韓國公布「數位平台政府實施計畫」

　　2022年7月25日，日本政府召開今年5月公布的《經濟安全保障推進法》專家小組第1次會議，會議提出「確保特定重要物資穩定供給之基本指導方針」（特定重要物資の安定的な供給の確保に関する基本指針），指出在日益複雜的國際情勢及社會經濟結構變化中，自由經濟原則所承擔的風險逐漸增加，在經濟安全問題上，政府應有更多參與和監管，不可過度依賴市場競爭，並明確規定政府應適當指定符合下列4要件之物資為「特定重要物資」： 一、人民生存和經濟活動所必需 指被多數人廣泛使用、融入於各行各業中，在經濟合理的角度觀察，沒有替代品的物資。 二、避免過度依賴外部資源 指資源掌握於特定少數國家或地區，如供應中斷將造成日本境內重大影響者。或基於社會經濟結構變化和技術創新趨勢，是否有如不採取因應措施，可能有過度依存風險之外部資源。 三、因外部行為造成中斷供給的可能性 因外部行為（如供應國暫停出口）導致供應中斷，對人民生活與經濟活動發生重大影響者，包含發生之可能性。 四、除前述3要件外，認有特別必要性時 例如，近年有供應中斷紀錄，或出現供應中斷風險提升的傾向，須立即採取措施時等情形。 　　此外，日本政府規劃將減少「特定重要物資」對國外的進口依賴，並授權政府可對企業的原物料供應商及庫存進行調查，拒絕者將課以罰責，以確保「特定重要物資」的穩定供應。

　　近年韓國國內發生多起重大資訊安全疏失，例如：2014年韓國三大信用卡公司客戶資料外洩，成為韓國史上最嚴重的個人資料洩漏事件。為加強控管，韓國政府於2015年7月通過最新個人資料保護法修正案（Personal Information Protection Act, PIPA）。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關，將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。 　　根據最新修正案條文，若某機關因故意或重大過失，造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀，經法院判決後，最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外，除非該機關能舉證當事人的損害與機關之行為沒有因果關係，否則當事人可請求最高3百萬韓元（約台幣8萬元）的法定損害賠償。 　　此次，韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會（The Personal Information Protection Committee）的職權。該委員會將成為資訊安全爭議的最終裁決機關，且擁有相關資訊安全管理相關政策制定及修正的提議權。 　　由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制，避免在新法上路後遭罰。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　於2016年10月14日，中國大陸科技部為落實國務院於5月9日發布之《促進科技成果轉移轉化行動方案》中，有關大力推動地方科技成果轉移轉化，並開展區域性科技成果轉移轉化試點示範的要求，開始啟動在河北以及寧波，兩個科技成果轉移轉化示範區的建設計畫。 　　中國大陸推動國家科技成果轉移轉化示範區之目的在於推動科技成果轉移轉化工作，以期能有助於完善區域科技成果轉化政策環境，並且提升區域創新之能力；示範區的建設重點將在於完善科技成果轉化服務體系、建設科技成果產業化載體、開展政策先行先試等方面開展工作，進行地方的創新驅動發展。 　　為此，中國大陸科技部並印發了《科技部關於建設河北•京南國家科技成果轉移轉化示範區的函》、《科技部關於建設寧波國家科技成果轉移轉化示範區的函》兩份政策文件，其中河北•京南示範區的重點在於配合北京、天津，以及河北的區域協同發展，充分發揮跨區域輻射帶動作用，並且承接北京及天津的創新要素外溢轉移，以及與河北產業創新需求進行對接。而寧波示範區將則以科技成果轉化對產業和企業創新發展的對接為核心戰略，發展以企業為主體的科技成果轉移轉化示範區域。並以這兩個示範區的測試來探索模式、累積經驗。