歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性
歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cybersecurity Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布20天起生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下:
一、數位產品進入歐盟市場之條件
課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。
二、數位產品合規評估程序(conformity assessment procedures)
為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行或委託他人執行合規評估程序:關鍵與重要數位產品(無論I類或II類)應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。
三、製造商數位產品漏洞處理義務
製造商應識別與記錄數位產品漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布之資安風險大於安全利益時,則可推遲揭露相關資訊。
四、新增開源軟體管理者(open-source software steward)之義務
開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
- Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024)
- European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024)
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 112年度「領航臺灣數位轉型」國際研討會-實體場
- 112年度「領航臺灣數位轉型」國際研討會-直播場
- 新創採購-政府新創應用分享會
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 商業服務業個資保護宣導說明會
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
柯郁萱
副法律研究員 編譯整理
Cyber Resilience Act: MEPs adopt plans to boost security of digital products, European Parliament (2024), https://www.europarl.europa.eu/news/en/press-room/20240308IPR18991/cyber-resilience-act-meps-adopt-plans-to-boost-security-of-digital-products (last visited Mar. 29, 2024).
European Parliament legislative resolution of 12 March 2024 on the proposal for a regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020 (COM(2022)0454 – C9-0308/2022 – 2022/0272(COD)), European Parliament (2024), https://www.europarl.europa.eu/doceo/document/TA-9-2024-0130_EN.html#title2 (last visited Mar. 29, 2024).
Cyber Resilience Act - Questions and Answers*, European Commission (2023), https://ec.europa.eu/commission/presscorner/detail/en/qanda_22_5375 (last visited Mar. 29, 2024).
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科技法律研究所,2023年6月30日,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/29)。
張瀠心,〈歐盟推出《網路韌性法案》補充歐盟網路安全框架〉,資策會科技法律研究所,2022年12月,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8915&no=64(最後瀏覽日:2024/03/29)。
儘管類似 Google News 提供新聞連結的作法在網路上屢見不鮮, Google 也認為其行為完全合法,但 比利時布魯塞爾法院於 9 月 5 日 作出的判決,仍要求 Google 在沒有獲得對方允許或支付相應費用的情況下,應 停止從法語報紙上節錄新聞片段,否則將會面臨每天一百萬歐元的罰款。 Google 雖因此暫時移除了相關新聞的轉載連結,卻打算對此判決提起上訴。 該案法官指出, Google 在這些報章媒體網站更新相關新聞後,才在 Google 網站上提供轉載內容,法院認為這不但侵害了作者的著作權,且違反比利時有關資料庫的法律。除了移除轉載連結外,法院也要求 Google 必須在 Google 比利時網站上公布該判決內容,否則另須繳交每日五十萬歐元的罰款。 這起控告 Google 的訴訟是由比利時出版集團 Copiepresse 所提起的,該集團代表比利時境內多家法語及德語報社,亦為一管理比利時法語及德語媒體著作權的專門機構。
