東京都公布「新創全球創新政策」

　　加拿大數位隱私法（Digital Privacy Act）於2015年6月18日獲得皇室御准，該法目的係為修訂規範私部門運用個人資料的聯邦個人資料保護及電子文件法（Personal Information Protection and Electronic Documents Act, PIPEDA）。該法有多個章節於公告時便即刻施行，但仍有部分章節需待日後其他行政機關公告配套之法規後始能正式施行，例如該法的重點章節之一：「安全防護措施之違反」（Breaches of Security Safeguards）。 　　歷經約莫兩年，加拿大創新、科學及經濟發展部（Innovation, Science and Economic Development Canada）於2017年9月2日公告安全防護措施違反之規則草案（Breaches of Security Safeguards Regulations），以及規則衝擊分析聲明（Regulatory Impact Analysis Statement）。草案自公告時起開放30天供相關利益關係人發表意見，未來將和數位隱私法的「安全防護措施之違反」同時生效施行。 　　草案制定目的在於確保加拿大本國人若遇有資料外洩且具有損害風險時，可收到精確的相關資訊。私部門對本人的通知應包含使本人可理解外洩的衝擊和影響的詳細資訊。草案確保加拿大個人資料保護公署（Office of the Privacy Commissioner of Canada）之專員亦能獲得有關資料外洩的確實且對等資訊，並可監督、確認私部門遵守法規並執行。草案詳載私部門於通報個人資料保護公署時應提交的資訊，以及通知本人時應提供的資訊，且不限制私部門額外提供其他資訊。遇有資料外洩情事而故意不即時通報個人資料保護公署或通知本人者，最高將可處十萬美金罰鍰。

澳洲政府2024年5月23日公布「國家電池戰略」（National Battery Strategy），這是澳洲政府推動「澳洲未來製造」（Future Made in Australia）政策計畫重要的一環。該戰略概述政府將如何擴大澳洲電池製造能力和發展專業技術，提升澳洲的經濟韌性和安全性。 戰略文件中，主要行動分為五項： 一、建立電池製造能力，增強經濟韌性，利用優勢促進國家經濟增長： 以2024年4月公布的《澳洲未來製造法》（Future Made in Australia Act）作為支持電池行業的法源。政府未來10年會提供227億澳元，投資包括再生氫、綠色金屬、低碳液體燃料、關鍵礦產精煉和清潔能源製造技術。 二、培養人才知識和技能，創造澳洲本土工作機會： 建立電池製造園區，結合企業和研究機構，將電池研究集中在有顯著需求和具市場潛力的領域。 三、確保澳洲在全球電池供應鏈中的地位： 重點支持構建供應鏈韌性的製造業，透過國際合作，應對氣候挑戰，支持電力轉型，創造清潔能源貿易機會，推廣高ESG標準。 四、在永續、標準和循環經濟方面引領世界 支持澳洲各地建立電池回收設施，補助電池回收技術的研究和測試，同時要求電池產業採取嚴格和有效的ESG措施。 五、促進各級政府合作 與各級政府合作，採取一致的標準和方法發展電池技術。透過聯合採購推動電池產業，並集中管理和輔導澳洲電池製造商。 澳洲擁有豐富的礦物資源，供應全球一半的鋰，但是其所製造的加工電池元件占全球不到1%；「國家電池戰略」的發布顯示澳洲政府希望利用自身優勢，在全球能源轉型中佔有一席之地的企圖心。

