日本經產省發布《促進資安攻擊受害資訊共享檢討會最終報告書》,以加速資安情資共享
日本經濟產業省(下稱經產省)於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》(サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書),主張共享資安攻擊受害資訊,掌握資安攻擊全貌,防止損害範圍擴大。經產省提出具體建議如下:
1.促進各專門組織間之資訊共享:藉由專門組織間的資訊共享,及早採取適當因應措施,避免損害持續擴大,並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商,與依法令成立從事資安事件諮詢與分析之非營利組織,例如:一般社團法人日本電腦網路危機處理暨協調中心(一般社団法人JPCERTコーディネーションセンター),以及一般財團法人日本網路犯罪對策中心(一般財団法人日本サイバー犯罪対策センター)等。
2.共享無從識別受害組織之資訊:為加快資訊共享,經產省建議將資料去識別化至無從識別受害組織之程度,即可不經受害組織同意而共享資訊。
3.提出《攻擊技術資訊處理與活用指引草案》(攻撃技術情報の取扱い・活用手引き(案)):為提升專門組織共享資訊成效,經產省於指引中彙整受害組織資料去識別化作法,以及各專門組織間共享攻擊技術資訊之具體策略。
4.於保密協議中加入免責條款:經產省建議於受害組織與專門組織簽訂之保密協議中,加入專門組織免責條款,使專門組織具有利用或揭露攻擊技術資訊裁量權,對於利用或揭露資訊,致生受害組織被識別等損害時,非因故意或重大過失不須負擔法律責任,以利推動資訊共享。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄭岱宜
法律研究員 編譯整理
〈産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました〉,経済産業省,https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html(最後瀏覽日期:2023/12/21)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,科技法律研究所,2023/10,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日︰2023/12/21)。
鄭岱宜,〈日本經產省發布中小企業開發IoT機器之產品資安對策指引〉,科技法律研究所,2023/10,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9063(最後瀏覽日︰2023/12/21)。
日本國會於2019年9月6日修正並公布電信法施行細則等規範,以配合2019年5月17日通過修正之《電氣通信事業法》(以下簡稱電信法)。電信法施行細則修正內容可分為︰(1)促進電信服務市場競爭;(2)保護用戶利益等兩大面向。針對促進市場競爭,施行細則明定一律禁止以「繼續」利用通信服務及購買手機為條件提供優惠;惟如非要求繼續利用通信服務時,則可對用戶提供不超過2萬日圓額度之優惠,並針對廉價機種、因通信方式變更需利用新通信服務而購買手機,以及庫存手機等狀況設有例外規定。此外,為避免電信業者在用戶解除契約時透過不當手段影響競爭關係,施行細則亦明定電信契約之年限(2年)及違約金上限(1000萬日圓),並新增業者必須提供無期間限制之契約,以及根據定期契約之有無,月費差額上限為170萬日圓等規定。 在保護用戶利益方面,電信法修正時新增有關代理販售店申請制度,以及業者應於推銷時向消費者告知姓名及行銷目的等規定,故施行細則亦配合上述修法,進一步規範上述規定之適用範圍和例外,指出於店面進行銷售時,因店員都配戴名牌,故不用另外告知姓名。
歐盟委員會發佈新「電視無疆界指令」(Television without Frontiers)歐盟委員會在2007年03月09日,發佈了具現代化的統一文案:「電視無疆界指令」。在經過歐盟議會以及首長會議一讀後,委員會對於歐洲相關視聽的未來法律框架,有了廣泛的共識。 加速1989年電視無疆界指令的現代化,是2005年12月13日由委員會提出,目的是希能夠幫助歐洲視聽產業能更具競爭力,也期望透過對傳統電視廣播業者更彈性的規範,使其能夠因應技術的發展,接受新的技術,也能因應市場變化以及閱聽者收視習慣的改變,進一步創造新興的視聽媒體服務(數位電視中的視聽服務、行動電視、隨選視訊服務)。 除了新的規範內容,新指令還重申了自1989以來,一直為歐洲視聽政策核心的共同政策目標。這些目標包括尊重多元文化、要求各會員國採取適當措施來保護未成年人、媒體多元化、打擊種族和宗教仇恨等。此外,也明確鼓勵業者自律以及國家與非國家間的相互約束。整個新指令的文案目前正進行二讀中。
歐盟監察官日前指出,ISP業者的流量管理可能違反資料保護及隱私法歐盟資料隱私保護監督官(European Data Protection Supervisor, EDPS)Peter Hustinx呼籲歐盟,儘速建立專家小組,制定指導原則,將資料保護以及隱私原則納入網路中立原則中(Network Neutrality)。 網路中立原則原係要求對於網路服務提供者之間不應有所歧視,應平等對待所有資料。但是,在符合歐盟法規下,ISP業者亦得針對網路內容提供者或終端使用者,以不同收費方式管制網路流量。判斷的準據,則以使用者在網路上傳遞的個人訊息為主。調查官Hustinx在其意見書中指出,調查使用者傳遞的訊息可能會背離歐盟資料與隱私保護相關法律。 根據歐盟的隱私及電子通訊指令(Privacy and Electronic Communication Directive),ISP業者在某些條件下,得以促進通訊傳輸為目的,處理個人資料,但是必須取得使用人同意。這項指令亦要求ISP業者必須採取適當的技術、組織措施以確保資料的安全。承此,Hustinx就網路中立性所提出的意見,即為前述指令之例外,亦即ISP業者在確保網路順暢及監督是否有干擾時,其監控行為無須使用者同意。但若為限制某些服務,例如檔案交換,而進行的監控行為,則不在此限。再者,該同意必須免費的、明確的並且使用者得了解的。Hustinx提出的指導原則強調確保網路使用者被適當的告知,進而了解該項個人資料監控的意義而做出同意與否的決定。同時,ISP業者在進行調查時,亦應謹慎為之,不違反比例性原則。