2024年保護美國人資料免受外國對手侵害法案即將於2024年6月生效，為美中資料傳輸增加限制

　　日本公平交易委員會（公正取引委員会，下稱日本公平會）於2022年6月2日宣布，已認可智遊網集團（Expedia，日文原文為エクスペディア）針對其網站線上旅館訂房服務經營方式可能違反公平競爭秩序的情形，所提出的約定改善計畫（確約計画）。依日本獨占禁止法第48條之2、第48條之3規定，受日本公平會通知有違反獨占禁止法疑慮的業者，於規定期限內提出約定改善計畫後，日本公平會審酌認為其計畫之落實能有效消除違法疑慮時，即得作成認可該計畫之行政處分。基此，智遊網集團後續得藉由落實該約定改善計畫，來排除上述經營方式牴觸獨占禁止法第19條禁止業者採取不公正交易方法規範的疑慮。 　　按獨占禁止法，其立法目的為確保與促進市場的公平與自由競爭，主要規範關於獨占、聯合與結合等行為；至於針對不公平競爭行為，則另訂「不正競爭防止法」加以規範，而與我國公平交易法合併規範獨占等與不公平競爭行為之立法架構有所不同。 　　根據日本公平會依獨占禁止法規定所進行調查，智遊網集團經營的線上旅館訂房預約網站Expedia，與位在日本國內的旅館設施經營經營業者所締結的契約中約定，日本旅館經營業者在Expedia網站上刊載提供的住宿費用與房間數等條件，需優於或至少等同於與該特定旅館業者在其他訂房服務通路所提供的條件。並且，智遊網集團進一步依據該約款，主動要求旅館經營業者遵守該條件，或由日本之智遊網分公司協助向旅館業者請求。日本旅館業者受此條款拘束，亦影響了與Expedia網站存在競爭關係的訂房網站經營業者之事業活動。例如，其他訂房網站經營業者自行負擔成本提供特定旅館業者之訂房優惠時，因其價格優於該旅館業者刊載於Expedia網站之條件，而被迫中止該訂房網站的優惠活動。 　　日本公平會於2022年2月25日將上述審查結果依獨占禁止法法第48條之2通知智遊網集團，要求其針對上述經營行為提出約定改善計畫，以恢復公平競爭秩序。而智遊網依此提出的約定改善計畫，主要內容包含： （1）停止、以及不再締結上述約款與要求業者履行約款等行為； （2）將上述決定與作為通知旅館經營業者、以及智遊網集團自家的員工； （3）定期向日本公平會報告上述改善措施的落實狀況等。

美國公布實施零信任架構相關資安實務指引 資訊工業策進會科技法律研究所 2022年09月10日 　　美國國家標準技術研究院（National Institute of Standards and Technology, NIST）所管轄的國家網路安全卓越中心（National Cybersecurity Center of Excellence, NCCoE），於2022年8月前公布「NIST SP 1800-35實施零信任架構相關資安實務指引」（NIST Cybersecurity Practice Guide SP 1800-35, Implementing a Zero Trust Architecture）系列文件初稿共四份[1] ，並公開徵求意見。 壹、發布背景 　　此系列指引文件主要係回應美國白宮於2021年5月12日發布「改善國家資安行政命令」(Executive Oder on Improving the Nation’s Cybersecurity) [2]當中，要求聯邦政府採用現代化網路安全措施（Modernizing Federal Government Cybersecurity），邁向零信任架構（advance toward Zero Trust Architecture）的安全防護機制，以強化美國網路安全。 　　有鑑於5G網路、雲端服務、行動設備等科技快速發展，生活型態因疫情推動遠距工作、遠距醫療等趨勢，透過各類連線設備隨時隨地近用企業系統或資源進行遠端作業，皆使得傳統的網路安全邊界逐漸模糊，難以進行邊界防護，導致駭客可透過身分權限存取之監控缺失，對企業進行攻擊行動。為此NIST早於2020年8月已公布「SP 800-207零信任架構」（Zero Trust Architecture, ZTA）標準文件[3] ，協助企業基於風險評估建立和維護近用權限，如請求者的身分和角色、請求近用資源的設備狀況和憑證，以及所近用資源之敏感性等，避免企業資源被不當近用。 