美國環保署提出汽車廢氣排放新標準以加速電動汽車發展
美國環保署(United States Environmental Protection Agency, EPA)為限制汽車廢氣排放污染物對環境造成的危害,根據美國《潔淨空氣法》(Clean Air Act, CAA)的授權,於2023年4月12日提出《2027年式輕型、中型商用車車型污染物排放標準》(Multi-Pollutant Emissions Standards for Model Years 2027 and Later Light-Duty and Medium-Duty Vehicles),以及《重型商用車溫室氣體排放標準-第三階段》(Greenhouse Gas Emissions Standards for Heavy-Duty Vehicles – Phase 3)這兩件汽車廢氣排放新標準,期加速電動汽車(Electric Vehicle, EVs)發展、加速潔淨交通轉型。
《2027年式輕型、中型商用車車型污染物排放標準》以及《重型商用車溫室氣體排放標準-第三階段》分別針對2027年到2032年所出廠的輕型商用車、中型商用車以及重型商用車的汽車廢氣排放標準做出更嚴格的新規範,預計將成為美國迄今為止最嚴格的汽車廢氣排放標準。目標是到2032年時,輕型商用車行駛每英里二氧化碳平均排放量下降至82公克,溫室氣體排放量相較於2026年車型年標準將減少56%;中型商用車行駛每英里二氧化碳平均排放量下降至275公克,溫室氣體排放量相較於2026年車型年標準則將減少44%。至於重型商用車,以重型拖曳機(heavy-haul tractors)為例,將從2027年車型年行駛每噸英里二氧化碳平均排放量48克,到2032年時下降至41公克左右。
根據這兩件汽車廢氣排放新標準,並未禁止化石燃料汽車的製造或銷售、亦未規範要求電動汽車的年製造量或年銷售量要達多少數量或比率,而是為汽車限定更嚴格的廢氣排放標準,因此,仍無疑地將迫使汽車製造商減少販售化石燃料汽車、加速推動電動汽車生產的腳步以符合新的排放標準規定。環保署預測汽車製造商在為符標準所採的相應作法之下將會大幅提高電動汽車在新車的銷售比率:到2032年時,電動汽車將佔輕型商用車新車銷量的 67%、中型商用車新車銷量的46%。而此累計可望到2055年時減少約100億噸的二氧化碳排放,相當於美國2022年二氧化碳總排放量的兩倍多。將有效減少有害空氣汙染、並大幅降低因空氣汙染所致的罹病風險以及過早死亡等危險。
藉由新的排放標準,將逐步淘汰化石燃料汽車的生產,加速潔淨交通轉型,有效應對氣候危機並提高全國各社區空氣品質。
- Biden-Harris Administration Proposes Strongest-Ever Pollution Standards for Cars and Trucks to Accelerate Transition to a Clean-Transportation Future, U.S. Environmental Protection Agency
- Sean Reilly, Regan plugs in EPA plan to accelerate move to EVs, E&E News, Apr. 12, 2023
- SEBASTIAN BLANCO, Strict EPA Rules for 2027–2032 Vehicles Announced, Garnering a Range of Reactions, Car and Driver, Apr. 14, 2023
- David Jordan & Valerie Yurk, To boost EVs, EPA proposes stricter vehicle emissions standards, Roll Call, Apr. 12, 2023
陳怡廷
副法律研究員 編譯整理
Biden-Harris Administration Proposes Strongest-Ever Pollution Standards for Cars and Trucks to Accelerate Transition to a Clean-Transportation Future, U.S. Environmental Protection Agency, https://www.epa.gov/newsreleases/biden-harris-administration-proposes-strongest-ever-pollution-standards-cars-and (last visited Apr. 30, 2023).
Sean Reilly, Regan plugs in EPA plan to accelerate move to EVs, E&E News, Apr. 12, 2023, https://www.eenews.net/articles/regan-plugs-in-epa-plan-to-accelerate-move-to-evs/ (last visited Apr. 30, 2023).
