美國參議院通過《兒童網路隱私保護法》與《兒童網路安全法》,有望加強兒少網路安全保護力道

在數位時代,兒童及青少年長時間使用網際網路已成為生活常態,然而,兒少在高度使用社群媒體的同時,也透過演算法大量獲取諸如飲食失調、自殘等「有毒內容」(toxic content)。在享受網路便利性的同時,兒少也面臨遭受騷擾、霸凌,被迫轉學甚至輕生等困境,心理健康面臨危機。為解決前揭問題,美國參議院於2024年7月30日通過《兒童網路隱私保護法》(Children’s Online Privacy Protection Act, COPPA)修正法案及《兒童網路安全法》(Kids Online Safety Act, KOSA)之立法,加強兒少網路安全之保護。

COPPA早於1998年制定,並於2000年開始施行,該法案對於網路營運商蒐集未滿13歲兒童之個人資料相關隱私政策訂有規範,惟自訂定後迄今約25年,均未因應時代變遷做出調整,終於在本次會期提出修正草案。另KOSA之立法重點,則在於要求網路平台業者對兒童預設提供最高強度隱私設定,並建立控制措施,提供父母保護子女及認知到有害行為的機制,課予網路平台業者預防及減輕兒童陷於特定危險(如接收宣傳有毒內容之廣告)之義務等。此二法案經參議院投票通過後,合併為一案送交眾議院審核,重點說明如下:

1.將網路隱私保護主體擴張至未滿13歲之兒童及未滿17歲之青少年(下稱兒少),禁止網路平台業者在未經兒少使用者同意情況下,蒐集其個人資料。

2.禁止網路平台業者對兒少投放定向廣告(targeted advertising)。

3.為保護「合理可能會使用(reasonably likely to be)」網路平台的兒少,調整法案適用的「實際認知(actual knowledge)」標準,將適用範圍擴及至「合理可能被兒少使用(reasonably likely to be used)」的網路平台。

4.建立「清除鈕(eraser button)」機制,使兒少及其父母得以要求網路平台業者在技術可行情況下,刪除自兒少所蒐集之個人資料。

5.要求商務部(the Secretary of Commerce)於新法頒布後180日內,應成立並召集兒童網路安全會議(Kids Online Safety Council),進行包含識別網路平台對兒少造成危害之風險,提出相關評估、預防及減輕危害之建議措施及方法、進行與網路對兒少造成危害相關主題之研究等業務。

觀本次可謂美國對於兒少網路保護之重大進展,惟此法案後續是否能順利提請總統簽署成法,正式具約束效力,仍須持續關注眾議院未來動向。

你可能會想參加
※ 美國參議院通過《兒童網路隱私保護法》與《兒童網路安全法》,有望加強兒少網路安全保護力道, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9253&no=57&tp=1 (最後瀏覽日:2026/07/12)
引註此篇文章
你可能還會想看
從美國聯邦最高法院判決探討實用物品設計之著作權保護原則