資訊揭露立場分歧:著作權集體管理團體條例修正草案著作權集體管理團體條例(集管條例)自2010年2月10日公布施行以來,終於今年(2019)5月中旬展開修法公聽會,智慧局提出三大項修法目的:「一、強化專責機關監督輔導;二、提升集管團體公信力與透明度;三、健全著作權授權市場環境。」依此分別提出修正條文。 其中,關於集管團體的財務治理透明化的規定,智慧局參考歐盟指令與德國集管條例,增訂集管團體之資產負債表、收支決算表、現金流量表等財務報表之揭露的法律義務(修正第21條第1項),且「應上網供公眾查閱」(增訂第22條第2項),係為建立集管團體公信力並強化良善治理與健全體質。 在場集管團體持不同意見,認集管團體僅係對身為會員的權利人以及利用人負責,且每年均已被主管機關與會員檢視相關報表,似無公開上網讓不特定大眾開放查閱之理。利用人則提出「重複管理」是須要被解決的議題,以授權移轉的實務問題舉例,故希望未來修新法有即時性的權利與管理的資訊揭露。權利人則反應授權金分配不透明,建議以資訊化的方式讓報酬分配機制透明化,並可應用區塊鍊技術達成之。
美國發布防止特定國家存取大量敏感個人資料與政府相關資料之行政命令美國總統拜登於2024年2月28日簽署了防止特定國家存取美國人大量敏感個人資料與美國政府相關資料之第14117號行政命令(Executive Order on Preventing Access to Americans’ Bulk Sensitive Personal Data and United States Government-Related Data by Countries of Concern,E.O. No. 14117),目的是為了防止敏感個人資料與政府資料大規模轉移至「受關注國家」或其所涉人員,主要以「受關注國家」、「受規範對象」、「資料類型」、「禁止行為」與相關豁免規定等項目,進一步授權司法部訂定規範,而美國司法部已於2024年3月5日在〈聯邦公報〉公布行政命令之擬制法規制定預告(Advance Notice of Proposed Rulemaking,下稱ANPRM),並於公布後45日內蒐集意見,內容簡述如下: 1.受關注國家:中國(包括香港及澳門)、俄羅斯、伊朗、北韓、古巴、委內瑞拉等可能造成美國國家安全重大風險之國家。 2.受規範對象:由受關注國家所掌控之實體及具有契約關係之人或實體,或以該等國家為主要居住地之外國人等皆屬之。 3.資料類型:本次ANPRM定義了大量敏感個人資料與政府相關資料,並公布「大量」(bulk)之參考值,將受規範個人識別指標、地理位置和相關感測器數據、生物特徵識別指標、基因組資料、個人健康資料、個人金融資料等6大類資料,用以詮釋敏感個人資料;而資料涉及美國聯邦政府(含軍方)所控制之敏感位置皆屬政府相關資料。 4.禁止行為:涉及受關注國家、受規範對象以及符合上述資料類型之資料交易行為,皆被列為禁止行為,例如:透過簽訂服務或投資協議、供應或僱傭契約而進行之資料交易行為等情形,但也由於適用範圍較廣,因此訂有豁免規定,例如:美國政府為履行公務而由僱員、承包商因公務所為之資料交易行為則可受豁免。 我國作為全球重要的高科技產業供應鏈之一員,因地緣關係與部分受關注國家進行產品製造供應或貿易往來,故可能受此行政命令之影響,ANPRM未來修訂方向值得我國持續關注其後續發展。
日本智慧財產推進計畫2015分析(下)日本智慧財產推進計畫2015分析(下) 資策會科技法律研究所 法律研究員 蘇彥彰 104年10月28日 日本智慧財產戰略本部於今年6月19日所公布的「智慧財產推進計畫2015」[1],係以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨,並以少子高齡化與地方經濟衰退、智財糾紛處理機制的使用狀況和便利性、以及內容產業海外拓展的潛力及對智財戰略之重要性為背景,提出三項核心議題並分別剖析其現狀課題及主管部會應努力之方向,本文以下針對第三項議題「推動內容產業及週邊產業整體性的海外拓展」介紹如下: 三、推動內容產業及週邊產業整體性的海外拓展 (一)現狀與課題 動畫、漫畫、電影、音樂、遊戲、電視節目等內容產業的海外發展,不僅可以增加內容產業本身的海外銷售數字,同時可以藉由吸引更多日本內容產業迷群(ファン),活用內容產業所形塑之整體風格及日本國家形象,透過拓展其他各類業種的海外市場並提升訪日觀光客的數量等,期待內容產業帶動經濟及文化間的相乘效果。然而今年度推進計畫中亦指出,目前日本的內容產品海外銷售市場規模並未十分穩固,即使是與日本文化、經濟關係較深厚的亞洲諸國,除了動漫畫等部分領域外,市場調查的結果都落於歐美、韓國之後。 遊戲產業方面,雖然和其他日本內容產業相比有較大的海外市場規模,但以全球高達數兆日幣的遊戲市場而言,仍然持續面臨中國、美國等之激烈競爭,市場地位尚未見穩固;從另一個角度觀察,日本國內內容產業規模雖然近年來未見成長,仍具備每年12兆日幣的水準[2],相比之下目前日本內容產業的海外收入及輸出額均屬微小,應可認為尚有充分的成長空間。 (二)今後施政方向 日本智財戰略本部為求能使內容產業(特別是影視產業)更進一步打入海外市場,提高影響力並帶動周邊產業及觀光人數之提升,提出以下施策方向供主管部會遵循; 1、「配合海外當地市場喜好進行內容產品的製作」:與當地的文化、需求結合,製作使海外市場容易接受的數位內容,例如與熟知當地需求的在地電視台等進行合作,從製作階段就先行瞭解海外市場的視聽型態與動向,而對於目前已既存的電視、電影、音樂、動畫、遊戲等內容產品,則持續透過翻譯、配音、字幕製作等方式進行在地化,針對電視節目於海外其他國家播送所牽涉到的相關法律上權利處理,也需要提出更加迅速而有效率的對應作法; 2、「內容產業海外市場的持續拓展」:由於各地海外市場與日本間的物價差別,內容產品若透過單純的銷售方式不易取得滿意的銷售成績,有必要持續與熟知當地宣傳模式的業者建立合作關係,透過廣電頻道和現場活動的辦理,持續進行市場的拓展並增加曝光度; 3、「內容產業與相關產業間的合作」:目前透過J-LOP(「ジャパン・コンテンツ ローカライズ&プロモーション支援助成金」)[3]支援辦理的海外市場宣傳活動多為單次性而缺乏整體規劃,必須透過各同類、異類產業間的合作,提出能吸引更高注目度的宣傳手法並促成彼此間的相乘效果。 (三)小結 近年來文化創意產業的成長力受到各界廣泛的矚目,而為開拓文創市場商機,政府除陸續舉辦國際級文創產業博覽會外,並且協助業者參與各種國際型會展活動以進行國際拓展,包括「文化創意產業國際拓展計畫」及「國際及兩岸文化創意產業組織搭橋計畫」等,均有效深化與國際通路間合作關係,後續採購金額均達數億元[4]。 然而若從內外銷角度來看,我國文化創意產業營業額主要仍來自於內銷收入,以2013年為例,內銷收入占總營業額的90.8%,較2012年增加1.16%,近六年之內銷收入更持續呈現擴大趨勢,2013年之成長率達4.14%[5],顯見我國文創產業仍高度偏重內銷,外銷市場不僅嚴重偏低且呈下滑走勢。 我國文創產業政府及民間業者多年努力下雖已逐漸成熟茁壯,但眼前仍需主管機關在產業發展上提出相關獎勵措施和補助辦法,掃除不利文創出口外銷的障礙,並協助業者大力開拓海外市場以改變目前高度仰賴內銷市場之情況。就此,前揭日本智財推進計畫中所提出現況檢討和施政方針作法,應可作為我國之借鏡和參考。 四、結語 日本自2003年7月由「智慧財產戰略本部」[6]發布第一份「關於智慧財產創造、保護、活用推進計畫」[7]後,每年均依智慧財產基本法第23條[8]之規定就計畫內容進行檢討與更新,而今年度的「智慧財產推進計畫2015」除仍以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨外,日本內閣總理大臣安倍晉三並於今年4月14日主持智慧財產戰略本部會議時明確指出[9],包括各先進國及新興國家在內,就智財領域的競爭正日漸增強,日本為強化國際競爭力,有必要持續進行智財戰略構策,將日本高度的技術實力和豐富的文化資產進行結合以開創新的商業契機。 我國行政院於2012年核定通過「智財戰略綱領」[10],期望透過經濟部、文化部、農委會及科技部規劃與推動六項行動計畫,積極引領產學研各界提升智財創造的品質,其中「戰略重點2:強化文化內容利用」項下「強化流通運用及防止非法利用」、「戰略重點4:活化流通學界智財」項下「提高學界成果產業化環境」及「戰略重點5:落實智財流通及保護體制」項下「強化智財訴訟支援與因應能力」、「佈建具多元彈性及戰略性的智財營運組織」等宗旨及內容,均與前述日本之「推動地方智財的活用」、「活化智財紛爭處理機制」、「推動內容產業及週邊產業整體性的海外拓展」三項核心議題相仿,其規劃方向和政策內容可供主管機關分析研究之。 [1] 〈知的財産推進計画2015〉,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku20150619.pdf(最後瀏覽日:2015/08/14) [2] 経済産業省,〈コンテンツ産業の現状と今後の発展の方向性〉,頁2(2015)http://www.meti.go.jp/policy/mono_info_service/contents/downloadfiles/1507shokanjiko.pdf(最後瀏覽日:2015/10/16) [3] 全名為「日本內容產業在地化和行銷協力輔導金」,總額約155億日幣,申請期間自2013年3月19日起自2015年2月28日止,是日本為求內容產業的海外拓展,針對「在地化」和「行銷」進行協助,透過對海外傳播日本內容產品提供輔導,以創造「哈日風潮」、促進觀光並擴大相關產業的海外市場為目的的輔導金,詳情可參http://j-lop.jp/about/(最後瀏覽日:2015/08/13) [4] 文化部,〈2014臺灣文化創意產業發展年報〉,頁30(2014)。 [5] 同前註,頁17。 [6] 日本「知的財産戦略本部」網站,http://www.kantei.go.jp/jp/singi/titeki2/(最後瀏覽日:2015/08/14)。 [7] 《知的財産の創造、保護及び活用に関する推進計画》,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/kettei/030708f.html(最後瀏覽日:2015/08/14)。 [8] 知的財産基本法(平成十四年十二月四日法律第百二十二号)第二十三条:「知的財産戦略本部は、この章の定めるところにより、知的財産の創造、保護及び活用に関する推進計画(以下「推進計画」という。)を作成しなければならない。……」 [9] 〈安倍総理の御発言(知的財産戦略本部)【平成27年4月1 4日】〉,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/tyousakai/kensho_hyoka_kikaku/2015/dai11/sankou1.pdf(最後瀏覽日:2015/10/28) [10] 〈智財戰略綱領〉,經濟部技術處,https://www.moea.gov.tw/MNS/doit/content/Content.aspx?menu_id=13453(最後瀏覽日:2015/10/29)