OECD就全球企業最低稅負制發布避風港規則

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要 　　歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」（簡稱eIDAS規章）[1]，並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上，進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架，以促進整個歐盟跨境間的電子交易環境，進而達到歐盟數位單一市場的目標[3]。 　　eIDAS規章共有六章，其核心包含兩大部分[4]，在第二章中規範了電子識別機制（Electronic Identification），並於第三章中建構一系列電子交易中相關信任服務（Trust Services, TS）的法律架構，包含電子簽章（Electronic signatures）、電子封條（Electronic seals）、電子時戳（Electronic time stamps）、電子註冊傳輸服務（Electronic registered delivery services）、網站認證（Website authentication）。每種信任服務，又可以區分由一般的信任服務提供者（Trust Service Provider, TSP）或由合格信任服務提供者（Qualified Trust Service Provider, QTSP）提供，要成為QTSP必須經各成員國的監督機關授予合格地位後，才能提供該類合格信任服務（Qualified Trust Service, QTS），在eIDAS規章中合格信任服務具有更高的法律效力。譬如，根據eIDAS規章第25條第2項規定，合格電子簽章（qualified electronic signature）與手寫簽章具有同等的法律效力。 　　歐盟網路安全局（European Union Agency for Cybersecurity, ENISA[5]）於2021年3月發布一份報告，提供合格信任服務者依循標準的建議（Recommendations For QTSPs Based On Standards） [6]，給想要申請成為QTSP的業者參考。 貳、重點說明 　　承前所述，eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境，為弭平各會員國對於電子識別服務的落差，報告中指出，必須透過法律框架（Legal framework）、信賴框架（Trust framework）、標準化框架（Standardisation framework）共同達成，以提升歐盟數位單一市場中企業和消費者的信任，並促進信任服務和產品的使用。 （一）法律框架 　　eIDAS規章中規定了9種QTS的安全要求及其提供者的義務，包括： 1.電子簽章的合格憑證； 2.電子封條的合格憑證； 3.網站認證的合格憑證； 4.合格電子時戳服務； 5.合格電子簽章的合格驗證服務； 6.合格電子封條的合格驗證服務； 7.合格電子簽章的合格維護服務； 8.合格電子封條的合格維護服務； 9.合格電子註冊傳輸服務。 （二）信賴框架 　　其次，eIDAS規章透過事前（ex ante）和事後（ex post）監督的方式，來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構（Conformity Assessment Body, CAB）的評估，由其出具評估報告後，再由各成員國的監督機關決定是否授予QTSP資格；取得QTSP資格後會受到不定期稽核，且至少每24 個月須再次自費通過CAB評估審核[7]。 （三）標準化框架 　　eIDAS規章中對各項TS的安全要求是採取技術中立（technology-neutral）的態度，並未限定要採用何種特定技術。換言之，TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上，歐盟希望在eIDAS規章所建構的法律框架和信賴框架中，透過產業自律，慢慢形成相關的標準共識。 　　歐盟從2009年開始，就由歐洲標準化委員會（European Committee for Standardization, CEN）、歐洲電信標準協會（European Telecommunications Standards Institute, ETSI）等歐盟標準化組織協助擬定和更新電子簽章的相關標準，希望可以建立一個更完整的標準化框架，以解決歐盟跨境使用電子簽章遭遇的問題，至今已經建構出一系列電子簽章和相關信任服務的標準，以滿足國際及eIDAS規章的要求，ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性 　　此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證 　　此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪（Protection Profiles, PP）[8]。 3.簽章建立和其他相關設備 　　此類標準主要是與電子簽章產生的設備，以及其他與數位簽章相關服務的設備有關。 4.加密 　　此類標準主要是與簽章的加密有關，譬如金鑰產生演算法（key generation algorithms）和雜湊函數（hash functions）等。 5.支持數位簽章及相關服務的TSP 　　此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者 　　此類標準主要與應用電子簽章提供加值服務的TSP有關，如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者 　　此類標準主要與eIDAS規章中信任名單（trusted lists）相關的程序和格式有關[9]。 　　其中，在ETSI/CEN關於數位簽章的標準中，主要與QTSP有關的標準如下： 1.電子簽章的合格憑證（eIDAS規章第28條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5）。 2.電子封條的合格憑證（eIDAS規章第38條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5）。 3.網站認證的合格憑證（eIDAS規章第45條） 　　ETSI EN 319 411-2（且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5）。 4.合格電子時戳（eIDAS規章第42條） 　　ETSI EN 319 421（且要符合EN 319 401）、EN 319 422。 5.合格電子簽章的合格驗證服務（eIDAS規章第33條） 　　ETSI TS 119 441（且要符合EN 319 401）、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務（eIDAS規章第40條） 　　ETSI TS 119 441（且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務（eIDAS規章第34條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務（eIDAS規章第40條） 　　ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務（eIDAS規章第44條） 　　ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析 　　從歐盟ENISA的建議可以瞭解，歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準，來引導資通訊廠商申請成為QTSP，提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務，以強化使用者的信心，進而促進整個歐盟電子交易的蓬勃發展。 　　近年來，我國企業也積極投入數位轉型，在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而，由於企業對於資通訊技術不熟悉，因此在選擇資通訊廠商時，往往不知道如何判斷其專業能力，或許企業可以參考上述的介紹，以該廠商是否符合歐盟相關標準的要求，作為選擇資通訊廠商的參考依據，以確保資通訊廠商的能力具有一定水準，這樣對於企業數位轉型及進軍歐盟市場會相當有助益。 　　 [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1，eIDAS前言(3). [4]中文介紹可參考李姿瑩，〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉，《科技法律透析》，第31卷第11期，25-32頁，（2019年11月）。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security)，2019年更改為現名，但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1，eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章（common criteria, CC）製作之資通安全產品安全基本需求文件，可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉，國家通訊傳播委員會，https://ise.ncc.gov.tw/faq（最後瀏覽日：2021/06/24）。 [9]參前註1，eIDAS規章第22條第2項、第4項。

