網路團結法:歐盟成員國針對加強因應網路安全能力達成共同倡議
歐盟成員國就《網路團結法》(Cyber Solidarity Act)草案於2024年3月達成臨時協議,目的是為了加強歐盟的團結以及偵測、準備和因應網路安全威脅事件的能力。
歐盟執委會(European Commission)提案的主要目標如下:
(1)提供重大或大規模網路安全威脅事件的偵測和認識。
(2)強化準備、保護重要建設和必要服務。例如醫院和公共設施。
(3)加強歐盟的團結以及成員國之間有一致的危機管理與應變能力。
(4)最後,致力確保公民和企業皆有安全可靠的數位環境。
為了能快速且有效地偵測重大網路威脅,該法規草案建立了「網路安全警報系統」(cyber security alert system),這是一個由歐盟地區的國家和跨國界的網絡樞紐組成的泛歐洲基礎設施,將使用先進的資料分析技術以及時分享資訊,並警告有關跨境網路威脅的相關事件。
該草案亦建立網路緊急機制(cybersecurity emergency mechanism),以增強歐盟對網路安全事件應變的能力,它將包含:
(1)準備行動:包含根據常見的危機情境和方法,測試高度關鍵部門(highly critical sectors)(醫療保健、運輸、能源等)的潛在漏洞。
(2)歐盟網路預備隊:係由經過認證且事先簽約的私人供應商所組成,在歐盟成員國及機構的請求下,對於發生大規模的網路安全事件進行干預及回應。
(3)財政互助:一成員國可以向另一個成員國提供援助。
最後,因應委員會及各國家當局的要求,研議中的法規建立了網路安全事件審查機制,事後對已發生的大規模網路安全事件進行審查、評估、汲取經驗,並提出一份建議報告,從而改善歐盟網路的態勢,以加強歐盟對此些事件的應變能力。
歐盟成員國此次的協議將進一步提高歐洲網路韌性,期能強化歐盟及其成員國在面對大規模網路威脅和攻擊時,能以更有效率的方式進行事前準備、預防以及提升事後從中恢復的能力。
網路安全事件是各國都會遇到的課題,《網路團結法》的發展與相關推動措施值得我們持續追蹤,以作為我國資通安全管理及網路資安事件應變機制之參考方向。
- Cyber solidarity package: Council and Parliament strike deals to strengthen cyber security capacities in the EU, Council of the European Union
- yber solidarity act: member states agree common position to strengthen cyber security capacities in the EU, Council of the European Union
- The EU Cyber Solidarity Act, European Commission
- Cyber Solidarity Act, Bird and Bird
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
梁家祥
副法律研究員 編譯整理
Cyber solidarity package: Council and Parliament strike deals to strengthen cyber security capacities in the EU, Council of the European Union,https://www.consilium.europa.eu/en/press/press-releases/2024/03/06/cyber-solidarity-package-council-and-parliament-strike-deals-to-strengthen-cyber-security-capacities-in-the-eu/ (last visited Apr.11, 2024).
Cyber solidarity act: member states agree common position to strengthen cyber security capacities in the EU, Council of the European Union,https://www.consilium.europa.eu/en/press/press-releases/2023/12/20/cyber-solidarity-act-member-states-agree-common-position-to-strengthen-cyber-security-capacities-in-the-eu/ (last visited Feb.19, 2024).
The EU Cyber Solidarity Act, European Commission,https://digital-strategy.ec.europa.eu/en/policies/cyber-solidarity#SnippetTab (last visited Feb.19, 2024).
Cyber Solidarity Act, Bird and Bird,https://www.twobirds.com/en/capabilities/practices/digital-rights-and-assets/european-digital-strategy-developments/cybersecurity/cybersecurity/cyber-solidarity-act (last visited Feb.19, 2024).