從美國聯邦最高法院判決探討實用物品設計之著作權保護原則 資訊工業策進會科技法律研究所 法律研究員 龔芳儀 107年8月25日 壹、事件摘要   運動服飾設計製造與銷售公司Varsity Brands, Inc.(後稱Varsity公司)擁有兩百餘件美國平面美術著作,而另一家運動服飾銷售公司Star Athletica, LLC(後稱Star公司)所販售之產品包含啦啦隊用品及啦啦隊服等。   Varsity公司於2014年向美國田納西州西區聯邦地區法院對Star公司提起著作權、商標權等侵權訴訟,本文將針對著作權爭議進行討論,Varsity公司控告Star公司於2010年的產品型錄與網站中所展示的啦啦隊服相似於其五件已註冊為美國著作之啦啦隊服設計,請參見圖一。 資料來源:JD Supra, LLC彙整 圖一 Varsity公司指出Star公司之啦啦隊服相似於Varsity公司已註冊為美國著作之啦啦隊服設計[1]   Varsity公司所擁有之五件平面美術著作[2],如圖二所示,其中兩件(Design 299A與Design 299B)為啦啦隊服照片,另三件(Design 074、Design 078與Design 0815)為啦啦隊服之設計圖稿。被告Star公司認為Varsity公司之設計圖稿明顯是以啦啦隊服之輪廓進行設計,且當隊服缺乏設計時便成為空白之布料而失去啦啦隊服之功能,因此該些設計具有功能性,進而不符合美國著作權法第1302條第4項所指「設計之呈現僅為功能實現(dictated solely by a utilitarian function of the article that embodies it)」而不受保護之設計項目,即設計在作品上之呈現方式,僅展現功能性質,也就是說啦啦隊服上的圖樣設計為凸顯啦啦隊服功能,該些圖樣具功能性而不受著作權所保護。而Varsity公司主張設計師構思設計時並未被要求須考量啦啦隊服之功能、或實際製造之可行性,因此該設計不涉及功能性,而可受美國著作權法所保護。 資料來源:美國田納西州西區聯邦地區法院判決 圖二 Varsity公司之五件美國平面美術著作   美國田納西州西區聯邦地區法院法官[3]認為Varsity公司啦啦隊服可承受劇烈動作、吸汗等功能係屬於實用物品、且其顏色與設計在概念上無法從所依附的啦啦隊服分離,而認定該設計不被著作權法所保護,即Varsity公司所擁有之著作權無效,並在簡易法庭中認同Star公司之見解:啦啦隊員因穿著隊服而產生啦啦隊效果,使觀察者看到穿著啦啦隊服者而知道其為啦啦隊員,若少了啦啦隊服上的設計則失去啦啦隊意象,認為該啦啦隊服具備功能性而無法受著作權所保護,故Star公司無從侵害Varsity公司之五件平面美術著作。   本案經Varsity公司上訴,聯邦第六巡迴上訴法院於2015年推翻了一審法院判決[4],認為Varsity公司啦啦隊服上之設計為圖形設計[5]且可被分離、獨立於啦啦隊服,即圖形設計與啦啦隊服可各別存在,使該些設計可被著作權法所保護。   一、Varsity公司具有有效之著作權(ownership of a valid copyright)   Varsity公司分別於2005年至2008年間於美國著作權局(Copyright Office)完成前述五件平面美術著作註冊,得以推定Varsity公司擁有原創著作。   二、Star公司所抄襲之元素為著作保護標的   針對證明Star公司是否抄襲,Varsity公司須考量Star公司在創作時是否以其著作當作創作模型之事實問題(a factual matter)、進而判斷受Star公司所抄襲之元素是否為著作保護標地之法律問題(a legal matter)。   上訴法院針對法律問題進行討論,列有分離性判斷原則之五個提問,並針對Varsity公司設計之分離性進行分析,如表一所示。 表一 以上訴法院分離性判斷原則比對Varsity公司之設計 上訴法院分離性判斷原則 比對Varsity公司之設計 (1)該設計是否屬「圖畫、圖形及雕塑著作」? Varsity公司之設計已取得平面美術著作註冊,係屬「圖畫、圖形及雕塑著作」 (2)若是,該設計是否為實用物品之設計? Varsity公司之設計係為啦啦隊服之設計,而該啦啦隊服為本質上具有實用性功能之物品,而非僅描繪(portray)該物品之外觀或傳達訊息(information) (3)實用物品之實用面為何? 啦啦隊服本質上之實用性功能為「覆蓋身體(cover the body)」即吸濕氣並承受運動員劇烈之動作 (4)一般設計觀察者是否能從實用物品之實用面辨識出圖畫、圖形及雕塑之設計特徵? 觀察者能辨識Varsity公司設計之圖形特徵,Varsity公司之客戶能從型錄中辨識不同圖形特徵之設計,即可從中挑選客製圖形設計 (5)實用物品之圖畫、圖形及雕塑設計特徵是否能獨立存在於實用物品之實用面? Varsity公司之設計師進行設計圖形特徵時,並未被要求考量啦啦隊服生產過程且該些設計具可換性(interchangeability),推斷圖形設計與啦啦隊服係可分離,可附於其他類型之服飾上,因此圖形特徵能獨立存在於啦啦隊服 資料來源:本研究彙整   另一方面,啦啦隊服之表面圖形設計是為織品設計(fabric design),如符合該分離性判斷標準則屬著作權法保護之範疇;相對地,隊服輪廓剪裁則具有遮蔽、包覆人體等功能係屬於服裝設計(dress design),該功能性則不受著作權保護。   