貳、內容摘要 　　考量企業於實施ZTA可能面臨相關挑戰，包含ZTA部署需要整合多種不同技術和確認技術差距以構建完整的ZTA架構；擔心ZTA可能會對環境運行或終端客戶體驗產生負面影響；整個組織對ZTA 缺乏共識，無法衡量組織的ZTA成熟度，難確定哪種ZTA方法最適合業務，並制定實施計畫等，NCCoE與合作者共同提出解決方案，以「NIST SP 800-207零信任架構」中的概念與原則，於2022年8月9日前發布實施零信任架構之實務指引系列文件初稿共四份，包含： 一、NIST SP 1800-35A：執行摘要（初稿）（NIST SP 1800-35A: Executive Summary (Preliminary Draft)） 　　主要針對資安技術長（chief information security and technology officers）等業務決策者所編寫，可使用該指引來瞭解企業於實施ZTA所可能遭遇挑戰與解決方案，實施ZTA所能帶來優點等。 二、NIST SP 1800-35B：方法、架構和安全特性（初稿）（NIST SP 1800-35B: Approach, Architecture, and Security Characteristics (Preliminary Draft)） 　　主要針對關注如何識別、理解、評估和降低風險的專案經理和中層管理決策者所編寫，闡述風險分析、安全/隱私控制對應業務流程方法（mappings）的設計理念與評估內容。 三、NIST SP 1800-35C：如何操作指引（初稿）（NIST SP 1800-35C: How-To Guides (Preliminary Draft)） 　　主要針對於現場部署安全工具的IT 專業人員所編寫，指導和說明特定資安產品的安裝、配置和整合，提供具體的技術實施細節，可全部或部分應用指引中所揭示的例示內容。 四、NIST SP 1800-35D：功能演示（初稿）（NIST SP 1800-35D: Functional Demonstrations (Preliminary Draft)） 　　此份指引主要在闡述商業應用技術如何被整合與使用以建構ZTA架構，展示使用案例情境的實施結果。 參、評估分析 　　美國自總統發布行政命令，要求聯邦機構以導入ZTA為主要目標，並發布系列指引文件，透過常見的實施零信任架構案例說明，消除零信任設計的複雜性，協助組織運用商用技術來建立和實施可互操作、基於開放標準的零信任架構，未來可預見數位身分將成為安全新核心。 　　此外，NIST於2022年5月發布資安白皮書－規劃零信任架構：聯邦管理員指引[4] ，描繪NIST風險管理框架（Risk Management Framework, RMF）逐步融合零信任架構的過程，幫助聯邦系統管理員和操作員在設計和實施零信任架構時使用RMF。 　　我國企業若有與美國地區業務往來者，或欲降低遠端應用的安全風險者，宜參考以上標準文件與實務指引，以建立、推動和落實零信任架構，降低攻擊者在環境中橫向移動和提升權限的能力，與保護組織重要資源。 [1] Implementing a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://www.nccoe.nist.gov/projects/implementing-zero-trust-architecture (last visited Aug. 22, 2022). [2] Executive Order on Improving the Nation’s Cybersecurity, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/presidential-actions/2021/05/12/executive-order-on-improving-the-nations-cybersecurity (last visited Aug. 22, 2022). [3] SP 800-207- Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/publications/detail/sp/800-207/final (last visited Aug. 22, 2022). [4] NIST Releases Cybersecurity White Paper: Planning for a Zero Trust Architecture, NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY, https://csrc.nist.gov/News/2022/planning-for-a-zero-trust-architecture-white-paper (last visited Aug. 22, 2022).

