歐盟NIS 2指令生效,為歐盟建構更安全與穩固的數位環境
歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union, NIS 2 Directive)於2023年1月16日正式生效,其於《網路與資訊系統安全指令》(Directive on Security of Network and Information Systems, NIS Directive)之基礎上,對監管範圍、成員國協調合作,以及資安風險管理措施面向進行補充。
(1)監管範圍:
NIS 2納入公共電子通訊網路或服務供應、特定關鍵產品(如藥品與醫療器材)製造、社交網路平台與資料中心相關數位服務、太空及公共行政等類型,並以企業規模進行區分,所有中大型企業皆須遵守NIS 2之規定,而個別具高度安全風險之小型企業是否需要遵守,則可由成員國自行規範。
(2)成員國協調合作:
NIS 2簡化資安事件報告流程,對報告程序、內容與期程進行更精確的規定,以提升成員國間資訊共享的有效性;建立歐洲網路危機聯絡組織網路(European cyber crisis liaison organisation network, EU-CyCLONe),以支持對大規模資安事件與危機的協調管理;為弱點建立資料庫及揭露之基本框架;並引入更嚴格的監督措施與執法要求,以使成員國間之裁罰制度能具有一致性。
(3)資安風險管理措施:
NIS 2具有更為詳盡且具體之資安風險管理措施,包含資安事件回報與危機管理、弱點處理與揭露、評估措施有效性的政策與程序、密碼的有效使用等,並要求各公司解決供應鏈中的資安風險。
本文為「經濟部產業技術司科技專案成果」
- Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission
- Directive on measures for a high common level of cybersecurity across the Union, European Commission
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Directive on measures for a high common level of cybersecurity across the Union (NIS2 Directive), European Commission, https://digital-strategy.ec.europa.eu/en/faqs/directive-measures-high-common-level-cybersecurity-across-union-nis2-directive (last visited Mar. 1, 2023).
Directive on measures for a high common level of cybersecurity across the Union, European Commission, https://digital-strategy.ec.europa.eu/en/library/directive-measures-high-common-level-cybersecurity-across-union-0?pk_source=ec_newsroom&pk_medium=email&pk_campaign=dae%20Newsroom (last visited Mar. 1, 2023).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive), EUR-Lex, https://eur-lex.europa.eu/eli/dir/2022/2555 (last visited Mar. 1, 2023).
施弘文,〈歐盟通過網路與資訊系統安全指令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=7531(最後瀏覽日:2023/03/01)。
楊至善,〈美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8909(最後瀏覽日:2023/03/01)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8915(最後瀏覽日:2023/03/01)。
羅文妗,〈英國數位、文化、媒體暨體育部公布「應用程式商店經營者與開發者實踐準則」,強化消費者隱私與資安保護〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8921(最後瀏覽日:2023/03/01)。