SEBASTIAN BLANCO, Strict EPA Rules for 2027–2032 Vehicles Announced, Garnering a Range of Reactions, Car and Driver, Apr. 14, 2023, https://www.caranddriver.com/news/a43546970/new-strict-epa-mpg-rules-for-2027-2032-vehicles/ (last visited Apr. 30, 2023).
David Jordan & Valerie Yurk, To boost EVs, EPA proposes stricter vehicle emissions standards, Roll Call, Apr. 12, 2023, https://rollcall.com/2023/04/12/to-boost-evs-epa-proposes-stricter-vehicle-emissions-standards/ (last visited Apr. 30, 2023).
Proposed Rule: Multi-Pollutant Emissions Standards for Model Years 2027 and Later Light-Duty and Medium-Duty Vehicles, U.S. Environmental Protection Agency, https://www.epa.gov/regulations-emissions-vehicles-and-engines/proposed-rule-multi-pollutant-emissions-standards-model (last visited Apr. 30, 2023).
Proposed Rule: Greenhouse Gas Emissions Standards for Heavy-Duty Vehicles – Phase 3, U.S. Environmental Protection Agency, https://www.epa.gov/regulations-emissions-vehicles-and-engines/proposed-rule-greenhouse-gas-emissions-standards-heavy (last visited Apr. 30, 2023).
澳洲時尚設計師Katie Perry(婚後從夫姓為Katie Taylor,後稱為設計師Katie)於2006年推出休閒服飾品牌,並以本名「Katie Perry」作為文字商標於2008年9月29日提出澳洲商標申請,儘管在申請過程中設計師Katie曾接獲美國知名流行歌手Katy Perry律師所提出之異議,企圖讓設計師Katie撤回該商標申請,然而最終設計師Katie仍取得該商標權。 此爭議之關鍵在歌手Katy Perry(後稱為歌手Katy)於2009年推出以「Katy Perry Collections」為名之流行服飾與鞋品等系列產品,並於澳洲Myer百貨及Target賣場等通路販售。設計師Katie認為歌手Katy忽視其澳洲商標權並於澳洲持續販售非法商品,因此於近期對歌手Katy(本名為Kathryn Elizabeth Hudson)及其所屬公司Killer Queen LLC提出告訴,同時澳洲聯邦法院於今(2019)年11月21日進行初審。 過去,在音樂界也曾有類似「撞名」的事件發生,例如:傑克·懷特(Jack White)所屬樂團「The Raconteurs」在2006年發行專輯後,發現「撞名」澳洲同名爵士樂團,便自行將在澳洲當地發行唱片或巡迴時所使用之團名改為「The Saboteurs」;此外,在1978年美國蘋果電腦(Apple Computers)受到英國樂團The Beatles成立之音樂公司─蘋果集團(Apple Corps)所提出之商標侵權訴訟,該爭議在三年後蘋果電腦以美金$80,000庭外和解作為持續使用公司名字之代價,且同意往後不會將業務擴及音樂相關事業;然而多年後,蘋果電腦發展數位音樂並推出iTunes等業務,再度於2006年掀起兩蘋果公司之訴訟,不斷演進的市場環境將成為兩公司交易條件之依據,或許這也能作為歌手Katy律師團借鏡之案例。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