Star公司不服上訴法院判決,本案於2016年進入美國聯邦最高法院[6],法官於2017年3月認同聯邦第六巡迴上訴法院見解,認為Varsity公司啦啦隊服之圖形設計與啦啦隊服可分離,並提出實用物品之設計在符合以下兩構件之分離性判斷原則,即為著作權所保護之標的範圍:(1)當設計特徵可被視成為平面或立體著作並且能與實用物品分離(can be perceived as a two- or three-dimensional work of art separate from the useful arti­cle);以及(2)若該設計特徵符合圖畫、圖形及雕塑著作(pictorial, graphic, and sculptural works, ”PGS works”),可被設想為可分離於實用物品,不管是獨立存在、或者依附於其他媒體上(either on its own or fixed in some other tangible medium of expression),即為著作權所保護之標的。   如表二,根據上述條件與Varsity公司之設計進行比對。Varsity公司啦啦隊服上之線條、圖紋、色塊等圖形設計係屬圖形著作,且該些圖形設計可從啦啦隊服分離,而可依附在其他媒體上、或獨立存在,因此該圖形設計為著作權法所保護之標的,Star公司確實侵害Varsity公司之五件平面美術著作。 表二 以聯邦最高法院分離性判斷原則比對Varsity公司之設計聯邦最高法院分離性判斷原則 聯邦最高法院分離性判斷原則 比對Varsity公司之設計 (1)當設計特徵可被視成為平面或立體著作並且能與實用物品分離。 Varsity公司啦啦隊服上之線條、圖紋、色塊等圖形設計係屬圖畫、圖形及雕塑著作中之圖形著作。 (2)若該設計特徵符合圖畫、圖形及雕塑著作(PGS works),可被設想為可分離於實用物品,不管是獨立存在、或者依附於其他媒體上,即為著作權所保護之標的。 該些圖形設計可從啦啦隊服分離,而可依附在其他媒體上、或獨立存在,如裝飾其他形式之服裝、或裱掛於牆上之圖形藝術,因此該圖形設計為著作權法所保護之標的。 資料來源:本研究彙整 貳、重點說明─實用物品設計是否為著作權標的,應分析與實用物品分離後之圖形設計而非物品本身   美國著作權法並未將屬實用物品之工業設計產品之設計納為保護標的,但工業設計不全是具功能之設計,當工業設計產品之設計附有藝術元素時,該保護界線便難以劃分。   對此,美國著作權法第101條[7](17 U.S.C.§101)提供實用物品之設計有限的著作權保護:當實用物品之設計具備圖畫、圖形及雕塑之藝術特徵(”pictorial, graphic, and sculptural features” of the “design of a useful article”),且該些特徵可被分離、或獨立存在於該物品之實用面(that can be identified separately from, and are capable of existing independently of, the utilitarian aspects of the article),應認為係屬圖畫、圖形或雕塑著作,該特徵便可受著作權法所保護。   進一步分析美國著作權法[8]所定義之實用物品(useful article)係指本質上具備固有的實用功能、並非僅是勾勒物品之外觀或資訊傳達(having an intrinsic utilitarian function that is not merely to portray the appearance of the article or to convey information)。   因此,判斷附於實用物品之藝術特徵是否適用著作權法,應就當實用物品除去藝術特徵後,該藝術特徵是否為著作權法所保護之標的。至於除去藝術特徵之實用物品則維持相似之實用性(remain similarly useful)即可,而非觀察當實用物品除去藝術特徵時是否喪失與原本相同之實用性(equally useful)[9],換言之,有無藝術特徵對實用物品的影響相對次要。   就本案而言,聯邦最高法院判斷啦啦隊服之圖形設計是否受著作權法所保護,並非針對當Varsity公司啦啦隊服移除圖形設計後,而使隊服不具備或削弱了啦啦隊意像而喪失與原本相同之實用性,就此認定該些設計具功能性、而不被著作權法所保護。據此,應將附有設計之Varsity公司啦啦隊服與未有裝飾設計之素白啦啦隊服兩者進行比較,兩啦啦隊服具有相似之實用功能,而針對該些啦啦隊服之設計係屬可分離於啦啦隊服之圖形著作,因此符合著作權法之保護標的。同時,聯邦最高法院根據上訴法院的觀點,敘明前述之判斷並不含括該啦啦隊服之剪裁及規格尺寸,其實質上係為功能設計,即非著作權法所保護之範圍。 參、事件評析   一直以來,實用物品之設計是否具可分離性而受著作權法所保護,美國法院未有一個共通的判決原則因此存在著不確定性,而本案釐清了判斷方法,並提供實用物品之設計是否為著作權法所保護之判斷原則。   如同過去法院或學者對於著作權標的所判斷關鍵,本判決仍著重於可分離性(separability),即設計是否能從實用物品分離,並且該設計可獨立存在或依附在其他物品上。而本判斷原則強調應針對分離後之設計而非物品進行討論,對應到本案即應討論啦啦隊服之設計而非啦啦隊服,即從啦啦隊服分離後之啦啦隊服設計係為圖形著作,屬著作權法之保護標的。   如此,除了讓既有的時尚產業對於服裝設計、布料裝飾等是否受著作權法保護有了較為明確的判斷方法,進而影響了工藝品、文創作品、甚至是逐漸大眾化之3D列印製品[10]等同時具備藝術設計與功能性之物品,其藝術設計特徵是否屬著作權法所保護之標的之辨別。   