日本發布《IoT產品資安符合性評鑑制度建構方針》順應國際IoT產品資安政策趨勢
日本經濟產業省於2024年8月23日發布《IoT產品資安符合性評鑑制度建構方針》(IoT製品に対するセキュリティ適合性評価制度構築方針),以順應國際IoT產品資安政策趨勢,因應日益嚴重的資安威脅。
本制度為自願性認證制度,由情報處理推進機構(情報処理推進機構,簡稱IPA)擔任認證機構進行監督。以IoT產品為適用對象,制定共通因應資安威脅之最低標準,再依不同產品特性需求,制定不同符合性評鑑等級,依評鑑結果進行認證,授予認證標章。不同評鑑等級差異如下:
1.等級一:為共通因應資安威脅之最低標準,可由供應商進行自我評鑑,並以評鑑結果檢查清單申請認證標章,IPA僅會針對檢查清單進行形式確認。
2.等級二:係考量產品特性後,以等級一為基礎,制定應加強之標準,與等級一相同係由供應商評鑑,自我聲明符合標準,IPA僅會針對檢查清單進行形式確認。
3.等級三:係以政府機關或關鍵基礎設施業者為主要適用對象,須經過獨立第三方機構評鑑,並以IPA為認證機構進行認證,確保產品值得信賴。
本制度可協助採購者及使用者依資安需求,選用合適的IoT產品,亦有助於日本與國際IoT產品資安符合性評鑑制度進行協作,達成相互承認,減輕IoT產品供應商輸出海外之負擔。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
鄭岱宜
法律研究員 編譯整理
〈IoT製品に対するセキュリティ適合性評価制度構築方針〉,経済産業省,https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_cybersecurity/iot_security/20240823.html(最後瀏覽日期:2024/10/14)。
〈IoT製品に対するセキュリティ要件適合評価・ラベリング制度を開始します〉,独立行政法人情報処理推進機構,https://www.ipa.go.jp/pressrelease/2024/press20240930.html(最後瀏覽日期:2024/10/14)。
周晨蕙,〈日本立法保護及促進重要經濟安全資訊之利用〉,科技法律研究所,2024/08,https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=9233(最後瀏覽日︰2024/10/14)。
美國加州於2019年9月通過AB-5法案(Assembly Bill No. 5),預計於2020年1月正式施行,本法目的在於強化零工經濟下非典型勞務提供者(如平台外送員)的權益保護,於加州現行勞動法令之基礎上,增訂關於各類勞務提供者之特別規定。 依本法主要規範,係推定替雇主(hirer)提供服務的工作者為僱傭契約關係下之僱員(employee),就最低工資、失業保險、勞災、醫療保險等面向,業者應對這些工作者提供等同受僱人之相關權益及保障;若要被例外認定為非成立僱傭關係之獨立承包商,則必須滿足不受公司於工作方面的控制指示、從事與公司通常業務範圍無關之業務、以及有實質接案自由等三要件,並要求業者應以上列標準判定其勞務提供者為僱員或獨立承包商,同時需於例外認定為獨立承包商時提出相關證明。 同時,本法亦考量到施行後其效力對既有營業形態之衝擊,分別採取以下措施: 針對例如派報員、商業捕撈(commercial fishermen)等業別,於本法正式施行後一定期間內,豁免前述列舉之特定領域勞務提供者適用本法來認定其與業者間的契約關係。亦即,在法案生效後的短期內,特定業者暫時不需適用該法所定要件來檢視與勞務提供者間之契約關係,避免本法貿然實施可能導致其無法經營日常業務的困境。 對於醫療保健專業人員、持有牌照之律師、建築師、會計師、證券經紀商等法明文列舉之特定職業,排除適用本法判定勞動關係的特別規定,而非暫時豁免適用。
