歐盟通過經濟安全關鍵技術領域建議，以利會員國進行關鍵技術風險評估

　　日本經濟產業省為協助中小企業更新老舊機器設備，並鼓勵中小企業導入新穎先進設備改善企業生產率，公布「先進設備導入計畫指引」（導入促進指針），於2019年至2021年間授權地方政府訂定先進設備導入計畫（先端設備等導入計画），提出區域內申請計畫的資格、設備定義、計畫目的與財產稅減免額度，以促成地方中小企業對地方特色的貢獻與參與，並改善在地產業環境與結構。 　　符合資格的中小企業若能在核准計畫年度內，每年勞動生產率提高達3%，可適用財產稅稅率減半或0%之優惠稅率（非免稅）。「先進設備導入計畫指引」亦明確指出，審核通過之計畫仍可進一步適用經濟產業省「中小型製造服務經營支援補助」（ものづくり・商業・サービス経営力向上支援補助金）、「服務業IT應用生產力提升補助」（サービス等生産性向上IT導入支援事業），享有更多的補助金補助。 　　所稱設備係指任何機械、裝置、備品、建築物附屬設備、軟體，以及電子檢驗或測量儀器。各地方政府訂定計畫時，可依其產業政策進一步限縮範圍。而先進之定義，係指欲購置設備之良率或生產效率，應較所淘汰設備高1%以上。有關新、舊設備之汰換應以同產業、同生產流程者為限，兩者比較之期間為淘汰設備原銷售日期起後10年內。由此可知，先進設備導入計畫的特殊性在於加速中小企業汰舊換新，提高勞動生產率以因應人口高齡化，而與鼓勵企業購買最新、最尖端設備之補助措施有所不同。 　　此外，為健全地方財政自主，「先進設備導入計畫指引」亦要求各地方政府應說明地方產業、環境或人文特色及先進設備的投資條件，以促進經濟發展與地方產業結構的融合。該指引具體建議包括： 應考量到中小企業導入先進設備提高勞動生產率後，影響當地就業人口需求，以及如何避免企業裁員的機制。 導入之先進設備因運作所產生之噪音、光害、排放污染等環境問題；以及導入之設備是否影響到當地居民生活作息而有侵害公共秩序之虞。 考量到財產稅為地方稅之稅源，應避免過度減免而導致地方財政虧損。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　美國音樂串流服務網站Grooveshark於2015年4月30日在紐約聯邦法院與三家唱片公司(Warner Music Group, Universal Music Group, Sony Music Entertainment)達成和解協議，以避免由陪審團判決(jury verdict)所帶來高達7億3千6佰萬美金的侵權賠償金。Escape Media Group以5千萬美金、公開道歉及關閉經營將近10年的Grooveshark網站為代價結束了這起爭訟多年的著作權訴訟案。 　　Grooveshark網站的成立理念爲提供使用者上傳音樂的平臺，樂迷可透過平臺互相分享與檢索音樂，因此網站原本適用於數位千禧年著作權法(Digital Millennium Copyright Act)中的避風港原則。惟Grooveshark網站實質上透過員工上傳盜版音樂，此一做法已明顯超出避風港原則的保護範圍。紐約聯邦法院法官於去年秋季的裁定中指出，Escape Media Group透過員工上傳盜版音樂獲取利益為無可爭辯的證據，因此認爲該公司應對著作侵權負責。 　　紐約聯邦法院法官於審前會議中指出一旦Escape Media Group的故意侵權罪成立，每首歌曲應賠償15萬美金的侵權賠償金，而網站目前擁有近5千首歌曲，因此侵權賠償金額將高達7億3千6佰萬美金。此裁定成爲了此案達成和解協議的催化劑。對於此次的訴訟結果，美國唱片業協會（The Recording Industry Association of America,）代表三家唱片公司表示此次的和解成功杜絕了侵權音樂的主要來源，對於藝術工作者而言十分可貴。