美國著作權保護標的之圖畫、圖形及雕塑著作,對應於台灣著作權法第5條第4項美術著作(含圖畫與雕塑)與第6項圖形著作,然而台灣著作權法對於實用物品等判斷似未見相關規範,對此美國聯邦最高法院對實用物品設計之可分離性所提出之判斷原則可作為參考。   此外,建議相關企業組織未來若在美國經營服飾、工藝品等銷售,透過美國著作權登記以取得該國著作權法第410條第(c)項[11]所規定享有著作權「初步證據-推定為著作權人」(prima facie)在訴訟上的實益,以及第412條[12]、第504條[13]與第505條[14]所規定之法定損害賠償及律師費用,以強化設計保護及爭訟過程中之主張。   針對服飾上之設計,除了透過著作權保護該些設計之概念表達外,亦可藉由設計專利保護具有設計之服飾,即保護物品之全部或部分之形狀、花紋、色彩或其結合,透過視覺訴求之創作。著作權保護不具功能性之創作表達,而設計專利則針對實體物之外觀設計進行保護;因此當設計本身擁有不具功能性的創作表達、且物品設計外觀符合產業上利用性、新穎性及創作性等設計專利要件,即可同時獲有專利法與著作權法之保護。   當該設計已具有識別性則可透過商標權保護,即藉由圖形、記號、顏色等設計組合產生足以使相關消費者認識其為表彰商品或服務之標識,當然會需要投入相對之行銷資源將該圖形、記號或顏色組合之設計讓大眾知悉且區別商品或服務來源。將設計透過商標保護之另一優點在於,該設計如果具有識別性,便不像設計專利一樣限於依附於特定物品如服飾上,還可將該設計申請註冊商標,指定使用於其他產品甚至服務類別上,更加發揮設計擴大應用。   企業組織可針對所產製之設計,規劃不同階段之智財保護策略,當創作完成時即享有著作權,建議可進行註冊登記將有助訴訟之舉證;當著作物為機械產製,且該些設計符合設計專利之要件時,可同時獲有專利法與著作權法之保護;最後,當行銷資源投入,使該設計逐漸具有識別性,進而可藉由商標註冊完善設計的各面向之智慧財產保護。 [1] JD Supra, LLC, Chevrons, Stripes, Cheerleaders, and Copyright: The Supreme Court Hears Oral Argument in Star Athletica v. Varsity Brands (2016), https://www.jdsupra.com/legalnews/chevrons-stripes-cheerleaders-and-94125/ (last visited Aug 26, 2018). [2] Varsity Brands, Inc. v. Star Athletica, L.L.C., No. 2:10-cv-02508, 2014 WL 819422, at *4 (W.D. Tenn. Mar. 1, 2014). [3] Varsity Brands, Inc. v. Star Athletica, L.L.C., No. 2:10-cv-02508, 2014 WL 819422, at *15 (W.D. Tenn. Mar. 1, 2014). [4] Varsity Brands, Inc. v. Star Athletica, LLC, 799 F.3d 468, 30 (6th Cir. 2015). [5] 17 U.S.C. § 102(a)(5) (2012). [6] Star Athletica, LLC v. Varsity Brands, Inc., 580 U.S. __, 17 (2017). [7] 17 U.S.C. § 101 (2012). [8] 17 U.S.C. § 101 (2012). [9] Star Athletica, LLC v. Varsity Brands, Inc., 580 U.S. at 13. [10] Varsity Brands, Inc. v. Star Athletica, LLC., Brief of Amici Curiae Formlabs Inc., Matter and Form Inc., and Shapeways Inc. in Support of Petitioner, 2016WL537499. [11] 17 U.S. Code § 410 (c) In any judicial proceedings the certificate of a registration made before or within five years after first publication of the work shall constitute prima facie evidence of the validity of the copyright and of the facts stated in the certificate. The evidentiary weight to be accorded the certificate of a registration made thereafter shall be within the discretion of the court. [12] 17 U.S. Code § 412. [13] 17 U.S. Code § 504. [14] 17 U.S. Code § 505.