自從2004年聯合國發布之「Who Cares Wins」文件首次提及ESG原則,近年來國際企業不斷倡導ESG原則,即企業針對環境(Environmental)、社會(Social)、公司治理(Governance)三大面向之要求。歐盟從一開始倡導呼籲企業遵守ESG原則的階段逐漸發展為將ESG原則融入具有法律效力之規範。目前歐盟針對ESG原則擁有兩大基石,也就是2019年11月頒布的「歐盟永續財務揭露規則」(Sustainable Finance Disclosure Regulation)以及2020年6月頒布的「永續經濟活動分類規則」(Taxonomy Regulation)。 「永續經濟活動分類規則」係起源於歐盟委員會於2018年3月發布之「歐盟關於金融永續發展行動計畫」。直到2020年6月,歐洲議會與歐盟理事會終於共同公布「永續經濟活動分類規則」,該法規的目的為:為歐盟建立一個統一通用的法律框架,以分類經濟活動是否具有環境永續性。該法規規定所有金融商品都必須根據該分類規則進行分類。對於宣佈具有環境永續性之商品,皆必須揭露如何適用分類規則以及符合該分類規則;而針對不符合環境永續性之其他商品(包括那些具有ESG目標但不具備環境永續性的商品)將必須提出聲明該金融商品未符合歐盟的永續經濟活動分類規則。 而針對金融商品是否具備環境永續性,需視其是否對於下列事項作出重大貢獻。例如:減緩氣候變化;適應氣候變化;水和海洋資源的持續利用和保護;發展可循環性經濟;污染防治;生物多樣性和生態系統的保護和恢復。 「永續經濟活動分類規則」雖然於2020年6月公布,並於同年7月12日生效,但其中許多重要規定仍尚未明文,須待後續授權之施行細則規範。重要時程如下: 2020年12月31日通過就氣候相關目標的科技篩選標準之施行細則。 預計於2021年12月31日通過就所有其他環境相關目標的科技篩選標準之施行細則。 預計於2022年1月1日達成氣候相關之目標。 預計於2023年1月1日達成所有其他環境相關之目標。 隨著歐盟「歐盟永續財務揭露規則」以及「永續經濟活動分類規則」的發展,逐漸將ESG原則融入法規中,可以明顯看出國際間對於ESG原則愈發要求。我國金管會亦跟隨國際潮流,於2020年8月公布之「綠色金融行動方案2.0」提及永續金融之概念,是以,我國企業亦應著重企業自身針對ESG原則之要求,以與國際趨勢接軌。
美國加州網路中立法遭司法部提告美國加州州長Jerry Brown於2018年09月30日簽署該州的網路中立(Net Neutrality)Senate Bill 822法案,但美國司法部(Department of Justice,DoJ)隨即於同日對加州提起訴訟。DoJ指出Senate Bill 822法案牴觸聯邦政府於2018年對於網際網路採取解除管制之政策,該法案意圖阻撓聯邦政策的施行,有違美國憲法。 美國國會於1996年針對電信法(The Communications Act)制定「聯邦或州對網路低度管制(unfettered by Federal or State regulation)」之政策,美國聯邦通訊委員會(Federal Communications Commission,FCC)為符合該政策,於2002年發布命令,將寬頻網路接取服務列為資訊服務(information service),而美國不將資訊服務提供者以公共事業來看待並進行管理。雖然FCC於2015年就網路中立性訂立規則,要求網路服務提供者(Internet Service Provider)應平等處理所有資料,不得擅自降低流量速度、封鎖網站或服務,以確保任何人獲取資訊時不受不合理的限制。但FCC於2017年12月取消網路中立規定,並確保網際網路會在FCC之低度管制措施下,持續維持其自由與開放性。 DoJ及FCC均認為,網際網路本質上為跨州資訊服務,依據美國憲法第6條第2項規定,憲法、聯邦法律及美國對外條約為全國之最高法律,跨州之商務(interstate commerce)應屬聯邦管轄事項而非州管轄事項。因此,在聯邦政府已廢除網路中立性的情形下,且州政府沒有制定州際貿易規範的權限,則加州政府通過Senate Bill 822法案對網路立法監管,針對網路使用頒布違法且極端的法令,是企圖藉由Senate Bill 822法案破壞聯邦政府的規定,不當限制網路自由,與聯邦政府政策有所牴觸,此為違法及不利於消費者。故DoJ聲明其有責任捍衛聯邦政府的特權(prerogatives)以及維護憲法秩序。為此,DoJ起訴聲明為禁止加州執行Senate Bill 822法案,並請求法院判決Senate Bill 822法案無效。 雖然美國聯邦政府廢除網路中立性,但此政策受民主黨、Facebook、Amazon等著名大型科技公司及消費者的抨擊。因此,就DoJ起訴加州Senate Bill 822法案違法,法院是否認同DoJ所主張的牴觸美國憲法,以及美國對於網路中立性議題的後續發展,值得觀察。
澎湖發展風力發電 催生大規模離岸風場「能源」將是本世紀最受注目的議題之一 。為了有效規劃能源配置,台電擬定風力發電十年計畫,規畫在十年內建造30萬瓩的風力發電容量,其中在風車的故鄉—澎湖,計畫催生231部風力發電風車,並將興建台澎海底電纜傳輸電力。未來,澎湖將成為台灣首座大規模的「離岸風場」。 目前我國政府正大力發展再生能源,其中台電計畫在西部沿海大量興建風力發電廠,另外,在離島的澎湖也將大量興建風力電廠。風是澎湖獨特的天然資產,目前台電在澎湖白沙鄉中屯已經建有8部風車,未來將繼續在澎湖設置231部風車。 在荒漠或海上興建風電場,是世界新趨勢,英國 2003年第一個離岸風場開始營運,下一世代新的離岸風電場總容量更將高達120萬瓩,德國兩個離岸風場容量高達30萬瓩,風場發出來的電將傳輸到歐洲中央電網。這些離岸風場不光是建在小島上,還包括以鋼或木頭架在淺海中的風車。
美國國會就外國情報偵察法提出修正草案美國民主黨國會議員針對「外國情報偵察法」(Foreign Intelligence Surveillance Act of 1978, FISA)提出修正草案,2007電子監察法案 (Responsible Electronic Surveillance That is Overseen, Reviewed and Effective Act of 2007, RESTORE Act of 2007),主要目的在提高政府部門對外國人進行電子監聽之門檻,以增加電子監聽之隱私保障。 在911恐怖攻擊事件後,美國有不少電信業者開放其網路供政府部門進行電子監聽。但是隱私保護團體認為此一行為對於美國民眾之個人隱私造成莫大傷害,並對各大電信公司提起訴訟。為協助配合政府監聽要求之電信業者免於此一民事訴訟糾紛,布希政府要求國會修正外國情報偵察法的同時,增訂溯及既往之條款,使過去曾配合政府之監聽要求的電話及網路服務提供業者能免責,不需面對高額求償之訴訟。 儘管隱私保護團體認為該修正草案對於隱私權之保護比現行法規更為周延,但仍認為美國國會還應立法要求政府對於本國人之電話或電子郵件訊息之監聽,必須事先申請獨立之搜索票。但布希政府指出,針對所有可疑目標之監聽均一一申請獨立搜索票將會花費過多時間,影響監聽之效率。 由於此一修正草案具有高度爭議,因此美國國會已於日前延後該修正草案之表決時間,以便就該修正草案進行更周詳之討論。