美國總統於2019年1月14日簽署《實證決策基本法》(Foundations for Evidence-Based Policymaking Act of 2018),本法包含要求聯邦政府政策制定應以實證為依據,並規定開放政府資料法(OPEN Government data Act)相關措施,與確保機密資料安全及資料統計效率,據此做為推動政府資料開放共享與以實證為依據制定聯邦政府政策之法制基礎。 做為美國聯邦政府透明化政策的一環,本法最核心的部分即為開放政府資料法之相關規定,開放政府資料法的OPEN為開放(Open)、公開(Public)、電子化(Electronic)與必要(Necessary)之縮寫,象徵開放政府資料法的精神與意旨,其具體措施包含要求聯邦政府機關應盡可能公開其所蒐集之資料,依本法對資料的定義為被記錄的資訊,不論載體為何(recorded information, regardless of form or the media on which the data is recorded)。 而公開的資料應具備機器可讀性(machine-readable)、為或可轉換為自由檔案格式(open format)、不受除了智慧財產權保護以外之使用限制(即非國家機密或受其他法律保護的資料)以及應符合由標準制定組織所訂定之開放標準,除此之外每個機關應設置首席資料長(Chief Data Officer)負責上述資料開放事宜,以確保政府公開資料得以有效率的開放與共享。
加拿大運輸部發布自駕系統測試指引2.0,為建立全國一致的實驗準則加拿大運輸部(Transport Canada)於2021年8月6日發布「自駕系統測試指引2.0」(Guidelines for Testing Automated Driving Systems in Canada Version 2.0),建立全國一致的最佳實踐準則,以指導配有自動駕駛系統(Automated driving systems, ADS)之車輛能安全地進行實驗。根據從國內外測試活動中取得的經驗及教訓,對安全措施進行更新,內容包括: 一、實驗前的安全考量:探討在開始實驗之前應考量的安全注意事項,包括(1)評估實驗車輛安全性、(2)選擇適當的實驗路線、(3)制定安全管理計畫、(4)安全駕駛員與培訓、(5)民眾溝通及提高意識、(6)確保當地執法單位及緊急應變人員瞭解實驗活動。 二、實驗中的安全管理:討論在實驗過程中應重新檢視的安全考量,包括(1)使用分級方法進行測試、(2)調整安全管理策略、(3)制定事件和緊急應變計畫與步驟、(4)安全駕駛員的角色及職責、(5)遠端駕駛員和其他遠端支援活動的安全考量、(6)在沒有安全駕駛員的情況下進行實驗、(7)與其他道路使用者的安全互動、(8)與乘客的實驗、(9)定期報告及資訊共享。 三、實驗後應注意之事項:在結束其測試活動後應考量的因素,包括報告實驗結果、測試車輛及其部件的出口或處置。如果測試車輛是臨時進口的,則在測試完成後可能需要將其銷毀或捐贈。 該測試指引僅適用於臨時實驗,而非永久的市場部署,加拿大運輸部將繼續更新該測試指引及其他文件和工具,以支持加拿大道路使用者的安全。
歐盟食品安全與標示近期發展-以歐盟法院Teekanne案為例 VIZIO將為該公司為未獲消費者允可即蒐集收視行為等個人資料支付和解金。美國聯邦貿易委員會(Federal Trade Commission, 以下稱FTC)在2017年2月6號於其網站中公布, VIZIO, Inc.(以下稱VIZIO),世界最大的智慧電視製造商之一,在未取得購買該公司產品之千萬餘名消費者同意下,即於所生產之智慧型電視中,安裝蒐集消費者收視行為數據之軟體,然此舉業涉及違反美國聯邦貿易委員會法第45條(15 U.S.C. § 45 (n))以及紐澤西州消費者欺詐法(New Jersey Consumer Fraud Act)。為此VIZIO將支付和解金與美國聯邦貿易委員會及紐澤西州檢察總長辦公室。 本案起訴狀內容指出,VIZIO及其相關企業於2014年2月起便開始於其製造之智慧電視中獲取消費者在收視有線電視、寬頻、機上盒、DVD播放機、無線廣播以及串流裝置等相關影像資料時之資訊。這些資訊包含了性別、年齡、收入、婚姻狀況、教育程度、住屋資訊等交付與VIZIO、第三方及其相關企業做為行銷、發送特定廣告使用。 起訴狀中並稱該公司所謂之智能互動機制,雖可做為協助節目製作和建議,卻也同時於未對消費者詳細說明之下,逕行蒐集相關收視資訊,而此類追蹤消費者資訊屬不公平且欺騙的行為,已違反了FTC與紐澤西州對於消費者保護之法律。 為達成本案之和解,該公司願支付兩百二十萬美元作為和解金,包含向FTC繳納的一百五十萬美元及一百萬美元罰款與紐澤西州消費者事務所。聯邦法院命令並要求VIZIO必須清楚揭露其蒐集資料及分享給他方單位之行為,並取得消費者明示同意;另一方面,該命令亦禁止VIZIO對他們所蒐集消費者之隱私、安全及機密性資訊做誤導性的不實陳述以及刪除於2016年3月1日前所有以不當方式取得之消費者個人資料。該公司尚須接受兩年一次的隱私權安全保障計畫(名詞),包括全面性隱私風險評估、識別消費者個資之潛在不當使用情形,並制訂相關措施來修復這些風險。另新增一項銷售管理計畫,以確保該公司產品經銷商及售後服務均能就消費者個人資料得到保障。 此次事件而言,和解金雖非屬可觀之金額,然重點在於作為世界最大的智慧電視製造商之一的VIZIO,經揭露此一訊息後對其商譽之影響,或許才是最大的打擊。為了在大數據時代中能有效的管控法律風險,任何蒐集消費者行為等個人資料時,均應符合相關法令的規範,如建立個人資料保護機制並事前告知取得消費者蒐集之同意為宜。