歐盟資通安全局公布《提升歐盟軟體安全性》研究報告歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)於2020年4月25日以歐盟網路安全驗證框架(EU cybersecurity certification framework)檢視現行安全軟體開發及維護之方式與標準,並公布《提升歐盟軟體安全性》(Advancing Software Security in the EU)研究報告。歐盟資通安全局後續將以該研究報告協助產品、服務及軟體開發之驗證,並期望能夠成為執行歐盟網路安全驗證框架相關利害關係人之非強制性參考文件之一。 本報告指出由於安全軟體已普遍應用於日常商品與服務當中,但目前針對軟體安全事故並無相對應之安全守則及技術,故為提高軟體安全層級並緩解目前已知之軟體安全威脅,應針對安全軟體開發及維護進行規範並驗證。 報告中除了針對軟體安全提出其應具備之要素、概述現行安全軟體開發方式及標準之缺點外,亦提出若以歐盟網路安全驗證框架針對軟體開發方式進行驗證時可考量之一些實際做法,包括: 已驗證之資訊與通訊科技(Information and Communication Technology, ICT)產品、服務或流程供應商或製造商,針對資料庫之部署及維護,除探討防止資料洩漏之方式外,尚應考量產品、服務或流程驗證過程中,進行資料共享會面臨之安全威脅以及緩解之方式。 應與歐洲標準組織(European Standards Organizations, ESOs)及標準制定組織(Standards Developing Organization, SDOs)合作。 建立一些針對軟體開發、維護及操作準則以補充現有歐盟網路安全驗證方案(EU cybersecurity certification schemes)。 針對現行不一致之軟體開發及維護規範,應考量建立較寬鬆之合規性評估(conformity assessment)標準。 借鏡現有經驗和專業知識,促進歐盟網絡安全驗證框架之適用。
日本發布資料素養指南之資料處理篇,旨在促使企業理解便於活用於數位技術與服務的資料管理方法日本獨立行政法人情報處理推進機構於2025年7月發布《資料素養指南(下稱《指南》)》,指南分為三大章,第一章為整體資料環境之變化;第二章為資料治理;第三章為資料、數位技術活用案例與工具利用。指南第二章中的資料處理篇,主要為促使企業理解有利活用於數位技術與服務的資料管理方法。 《指南》資料處理篇指出,資料的生命週期涵蓋資料設計、資料蒐集、外部資料連動、資料整合、資料處理、資料提供、資料累積以及資料銷毀等不同階段。《指南》建議在資料生命週期的各階段,盡可能的不要有人類的介入。舉例而言,資料蒐集可以透過感測器或系統進行。該建議的目的在於,人類介入資料生命週期,僅會引起輸入錯誤或是操作錯誤等風險。 此外,《指南》亦於資料處理篇中針對資料治理給出四點建議,分別如下: (一)資料是企業的重要資產,因此應重視其管理方式。管理方式涵蓋帳號密碼、透過生物辨識技術進行資料接觸管理、Log檔之取得、系統設定禁止使用USB等方式。 (二)資料治理的重點在於對人政策。除了向員工強調不要開啟不明網站及釣魚信件以外,企業亦應與員工建立堅實的信賴關係。 (三)資料公開或流通時應注意,如果不希望提供後的資料被二次利用,應於雙方間的資料利用契約中敘明。此外,由於資料具備易於複製及傳輸的特性,因此在公開或流通資料時,應考量適用諸如時戳技術等可確保資料原本性或使資料無法被竄改的數位技術。 (四)資料銷毀如果僅是單純的刪除資料,有透過數位技術找回資料的可能性。因此,除可評估委由專門進行資料銷毀服務的公司協助以外,由於銷毀資料經由個人電腦外洩之事件時有所聞,故亦應留意個人電腦之資料管理。 我國企業如欲將資料活用於數位技術或服務,除可參考日本所發布之《指南》資料處理篇以外,亦可參考資訊工業策進會科技法律研究所創意智財中心所發布之《重要數位資料治理暨管理制度規範》,以建立自身資料處理流程,進而強化資料管理能力。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
