歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:
一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。
二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。
三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。
四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
- Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024)
- European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
柯郁萱
副法律研究員 編譯整理
Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products (last visited Mar. 29, 2024).
European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2 (last visited Mar. 29, 2024).
Cyber Resilience Act - Questions and Answers*, European Commission (2023), https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 (last visited Mar. 29, 2024).
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科技法律研究所,2023年6月30日,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/29)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資策會科技法律研究所,2022年12月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8915&no=64(最後瀏覽日:2024/03/29)。
德國在2000年以後便將聯邦政府補助的其中一個方向集中在鼓勵科技創業,主要推動機關為聯邦教育暨研究部(Bundesministerium für Bildung und Forschung, BMBF)與聯邦經濟暨能源部(Bundesministerium für Wirtschaft und Energie, BMWi)。其中BMWi的EXIST計畫訴求建立一個科技創業有善的環境,並分三項子計畫運作:EXIST創業文化計畫(EXIST-Gründungskultur),EXIST創業補助計畫(EXIST-Gründerstipendium),EXIST研發成果移轉計畫(EXIST-Forschungstransfer)。 其中,EXIST創業文化計畫著重於在學研機構內塑造創業文化,誘發學研機構創業潛力與企業家性格;EXIST創業計畫則是鎖定學研機構內的個人(科學家、研究生、大學生),希望透過對這些個人的生活補助,使其商業發想可化為營運計畫書(Businessplan),進而開發成為商品或服務;EXIST研發成果計畫則是透過經費補助,鼓勵學研機構內的研究團隊利用設立衍生公司方式運用研發成果,在創業前的籌備階段與公司設立初期導入專業團隊,協助評估相關的創業理念、經營模式、財務評估與資金運用等規劃是否妥適,使公司創立的籌備更為妥善且禁得起市場考驗。
美國網路安全暨基礎設施安全局(CISA)成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,JCDC),將領導推動國家網路聯防計畫美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,以下簡稱CISA)於2021年8月宣布成立聯合網路防禦協作機制(Joint Cyber Defense Collaborative,以下簡稱JCDC),依據《國防授權法》(National Defense Authorization Act of 2021, NDAA)所賦予的權限,匯集公私部門協力合作,以共同抵禦關鍵基礎設施的網路威脅,從而引領國家網路防禦計畫的制定。 聯合網路防禦協作辦公室(JCDC's office)將由具代表性的聯邦政府單位所組成,包括國土安全部(Department of Homeland Security, DHS)、司法部(Department of Justice, DOJ)、美國網路司令部(United States Cyber Command, USCYBERCOM)、國家安全局(National Security Agency, NSA)、聯邦調查局(Federal Bureau of Investigation, FBI)和國家情報總監辦公室(Office of the Director of National Intelligence, ODNI)。此外,JCDC將與自願參與的夥伴合作、協商,包括州、地方、部落和地區政府、資訊共享與分析組織和中心(ISAOs/ISACs),以及關鍵資訊系統的擁有者和營運商,以及其他私人企業實體等(例如:Microsoft、Amazon、google等服務提供商)。 目的在藉由這項新的合作機制,協調跨聯邦部門、各州地方政府、民間或組織等合作夥伴,來識別、防禦、檢測和應對涉及國家利益或關鍵基礎設施的惡意網路攻擊,尤其是勒索軟體,同時建立事件應變框架,進而提升國家整體資安防護和應變能力。 是以,JCDC此一新單位有以下特點: 具獨特的公私部門規劃要求和能力。 落實有效協調機制。 建立一套共同風險優先項目,並提供共享資訊。 制定、協調網路防禦計畫。 進行聯合演練和評估,以妥適衡量網路防禦行動的有效性。 而JCDC主要功能,整理如下: 全面、全國性的計畫,以處理穩定操作和事件期間的風險。 對情資進行分析,使公私合作夥伴間能採取應對風險的協調行動。 整合網路防禦能力,以保護國家的關鍵基礎設施。 確保網路防禦行動計畫具有適當性,以抵禦對方針對美國發動的網路攻擊。 計畫和合作的機動性,以滿足公私部門的網路防禦需求。 制度化的演練和評估,以持續衡量網路防禦計畫和能力的有效性。 與特定風險管理部門(Sector Risk Management Agencies, SRMAs)密切合作(例如:國土安全部-通訊部門、關鍵製造部門、資訊技術等),將其獨特專業知識用於量身定制計畫,以應對風險。
中國大陸通過《中華人民共和國電子商務法》 針對「電子商務平台經營者」制定專節中國大陸於2018年8月31日第13屆全國人大常務委員會表決通過了《中華人民共和國電子商務法》(以下簡稱《電商法》),並將於2019年1月1日實施 。《電商法》首條揭示了「保障電子商務各方主體合法權益、規範電子商務行為、維護市場秩序」之意旨,除以「電子商務經營者」為主要規範對象外,亦涵蓋了法律行為、支付與物流、爭議解決等各個交易層面。 有鑑於電子商務平台對市場的主導作用,《電商法》特別針對「電子商務平台經營者」(以下簡稱「平台」)制定專節,要求其審核平台內經營者之資質資格,並課予其保障智慧財產權及消費者人身、財產安全之義務。分述如下: 為因應電子商務平台上仿冒偽劣品氾濫之窘境,《電商法》規定平台於接收權利人所發送之侵權通知後,須採取刪除、屏蔽、斷開鏈接、終止交易和服務等行動,否則需就損害擴大之部分,與平台內經營者負連帶責任。此外,平台「明知」或「可得而知」平台內經營者已侵害智慧財產權,而未採取必要措施者,亦須與侵權行為人承擔連帶責任。 如商品或服務涉及消費者之生命、健康,則平台負有:(1) 對平台內經營者資質資格之審核義務;以及(2) 對消費者之安全保障義務。如因未履行上開義務而造成消費者損害,需與該平台內經營者承擔「相應的責任」;換言之,平台是否踐履相關義務應依實際個案認定。同時增加行政罰規定,違者由市場監督管理部門責令限期改正,最重並得課處200萬元之罰款 。
美國2016年製造創新策略方案依2014年復甦美國製造與創新法(RAMI Act of 2014),美國國家製造創新網絡計畫於2016年2月公布策略方案(Strategic Plan)。國家製造創新網絡有四大目標:以「提升製造競爭力」為終極目標,其他三個目標分別為「促進技術轉型」、「加速製造業人力發展」、以及「確保穩定與永續之基礎建設」。在「促進技術轉型」方面,旨在促進創新技術朝向具備可適性、擁有成本效益、以及高效能之國內製造業量能的方向轉型。由於不同的製造整備度(manufacturing readiness levels)對應不同的技術整備度(technology readiness levels),且國家製造創新網絡有其設定之目標範圍,因而研發機構被預期能夠促進技術轉型的亦有差異。 行政院於民國105年7月核定通過「智慧機械產業推動方案」,透過「智機產業化」與「產業智機化」來建構智慧機械產業生態體系。智慧機械將結合半導體先進製程、精密醫療機械加工與智慧服務型機器人、以及航太與造船軍民通用技術應用,分別對應帶動亞洲矽谷、生技醫藥、以及國防等創新產業政策。透過智慧機械帶動整體產業發展,從精密走向智慧、從單機走向系統,以提高整體產業之產值