日本經產省發布《促進資安攻擊受害資訊共享檢討會最終報告書》,以加速資安情資共享
日本經濟產業省(下稱經產省)於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》(サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書),主張共享資安攻擊受害資訊,掌握資安攻擊全貌,防止損害範圍擴大。經產省提出具體建議如下:
1.促進各專門組織間之資訊共享:藉由專門組織間的資訊共享,及早採取適當因應措施,避免損害持續擴大,並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商,與依法令成立從事資安事件諮詢與分析之非營利組織,例如:一般社團法人日本電腦網路危機處理暨協調中心(一般社団法人JPCERTコーディネーションセンター),以及一般財團法人日本網路犯罪對策中心(一般財団法人日本サイバー犯罪対策センター)等。
2.共享無從識別受害組織之資訊:為加快資訊共享,經產省建議將資料去識別化至無從識別受害組織之程度,即可不經受害組織同意而共享資訊。
3.提出《攻擊技術資訊處理與活用指引草案》(攻撃技術情報の取扱い・活用手引き(案)):為提升專門組織共享資訊成效,經產省於指引中彙整受害組織資料去識別化作法,以及各專門組織間共享攻擊技術資訊之具體策略。
4.於保密協議中加入免責條款:經產省建議於受害組織與專門組織簽訂之保密協議中,加入專門組織免責條款,使專門組織具有利用或揭露攻擊技術資訊裁量權,對於利用或揭露資訊,致生受害組織被識別等損害時,非因故意或重大過失不須負擔法律責任,以利推動資訊共享。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄭岱宜
法律研究員 編譯整理
〈産業サイバーセキュリティ研究会「サイバー攻撃による被害に関する情報共有の促進に向けた検討会」の最終報告書等を取りまとめました〉,経済産業省,https://www.meti.go.jp/press/2023/11/20231122002/20231122002.html(最後瀏覽日期:2023/12/21)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,科技法律研究所,2023/10,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日︰2023/12/21)。
鄭岱宜,〈日本經產省發布中小企業開發IoT機器之產品資安對策指引〉,科技法律研究所,2023/10,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9063(最後瀏覽日︰2023/12/21)。
日本政府為求讓日本經濟發展能因應當前國際經濟現勢的結構性變化,相關產業活動有進行革新之必要;因此,日本政府提出「促進我國產業活動革新之產業活力再生特別措施法等法律部分修正案」(以下簡稱修正案),修正案係採包裹立法方式,修正「產業活力再生特別措施法」(簡稱產活法)、「礦工業技術研究組合法」(簡稱研究組合法),以及「產業技術力強化法」(簡稱產技法)等法律。修正案於今(2009)年4月22日經日本國會立法通過,同月30日公布(平成21年4月30日法律第29号),並於同年6月22日施行。以下針對三部法律中之主要修正項目簡介之。 首先,在產活法中,主要修正處是日本政府將出資與民間合作,成立「產業革新機構」股份有限公司,目的在結合公私資源,投資創新活動,包括集結最尖端基礎技術以協助進入應用開發階段,建立連結創投資本、新創企業與擔任將技術事業化之大企業的機制,以及將有技術優勢但埋沒大企業中之技術加以組合,並集中投入人力及資金以發揮價值。其次,在研究組合法中,主要修正處包括,擴大研究組合中可研發主題之技術範圍,放寬加入組合成員之資格,賦予研究組合組織變更、分割合併之可能。最後,在產技法中,主要修正處在於讓國有研發成果可以低於市價之價格實施,以促進將成果活用轉化成為產業實用之支援。日本政府之相關革新作法,其實際成效及對我國之啟發值得後續加以關注。
