日本經產省發布《促進資安攻擊受害資訊共享檢討會最終報告書》,以加速資安情資共享
日本經濟產業省(下稱經產省)於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》(サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書),主張共享資安攻擊受害資訊,掌握資安攻擊全貌,防止損害範圍擴大。經產省提出具體建議如下:
1.促進各專門組織間之資訊共享:藉由專門組織間的資訊共享,及早採取適當因應措施,避免損害持續擴大,並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商,與依法令成立從事資安事件諮詢與分析之非營利組織,例如:一般社團法人日本電腦網路危機處理暨協調中心(一般社団法人JPCERTコーディネーションセンター),以及一般財團法人日本網路犯罪對策中心(一般財団法人日本サイバー犯罪対策センター)等。
2.共享無從識別受害組織之資訊:為加快資訊共享,經產省建議將資料去識別化至無從識別受害組織之程度,即可不經受害組織同意而共享資訊。
3.提出《攻擊技術資訊處理與活用指引草案》(攻撃技術情報の取扱い・活用手引き(案)):為提升專門組織共享資訊成效,經產省於指引中彙整受害組織資料去識別化作法,以及各專門組織間共享攻擊技術資訊之具體策略。
4.於保密協議中加入免責條款:經產省建議於受害組織與專門組織簽訂之保密協議中,加入專門組織免責條款,使專門組織具有利用或揭露攻擊技術資訊裁量權,對於利用或揭露資訊,致生受害組織被識別等損害時,非因故意或重大過失不須負擔法律責任,以利推動資訊共享。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄭岱宜
法律研究員 編譯整理
〈産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました〉,経済産業省,https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html(最後瀏覽日期:2023/12/21)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,科技法律研究所,2023/10,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日︰2023/12/21)。
鄭岱宜,〈日本經產省發布中小企業開發IoT機器之產品資安對策指引〉,科技法律研究所,2023/10,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9063(最後瀏覽日︰2023/12/21)。
英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。 下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明: 一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。 二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。 三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。 四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。 就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
美國提出壟斷威攝法案美國參議院在2019年7月23日,於第116屆國會中審查了兩次「壟斷威攝法案」(The Monopolization Deterrence Act),相當於台灣法案經過二讀。提出者是參議院司法委員會反托拉斯、競爭政策和消費者權益小組之成員,克洛布查爾,他認為聯邦執法人員發現非法壟斷行為之時,需要採取果斷行動以確保制止這種行為,但僅僅是禁制令不足以阻止這種非法行為的發生,尚需更好的立法。 本法將賦予司法部和聯邦貿易委員會權利,對壟斷犯罪尋求懲罰性罰款,其目的係為司法部和聯邦貿易委員會提供額外的執法工具,針對個別違規行為制訂補救措施,平衡其嚴重的犯行,並希冀能有效制止未來之非法行為。原法律規定個人違反最高可罰一百萬美元,企業最高可以罰一千萬美元,國會調查後認為原法律規定之罰款不足以阻止壟斷行為,因為獲利可能比罰款更多。 有關「壟斷威攝法案」之修正內容大略包含: 每個違反本條規定的人,必須負擔民事罰款,該罰款不大於個人上一年度在美國的總收入中的15%。從事非法行為之期間,所有交易、貿易行為收入的30%。 委員會針對以不正當方法競爭違反謝曼爾法案第二條的個人、合夥企業或公司,可以在美國地方法院提起民事訴訟,並對此種行為處以民事罰款。 任何個人、合夥企業或公司被發現違反了謝曼爾法案第二條,其民事罰款不大於個人、合夥企業、公司上一年度在美國的總收入的15%。從事非法行為之期間,與非法行為有關之商業活動中之個人、合夥企業或公司在美國之總收入的30%。 在聯合民事處罰準則中,有規範總檢察長和聯邦貿易委員會在計算民事罰款時,必須考慮之相關因素,有以下七項,其一,受影響的商業量;其二,違法行為的持續時間和嚴重性;其三,為隱瞞違法行為而採取或試圖採取之任何行動;其四,違法行為嚴重或明顯違法之程度;期五,是否將民事處罰與針對違法行為之其他救濟相結合,包括結構性救濟、行為條件、非法所得之歸還;其六,先前是否曾從事過相同或類似之反競爭行為;其七,是否違反先前之法令或法院命令該為之行為。
世界智財組織尋求保護來自傳統知識與遺傳資源的產品長久以來國際藥廠從大量販售的藥物中獲取上億元的營收,例如抗癌藥物與抗瘧藥物,均是萃取自中國的草本植物,但是這些擁有藥物傳統知識與遺傳資源的族群部落(the community),卻只得到相對微薄的報酬。為此,世界智慧財產組織(The World Intellectual Property Organization)已經在過去五年中力圖達成將利益擴及到提供傳統知識與遺傳資源的族群部落。 許多先進國家到非洲、亞洲等地方蒐尋具有療效的植物後,回實驗室進行研發萃取其物質後做成藥物,但卻從來沒有主動的揭露其來源,也不曾主動的回饋其獲利給那些藥廠從中獲得藥物植物的族群部落。開發中國家已試著要去制止這非法的竊用傳統知識的行為。 但由於傳統知識是累積的,因此傳統知識的保護也面臨到如何認定其於何時已存在的困難。因此傳統的智慧財產保護體系對於不能確認個別權利人與權利標的範圍的傳統知識無法提供保護。 不過,世界智慧財產組織表示藥廠已開始關心並參與傳統知識利用的協議,因為這些投資億元於研發而已有成功結果的藥廠,並不希望他們處於一個法律上不確定的狀態。
英國持續推動智慧電表電量消費資料所有權之管制