解析雲端運算有關認驗證機制與資安標準發展解析雲端運算有關認驗證機制與資安標準發展 科技法律研究所 2013年12月04日 壹、前言 2013上半年度報載「新北市成為全球首個雲端安全認證之政府機構」[1],新北市政府獲得國際組織雲端安全聯盟( Cloud Security Alliance, CSA )評定為全球第一個通過「雲端安全開放式認證架構」之政府機構,獲頒「2013雲端安全耀星獎」(2013 Cloud Security STAR Award),該獎項一向是頒發給在雲端運用與安全上具有重要貢獻及示範作用之國際企業,今年度除了頒發給旗下擁有年營業額高達1200億台幣「淘寶網」的阿里巴巴集團外,首度將獎項頒發給政府組織。究竟何謂雲端認證,其背景、精神與機制運作為何?本文以雲端運算相關資訊安全標準的推動為主題,並介紹幾個具有指標性的驗證機制,以使讀者能瞭解雲端運算環境中的資安議題及相關機制的運作。 資訊安全向來是雲端運算服務中最重要的議題之一,各國推展雲端運算產業之際,會以提出指引或指導原則方式作為參考基準,讓產業有相關的資訊安全依循標準。另一方面,相關的產業團體也會進行促成資訊安全標準形成的活動,直至資訊安全相關作法或基準的討論成熟之後,則可能研提至國際組織討論制定相關標準。 貳、雲端運算資訊安全之控制依循 雲端運算的資訊安全風險,可從政策與組織、技術與法律層面來觀察[2],涉及層面相當廣泛,包括雲端使用者實質控制能力的弱化、雲端服務資訊格式與平台未互通所導致的閉鎖效應(Lock-in)、以及雲端服務提供者內部控管不善…等,都是可能發生的實質資安問題 。 在雲端運算產業甫推動之初,各先進國以提出指引的方式,作為產業輔導的基礎,並強化使用者對雲端運算的基本認知,並以「分析雲端運算特色及特有風險」及「尋求適於雲端運算的資訊安全標準」為重心。 一、ENISA「資訊安全確保架構」[3] 歐盟網路與資訊安全機關(European Network and Information Security Agency, ENISA)於2009年提出「資訊安全確保架構」,以ISO 27001/2與BS25999標準、及最佳實務運作原則為參考基準,參考之依據主要是與雲端運算服務提供者及受委託第三方(Third party outsourcers)有關之控制項。其後也會再參考其他的標準如SP800-53,試圖提出更完善的資訊安全確保架構。 值得注意的是,其對於雲端服務提供者與使用者之間的法律上的責任分配(Division of Liability)有詳細說明:在資訊內容合法性部分,尤其是在資訊內容有無取得合法授權,應由載入或輸入資訊的使用者全權負責;而雲端服務提供者得依法律規定主張責任免除。而當法律課與保護特定資訊的義務時,例如個人資料保護相關規範,基本上應由使用者與服務提供者分別對其可得控制部分,進行適當的謹慎性調查(Due Diligence, DD)[4]。 雲端環境中服務提供者與使用者雙方得以實質掌握的資訊層,則決定了各自應負責的範圍與界限。 在IaaS(Infrastructure as a Service)模式中,就雲端環境中服務提供者與使用者雙方應負責之項目,服務提供者無從知悉在使用者虛擬實體(Virtual Instance)中運作的應用程式(Application)。應用程式、平台及在服務提供者基礎架構上的虛擬伺服器,概由使用者所完全主控,因此使用者必須負責保護所佈署的應用程式之安全性。實務上的情形則多由服務提供者協助或指導關於資訊安全保護的方式與步驟[5]。 在PaaS(Platform as a Service)模式中,通常由雲端服務提供者負責平台軟體層(Platform Software Stack)的資訊安全,相對而言,便使得使用者難以知悉其所採行的資訊安全措施。 在SaaS(Software as a Service)模式中,雲端服務提供者所能掌控的資訊層已包含至提供予使用者所使用的應用程式(Entire Suite of Application),因此該等應用程式之資訊安全通常由服務提供者所負責。此時,使用者應瞭解服務提供者提供哪些管理控制功能、存取權限,且該存取權限控制有無客製化的選項。 二、CSA「雲端資訊安全控制架構」[6] CSA於2010年提出「雲端資訊安全控制架構」(Cloud Controls Matrix, CCM),目的在於指導服務提供者關於資訊安全的基礎原則、同時讓使用者可以有評估服務提供者整體資訊安全風險的依循。此「雲端資訊安全控制架構」,係依循CSA另一份指引「雲端運算關鍵領域指引第二版」[7]中的十三個領域(Domain)而來,著重於雲端運算架構本身、雲端環境中之治理、雲端環境中之操作。另外CCM亦將其控制項與其他與特定產業相關的資訊安全要求加以對照,例如COBIT與PCI DSS等資訊安全標準[8]。在雲端運算之國際標準尚未正式出爐之前,CSA提出的CCM,十分完整而具備豐富的參考價值。 舉例而言,資訊治理(Data Governance)控制目標中,就資訊之委託關係(Stewardship),即要求應由雲端服務提供者來確認其委託的責任與形式。