歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性

歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:

一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。

二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。

三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。

四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。

相關連結
你可能會想參加
※ 歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9170&no=57&tp=1 (最後瀏覽日:2026/07/08)
引註此篇文章
你可能還會想看
美國第三州!科羅拉多州正式通過《科羅拉多州隱私法》

  美國科羅拉多州州長於2021年7月正式簽署《科羅拉多州隱私法》(Colorado Privacy Act, CPA)草案,科羅拉多州正式成為美國第三個制定全面性隱私專法的州,該法將於2023年7月1日施行。   隨著全球化及科技快速發展,以及大數據的應用趨勢,資料的蒐集、處理、利用規模及範圍逐漸擴大,全美各地隱私保護規範遍地開花,期待能促使企業在「保護個人資料」與「資料自由流通」及「資料商業運用」中取得平衡。 2018年美國加州首先制定《加州消費者隱私保護法》(California Consumer Privacy Act, CCPA)成為全美第一州級隱私保護專法後,包含華盛頓州、伊利諾州、紐約州等,也都提出各該州級隱私保護法案,而美國維吉尼亞州議會於今年2月通過《消費者資料保護法》(Consumer Data Protection Act, CDPA)法案,並在3月經由州長簽署,正式成為美國第二個擁有隱私保護專法的州,該法預計於2023年1月1日生效。   科羅拉多州於今年6月將CPA草案送交州長簽署後,於7月順利成為第三個通過隱私保護專法的州。一旦CPA生效,消費者除將享有近用權(right of access)、更正權(right of correct)、刪除權(right of delete)、資料可攜權(right of data portability)外;CPA規定在資料控制者對其消費者進行目標式廣告(targeted advertising)、銷售消費者個人資料,或者將對消費者決策產生重大影響時,消費者享有選擇退出權(right to opt out)。   整體而言,儘管 CPA 與CCPA及CDPA規範相似,在隱私保護規範上可能不是特別具有開創性,但CPA反映了美國各州強化隱私保護的趨勢與決心。舉例而言,去(2020)年不僅美國大選結果受矚目,美國各州隱私保護相關公投案,包含《加州第24號提案》、麻州《汽機車機械資料》、密西根州《電子資訊搜索票》及緬因州波特蘭市《臉部辨識禁令》也獲通過。美國在尚未具有統一聯邦隱私保護法下,透過州級隱私立法,保有各州特色並作為各州隱私保護執法依據。

越南科技部發布的新通知開始生效,將對當地智財實務有重大影響

  越南科技部(Ministry of Science and Technology)於2016年7月30日發布No. 16/2016/TT-BKHCN通知(以下稱第16號通知),此為越南針對《智慧財產法》第四次修正的通知。今(2018)年1月15日已正式生效。在越南,通知(Circular)主要是作為各主管機關執行法律的指南,而本次發布的第16號通知,便是針對越南《智慧財產法》所做的細部解釋,是了解當地智財實務的重要文件。   整體而言,第16號通知針對智財的申請程序做了相當多修正。例如,申請人回覆越南智慧財產局官方審查意見(office action)的期限由一個月延長為兩個月。又例如,過去越南智慧財產局針對實體審查的申請案一旦做了核駁處分後,申請人僅能透過訴願予以救濟。根據第16號通知,若申請人能夠針對申請案提出在審查過程中未被考量但可以影響審查結果的新事證,越南智慧財產局則得考量撤回核駁處分。   此外,第16號通知亦釐清了過去越南在智慧財產各權利別,有關實體認定上的疑慮。一、在「商標方面」,第16號通知修正了越南過去對於著名商標(Well-known mark)的認定方式。在過去,著名商標的狀態可藉由法院判決,或是藉由智慧財產局的認定取得。在本次新修正的第16號通知中,著名商標狀態仍可藉由法院判決取得,但智慧財產局只能在「商標被駁回」的情形下對著名商標進行認定。二、在「專利方面」,第16號通知則是再次強調「用途」不得作為專利的申請標的,釐清了越南一直以來拒絕「用途發明專利」的立場。根據第16號通知,用途並非一項申請標的可主張的必要技術特徵(essential feature),只是單純申請標的之目的或結果而已。三、在「工業設計方面」,第16號通知釐清了越南對於「產品」的定義,指出產品必須要能夠「獨立流通」(circulated independently),始能成為工業設計保護的標的。例如圖形使用者介面(GUI)因其必須依賴手機等載體才能流通,故根據第16號通知無法被認為是能夠申請工業設計保護的「產品」。   從本次第16號修正可以看出,越南近年來因應智慧財產權的國際趨勢,在法規上做出的回應及釐清。對於在越南從事商業活動的我國廠商而言,建議除了瞭解越南《智慧財產法》外,更應關注越南的通知等下位階法規的狀況及發展。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