　　自2001年以來，美國長期無法解決2305-2360MHz頻段上，相鄰之衛星數位音訊廣播服務（Satellite Digital Audio Radio Service, SDARS）業者與無線通訊服務（Wireless Communications Service,WCS）業者雙方相互干擾之疑慮。此一爭議在2012年10月17日美國聯邦通訊委員會（FCC）發布FCC 12-130再審查命令（Order on Reconsideration FCC 12-130，下稱12-130命令）後獲得解決。 　　使用頻段位於2305-2320MHz與2345-2360MHz之無線通訊服務(WCS)與位於2320-2345MHz頻段的衛星數位音訊廣播服務(SDARS)由於個別之訊號傳輸技術差異大，並且長久以來無法在干擾處理的議題上達成共識，而抑制了無線通訊服務(WCS)於該頻譜上之發展。為實現WCS業者得於該頻段發展行動寬頻業務之承諾，並確保美國大眾能繼續享有高品質的衛星廣播服務，FCC本次針對2010年所頒布之命令(FCC10-82)進行再次修訂與檢討 ，以確立位於2.3GHz頻帶WCS所屬之頻段得發展新興寬頻服務，並促進SDARS地面中繼起器(terrestrial repeaters)之佈署及運作更加彈性化。 　　12-130命令之頒布，可視為WCS頻帶發展的重要里程碑。該命令除了確保相鄰頻帶之衛星廣播服務(satellite radio)、航空行動遙測技術(aeronautical mobile telemetry)以及位於美國加州所佈署之深空網路(deep space network)地面站其訊號不受干擾以外，FCC更透過制訂各項參數與管理規則，一方面降低WCS營運時對於SDARS接收者可能產生的潛在干擾，另一方面則幫助位於2.3GHz的WCS業者有能力提供固定或行動寬頻服務，以促進WCS業者與SDARS業者和諧共存。 　　對於FCC最後決定採用修改管制規範方式釋出該頻段以發展行動寬頻服務之舉，FCC主席Genachowski表示，除有助於鞏固美國身為全球發展LTE技術領導者之地位外，更認為命令中的管制障礙排除模式可幫助未來其他頻段的清理或移頻，增加頻譜使用彈性，並有助於達成國家寬頻計畫(National Broadband Plan’s)所設定之「2015年釋出300MHz總頻寬」、「2020年釋出500MHz總頻寬」目標。

　　韓國於今年1月份爆發史上規模最大的個資外洩案，國民銀行執行長李健浩、國民銀行信用卡公司執行長沈在吾、樂天信用卡公司執行長朴相勳與農協銀行信用卡公司執行長孫京植等人，亦因此請辭以示負責。 　　為防止將來金融機構再次發生個人資料外洩等事件，韓國金融服務委員會（Financial Services Commission, FSC）與相關部會於3月份發佈一連串要求，以下為其基本原則 1. 金融機構將被要求在處理客戶的個人資料時的每一個階段，包括蒐集、保存、使用和銷毀客戶資料時，都必須擔負起更多的責任。 2. 確保金融消費者可主張關於其個人資料之相關權利，包括金融消費者可決定金融機構於何時如何使用其個人資料。 3. 提升金融機構對於其客戶之個人資料保護責任，包括提升首席資訊安全官（Chief Information Security Officer, CISO）獨立性與責任、加重金融機構於資訊安全違規時相關罰則。 4. 政府將採取更多措施以確保金融機構的網路安全。 5. 金融機構必須建立緊急應變機制，以確保面對未來可能的資料外洩事故時，可迅速有效的應對。 　　韓國政府於於3月底已對不需修改法律之部分開始執行，而涉及《使用和保護信用資料法》和《電子金融交易法》部分亦待議會修法。

　　美國聯邦通訊委員會FCC於2010年7月20 日發布第六次寬頻建設調查報告（Sixth Broadband Deployment Report），指稱「仍有1400萬到2400萬的美國人仍無法接取下載4Mbps、上載1Mbps的寬頻網路服務，並且幾乎沒有可能立即為這些人裝設寬頻網路。」從而FCC在報告中做出了「寬頻網路並未以合理、符合時代需求的方式對全民推廣佈建」（Broadband deployment to all Americans is not reasonable and timely）的結論。 　　自1996年通訊法（第706節）要求FCC應每年針對「寬頻普及」的狀況進行評估以來，FCC是第六次針對此議題發布調查報告。報告指出，雖然寬頻建設在過去10年中已有顯著的成長，但在如北卡羅萊納州、德州、密西西比州等地的鄉村地區，仍有不成比例的多數民眾並無法接取寬頻網路，因為網路服務提供者在這些區域中看不到佈建寬頻網路的經濟利益。 　　目前只有65%的美國民眾能在家中接取高速寬頻服務。今年3月公布的「國家寬頻計畫（National Broadband Plan）」，FCC則設定目標，希望利用教育方案和公私合作伙伴策略（public-private partnerships）來推動網路的基礎建設，在2020年前達到90%美國民眾可在家接取高速寬頻服務的目標。為此，FCC將重整普及服務基金，引進創新策略釋出新的行動寬頻頻譜、除去對基礎建設（包括路權與電線桿等的接取權）的投資障礙。 　　值得注意者，這份報告同時將家戶寬頻接取網路的基本速率從2Mbps提升到下載4Mbps、上傳1Mbps。