歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
美國眾議院在今年9月7日,表決通過「2007年專利改革法案(The Patent Reform Act of 2007)」,由於該法案中有部分內容,如:申請優先制度與賠償數額的計算標準等內容,預計將影響美國專利制度發展與未來法院關於專利訴訟案件的進行,因此引發各界專注。 此次眾議院通過的「2007年專利改革法案」重點在於修改專利案件中關於侵權賠償的計算標準,將以該專利對整體產品的貢獻度為主,做出適當的賠償數額。另外還有限制上訴地點的提出等,而且其中影響最大的改採「申請優先制度」(First-to-File System)。 目前美國專利制度採行是所謂的「發明優先制度」(First-to-Invent System),但未來依據「2007年專利改革法案」的內容,將轉變為世界各國採行的「申請優先制度」,故被稱為是美國專利制度50年來最重大的變革。 本項法案的通過,各界正反面的意見都有,支持的人說這項法案的內容可以遏止專利訴訟的濫用,使企業間的經濟活動得以正常發展。但是反對的人認為,限制賠償數額、上訴地點等,將使利用專利為惡的人更形囂張,削弱專利保護的機制,反而會阻礙美國甚至是世界各國的專利制度發展。
加州法院判決刪除公司電腦之個人資訊非屬犯罪行為美國加州北區聯邦地方法院,於去年(2017年)12月5日做出關於雇員刪除其由公司提供電腦中與公務無關資料是否屬電腦犯罪之判決(United States v. Zeng, 4:16-cr-00172(District Court, N.D. California. 2017).)。 該案情為曾(Zeng)氏為避免其竊取自家公司商業機密行為被揭發,而逕自刪除其在公司提供筆記型電腦內之相關資料。而嗣後仍然被公司發現並報案,於此偵查單位FBI則以曾氏違反電腦詐欺及濫用法案(Computer Fraud and Abuse Act,下稱CFAA)中「未經授權而毀損他人電腦(18 U.S.C. § 1030(1984).).」以美國政府名義(下稱控方)起訴曾氏刪除其犯罪證據之行為。 對於該控訴,被告曾氏以被刪除之電子紀錄與其業務無關,非為公司所有財產為由作為抗辯。此外曾氏同時以其他判決主張毀損電腦之定義應係指由外部傳輸行為所致(如駭客行為),電腦使用者自己刪除行為應不包含之,以及控方未舉證其刪除行為將導致公司有不可回復或無法替代之損害作為抗辯。於此,控方則以刪除行為不應以內容而有所區分作為回應。 在審理期間,承審法官多納托(Donato)氏除參酌控辯雙方證詞外,並特別詢問控方律師指控內容是否會對一般大眾造成其在公用電腦中刪除同類資訊上之顧慮。而控方則以曾氏行為屬特殊情況作為答辯。最後,多納托氏則以控方主張將造成社會恐慌以及控方未提出被告刪除資料行為究竟對公司有何實際損害,判決被告無罪。
揭露智財資訊,展現永續發展之動能揭露智財資訊,展現永續發展之動能 資訊工業策進會科技法律研究所 2024年04月02日 隨著ESG議題持續醞釀,永續資訊揭露已成為國際間政策規劃所討論的重點,各國亦逐漸重視這股永續浪潮。 另一方面,企業價值的來源已轉變為智慧財產和無形資產,成為企業競爭力的來源,對於實現永續轉型(Sustainable transformation,SX)或推動永續發展具有重要意義,因此如何揭露企業對於智慧財產權與無形資產的投資於永續報告書中更顯重要。 壹、事件摘要 日本針對智慧財產與無形資產對於永續發展的政策推動始於《公司治理守則》的修訂。在制定出《智財與無形資產管理指引》後,日本智慧財產權戰略本部強調企業對於智慧財產與無形資產的投資與利用,以加速企業價值提升和獲取投資資金的良性循環,並強化公司、投資者和金融機構之間的「合作」。近期,日本智慧財產權戰略本部更開始評估有關國際永續準則委員會(International Sustainability Standards Board,以下簡稱ISSB)的資訊揭露要求[1]。 貳、重點說明 日本《公司治理守則》於2021年6月的修訂要求上市公司揭露具體、易於理解的智慧財產投資資訊。為回應前述修訂,日本智慧財產權戰略本部於2022年1月制定《智財與無形資產管理指引1.0》,指出投資者將智財與無形資產資訊視為評估公司未來價值的重要標準,因此鼓勵公司建構與實施符合ESG要求的智財和無形資產的投資與利用策略,並透過揭露明確其地位,以產生長期正向的價值評價。有鑑於揭露未能達到預期的效果,於2023年3月修訂《智財與無形資產管理指引2.0》,促使與智財和無形資產相關的公司舉措和揭露能體現其價值,以利公司與投資者的溝通,並展現出公司之未來價值。 考量到國際永續準則委員會(ISSB)於2023年6月公布了兩大國際永續資訊揭露框架準則,象徵全球永續財務與非財務資訊的揭露已逐步整合為全球通用的標準,日本智慧財產權戰略本部於2023年8月召開會議,確認智財資訊的揭露符合ISSB之要求,因而提案ISSB評估是否將智財、無形資產、人力資本等都納入永續資訊揭露應揭露之範疇。 為持續推動企業積極實踐永續發展,我國金融監督管理委員會亦於2022年3月發布「上市櫃公司永續發展路徑圖」,以四大主軸、五項重點協助上市櫃公司邁向永續發展,提升國際競爭力。其中「精進永續資訊揭露」、「推動ESG評鑑及數位化」更納入階段性目標,顯示出資訊揭露、永續報告書、ESG評鑑之推動三者已成為我國政策推動的重要評估事項[2]。 