美國證券交易委員會發布指引要求公司進一步揭露加密資產之潛在影響美國證券交易委員會(United States Securities and Exchange Commission,下稱SEC)於2022年12月8日發布「致公司有關近期加密資產市場發展之樣本函(Sample Letter to Companies Regarding Recent Developments in Crypto Asset Markets)」指引文件(下稱本指引),指導公司應針對自身業務涉及近期加密資產市場動盪事件(如虛擬貨幣交易所破產等),進行直接或間接影響之風險揭露,以符合聯邦證券法規之資訊揭露(如風險及風險暴露等)義務。SEC轄下之企業金融處(Division of Corporation Finance,以下簡稱金融處)認為公司應向投資者提供具體且量身訂製之市場動盪事件報告、揭露公司在動盪事件中之狀況以及可能對投資者造成之影響。爰此,本負有常態報告義務的公司應據此考量現有的揭露內容是否須進行更新。 金融處說明,為加強並監督公司對資訊揭露要求之遵守狀況,爰依據1933年證券法(Securities Act of 1933)及1934年證券交易法(Securities Exchange Act of 1934)內涵,要求公司亦須針對應作出聲明的實際狀況,進一步揭露相關重大訊息,且不得進行誤導。本指引所要求公司明確揭露加密資產市場發展的重大影響,包括公司對競爭對手及其他市場參與者之風險暴露;與公司流動資金及獲取融資能力相關的風險;及與加密資產市場法律程序、調查或監管影響相關的風險等。 值得注意的是,本指引並未列出公司應考量問題的詳細清單,個別公司應視自身情況評估已存在之風險,或是否可能受到潛在風險事項的影響。由於公司所揭露之文件事前通常不會經過金融處審查,因此金融處也敦促各公司應自主依循本指引進行相關文件準備。
OECD將就第一支柱金額A召開公開諮詢會議OECD(經合組織)於2022年9月12日巴黎時間12時至17時召開第一支柱金額A(Amount A of Pillar One)的公開諮詢會議。蓋2021年10月,共137個成員同意自2023年啟用雙柱計畫(Two-Pillar Plan),OECD為提供能協助各國制訂相關內國法之「示範規則(Model Rules)」,已多次並持續公開徵詢意見。 其中,作為第一支柱的全球利潤分配稅制,係針對全球收入逾200億歐元且稅前淨利逾10%的大型跨國企業,定其逾10%的利潤為「剩餘利潤」,並取25%依關聯性(Nexus)重新分配至價值創造地,此剩餘利潤即本次會議欲討論之金額A。 一旦劃歸金額A將適用高達25%之稅率,故2022年7月11日,OECD所公布第一支柱的「進度報告(Progress Report)」,即針對如何計算大型跨國企業之全球總所得、如何量化系爭所得為金額A之稅基、如何定關連性原則以決定各價值創造地對金額A徵稅權之有無及高低、稅捐競合時如何避免對金額A造成雙重課稅,以及各該要件之定義等核心問題,列出7項標題(Title)作為本次會議討論重點。 然而,除了金額A徵稅權之跨國分配所涉利害關係錯綜複雜外,因各國稅制與發展不一致、美國對雙柱計畫之態度似有保留、歐盟成員國迄今仍無法達成一致共識,以及烏俄戰爭引發的通貨膨脹等各種內外因素,均為第一支柱示範規則之訂定,甚至雙柱計畫之實施增加了不確定性。準此,本次會議重要性不言可喻,值得我國持續注意。
何謂「“十三五”技術市場發展專項規劃」?中國大陸發布「“十三五”技術市場發展專項規劃」,在十二五時期,中國大陸不斷的推動技術市場的進步與發展,在政策上,不斷的更新法規,包括修訂《中國大陸促進科技成果轉化法》,進而促使《中國大陸促進科技成果轉化法》、《中國大陸科技進步法》、《中國大陸合同法》和地方技術市場法規共同規範了對中國大陸技術市場的保障。 在十三五時期,中國大陸提出六項主要任務,分述如下:(一)使保障技術市場的法規更為完整;(二)完整技術市場體系的建構;(三)加速促進成果轉化的步調;(四)利用技術平台,使創新創意相互流動;(五)提高技術市場人才的專業能力;(六)合理化的監督管理機制。