新加坡物聯網產品網路安全防護之初探 資訊工業策進會科技法律研究所 2023年06月30日 壹、事件摘要 近年物聯網（Internet of Things，簡稱IoT）產品蓬勃發展，伴隨著資通安全之威脅卻也日益加增，新加坡為此陸續訂定國內法規，以強化保障新加坡人民資訊流通之自由，並確立了網路安全標籤機制，藉以提高消費者對於物聯網產品資安的認識。另一方面，標籤制度能於消費者使用物聯網產品時，將產品受到不同層級之網路安全防護，或有別於一般用途使用等資訊，迅速傳達給消費者。據此，本文觀測新加坡近年主要的物聯網產品驗證制度與相關法規，供我國參考與借鏡。 貳、重點說明 一、新加坡物聯網網路安全法規 新加坡於2015年成立新加坡網路安全局[1]（CSA），陸續為新加坡建立完善之物聯網產品網路安全防護機制，且新加坡於2018年訂定《網路安全法》[2]，法案的第一部分已明示將「網路安全」列為實質保障內涵[3]，並明訂須透過識別與分析威脅，以有效降低網路安全威脅帶來的風險。另為提高物聯網安全性，首先於亞太地區推出物聯網產品等級評估機制，即新加坡網路安全標籤機制[4]（Cybersecurity Labelling Scheme, CLS），致力於保障新加坡的網路空間，並使消費者能夠識別符合網路安全規定之物聯網產品，以利消費者辨認選購。此外，CLS架構下設有驗證中心、通用標準以及標籤分級等措施，以強化物聯網產品資安防護為目的，也能落實《網路安全法》保障新加坡網路安全之精神。 （一）設置網路安全驗證中心[5]（Cybersecurity Certification Centre, CCC）：為驗證資安相關產品與服務之權責機關，透過CSA建置的驗證標準，成為新加坡企業採用資安產品之參考依據。 （二）建立通用標準（Common Criteria, CC）：最初是由加拿大、法國、德國、荷蘭、英國與美國等多個國家安全標準組織聯合提出，以國際標準ISO／IEC 15408（Common Criteria for Information Technology Security Evaluation）作為替代其現有安全評估標準的通用標準。由於通用標準已於國際上受多國承認，資訊服務業者若經過相關驗證時，較易被新加坡企業採用。 （三）建立網路安全標籤機制（Cybersecurity Labelling Scheme, CLS）：CSA針對智慧裝置推出網路安全標籤機制CLS，是以《網路安全法》做為上位精神而訂，但並不具強制力，而是以計畫推行之自願性認驗證機制。新加坡政府將物聯網設備根據其網路安全規定之級別進行評估分級，使消費者能夠識別符合較高等級網路安全規定的產品，並做出明智的決定。CLS共可分為4個等級（Level 1~4），第1級為產品滿足相關之基本要求（如密碼要求、提供軟體更新）；第2級為該產品係使用安全設計原則進行開發（如進行相關之威脅評估、審驗程序）；第3級為該產品經過第三方測試實驗室評估；第4級則經過第三方實驗室之滲透測試。此外，值得注意的是，新加坡亦與德國、芬蘭簽署備忘錄，以相互承認，也因此新加坡CLS網路安全標籤機制與德國的網路安全標籤制度（IT-Sicherheitskennzeichen）、芬蘭的網路安全標籤制度（Finnish Cybersecurity Label），可以進行互通使用。 參、事件評析 新加坡透對於物聯網產品之資安，透過訂定法規、成立權責機關與建立國際通用之標準與標籤機制，針對物聯網產品資安進行不同層次的保障。此外，採「驗證」方式保障人民生活不受網路威脅侵害，同時提高消費者對於物聯網產品資安之意識，可謂一舉數得之作法。而我國於物聯網產品發展以來，有政府以計畫支持「行動應用資安聯盟」提供相關物聯網產品之資安檢測認驗證標章，以供企業或消費者識別，物聯網產品經由實驗室檢測並由行動應用資安聯盟[6]審核通過後，核發合格證書及資安標章，並依照資安風險高低及安全技術實現複雜度，區分三個等級（L1~L3），分為適合一般家庭、商業用途與最高防護強度。於此認驗證機制下，已推出6項產品系列之驗證[7]，並且採消費者導向之標章，足見我國政府同樣致力於提高消費者對於物聯網產品資安防護識別之意識；但此認驗證機制或有優化空間，今後可以參考新加坡作法，擴增可進行驗證的產品項目，持續提升保障消費者選購物聯網產品之資訊知悉權，同時可參酌國際上其他重點國家之風險評估方式，以系統性建置物聯網產品資安之風險評估通用標準，以確保該制度未來有機會被其他國家直接或間接承認，為國際接軌做準備，作為今後精進物聯網產品資安之目標，方可促使我國與國際產業鏈、海外市場逐步銜接，提升產業競爭力。 [1]新加坡網路安全局CSA（Cyber Security Agency），隸屬於總理辦公室（Prime Minister’s Office, PMO），由新加坡通訊暨新聞部（Ministry of Communications and Information）管理，https://www.csa.gov.sg/，（最後瀏覽日：2023/6/30）。 [2]Cybersecurity Act 2018, Singapore Statutes Online, https://sso.agc.gov.sg/Acts-Supp/9-2018/Published/20180312?DocDate=20180312, (last visited June 30, 2023). [3]Cybersecurity Act 2018, Part 1 PRELIMINARY, 2.—(1), (i)providing advice in relation to cybersecurity solutions, including— (i) providing advice on a cybersecurity program; or (ii) identifying and analysing cybersecurity threats and providing advice on solutions or management strategies to minimise the risk posed by cybersecurity threats. [4]Cybersecurity Labelling Scheme (CLS), CSA, https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes/cybersecurity-labelling-scheme, (last visited June 30, 2023). [5]SINGAPORE CSA, Certification and Labelling Schemes, About the Cybersecurity Certification Centre (CCC), https://www.csa.gov.sg/our-programmes/certification-and-labelling-schemes, (last visited June 30, 2023). [6]行動應用資安聯盟（Mobile Application Security Alliance），關於我們〈推動架構〉，https://www.mas.org.tw/about/background，（最後瀏覽日：2023/6/30）。 [7]包含:影像監控系統、智慧巴士、智慧路燈、空氣品質微型感測裝置、消費性網路攝影機、門禁系統等項目。行動應用資安聯盟（Mobile Application Security Alliance），IoT Q&A〈聯盟負責的物聯網資安檢測認證項目有哪些？〉，https://www.mas.org.tw/iot/questAndAnswer，（最後瀏覽日：2023/6/30）。

　　2012年3月Google將世界各地總共60個相異的個人資料隱私權政策統一後，即受到歐盟個人資料保護機構「第29條工作小組」的關注，該小組認為Google修訂後的個人資料隱私權政策違反歐洲資料保護指令（European Data Protection Directive (95/46/CE)），將難以讓使用者清楚知悉其個人資料可能被利用、整合或保留的部分。同時，Google亦可能利用當事人不知情的情況下，大量利用使用者個人資料。因此，2012年10月歐盟要求Google在4個月內對該公司的個人資料隱私權政策未符歐盟規定者提出說明，惟至今Google仍無回應。因此，歐洲6個國家，包括法國、德國、英國、義大利、荷蘭及西班牙的個資監管機構，將聯合審視Google的個人資料隱私權政策是否違反各國的法律，並依據各國法律展開後續措施，如鉅額罰款等。法國之資訊自由國家委員會（Commission nationale de l'informatique et des libertés，簡稱CNIL）率先表示，若Google於4月11日前未改善其資料隱私權政策，法國將首先採取法律行動。然Google對此僅簡單回應，表示其資料隱私政策尊重歐盟的法律，且可以讓Google提供更簡單、更有效率的服務。