美國「刑事鑑識演算法草案」

  美國眾議院議員Mark Takano於2019年10月2日提出「刑事鑑識演算法草案」 (Justice in Forensic Algorithms Act),以建立美國鑑識演算法標準。依據該法第2條,美國國家標準與技術研究所(National Institute of Standard)必須建立電算鑑識軟體之發展與使用標準,且該標準應包含以下內容: 一、以種族、社會經濟地位、兩性與其他人口特徵為基礎之評估標準,以因應使用或發展電算鑑識軟體,所造成區別待遇產生之潛在衝擊。 二、該標準應解決:(1)電算鑑識軟體所依據之科學原則與應用之方法論,且於具備特定方法之案例上,是否有足夠之研究基礎支持該方法之有效性,以及團隊進行哪些研究以驗證該方法;(2)要求對軟體之測試,包含軟體之測試環境、測試方法、測試資料與測試統計結果,例如正確性、精確性、可重複性、敏感性與健全性。 三、電算鑑識軟體開發者對於該軟體之對外公開說明文件,內容包含軟體功能、研發過程、訓練資料來源、內部測試方法與結果。 四、要求使用電算鑑識軟體之實驗室或其他機構應對其進行驗證,包含具體顯示於哪個實驗室與哪種狀況下進行驗證。此外,亦應要求列於公開報告內之相關資訊,且於軟體更新後亦應持續進行驗證。 五、要求執法機關於起訴書或相關起訴文件上應詳列使用電算鑑識軟體之相關結果。

歐盟食品管理局擬建立風險評估外部專家資料庫

  近年來,由於(European Food Safety Authority, 簡稱EFSA)對GM產品之管理並未能進行足夠之科學分析,同時,亦過份仰賴業者所提供之數據資料等原因,而造成歐盟某些會員國家對EFSA所作出之評估報告於公正及客觀性方面產生質疑;甚至,歐洲食品業者亦對目前EFSA是否將會因為專家人力不足而導致整體風險評估能力下降之問題表示關切。一位EFSA官員指出:我們需要更多科學專家來協助處理與風險評估有關之事務。   其次,隨著各界因對GMO產品不當之批判與歐洲整體食品安全評估工作量增加等因素,EFSA於日前決定,欲透過建立一外部專家資料庫(External Expert Database),來協助其風險評估工作之執行並促進評估專家招募過程之透明化,以達成免除外界對於歐洲食品安全評估過程疑慮之目的。不過,這些將提供協助之專家,並不會因此而真正成為EFSA科學評估小組成員(其將被視為是由人民主動對該小組執行評估工作提供協助)。除EFSA擬徵求歐盟境內專家學者外,未來其亦將邀請歐盟以外其他國家並在該領域為重要研究先驅之專家提供協助,以增加風險評估之品質與客觀性。   再者,綠色和平組織歐洲發言人Mark對於EFSA現階段執行之工作狀況也表示意見並指出:目前EFSA是在一種配備不良(ill-equipped)之狀態下,來勉強執行其所執掌之事務;不過,更讓人感到憂心者,則是由EFSA科學評估小組所做出科學性之意見,於不同會員國家間或於歐盟以外其他國家其是否仍將會被完全採納之問題。有鑒於此,相關人士認為:應再次強化EFSA於風險評估方面之能力!   最後,一位非政府機組織專家也提醒:僅單純地透過專家庫之建立,其實,並不能圓滿地解決當前EFSA於決策機制中所遭遇之困難;而只有當EFSA在未來欲邀請外部專家提供協助與支援時,一併將資金及相關政策配套措施納入考量後,才是此問題真正解決之道。

TOP