歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:
一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。
二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。
三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。
四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
- Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024)
- European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024)
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
柯郁萱
副法律研究員 編譯整理
Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products (last visited Mar. 29, 2024).
European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2 (last visited Mar. 29, 2024).
Cyber Resilience Act - Questions and Answers*, European Commission (2023), https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 (last visited Mar. 29, 2024).
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科技法律研究所,2023年6月30日,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/29)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資策會科技法律研究所,2022年12月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8915&no=64(最後瀏覽日:2024/03/29)。
美國東德州聯邦地方法院的法官於今年2月5日,對Dell指稱Alcatel-Lucent侵害其所有之兩項線上管理顧客及產品資料的電腦製造方法專利乙案作出判決。判決指出,因為Dell無法向陪審團證明Alcatel-Lucent有引誘或侵害Dell專利權的事實,而Alcatel-Lucent亦無法以明確且具說服力的證據證明系爭案件中Dell所有的專利為無效,所以本案亦無任何損害賠償問題。Dell於訴訟中所主張的兩項專利權,主要為關於加速促進顧客線上下單購物的技術,其美國專利權號碼分別為6,182,275及6,038,597。關於本判決結果,原告Dell方面尚未表示是否會對本判決提起上訴,然被告法商Alcatel-Lucent則對此判決結果表示則肯定。 Alcatel-Lucent與Dell之間的專利訴訟並未就此結束, Alcatel-Lucent在加州之前起訴Dell, Gateway及Microsoft專利侵權之訴訟,主要為影像解碼及選擇影像播放模式技術之專利,專利號碼分別為4,958,226; 4,383,272; 4,763,356;5,347,295及 4,439,759.,該專利訴訟自2003年開始在加州纏訴。Alcatel-Lucent主張被告三家公司應給付專利侵權之損害賠償一共超過美金30億的天價,本案業已上訴,審理的法院已訂期將於近日展開審判。然而,由於Gateway去年被宏碁(Acer)併購後,已積極地與Alcatel-Lucent進行談判,雙方並於今年2月中達到庭外和解的協議。所以,Dell在東德州敗訴的消息,是否會影響其未來在加州是否會繼續訴訟或尋求庭外和解的態度,將是市場人士專注的焦點。
傳統織物及布料之圖樣是否能申請商標註冊—以「鬼滅之刃」為例最近不論在日本或是台灣,都吹起了一股鬼滅之刃的風潮。據統計,今年(2020)10月份所上映的鬼滅之刃劇場版,僅僅花了10天就達到超過100億日圓的票房收入。連日本首相菅義偉都在國會時質詢時說出「我也要用『全集中呼吸』來答辯」這番話。在這股風潮之下,出版者集英社有感於盜版猖獗,針對作品主角所穿的日本傳統服飾「羽織」的外觀圖樣申請商標,掀起網路上正反不同的討論。但是這樣的外觀圖樣是否可以申請商標呢? 依據日本商標法第6條規定,如果無法做為區辨與他人業務相關商品或服務之標準時,亦即不具「自他識別力」時,不得做為商標申請註冊如:地模樣(台灣稱「連續圖樣」商標)原則上即不得申請註冊。一般來說,如果連續圖樣非如Louis Vuitton 的經典Epi皮革般廣為人知,均難以做為商標申請註冊。 因此,若是鬼滅之刃中所使用的日本傳統市松(連續方格)花紋(為主角炭治郎所穿)及大麻葉花紋(為主角禰豆子所穿),較不易被認定具有自他識別力,而主管機關也不會希望因為商標而造成日本傳統和服業者的困擾。 此外,包括Cosplay玩家在內的反對者,也認為這些本來就是傳統的圖案,如果可以註冊商標,恐壟斷連續圖樣的使用。目前日本特許廳上針對相關申請案正在審理中,是否會核准註冊,值得後續關注。
因應韓美自由貿易協定,韓國實施新修正之專利及商標制度韓國特許廳於2011年11月22日送交韓國國會批准之韓美自由貿易協定(Free Trade Agreement,簡稱FTA),於2012年3月15日正式生效。為因應韓美FTA的簽定,韓國專利及商標制度均須進行一定幅度的修正,例如專利權存續期間延長、聲音及氣味得註冊為商標等新制度。 首先,專利法修正重點如下: 專利權存續期間延長:指針對因審查過程緩慢,導致專利登記遲延者,遲延期間得視為專利權之存續期間。 專利申請優惠期延長:專利申請人將其發明公開發表在學術期刊時,將申請之優惠期從公開後6個月延長至12個月,亦即12個月內提出申請仍可取得專利。 廢止專利權撤銷制度:將發明專利在韓國國內一定期間(最少5年)不實施之撤銷專利權事由,予以廢止。 其次,商標法修正重點如下: 增訂新型態商標及證明標章制度:聲音、氣味得註冊為商標;新增證明標章之保護態樣,以證明「品質」、「原產地」、「生產方法」等特性。 廢止商標之專用使用權登記制度:修法前之韓國商標法第56條第1項第2款規定,商標專用使用權之設定、移轉(一般繼承之情形除外)、變更、消滅(權利混同之情形除外)或處分之限制等事項,非經登記,不生效力。 新增法定損害賠償制度:商標權人除可依照實際侵害情況請求損害賠償,商標法亦新增權利人得請求法定5千萬韓圜範圍內的損害賠償金額,且須經法院判決同意該損害賠償額度。 此外,針對專利法、新型專利法、設計保護法、商標法、不正競爭防止及營業秘密保護法等法規,也一併新增「保密命令制度」,亦即透過訴訟程序,對於營業秘密有被公開之虞之情形時,法院可對雙方當事人作出不得公開之保密命令。韓國期透過此次專利法及商標法等相關法規之修正,讓專利權人於權利行使期間得以獲得實質保障,同時亦擴大企業商標選擇之範圍。
印度電子及資訊科技部公告封鎖數款由中國企業開發之應用程式2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下: 政府封鎖59款有害印度主權之完整性、防禦力、國家安全及公共利益的手機應用程式(Government Bans 59 mobile apps which are prejudicial to sovereignty and integrity of India, defence of India, security of state and public order)。 政府封鎖118款有害印度主權之完整性、防禦力、國家安全和公共利益的手機應用程式(Government Blocks 118 Mobile Apps Which are Prejudicial to Sovereignty and Integrity of India, Defence of India, Security of State and Public Order)。 政府禁止國內使用者使用43款手機應用程式(Government of India blocks 43 mobile apps from accessing by users in India)。 三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。 電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。