歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:
一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。
二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。
三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。
四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
- Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024)
- European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
柯郁萱
副法律研究員 編譯整理
Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products (last visited Mar. 29, 2024).
European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2 (last visited Mar. 29, 2024).
Cyber Resilience Act - Questions and Answers*, European Commission (2023), https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 (last visited Mar. 29, 2024).
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科技法律研究所,2023年6月30日,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/29)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資策會科技法律研究所,2022年12月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8915&no=64(最後瀏覽日:2024/03/29)。
歐盟執委會、26個成員國的能源部長和300多個風能相關企業於2023年12月19日在歐洲風能行動計畫(European Wind Power Action Plan)的基礎上共同簽署風能憲章(European Wind Charter),將有助歐盟執委會、成員國和風電企業互相協調並加速相關行動的執行,優化歐洲風電產業的發展環境。而該憲章主要的6項承諾措施分別為: (1)加速相關許可流程、優先執行修正後的《再生能源指令(Renewable Energy Directive)》,及提供風能的長期發展規劃,以確保(至少在2024-2026年間)充足、穩定且可預期的風能發展管道。 (2)改善及簡化風電競標機制的設計並建立一致性,以促進高品質風機的生產,且能同時具備環保、創新、資通安全和良好勞動條件;在不影響《淨零產業法案(Net-Zero Industry Act)》的立法程序下,於競標設計中納入客觀、透明、非歧視、非依據價格的資格預審或核准標準,特別是關於永續性和韌性、資通安全、商業行為和執行能力,以及民眾參與等要素。 (3)確保簽署單位所提供的商業程序、監管、產品和服務都能滿足如《淨零產業法案》和歐洲風能行動計畫中關於高品質的標準,包含環保、創新、資通安全和良好勞動條件;同時,也承諾將移除歐盟法規上的限制,並透過歐盟層級的工具減少財務風險。 (4)提供明確的競標時程,並採取適當的措施最大化各專案的執行率,包含訂定未執行時的懲罰,以及建立製造商和營運商的長期夥伴關係,提升供給和需求的可預測性,同時減緩價格波動的影響。 (5)透過積極的監管建立公平且具競爭力的國際環境,並考慮採取措施以處理可能的不公平國際貿易行為;在《外國直接投資規則(Foreign Direct Investment Regulation)》和其他適當工具的框架下合作投資風電領域。 (6)擴大風能設備的產製量能以滿足預期增加的風電專案需求,以及強化既有的勞動和工業能力、擴大投資規模,並支持工人技能升級和再培訓,確保足夠的勞動力。
華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。 此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
美國白宮頒布有關於太空系統的網路安全原則《太空政策第5號指令》由於美國近年來透過太空系統進行通訊、定位導航、太空探索及國防等多方面應用,為避免太空系統受到網路威脅,白宮於2020年9月4日發布《太空政策第5號指令》(Space Policy Directive-5,SPD-5),該指令主要關注太空系統的網路安全,將現有地面使用的網路安全政策應用在太空系統中,旨在提高美國太空設施網路安全。 SPD-5指令建立以下五項太空網路安全原則,作為指導政府及民間單位提高太空系統網路安全的方法: 一、太空系統及相關軟硬體設施,應使用以風險等級為基礎的方式,進行開發運作並建構其網路安全系統。 二、太空系統營運商應制定太空系統網路安全計畫(應包含防止未經授權的存取行為、防止通訊干擾、確保地面接收系統免受網路威脅、供應鏈的風險管理等功能),以確保能掌握對太空系統的控制權。 三、監管機構應訂定規則或監管指南來實施SPD-5指令的原則。 四、太空系統的營運商及其合作對象應共同推動SPD-5指令,並盡力減少網路威脅的發生。 五、太空系統營運商在執行太空系統網路安全的保護措施時,應管理其風險承擔能力。 儘管SPD-5指令並未指示特定機構執行上開原則,但已有美國聯邦通信委員會將SPD-5之網路安全原則納入其法規中,未來SPD-5指令將有可能作為美國太空網路安全措施及法規訂定的基礎。
馬來西亞擬於2007年設立智慧財產權法院馬來西亞「內國貿易及消費事務部」( Domestic Trade and Consumer Affairs Ministry )部長 Datuk Shafie 在五月底舉行的智慧財產權研討會上表示,為加速法院審理智財權侵權案件的速度,以有效打擊此等違法行為,馬來西亞政府擬於 2007 年設立智慧財產權法院( Intellectual Property Court )。 近年來,馬來西亞政府持續修正智慧財產權相關法律以強化實務執法的效果,惟修法的成效相當程度取決於法官對於新法的學習及認知能力,此次設立智慧財產權法院將可培養專業法官以彌補目前法官在智慧產財權本職學能上的不足。 日本於 2004 年 6 月已通過「智慧財產權高等法院設置法」(知的財產高等裁判所設置法),新制並已於 2005 年 4 月正式實施;而我國亦於今年二月間審議通過「智慧財產法院組織法草案」及「智慧財產案件審理法草案」,目前已送請立法院審議。