歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:
一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。
二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。
三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。
四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
- Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024)
- European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024)
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
柯郁萱
副法律研究員 編譯整理
Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products (last visited Mar. 29, 2024).
European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2 (last visited Mar. 29, 2024).
Cyber Resilience Act - Questions and Answers*, European Commission (2023), https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 (last visited Mar. 29, 2024).
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科技法律研究所,2023年6月30日,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/29)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資策會科技法律研究所,2022年12月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8915&no=64(最後瀏覽日:2024/03/29)。
繼歐盟於 2006 年通過資料保存指令( Directive on the retention of data )後,美國司法部亦開始關注資料保存的議題,但不同於英歐盟資料保存之目的乃著眼於對抗恐怖主義及打擊嚴重犯罪,美國資料保存的目地則偏重於根除兒童色情相關的問題。 為因應科技時代的犯罪, 檢察官常需要透過 ISP 業者提供客戶通聯紀錄等資訊以協助犯罪偵察 , 因此美國在 United States Code, Section 2703(f) 便早已規定 , 有線或電子通信服務業者必須配合政府要求提供調查犯罪所須的資訊。但由於該法並未明白要求業者應主動收集哪些項資訊,因此美國 ISP 業者僅保存與商業利益有關之網路使用記錄,美國司法部長 Alberto Gonzales 4 月 20 日於國家兒童權益保護中心( National Center for Missing and Exploited Children , NCMEC ) 表示,目前 ISP 業者能提供的資料相當有限,這相當程度地阻礙犯罪調查工作的進行,因此他認為應研擬更利於法庭證據取得之資料保存法令。 為避免人權團體以資料保存侵害個人的隱私權為由,而妨礙立法的進度,因此美國目前資料保存法令的推動方向可能有兩種不同的發展方向,其一是僅由 ISP 業者記錄特定期間內民眾的活動紀錄,另一種方向則是與歐盟相似,保存電話通聯、網頁瀏覽以及 mail 、即時通訊等內容。
敏感科技保護「敏感科技」的普遍定義,係指若流出境外,將損害特定國家之安全或其整體經濟競爭優勢,具關鍵性或敏感性的高科技研發成果或資料,在部分法制政策與公眾論述中,亦被稱為關鍵技術或核心科技等。基此,保護敏感科技、避免相關資訊洩漏於國外的制度性目的,在於藉由維持關鍵技術帶來的科技優勢,保護持有該項科技之國家的國家安全與整體經濟競爭力。 各國立法例針對敏感科技建立的技術保護制度框架,多採分散型立法的模式,亦即,保護敏感科技不致外流的管制規範,分別存在於數個不同領域的法律或行政命令當中。這些法令基本上可區分成五個類型,分別為國家機密保護,貨物(技術)之出口管制、外國投資審查機制、政府資助研發成果保護措施、以及營業秘密保護法制,而我國法亦是採取這種立法架構。目前世界主要先進國家當中,有針對敏感科技保護議題設立專法者,則屬韓國的「防止產業技術外流及產業技術保護法」,由產業技術保護委員會作為主管機關,依法指定「國家核心科技」,但為避免管制措施造成自由市場經濟的過度限制,故該法規範指定應在必要的最小限度內為之。
美國聯邦民航局發布《先進空中移動執行計畫》,以利全面整合並促進產業安全擴展美國聯邦民航局(Federal Aviation Administration, FAA)於2023年7月18日發布《先進空中移動執行計畫》(Advanced Air Mobility (AAM) Implementation Plan),詳述FAA與利害關係人於短期內實現AAM運作需採取之步驟。 AAM是一個新興航空生態系統,透過創新先進技術與新型航空器,包括電動航空器或電動垂直起降航空器(electric vertical takeoff and landing, eVTOL),提供交通運輸更具效率、永續與公平的選擇機會。不過,本執行計畫所稱之AAM僅適用於有人駕駛之客貨運輸類型。為促進日常相關服務,該計畫以現行飛航程序與基礎設施為利用基礎,並就航空器與飛行員認證、空域進出管理、飛行員培訓、基礎設施開發、安全維護、公眾參與等事項進行處理,以引領產業安全擴展。此外,本計畫還包含可應用於任何場域之計畫指南(planning guide),並臚列關鍵整合目標與順序。本次計畫著重之處簡述如下: (1)運作:飛行員將能按預定飛行計畫駕駛新先進移動航空器往返多地;AAM航空器將盡可能使用機場周圍等級B與C空域範圍內之既有或修正的低空目視飛行規則(Visual Flight Rules, VFR)路線,飛行於城市與大都市地區上空4000英尺(約1219.2公尺)。 (2)基礎設施:營運商、製造商、州與地方政府,以及其他利害關係人將負責計劃、發展與利用直升機場(heliport)或垂直機場(vertiport)基礎設施;起初AAM將運作於既有的直升機場、商業服務機場與通用航空(general aviation, GA)機場,故需針對充電站、停機坪與滑行空間等進行改造與安裝。 (3)電網(Power Grid):電網可能需要升級以供AAM操作;FAA與美國國家再生能源實驗室(National Renewable Energy Laboratory, NREL)簽署機構間的協議,以確定航空器電氣化(electrification)對垂直機場、直升機場或機場電網的影響。 (4)安全:美國國土安全部(Department of Homeland Security, DHS)將確定必要的AAM安全類型;美國運輸安全管理局(Transportation Security Administration, TSA)與FAA亦評估基於先進技術的使用與操作協定(operational protocols)而提高資安要求之需求。 (5)環境:FAA將斟酌AAM運作的環境影響,包括噪音、空氣品質、視覺干擾及對野生生物的破壞等因素。 (6)公眾參與:為更了解公眾對AAM運作的擔憂(包括噪音與緩解措施),FAA將與機場、地方、州及社區進行合作;許多利害關係人(如AAM營運商、機場與垂直機場營運商)將於公眾參與中扮演重要角色。
日本內閣閣議決定海上風力發電促進法案日本內閣於2018年3月9日閣議決定《關於促進海上再生能源發電設備之整備海域利用法律案》(海洋再生可能エネルギー発電設備の整備に係る海域の利用の促進に関する法律案,以下簡稱海上風力發電促進法案)。 日本四面環海、國土面積狹窄,長期、安定且有效率地實施海洋再生能源發電事業十分重要。此外,海上再生能源發電之碳排放量較火力發電為少,有助於地球暖化對策,推動海上再生能源發電事業亦可幫助發電設備之設置、維護等相關產業發展,加上現行規範缺乏允許業者長期占用指定區域等相關規範,不利於推動海洋再生能源發電事業,故日本政府擬透過制定《海上風力發電促進法案》,促進相關事業發展,以擴大再生能源導入量。 根據法案規定,為推動再生能源發電設備之整備海域(促進區域)之利用,未來政府將制定基本方針,經產大臣及國土交通大臣、農林水產大臣、環境大臣等在聽取協議會意見後指定「促進區域」,並訂定公開募集占用指引。欲從事海上風力發電之業者,應向經產大臣及國土交通大臣提出公募占用計畫,經產大臣及國土交通大臣根據內容及供應價格等選定最佳計畫。計畫經認可之業者,可根據占用計畫向國土交通大臣申請最長可達30年之占用許可。