歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:
一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。
二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。
三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。
四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
- Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024)
- European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024)
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
柯郁萱
副法律研究員 編譯整理
Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products (last visited Mar. 29, 2024).
European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2 (last visited Mar. 29, 2024).
Cyber Resilience Act - Questions and Answers*, European Commission (2023), https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 (last visited Mar. 29, 2024).
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科技法律研究所,2023年6月30日,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/29)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資策會科技法律研究所,2022年12月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8915&no=64(最後瀏覽日:2024/03/29)。
歐盟於2023年10月11日發布《歐洲綠色債券監管及環境永續債券市場與永續連結債券自願性揭露規則》(Regulation on European Green Bonds and optional disclosures for bonds marketed as environmentally sustainable and for sustainability-linked bonds,下稱《歐洲綠色債券規則》),預計於2023年12月20日生效,針對在歐盟境內發行之綠色債券建立一套監管框架,課予欲使用「歐洲綠色債券」(European Green Bond)或「EuGB」等名稱發行環境永續債券的發行人一定義務,促進綠色債券的一致性和可比性,以保障投資人。綠色債券是發展綠色技術、能源效率和提升資源運用以及其他永續相關基礎設施投融資的主要工具之一,本規則之通過也被視為落實歐盟永續成長融資策略以及向碳中和、循環經濟轉型的一大進展。 《歐洲綠色債券規則》規範重點如下: 1.資金用途限制:《綠色債券規則》所有透過歐盟綠色債券募得的資金,原則上均必須投資於符合《歐盟永續分類標準》(EU Taxonomy)技術篩選標準的永續經濟活動,只有在所欲投資的經濟活動類別尚未被納入該標準時得為例外,且以總額之15%為限; 2.資訊揭露:綠色債券之發行人有義務揭露該債券之概況介紹(Factsheet)、資本支出計畫、資金使用分配報告、衝擊報告,並於債券公開說明書敘明資金用途,並得選擇進一步說明該債券之資金如何與自身企業整體環境永續目標相結合; 3.外部審查:前述資訊均須由已向歐洲證券與市場管理局(European Securities and Markets Authority)註冊之外部機構進行審查,以確保其準確性及可靠性。
美國聯邦巡迴法院針對標準必要專利合理授權金提出判斷標準2015年12月3日美國聯邦巡迴上訴法院(CAFC)對澳洲科學暨工業研發組織(CSIRO)控告美國網路設備大廠思科系統(Cisco Systems)所製造與販賣的IEEE 802.11a、802.11g、802.11n侵害其美國第5,487,069 號專利(以下簡稱系爭專利)一案撤銷原判決並發回重審。 其爭點在於: 1. Cisco主張區法院未採用標準必要專利慣用之最小可銷售專利實施單位(smallest salable patent-practicing unit)作為合理授權金計算基礎。 2. 區法院法官未審酌系爭專利納入標準化的情形及未就Georgia-Pacific 15項分析要素進行修改。 3. 區法院未適當考慮CSIRO與Radiata間的技術授權協議。 CAFC將本案撤銷發回重審,其理由如下: 1.本案不適用最小可銷售專利實施單位 CAFC認為最小可銷售專利實施單位非唯一的計算合理授權金的計算方式,故仍應考量個案不同而採不同的計算方式;其重點在於應將系爭專利與非系爭專利之技術特徵價值進行適當的區分,比較過去實際授權個案,判定系爭專利技術特徵在整體產品中的價值比例,確保權利金計算的正確性。 2.針對標準化專利應考量系爭專利受標準化的情況 依據美國專利法第284條規定,系爭專利自身的價值應與標準化後所生的附加價值加以區別,使其僅反映系爭專利為系爭侵權產品所帶來的價值。而原審法院計算系爭專利的合理授權金時,並未排除其他無關的技術特徵及區分系爭專利標準化後所帶來的附加價值。 3. 應審酌CSIRO與Radiata間的技術授權協議 Radiata為CSIRO為進行專利商品化而成立之子公司,後Radiata於2001年為Cisco所併購,並仍依據CSIRO與Radiata間的技術授權協議以每單位晶片產品為基礎授權金的計算方式,故其時間與區法院以假設性協商之可能發生時間點相同,故區法院未加以考慮乃係明顯錯誤。
國防訓儲制將有重大變革,研發納入替代役行政院跨部會會議審查通過替代役條例修正草案,將研發役納入替代役,取代現行的國防訓儲制,惟研發替代役規劃內容並不等同於現行國防訓儲制,例如:國防訓儲限制預官申請,但研發替代役並未限制,此將使海外人才、海外小留學生等符合科技研發資格的碩博士,均可申請回台進入科技廠商服研發替代役。 此外,國防訓儲制在入伍短暫基礎訓練後,就如同後備軍人進入民間科高科技企業領一般工程師高薪,並享有分紅、配股,被外界抨擊為不公,未來研發替代役將改革這項缺點。將來申請服研發替代役者,在一年多的法定義務役期過後,超過的服役期限替代役男始可領取一般工程師薪水。 研發替代役役期除一年四個月法定義務役外,最長可申請延長三年,但期限要報院核定,具有彈性。至於科技大廠最關心的員額數量,仍將依內政部替代亦審議委員會審查各需用機關替代議員額需求要點第3點進行審查並視兵源調度,然員額可望逐年提升。 內政部並將進一步訂定研發替代役申請辦法,使海外人才可透過網路申請,預料研發替代役將可吸引海外學人歸國貢獻研發,對提升產業競力將有助益。替代役修正修正草案送行政院院會通過後,將送交立院審議,行政院表示會積極爭取法案在本會期過關,最快九十六年可實施。
日本與歐盟達成GDPR適足性認定之合意,預定於今年秋天完成相關程序日本個人情報保護委員會於5月31日與歐盟執行委員會,對於取得之個人資料跨境傳輸相互承認達成實質合意。歐盟今年5月施行之歐盟個人資料保護規則(European Union General Data Protection Regulation,GDPR)對於個人資料之跨境傳輸係採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個人資料才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,或取得個資當事人明確同意等方式。此外,GDPR也規定對第三國或地區個人資料保護水平是否達到GDPR標準,為適足性認定制度,取得此一認定資格者,即可自由與歐盟間進行個人資料跨境傳輸。目前有瑞士等11個國家及地區取得認定,日本則尚未取得。 日本為了減輕企業的負擔,2016年7月個人情報委員會決定處理方針,以取得相互認定承認為目標;於2017年1月歐盟執行委員會政策文書發表,將日本列為適足性認定之優先國家,將持續進行雙方後續對話。自2016年4月自2018年5月為止累計對話協商53次。於2017年5月施行修正之個人資料保護法,新導入域外適用規定,並對於國外執行當局為必要資訊提供為相關規定。依據上述對話意見,今年2月14日審議擬定「個人資料保護法指引-歐盟適足性認定之個人資料傳輸處理編(個人情報の保護に関する法律についてのガイドラインーEU域内から十分性認定により移転を受けた個人データの取扱い編)」草案,於今年4月25日至5月25日完成草案預告及意見徵集程序,預定於今年7月上旬訂定發布。其後,將於今年秋天完成歐盟與日本間相互指定與認定程序。亦即,個人情報保護委員會基於個人資料保護法第24條規定,指定歐洲經濟區(EEA)為與日本有同等水準之個人資料保護制度之外國,而歐盟執行委員會依據GDPR第45條規定,認定日本為具備適足保護水準。相互認定後,日本與歐盟間得相互為個人資料傳輸,如有相互協力必要性發生時,個人情報保護委員會及歐洲執行委員會應相互協議以為解決。