德國聯邦內閣通過「數位家庭給付法」草案,結合數位科技整併各項出生證明、津貼或補助申請窗口德國聯邦內閣2020年6月24日通過「數位家庭給付法」草案(Entwurf eines Gesetzes zur Digitalisierung von Familienleistungen),該草案由德國聯邦內政、建設及家園部(Bundesministeriums des Innern, für Bau und Heimat, BMI)及德國聯邦家庭、老年、婦女與青年部(Bundesministeriums für Familie, Senioren, Frauen und Jugend, BMFSFJ)共同提出。草案目的在使多項家庭津貼與補助可以透過網路科技整併至單一申請窗口;利用數位科技的電子治理模式,簡化繁複的紙本申請流程,使用「一鍵式」(ein Klick)服務讓民眾可透過電腦或廣為普及的智慧型手機直接申請。 「數位家庭給付法」草案主要規範內容下列3個面向: 整合與家庭相關之津貼或補助項目:為減輕新生兒父母或監護人(Erziehungsberechtigte)的照顧負擔,BMI及BMFSFJ欲將姓名登記、出生通報、父母津貼(Elterngeld)、育兒津貼(Kindergeld)及兒童補助(Kinderzuschlag)等5項服務合併申請(Kombiantrag),匯整至單一申請窗口。 提供機關間個資合法傳輸基礎:由於申請前述的津貼或補助項目時,申請人須向聯邦政府、各邦政府、法定健康保險機構或雇用人申請相關證明文件,未來處理公共服務之機關經申請人同意合法授權下,得跨部門調閱申請服務相關之資料。 符合資訊安全及個資保護的基礎:該法要求應建立可受信賴的數位授權控管措施,且得驗證數位身分之安全層級,相關措施應符合德國「網路近用法」(Onlinezugangsgesetz, OZG)第8條及歐盟「一般個人資料保護規則」(General Data Protection Regulation, GDPR)的規範要求。 聯邦內閣目前已將該草案提交予聯邦議會審查,預計最快自2022年1月1日分階段實施。然而,德國聯邦政府考量新冠肺炎疫情期間,懷孕婦女或年輕父母採用書面申請,將大幅提高感染COVID-19病毒的風險。因此,該法允許合併申請出生證明、補助或津貼,在今年(2020年)於不來梅邦(Bremen)啟動試辦計畫,另預計明年(2021年)將於其他邦展開相關電子化的申請服務。
由Meta案看數位資料商業化面臨之跨國問題於2023年5月22日愛爾蘭資料保護委員會(Ireland's Data Protection Commission, DPC)對於Facebook的母公司Meta將歐盟境內資料傳輸到美國的行為做出開罰12億歐元的決定,並暫停資料跨境傳輸行為,再次引起了各界對於資料跨境傳輸的關注。 針對跨國提供網路服務的企業,如何確保企業處理資料的方式可以符合多國的法規要求,向來是一困難的問題。自從2015年「安全港隱私準則」(Safe Harbour Privacy Principles)被歐盟法院宣告失效後,美國與歐盟試圖就資料跨境傳輸重新達成一個可符合雙方要求的框架,包含2020年被歐盟法院宣告無效的「隱私盾框架」(EU-US Privacy Shield Framework),而2022年3月雙方達成原則性同意的歐盟美國資料隱私框架(EU-U.S. Data Privacy Framework, DPF),惟就美國於同年10月發布用以實施之行政命令(EO 14086),亦於2023年5月被歐洲議會認為對於歐盟境內資料的保護不足。 2023年6月8日英國跟美國共同發布建立英美資料橋(UK-US data bridge)的聯合聲明,以建立起英美之間的資料流動機制,但該英美資料橋是基於歐盟美國資料隱私框架做進一步的擴展,能否符合歐盟對於資料保護的要求,目前尚無法預期。 目前的商業模式中資料跨境傳輸是難以避免的現實困境,各國亦就資料跨境傳輸建立框架,企業需持續關注自身營業所在地之法規變化,以即時因應調整自身管理機制。 本文同步刊登於TIPS網站(https://www.tips.org.tw/)
日本經濟產業省公布自動駕駛後續之政策方針報告書