美國國家公路交通安全管理局公布車輛網路安全最佳實踐,呼籲業界遵循

  美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。   文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。   「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。   「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。   本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。

歐美擴大永續報告書的揭露範圍,企業可透過歷程管理增進資料透明度

根據美國瑞生國際律師事務所(Latham & Watkins)於2024年1月發布的ESG年度報告指出,隨漂綠議題延燒,ESG報告不受信任為一課題,因此國際逐步擴大ESG監管,多國透過立法強制企業應揭露永續報告書或供應鏈資訊,比如:歐盟於2023年1月生效之《企業永續報告指令》(Corporate Sustainability Reporting Directive, CSRD),要求企業揭露的永續資訊需增加供應鏈資訊的透明度;美國證券交易委員會(SEC)於2024年3月6日通過規則,要求上市公司及公開發行公司揭露碳排放報告等氣候風險相關資訊。 為因應ESG帶來的挑戰,報告建議企業應採取流程化管理方式,了解產品進出口涉及的其他國家對ESG揭露資訊的要求,加以規劃並建置資料控管規範、進行人員教育訓練以及確認ESG相關資料的所有權歸屬。 由於碳排放量的計算沒有一致標準,且難以確保供應鏈上下游所提供的碳排資訊真實、未經竄改等問題,外界不容易信任企業永續發展書提倡的供應鏈減碳策略。國內企業可參考資策會科法所創意智財中心發布的《重要數位資料治理暨管理制度規範(EDGS)》,透過流程化管理,從制度規劃及留存供應鏈二氧化碳排放量或二氧化碳減量等產品相關資料歷程來增進ESG資料透明度。 本文同步刊登於TIPS網(https://www.tips.org.tw)