在回復力(Resiliency)控制目標中,要求服務提供者與使用者雙方皆應備置管理計畫(Management Program),應有與業務繼續性與災害復原相關的政策、方法與流程,以將損害發生所造成的危害控制在可接受的範圍內,且回復力管理計畫亦應使相關的組織知悉,以使能在事故發生時即時因應。 三、日本經產省「運用雲端服務之資訊安全管理指導原則」[9] 日本經濟產業省於2011年提出「運用雲端服務之資訊安全管理指導原則」,此指導原則之目的是期待藉由資訊安全管理以及資訊安全監督,來強化服務提供者與使用者間的信賴關係。本指導原則的適用範圍,主要是針對機關、組織內部核心資訊資產而委託由外部雲端服務提供者進行處理或管理之情形,其資訊安全的管理議題;其指導原則之依據是以JISQ27002(日本的國家標準)作為基礎,再就雲端運算的特性設想出最理想的資訊環境、責任配置等。 舉例而言,在JISQ27002中關於資訊備份(Backup)之規定,為資訊以及軟體(Software)應遵循ㄧ定的備份方針,並能定期取得與進行演練;意即備份之目的在於讓重要的資料與軟體,能在災害或設備故障發生之後確實復原,因此應有適當可資備份之設施,並應考量將備份措施與程度的明確化、備份範圍與頻率能符合組織對於業務繼續性的需求、且對於儲存備份資料之儲存媒體亦應有妥善的管理措施、並應定期實施演練以確認復原程序之有效與效率。對照於雲端運算環境,使用者應主動確認雲端環境中所處理之資訊、軟體或軟體設定其備份的必要性;而雲端服務提供者亦應提供使用者關於備份方法的相關訊息[10]。 参、針對雲端運算之認證與登錄機制 一、CSA雲端安全知識認證 CSA所推出的「雲端安全知識認證」(Certificate of Cloud Security Knowledge, CCSK),是全球第一張雲端安全知識認證,用以表示通過測驗的人員對於雲端運算具備特定領域的知識,並不代表該人員通過專業資格驗證(Accreditation);此認證不能用來代替其他與資訊安全稽核或治理領域的相關認證[11]。CSA與歐盟ENISA合作進行此認證機制的發展,因此認證主要的測試內容是依據CSA的「CSA雲端運算關鍵領域指引2.1版(英文版)」與ENISA「雲端運算優勢、風險與資訊安全建議」這兩份文件。此兩份文件採用較為概略的觀念指導方式,供讀者得以認知如何評估雲端運算可能產生的資訊安全風險,並採取可能的因應措施。 二、CSA雲端安全登錄機制 由CSA所推出的「雲端安全登錄」機制(CSA Security, Trust & Assurance Registry, STAR),設置一開放網站平台,採取鼓勵雲端服務提供者自主自願登錄的方式,就其提供雲端服務之資訊安全措施進行自我評估(Self Assessment),並宣示已遵循CSA的最佳實務(Best Practices);登錄的雲端服務提供者可透過下述兩種方式提出報告,以表示其遵循狀態。 (一)認知評價計畫(Consensus Assessments Initiative)[12]:此計畫以產業實務可接受的方式模擬使用者可能之提問,再由服務提供者針對這些模擬提問來回答(提問內容在IaaS、PaaS與SaaS服務模式中有所不同),藉此,由服務提供者完整揭示使用者所關心的資訊安全議題。 (二)雲端資訊安全控制架構(CCM):由服務提供者依循CCM的資訊安全控制項目及其指導,實踐相關的政策、措施或程序,再揭示其遵循報告。 資安事故的確實可能使政府機關蒙受莫大損失,美國南卡羅萊納州稅務局(South Carolina Department of Revenue)2012年發生駭客攻擊事件,州政府花費約2000萬美元收拾殘局,其中1200萬美元用來作為市民身份被竊後的信用活動監控,其他則用來發送被害通知、資安強化措施、及建立數位鑑識團隊、資安顧問。 另一方面,使用者也可以到此平台審閱服務提供者的資訊安全措施,促進使用者實施謹慎性調查(Due Diligence)的便利性並累積較好的採購經驗。 三、日本-安全・信頼性資訊開示認定制度 由日本一般財團法人多媒體振興協會(一般財団法人マルチメディア振興センター)所建置的資訊公開驗證制度[13](安全・信頼性に係る情報開示認定制度),提出一套有關服務提供者從事雲端服務應公開之資訊的標準,要求有意申請驗證的業者需依標準揭示特定項目資訊,並由認證機關審查其揭示資訊真偽與否,若審查結果通過,將發予「證書」與「驗證標章」。 此機制始於2008年,主要針對ASP與SaaS業者,至2012年8月已擴大實施至IaaS業者、PaaS業者與資料中心業者。 