英國與13家科技公司簽署《防範線上詐欺憲章》，建立網際網路防詐之重要里程碑

在勒索軟體攻擊快速進化、供應鏈弱點成為主要攻擊途徑的背景下，英國於10月24日發布「全球性供應鏈勒索軟體防護指引」（Guidance for Organisations to Build Supply Chain Resilience Against Ransomware），該指引係由英國與新加坡共同領導的「反勒索軟體倡議」（Counter Ransomware Initiative, CRI）框架下推動，旨在協助各國企業降低勒索軟體事件的發生率與衝擊。該指引獲得CRI 67個成員國與國際組織的支持，標誌國際社群在供應鏈資安治理上的最新進展。 英國內政部（UK Home Office）指出，勒索軟體已成全球關鍵基礎設施與企業最主要的威脅之一。根據IBM發布之2025年資料外洩報告（Cost of a Data Breach Report 2025）估計，單一勒索攻擊的全球平均成本高達444萬美元。隨著攻擊手法演進，勒索攻擊已由單點入侵擴大為透過供應鏈滲透，攻擊者常以第三方服務供應商為跳板，一旦供應商遭入侵，即可能向上或向下影響整體產業鏈。英國2024年醫療檢驗服務供應商Synnovis遭勒索軟體攻擊事件，即造成數千次門診與手術延誤，凸顯供應鏈風險的實質衝擊。 該指引從供應鏈角度提出四大防護方向，英國政府與CRI強調，企業應在營運治理、採購流程與供應商管理中系統性導入相關措施，包括： 一、理解供應鏈風險的重要性 在高度互聯的數位環境中，供應鏈已成為勒索軟體攻擊的主要目標，企業應將供應鏈資安視為營運韌性與組織治理的核心要素。 二、辨識關鍵供應商與其資安成熟度 企業應建立完整的供應商清冊，評估其資安控管措施、過往資安事件紀錄、營運與備援能力、保險安排，以及其可存取之系統與資料範圍。 三、在採購與合約中落實資安要求 企業應要求供應商具備基本資安控制措施，包括多因素驗證、系統更新與修補管理、網路分段、安全設定及惡意程式防護等。 同時，合約中應納入資安事件通報義務、稽核權限、營運復原計畫及違規處置機制，並鼓勵供應商採用國際資安標準，例如Cyber Essentials與ISO/IEC27001。 四、持續檢討並更新防護措施 企業應與供應商共同檢討已發生事件及未實際造成損害但已暴露潛在風險之情形（Near Miss，即近乎事故），不論是否構成正式資安事件，均應納入檢討範圍；並定期進行資安演練、共享威脅情資，依攻擊趨勢滾動修正合約與內部規範。 指引同時指出，供應鏈常見弱點包括過度依賴少數供應商、缺乏供應鏈可視性，以及資安稽核與驗證機制不足。英國政府與CRI亦強調，雖然網路保險可作為風險管理工具之一，但無法取代基本且持續的資安防護措施。 該指引適用範圍涵蓋科技、資訊服務、能源、公用事業、媒體與電信等多個產業，顯示供應鏈資安已成全球營運安全的共同課題。英國與新加坡呼籲企業及早建立制度化的供應鏈資安治理架構，以強化全球數位經濟的整體韌性，降低勒索軟體攻擊帶來的系統性風險。

　　美國接連發生電腦仲介商 ChoicePoint 與 NexisLexis 分別於 2004 年 10 月及 2004 年 4 月電腦遭入侵，數以百萬計的個人資料被竊取之事件，使得個人資料外洩的問題，受到美國國會的強烈關注。此一事件的發生，同時讓大家注意到加州資料庫外洩通知法（ SB1386 ）對於消費者保護的重要性。 SB13866 法要求持有個人敏感資料的組織、企業，當資料外洩時，需立即通知當事人。 Choice point 此次即是迫於加州州法的規定，於 2005 年 2 月通知了 3 萬 5 千名加州州民關於其個人資料遭受竊取的的消息。 　　鑑於個人資料保護的重要性，美國國會議員 Charles Schumer ( 紐約州 ) and Bill Nelson ( 佛羅里達州 ) 仿照 SB1386 加州立法，於 2005 年 4 月 12 日舉辦了「 2005 年個人資料保護風險通知義務法案」（ Notification of Risk to Personal Data Act of 2005 ）的公聽會。草案建議成立聯邦性法律，要求企業或政府，一旦其持有之個人資料遭到竊取，即需通知當事人。本草案同時明訂企業或政府應通知的事項；並擬允許，讓資料遭竊的個人，可於其信用報告中顯示其 7 年內可能遭受詐欺警告的紀錄。 　　本法案中除了包含 SB1386 的規定外，也對販賣個人敏感資料進行規範，並要求聯邦貿易委員會（ Federal Trade Commission ）設立相關組織，以協助資料遭竊之被害者。

　　　英國2011年3月由寬頻政策顧問小組(Broadband Stakeholder Group, BSG)公布促進流量管理政策透明化守則，2012年並依該流量管理政策守則公布「開放網路守則」，此即英國之網路中立性規範，ISP業者必須遵守流量管理規定且不得阻礙服務競爭。2016年6月，BSG公布新修訂之開放網路守則（Open Internet Code of Practice），支持業者以開放網路做為原則，網路使用者得於網路上取得合法內容，並確保ISP業者依據網路中立性原則提供管理或其他服務。在對於流量管理的分配調整方面，ISP業者必須依據開放網路原則提供相關服務，而不得因商業競爭的考量影響使用者權益與服務品質。在使用者權益保障方面，流量管理資訊必須透明化，ISP業者同意依合理方式提供清楚正確之流量管理原則，且該原則必須具有適當性且不得歧視。此外，透過定期公布關鍵事實指標(Key Facts Indicator, KFI)，ISP業者應讓消費者瞭解流量使用與管理情形。在我國，目前僅於電信法第21條訂有網路中立性之宣示性規範。通訊傳播委員將提出之新匯流五法中的電信法與數位通訊傳播法當中，不論是否訂有網路中立性之具體規範，在此之前亦得參考英國之自律管理模式，以建構平等開放之網路環境。

　　歐盟執委會於所公告之電子電機廢棄物回收法令檢視報告（Review of an EU Directive on Recycling Waste Electrical and Electronic Equipment）中建議，對於產品製造商之回收目標規範標準，應從現行概括固定值：每年人均4kg（4kg/capita per year）回收目標，改為變動式比例值：以現行市場商品平均量之65%，作為規範目標並且，由於法令規範課予產品製造商強制回收責任，市場實務上，也出現了產品製造商為了達到WEEE要求規範目標值，轉而向民間回收業者收購「回收憑證（Recycling Certificates）」，並且，因為供需失衡問題，造成回收業者隨意喊價的情形，也多所見聞。   　　而歐盟執委會為進一步落實環境保護政策，還是打算維持原案，提議對於WEEE規範內容進行檢討修改，並建議各會員國於國內法令增加誘因及鼓勵措施，導引協助產品製造商擴大回收體系、檢視改善回收管理系統，而更具能力對於提高目標規範，能夠落實遵循之。歐盟執委會此項法令修改提議，是否得以真正落實未來立法中，值得再加以觀察。