簡介〈歐盟提供合格信任服務者依循標準建議〉

簡介〈歐盟提供合格信任服務者依循標準建議〉 資訊工業策進會科技法律研究所 2021年6月25日 壹、事件摘要   歐盟於2014年通過「歐盟內部市場電子交易之電子身分認證及信賴服務規章」(簡稱eIDAS規章)[1],並於2016年7月正式生效。eIDAS規章是在歐盟1999年電子簽章指令[2]的基礎上,進一步建構一個更安全、更具信賴、更易於使用電子簽章的法律框架,以促進整個歐盟跨境間的電子交易環境,進而達到歐盟數位單一市場的目標[3]。   eIDAS規章共有六章,其核心包含兩大部分[4],在第二章中規範了電子識別機制(Electronic Identification),並於第三章中建構一系列電子交易中相關信任服務(Trust Services, TS)的法律架構,包含電子簽章(Electronic signatures)、電子封條(Electronic seals)、電子時戳(Electronic time stamps)、電子註冊傳輸服務(Electronic registered delivery services)、網站認證(Website authentication)。每種信任服務,又可以區分由一般的信任服務提供者(Trust Service Provider, TSP)或由合格信任服務提供者(Qualified Trust Service Provider, QTSP)提供,要成為QTSP必須經各成員國的監督機關授予合格地位後,才能提供該類合格信任服務(Qualified Trust Service, QTS),在eIDAS規章中合格信任服務具有更高的法律效力。譬如,根據eIDAS規章第25條第2項規定,合格電子簽章(qualified electronic signature)與手寫簽章具有同等的法律效力。   歐盟網路安全局(European Union Agency for Cybersecurity, ENISA[5])於2021年3月發布一份報告,提供合格信任服務者依循標準的建議(Recommendations For QTSPs Based On Standards) [6],給想要申請成為QTSP的業者參考。 貳、重點說明   承前所述,eIDAS規章的目的是要建構一個促進跨境、跨產業的電子交易的環境,為弭平各會員國對於電子識別服務的落差,報告中指出,必須透過法律框架(Legal framework)、信賴框架(Trust framework)、標準化框架(Standardisation framework)共同達成,以提升歐盟數位單一市場中企業和消費者的信任,並促進信任服務和產品的使用。 (一)法律框架   eIDAS規章中規定了9種QTS的安全要求及其提供者的義務,包括: 1.電子簽章的合格憑證; 2.電子封條的合格憑證; 3.網站認證的合格憑證; 4.合格電子時戳服務; 5.合格電子簽章的合格驗證服務; 6.合格電子封條的合格驗證服務; 7.合格電子簽章的合格維護服務; 8.合格電子封條的合格維護服務; 9.合格電子註冊傳輸服務。 (二)信賴框架   其次,eIDAS規章透過事前(ex ante)和事後(ex post)監督的方式,來確保QTSP及其提供的QTS符合eIDAS規章中的法律要求。欲申請成為QTSP須先經過符合性評估機構(Conformity Assessment Body, CAB)的評估,由其出具評估報告後,再由各成員國的監督機關決定是否授予QTSP資格;取得QTSP資格後會受到不定期稽核,且至少每24 個月須再次自費通過CAB評估審核[7]。 (三)標準化框架   eIDAS規章中對各項TS的安全要求是採取技術中立(technology-neutral)的態度,並未限定要採用何種特定技術。換言之,TSP可以透過不同的技術達到eIDAS規章中要求的必要安全程度。事實上,歐盟希望在eIDAS規章所建構的法律框架和信賴框架中,透過產業自律,慢慢形成相關的標準共識。   歐盟從2009年開始,就由歐洲標準化委員會(European Committee for Standardization, CEN)、歐洲電信標準協會(European Telecommunications Standards Institute, ETSI)等歐盟標準化組織協助擬定和更新電子簽章的相關標準,希望可以建立一個更完整的標準化框架,以解決歐盟跨境使用電子簽章遭遇的問題,至今已經建構出一系列電子簽章和相關信任服務的標準,以滿足國際及eIDAS規章的要求,ETSI/CEN與數位簽章有關的標準包含七個面向。 1.介紹性   此類標準主要是關於各類簽章的共通定義、研究、其他關於整體性架構的介紹。 2.簽章的建立與驗證   此類標準主要是關於簽章建立及驗證的政策與安全要求、所要遵循的規則和程序、格式、保護剖繪(Protection Profiles, PP)[8]。 3.簽章建立和其他相關設備   此類標準主要是與電子簽章產生的設備,以及其他與數位簽章相關服務的設備有關。 4.加密   此類標準主要是與簽章的加密有關,譬如金鑰產生演算法(key generation algorithms)和雜湊函數(hash functions)等。 5.支持數位簽章及相關服務的TSP   此類標準主要是關於核發合格憑證的QTSP、網站認證憑證的TSP、時戳服務的TSP、提供簽章驗證服務的TSP等。 6.信任應用服務提供者   此類標準主要與應用電子簽章提供加值服務的TSP有關,如電子傳輸服務、資料檔案長期保存服務等。 7.信任服務資格提供者   此類標準主要與eIDAS規章中信任名單(trusted lists)相關的程序和格式有關[9]。   