肆、雲端運算資訊安全國際標準之形成 現國際標準化組織(International Organization for Standardization, ISO)目前正研擬有關雲端運算領域的資訊安全標準。ISO/IEC 27017(草案)[14]係針對雲端運算之資訊安全要素的指導規範,而ISO/IEC 27018(草案)[15]則特別針對雲端運算的隱私議題,尤其是個人資料保護;兩者皆根基於ISO/IEC 27002的標準之上,再依據雲端運算的特色加入相應的控制目標(Control Objectives)。 [1]http://www.ntpc.gov.tw/web/News?command=showDetail&postId=277657 (最後瀏覽日:2013/11/20) [2]European Network and Information Security Agency [ENISA], Cloud Computing: Benefits, Risks and Recommendations for Information Security 53-59 (2009). [3]ENISA, Cloud Computing-Information Assurance Framework (2009), available at http://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloud-computing-information-assurance-framework . [4]ENISA, Cloud Computing-Information Assurance Framework 7-8 (2009). [5]ENISA, Cloud Computing-Information Assurance Framework 10 (2009). [6]CSA, Cloud Controls Matrix (2011), https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [7]CSA, CSA Guidance For Critical Areas of Focus in Cloud Computing v2 (2009), available at https://cloudsecurityalliance.org/research/security-guidance/#_v2. (last visited Nov. 20, 2013). [8]https://cloudsecurityalliance.org/research/ccm/ (last visited Nov. 20, 2013). [9]日本経済産業省,クラウドサービスの利用のための情報セキュリティマネジメントガイドライン(2011),http://www.meti.go.jp/press/2011/04/20110401001/20110401001.html,(最後瀏覽日:2013/11/20)。 [10]日本経済産業省,〈クラウドサービスの利用のための情報セキュリティマネジメントガイドライン〉,頁36(2011)年。 [11]https://cloudsecurityalliance.org/education/ccsk/faq/(最後瀏覽日:2013/11/20)。 [12]https://cloudsecurityalliance.org/research/cai/ (最後瀏覽日:2013/11/20)。 [13]http://www.fmmc.or.jp/asp-nintei/index.html (最後瀏覽日:2013/11/20)。 [14]Information technology - Security techniques- Security in cloud computing (DRAFT), http://www.iso27001security.com/html/27017.html (last visited Nov. 20, 2013). [15]ISO/IEC 27018- Information technology -Security techniques -Code of practice for data protection, controls for public cloud computing services (DRAFT), http://www.iso27001security.com/html/27018.html (last visited Nov. 20, 2013).