參、事件評析 在永續議題的持續發酵下,如何透過政策確保企業邁向永續發展乃一大議題,又由於對智財與無形資產之投資與利用乃企業競爭力的根源,更顯企業揭露此類資訊之重要性,不可輕易忽視。以往,我國企業會透過公司治理評鑑的2.27指標[3],彰顯要求上市上櫃公司公開揭露智財管理資訊。近年來,伴隨著永續發展等相關政策之推動,企業應進一步評估如何在永續報告書中呈現與智財相關的資訊,以順應未來評鑑制度之轉換,並呈現智財是企業創新的關鍵。 在智慧局公布的2023年專利百大排名中,前十大[4]無一例外地依全球報告倡議組織(Global Reporting Initiative,以下簡稱GRI)所推出的國際標準永續報告書撰寫框架,且所有廠商都有在「GRI 3重大主題」中揭示與智財相關之資訊,凸顯其創新研發連結永續發展之動能。換言之,透過「GRI 3重大主題」將智財資訊揭露予更多利害關係人知悉,可謂我國標竿廠商展現其核心企業價值的主要管道。企業可參考上述企業於永續報告書揭露智財資訊模式,將智財議題形塑成一項重大主題,並揭露於特定章節以回應利害關係人之關注。首先,鑑別出各類利害關係人。接著,辨別相關衝擊因子,以篩選永續議題。然後,評估永續議題對企業之實際或潛在的正、負面衝擊。最後,確立企業所揭露之重大主題,並回應利害關係人所重視之資訊。 在永續發展、資訊揭露對於企業的衝擊下,財團法人資訊工業策進會科技法律研究所創智中心(以下簡稱創智中心)2023年針對我國上市上櫃企業進行企業智財現況調查,調查發現超過一半企業願意公開揭露智財資訊,而這些企業認為,公開揭露智財資訊有助於外界客觀評估公司之真實價值與競爭力,亦能協助公司落實ESG永續經營。為協助企業將智財資訊分別連結至永續發展之環境保護(E)、社會責任(S)以及公司治理(G)面向,創智中心將持續觀測各國法令動態以及國內外智財揭露案例,推動企業將智財資訊完整呈現於永續報告書。 本文同步刊登於TIPS網站(https://www.tips.org.tw) [1]〈知財投資・活用戦略の有効な開示及びガバナンスに関する検討会第22回〉,首相官邸,https://www.kantei.go.jp/jp/singi/titeki2/tyousakai/tousi_kentokai〈最後瀏覽日:2024/4/2〉。 [2]金管會發布「上市櫃公司永續發展行動方案(2023年)」〉,金融監督管理委員會,https://www.fsc.gov.tw/ch/home.jsp?id=96&parentpath=0%2C2&mcustomize=news_view.jsp&dataserno=202303280001&dtable=News〈最後瀏覽日:2024/4/2〉。 [3]〈公司治理評鑑〉,公司治理中心,https://cgc.twse.com.tw/evaluationCorp/listCh〈最後瀏覽日:2024/4/2〉。評鑑指標2.27:公司是否制訂與營運目標連結之智慧財產管理計畫,並於公司網站或年報揭露執行情形,且至少一年一次向董事會報告? [4]〈智慧局公布112年專利百大〉,經濟部智慧財產局,https://www.tipo.gov.tw/tw/cp-87-932910-26c76-1.html〈最後瀏覽日:2024/4/2〉。在專利申請方面,前十大分別是台積電、聯發科、友達、宏碁、南亞科、英業達、群創、工研院、瑞昱、台達電,其中除了工研院外,剩餘九家皆為我國專利申請之標竿廠商。
日本發布策略性資料使用之資料管理指南,旨在協助企業將資料視為資產與產品,以策略性的運用資料日本獨立行政法人情報處理推進機構於2025年6月11日發布《日本發布策略性資料使用之資料管理指南(下稱《指南》)》,旨在協助企業將資料視為資產與產品,以策略性的運用資料。 《指南》指出,資料管理是指企業針對其所擁有的所有資料,進行有效率的收集、整理、保存、共享、分析與運用的一套系統化流程,其目的是為了透過確保資料品質及正確性,協助業務決策,並確保企業的競爭優勢。 在現代企業經營中,資料具有雙重屬性,亦即資料除了是企業重要的經營資產,同時也是企業的產品之一。作為資產的資料如同設備等一般資產,是可供銷售或提供服務的資產,故為最大化其價值並促進成長,需要進行適當管理與投資。此外,由於資料具有可複製性,因此一經外洩,將會造成廣泛且持續性的影響,因此需進行資料管理以確保資料安全性;作為產品的資料則需要有效的整備及管理,以確保維持其正確性所需的品質。 根據《指南》,資料管理的核心在於其需要貫穿資料生命週期,且隨著數位化的進展,對於資料管理亦產生新的需求,例如針對資料多元運用需求之應對、資料須具備可追溯性、針對機密資料之管理方式、確保資料安全性及資料品質等。 為因應新興資料管理需求,《指南》建議可透過評估自身定位、規劃必要體制、思考資料策略及管理架構、盤點企業既有資料及必要資料、培養及建立企業從決策層到執行層的人員均重視資料的資料文化,以及減少不必要或易出錯的作業流程等六項具體措施,建立企業自身貫穿資料生命週期之資料管理流程。 我國企業如欲逐步建立並落實貫穿資料生命週期的資料管理流程,可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,作為資料管理流程設計與實務落實之參考,以強化自身資料管理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)