技監理的方式協助業者即時達成法令遵循的目標，縮短法令遵循改善的過渡期間，減輕風險產生的可能。同時，也讓行政機關得以即時預防，並因應任何類似2008年金融風暴之情事的發生。