其中,在ETSI/CEN關於數位簽章的標準中,主要與QTSP有關的標準如下: 1.電子簽章的合格憑證(eIDAS規章第28條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-2、EN 319 412-5)。 2.電子封條的合格憑證(eIDAS規章第38條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-3、EN 319 412-5)。 3.網站認證的合格憑證(eIDAS規章第45條)   ETSI EN 319 411-2(且要符合EN 319 401、EN 319 411-1、EN 319 412-4、EN 319 412-5)。 4.合格電子時戳(eIDAS規章第42條)   ETSI EN 319 421(且要符合EN 319 401)、EN 319 422。 5.合格電子簽章的合格驗證服務(eIDAS規章第33條)   ETSI TS 119 441(且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 6.合格電子封條的合格驗證服務(eIDAS規章第40條)   ETSI TS 119 441(且要符合EN 319 401)、TS 119 442、EN 319 102-1、TS 119 102-2、TS 119 172-4。 7.合格電子簽章的合格維護服務(eIDAS規章第34條)   ETSI EN 319 401、TS 119 511、TS 119 512。 8.合格電子封條的合格維護服務(eIDAS規章第40條)   ETSI EN 319 401、TS 119 511、TS 119 512。 9.合格電子註冊傳輸服務(eIDAS規章第44條)   ETSI EN 319 401、EN 319 521、EN 319 522、EN 319 531、EN 319 532。 參、事件評析   從歐盟ENISA的建議可以瞭解,歐盟希望透過介紹歐盟標準化組織所制定的相關電子簽章標準,來引導資通訊廠商申請成為QTSP,提供歐盟企業和使用者更安全、更值得信賴的電子簽章相關服務,以強化使用者的信心,進而促進整個歐盟電子交易的蓬勃發展。   近年來,我國企業也積極投入數位轉型,在邁向數位化的過程通常需要由外部的資通訊廠商協助。然而,由於企業對於資通訊技術不熟悉,因此在選擇資通訊廠商時,往往不知道如何判斷其專業能力,或許企業可以參考上述的介紹,以該廠商是否符合歐盟相關標準的要求,作為選擇資通訊廠商的參考依據,以確保資通訊廠商的能力具有一定水準,這樣對於企業數位轉型及進軍歐盟市場會相當有助益。    [1]Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv%3AOJ.L_.2014.257.01.0073.01.ENG (last visited Jun. 24, 2021). [2]Directive 1999/93/EC of the European Parliament and of the Council of 13 Dec. 1999 on the a Community Framework for Electronic Signatures, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A31999L0093 (last visited Jun. 24, 2021). [3]參前註1,eIDAS前言(3). [4]中文介紹可參考李姿瑩,〈歐盟eIDAS對國內電子簽章和身分認證規範之可能借鏡〉,《科技法律透析》,第31卷第11期,25-32頁,(2019年11月)。 [5]「歐盟網路安全局」原名為「歐盟網路及資訊安全局」(European Union Agency for Network and Information Security),2019年更改為現名,但該局的英文縮寫仍維持舊稱ENISA。The European Union Agency for Cybersecurity - A new chapter for ENISA, ENISA, https://www.enisa.europa.eu/news/enisa-news/the-european-union-agency-for-cybersecurity-a-new-chapter-for-enisa (last visited Jun. 24, 2021). [6]European Union Agency for Cybersecurity [ENISA], Recommendations for Qualified Trust Service Providers based on Standards (2021), https://www.enisa.europa.eu/publications/reccomendations-for-qtsps-based-on-standards (last visited Jun. 24, 2021). [7]參前註1,eIDAS規章第20條。 [8]保護剖繪是指申請者依共同準則規章(common criteria, CC)製作之資通安全產品安全基本需求文件,可提供資通安全產品開發者開發產品之依據。〈常見問題/Q02.何謂保護剖繪?〉,國家通訊傳播委員會,https://ise.ncc.gov.tw/faq(最後瀏覽日:2021/06/24)。 [9]參前註1,eIDAS規章第22條第2項、第4項。

TOP