歐盟通過經濟安全關鍵技術領域建議，以利會員國進行關鍵技術風險評估

　　由於近年來勒索軟體對國際金融帶來重大影響，七大工業國組織G7成立網路專家小組CEG（Cyber Expert Group），並於2022年10月13日訂定了「金融機關因應勒索軟體危脅之基礎要點」（Fundamental Elements of Ransomware Resilience for the Financial Sector），本份要點是為因應勒索軟體所帶來之危脅，提供金融機關高標準之因應對策，並期望結合G7全體成員國已施行之政策辦法、業界指南以及最佳之實踐成果，建立處置應變之基礎，加強國際金融的韌性。該份要點內容著重於民營之金融機關（private sector financial entities），或關鍵之第三方提供商（critical third party providers），因其本身有遵守反洗錢和反恐怖主義之融資義務，但也可依要點訂定之原意，在減少自身受到勒索軟體之損害上，或在處置與應變上有更多的彈性。而日本金融廳於2022年10月21日公布該份要點之官方翻譯版本，要點所提列之重點如下： 　　1.網路安全策略與框架（Cybersecurity Strategy and Framework）： 　　將因應勒索軟體威脅之措施，列入金融機關整體的網路安全策略與框架之中。 　　2.治理（Governance）： 　　支付贖金本身可能於法不容許，也可能違背國家政策或業界基準，金融機關須在事件發生前，檢視相關法規，並針對潛在的被制裁風險進行評估。 　　3.風險及控制評估（Risk and Control Assessment）： 　　針對勒索軟體之風險，應建立控制評估機制並實踐之。因此可要求金融機關簽訂保險契約，填補勒索軟體造成的損害。 　　4.監控（Monitoring）： 　　針對潛在的勒索軟體，金融機關有監控其活動進而發現隱藏風險之義務，並向執法與資通安全機關提供該惡意行為之相關資訊。 　　5.因應處置、回覆（Response）： 　　遭遇勒索軟體攻擊之事件，就其處置措施，須依原訂定之計劃落實。 　　6.復原（Recovery）： 　　遭遇勒索軟體攻擊之事件，將受損之機能復原，須有明確的程序並加以落實。 　　7.資訊共享（Information Sharing）： 　　須與組織內外之利害關係人共享勒索軟體之事件內容、資訊以及知識。 　　8.持續精進（Continuous Learning）： 　　藉由過往之攻擊事件獲取知識，以提高應變勒索軟體之能力，建立完善的交易環境。 　　此要點並非強制規範，因此不具拘束力，且整合了2016年G7所公布的「G7網路安全文件之要素」（G7 Fundamental Elements of Cybersecurity document）之內容。綜上述CEG所提列重點，針對我國金融機關在抵禦網路攻擊之議題上，應如何完善資安體制，與日本後續因應勒索軟體之政策，皆值得作為借鏡與觀察。

　　Eolas，一家由加州大學資助成立的軟體技術研發公司，於1999年控告微軟侵犯了一個關於瀏覽器技術的專利 – US 5,838,906。該專利所揭露的技術讓微軟的IE瀏覽器得以嵌入互動式內容的外掛(plug-in)程式。2003年，美國芝加哥法院認定微軟侵犯906專利，並判決微軟必需賠償Eolas及加州大學5.21億美元。2007年，微軟終於暫時與Eolas達成和解，但兩家公司都不願透漏和解的內容。   　　美西時間2009年10月6日上午，Eolas大動作地控告包含科技業的Adobe、Amazon、Apple、eBay、Google、Sun Microsystems、Texas Instruments、Yahoo、YouTube，以及非科技業的Citigroup、JPMorgan Chase …等共22家公司，侵犯上述906專利以及其所衍生的US 7,599,985專利。Eolas表示：「985專利是 906專利的延續，其所揭露的技術能讓網站透過附加元件和Ajax網頁開發技術的使用，為其線上服務加入完全互動式的嵌入應用軟體。」   　　此外，Eolas總裁Michael Doyle博士也表示：「我們只想獲得公平的對待。本公司在15年前就已經研發並廣泛的展示這些技術。使用本公司的技術來營利且未付出合理報酬的情形對本公司並不公平。」 至於被控告的大多數公司目前都尚未做出正式的回應。

　　德國聯邦資訊技術，電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則（GDPR）內容為基礎，調整德國聯邦資料保護法（BDSG）之修法動向。 　　德國政府正在緊鑼密鼓地調整德國的資料保護立法，使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿，但修正方向略有以下幾點： 　　首先，德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防，調查，偵查等訴追刑事犯罪或執行刑事處罰目的，處理個人資料時的保護以及對資訊自由流通指令。 　　其次，新法將遵循GDPR的結構，並利用一些除外規定，如：在資料處理時企業應指派九人以上資料保護官（DPO）的義務。某些如通知當事人的義務規定，亦有可能在存有更高的利益前提下，限縮其履行範圍。此意味某些通知義務有可能得不適用，例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。 　　第三，聯邦法律將保留一些規定，如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款，以及在公眾開放地區使用電子光學裝置監視的條款等。 　　最後，立法修正動向值得注意的重點尚有，(1)未來德國立法者將如何應對新的歐洲資料保護委員會（EDPB）中德國代表的地位（represe。由於EDPB將發布具有約束力的決定，針對爭議內容的決定意見，德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官（17個）經常提出不同的見解。此外，(2)還應該觀察聯邦資料保護監察官是否應該賦予權限，向法院提出對歐盟爭議決定或法律救濟，使案件進入德國法院，以爭執歐盟執委會所為之決定是否具備充足理由。前此，德國聯邦參議院（代表十六邦）2016年5月已要求聯邦政府引進新規定，使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論，將來有可能提供德國資料保護監察官，挑戰隱私盾協議的可能性。但新法案是否會解決這一問題，這還有待觀察。 　　可預見在2017年9月下一屆德國聯邦議會選舉前，將通過法案。