　　法國國家研究會議﹙French National Research Council﹙CNRS﹚﹚的科學家，過去三年持續投入奈米碳管的毒性研究，包括奈米管在環境中所引起的污染反應、其對人體的危害，以及如何以較清潔的方式從事奈米碳管的生產製造。這個研究計畫將側重於目前常為產業利用的各式奈米管。 　　目前，奈米碳管在全球的製造量高達每年數百噸之譜。優越的機械及電子性能，促使奈米碳管被大量運用在平面螢幕及汽車產業當中，甚至利用在運動產品之上。然而，除了擴增的應用領域之外，其對人體健康及環境的影響迄今尚未受到重視。使用奈米管的物質通常被當做一般廢棄物來處理，就其對於環境的影響，人們更是一無所知。 　　法國CNRS的科學家希望能夠釐清這樣的問題。目前，研究人員的觀察重點將在奈米碳管如何影響水生環境﹙aquatic environments﹚，以及兩棲生物在奈米管流佈的環境中如何生存及反應。此外，科學家們同時觀察奈米材料如何影響人體健康：他們正在觀察及研究巨嗜球﹙macrophage cells﹚如何與奈米碳管互動，以及在這種暴露環境下，實驗用鼠的肺部是否會產生發炎症狀。經由初步的實驗，科學家們發現人體會將奈米管視為異物，進而引發發炎反應。 　　接下來，CNRS會進一步研究如何以更清潔且對環境友善的方式來製造奈米管。

　　2018年英國頒布電子通訊之網路與資訊系統規則（The Network and Information Systems Regulations 2018），該規則實施歐盟2016年網路與資訊系統安全指令（Network and Information Security Directive, NIS Directive）。該規則分成幾個部分，第一部分是介紹性條文，例如介紹網路及資訊系統之定義：「（a）2003年通訊法（Communications Act 2003）第32條第1項所指的電子通訊網路；（b）一組或多組互聯或相關設備，其中之設備或程序根據程式自動化處理數位資料；（c）為操作、使用、保護和維護目的，由（a）或（b）款所涵蓋的儲存、處理、檢索或傳輸的數位資料。」 　　第二部分是英國政府相關組織架構規定，包括網路及資訊系統的國家政策（The NIS national strategy）、國家權責機關的指定（Designation of national competent authorities）、單一聯絡點的指定（Designation of the single point of contact）、電腦安全事件應變小組的指定（Designation of computer security incident response team）、執行機關的資訊分享（Information sharing–enforcement authorities）、北愛爾蘭的資訊分享（Information sharing–Northern Ireland）。 　　第三部分則是基本服務營運商（類似於我國的關鍵基礎設施營運商）與其職責，包括基本服務營運商的確定、營運權廢止、基本服務營運商的安全維護職責、事故通報的責任等。根據第8條第1項之規定，如果營運商提供本規則附表2所載明的基本服務（包括電力、石油、天然氣、航空運輸、船務運輸、鐵路運輸、公路運輸、醫療健康、數位基礎設施等），並且符合基本服務一定門檻要求者，則該廠商即被視為基本服務營運商（operator of an essential service, OES）。舉例而言，規章之附表2第1項載明，營運商提供電力供應之基本服務者，其一定門檻要求包括：若營運商位於英國，符合「為英國國內超過25萬名消費者提供電力服務」或「輸電系統的發電量大於或等於2 gigawatts」之條件者，該營運商即為基本服務營運商（OES）；若營運商位於北愛爾蘭，則應「依據北愛爾蘭1992年的電力法規命令取得供電執照」，且「為北愛爾蘭境內超過8千名消費者提供電力服務」，或符合「發電量大於或等於350 megawatts」等條件，則該營運商即為基本服務營運商（OES）。 　　再者，若營運商符合第8條第3項所列之條件，則可由主管機關指定為基本服務營運商（OES）。此外，主管機關可根據第9條撤銷基本服務營運商（OES）的認定，基本服務營運商（OES）必須履行第10條規定的安全維護責任，並對於第11條規定的事件負有事故通報的責任。 　　第四部分則是數位服務，包括相關數位服務提供者、成員國跨境合作與行動、向資訊專門委員進行登記（Registration with the Information Commissioner）、資訊通知（Information notices）、檢查權限、違反義務之強制執行、裁罰、對行政機關裁罰決定之獨立審查、罰鍰之執行、費用、裁罰程序、執法行為的一般考量因素、審查與報告。