日本經產省發布中小企業開發IoT機器之產品資安對策指引
日本經濟產業省(下稱經產省)於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引(IoT機器を開発する中小企業向け製品セキュリティ対策ガイド),本指引彙整企業應該優先推動IoT機器資安對策,經產省提出具體資安對策如下:
1.制定產品資安政策(セキュリティポリシー)並廣為宣導:由企業經營者率先制定資安政策,進行教育宣導,並依實際需求修正調整。
2.建立適當的資安政策體制:確立實施資安政策必要之人員及組織,明確其職務及責任。
3.指定IoT機器應遵守之資安事項,並預測風險:決定IoT機器的預設使用者及使用案例,並於釐清使用者需求後,指定IoT機器應遵守之資安事項,預測衍生風險。
4.考量IoT機器應遵守之資安事項及預測風險,進行設計與開發:以預設IoT機器應遵守之資安事項衍生風險為基礎,從設計與開發階段開始採取風險對策。
5.檢測是否符合資安相關要件:從設計與開發階段開始制定檢測計畫,檢測是否符合資安要件,並依據檢測結果進行改善。
6.於產品出貨後蒐集風險資訊,與相關人員溝通並適時提供支援:蒐集全球資安事故與漏洞資訊,並設置可適時與委外廠商以及用戶溝通之窗口。
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 商業服務業個資保護宣導說明會
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
鄭岱宜
法律研究員 編譯整理
〈IoT機器を開発する中小企業向け製品セキュリティ対策ガイド〉,経済産業省,https://www.meti.go.jp/policy/netsecurity/chusyosecurityguide.pdf(最後瀏覽日期:2023/09/25)。
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,科技法律研究所,2022/09,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日︰2023/09/25)。
鄭岱宜,〈美國國家安全局發布「軟體記憶體安全須知」〉,科技法律研究所,2023/02,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=8956(最後瀏覽日︰2023/09/25)。
聯網自動駕駛車(Connected and Autonomous Vehicles, CAV)是一種自動化聯網載具,係自動駕駛車以及互聯汽車兩種科技的集合,而CAV僅須符合其一即可稱之。按英國交通部的定義,自動駕駛車係為「無須稱職的駕駛者管理各種道路、交通與天候條件之下,能安全完成旅程的車輛。」目前上市產品中已可見部份自動駕駛車的身影,諸如自動路邊停車系統、先進輔助駕駛系統、自動緊急煞車系統等等。 互聯車輛科技允許車輛之間的互相溝通以及更廣泛聯網,目前已有的互聯車輛科技如動態導航系統、緊急求救系統(eCall)等,特別是歐盟欲規範未來新車都必備eCall系統,該系統可偵測事故發生並自動開啟安全氣囊、撥打求救電話並開啟全球定位系統(GPS),以利醫護人員快速救援。目前有三種正在發展中,用以支援互聯車輛的科技:V2V(車輛之間互聯)、V2I(車輛與交通設備互聯)、V2X(車輛與任何適當的科技互聯)。而發展CAV有六種益處,包括提升行車安全、減少交通阻塞、減少碳排放、更多自由時間可運用、任何人都可平等地使用CAV以及改良道路之設計。 我國刻正實施行政院於2014年5月核定之第2階段「智慧電動車輛發展策略與行動方案」,推動智慧電動車整車及零組件性能提升,協助廠商提升製程及資訊應用功能;研析國際驗證及測試規範,完善智慧電動車產業價值鏈。
中國大陸食品安全法修訂草案二審稿,將基因改造食品標識明確列入2014年12月22日,中國大陸食品安全法修訂草案二審稿增加關於食品貯存和運輸、食用農產品市場流通、基因改造食品標識(中國大陸用語為轉基因食品標籤)等方面之內容。二審稿規定,生產經營基改食品皆應按照規定進行標識,未按規定進行標識的,沒收違法所得和生產工具、設備等物品,最高可處貨值金額五倍以上十倍以下罰款,情節嚴重者責令停產停業,直至吊銷許可證。對於基因改造標識,中國大陸已於《農業轉基因生物安全管理條例》有規定,此次二審稿為保障消費者的知情權,增加加重食品安全違法行為的法律責任,採取多種手段嚴懲,並希望以法律形式將其確定。 我國食品安全衛生管理法於2014年12月10日修法中,對於基改食品標識部分並未修訂,僅在第22條及24條規定了要標識「食品之容器或外包裝,應以中文及通用符號,明顯標示下列事項…(包含基因改造食品原料)」以及「食品添加物之容器或外包裝,應以中文及通用符號,明顯標示下列事項中…(含基因改造食品添加物之原料)」。然而,我國與中國大陸此次修法雖皆有明訂,但明訂方式、標準等並未描述,又如美國佛蒙特州有意立法通過之基改食品標識法也在今年2015年1月因有爭議舉行公聽會,使該法令生效前恐有中止之情事。目前看來,不同國家有不同的基因改造食品標識政策,但國際間仍致力建立一套統一的規範。
美國聯邦審計署發布先進空中交通議題研究報告,將有利於航空轉型美國聯邦審計署(Government Accountability Office, GAO)於2022年5月9日發布「航空轉型:經利害關係人確認之先進空中交通議題」(Transforming Aviation: Stakeholders Identified Issues to Address for 'Advanced Air Mobility')研究報告。未來,先進空中交通(Advanced Air Mobility, AAM)服務可透過小型或高度自動化(highly-automated)電動垂直起降航空器(eVTOL)翱翔於天際,不僅可提供載人或載物服務、減少交通壅塞,並可應用於救援與醫療運輸等領域。GAO透過訪談36位利害關係人,意識到AAM發展關鍵在於相關法制環境之整備速度。基此,GAO於研究報告中,整理當前各AAM新創業者於開發與落實上面臨之4大問題,分別簡述如下: (1)航空器檢定標準:美國聯邦航空總署(Federal Aviation Administration, FAA)對於航空器之檢定規範,目前尚未涵蓋具備AAM新功能之載具,如電力推進或垂直起降等。 (2)起降場與電力之基礎設施:FAA尚未制定垂直機場降落設施,及航空器電池充電需求之電力基礎設施相關標準。 (3)提高公眾載具安全性接受度:AAM產業須證明此類航空器之安全性、可靠性、低噪音與商用可行性,以支持該產業之發展與成長。 (4)作業人員所需之各種培訓與認證標準:飛行員與維修技術作業人員需接受相關新功能培訓。惟利害關係人指出可能面臨高教育成本、缺乏工作場域多樣性、機會意識(awareness of opportunities)不足,及培訓能力有限等問題。
巴西政府公布個人數據保護法草案巴西政府於2015年1月28日公布個人資料保護法草案(Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection),該草案適用於個人和通過自動化方式處理個人資料的公司,惟前提是(1)處理行為發生在巴西或(2)蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料,包括資料保護義務和要求: 一、企業必須使資料當事人能夠自由的、直接的,具體的使當事人知悉並取得人同意以處理個人資料。 二、除了在有限的例外情況下,禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險,並有具體的同意。敏感的個人資料包括,種族和民族淵源,宗教,哲學或道德信仰,政治觀點,健康和性取向資料,以及遺傳數據。 三、資料外洩時有義務立即報告主管機關。 四、當個人資料是不完整,不準確或已經過期時,允許資料當事人查詢他們的個人資料並更正之。 五、不得提供個人資料給資料保護水平不相似的國家。 六、有義務依比例原則採取安全保障措施以處理個人數據,防止未經授權的訪問,破壞,丟失,篡改,通訊或傳播資料。