歐盟委員會發布NIS 2實施條例以定義資安重大事件
歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:
1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。
2. 造成商業機密洩漏。
3. 已造成或能造成自然人死亡。
4. 對自然人健康已造成或能造成大量傷害。
5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。
6. 反覆發生的事件。
7. 符合第5條至第14條特定資訊服務的事件。
實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。
歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
- EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024)
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
毛定瑜
副法律研究員 編譯整理
EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024),https://ec.europa.eu/newsroom/dae/redirection/document/109217 (last visited Nov. 07, 2024).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32022L2555 (last visited Nov. 07, 2024).
隨著資料多元應用,大量個資可能被企業、組織等從銀行、線上零售業者傳輸到雲端、學術機構等,因此在跨境傳輸基礎上需要共同的監管制度,以利資料保護和隱私標準。英國科技產業協會(techUK)和英國金融協會(UK Finance)共同於2017年11月30日呼籲英國政府和歐盟應迅速採取行動,以利於繼續保護消費者和企業在英國退出歐盟(Brexit)後兩地跨境傳輸個資。 另外,在Dentons國際律師事務所提出關於歐盟與英國未來資料共享關係之聯合報告(No Interruptions: options for the future UK-EU data sharing relationship)中,techUK和UK Finance說明英國和歐盟雙方如何達成適當保護協議(adequacy agreement),英國政府亦於2017年8月發布個人資料交換和保護未來合作文件(The exchange and protection of personal data - a future partnership paper),將持續依一般資料保護規則(General Data Protection Regulation, GDPR)調整,而在過渡期間為企業提供監管確定性,而公司亦需重新考慮GDPR於2018年5月實施後相關替代機制,如企業自我約束規則(Binding Corporate Rules, BCRs)、標準契約條款(Standard Contractual Clauses, SCCs)等。由於英國2019年3月脫歐後,將不會直接適用GDPR,因此除非有新的安排,個資在歐盟傳輸仍可能受限,而需昂貴複雜替代機制,故仍應速採取行動: 歐盟和英國應速開始適當保護評估程序(adequacy assessment processes)。 為避免個資傳輸之「懸崖邊緣」(“cliff-edge”),應即為過渡期之安排。 英國應考慮實施其他措施,確保歐盟對英國資料保護框架之擔憂能獲解決,尤其是國家安全目的之資料處理。 英國應確保國際傳輸制度(包括美國在內),與歐盟具相同保護水準,且此作為歐盟適當保護評估的關鍵。
英國Tesco於網域名稱爭議中獲得勝利英國一家連鎖超市Tesco(中文譯名:特易購)於2006年3月8號「英國與威爾斯高等法院」的網域名稱爭議判決中獲得勝訴,該爭議起於Tesco之廣告連結商-Elogicom 公司,向替Tesco建置廣告連結註冊服務之TradeDoubler公司登記了「tesco-diets.co.uk」與「tescodvd.co.uk」兩個網域名稱;系爭域名非指向Elogicom公司所屬網頁,而僅直接指向Tesco網站,企圖以增加使用者連結至Tesco網站之數量賺取高額之廣告連結佣金。 Tesco對Elogicom公司主張商標權之侵害及搭便車,並請求移轉網域名稱;Elogicom則提起反訴請求給付佣金。該案法官認為Elogicom是利用「tesco」之名稱採取「釣魚」(fishing) 的方式,誘引不喜歡利用搜尋引擎而習慣於網路位址列鍵入猜測域名之網路使用者連結至其所設立之錯誤網站,藉由網站之自動連結功能跳頁至Tesco網站而賺取連結佣金,即使該公司並未使用該網站連結至與Tesco有營業競爭關係之網站,但仍因此利用Tesco之名賺取不正當利益並造成Tesco之商譽受到損害,判決Tesco勝訴並駁回Elogicom公司之反訴。
日本經產省於2015年1月15日提出《不正競爭防止法》中期報告書並預計將提出不正競爭防止法修正案為因應日本2014年接連發生重大營業秘密外洩之事件而使日本國內公司蒙受鉅額損失,日本經濟產業省於去年9月開始,積極地展開《不正競爭防止法》修法專家會議,並在2015年1月15日舉行的會議上,揭露了彙整各界公開意見後之《不正競爭防止法》中期報告書(中間とりまとめ),以作為未來修法方向之指引。 該報告書列出之修法方向區分為民事及刑事規定。第一,民事的修正重點有以下三點:(1) 減輕原告(受害企業)之舉證責任,而改由被告(非法使用營業秘密之企業)負擔;(2) 除斥期間之延長:將現行法規定之除斥期間,由10年延至20年;(3) 使用非法營業秘密而製造的物品,禁止轉讓或出口;以及新增邊境措施之規範。 第二,刑事的修正重點則有以下六點:(1) 擴大國外犯罪的處罰範圍:目前現行法僅規範「日本國內所管理之營業秘密」在國外「使用、開示」 之行為,未來將新增處罰在國外之「取得」營業秘密之行為;(2) 新增未遂犯規定,同時將繼續檢討新增共犯及教唆之處罰態樣;(3) 現行法僅規範竊取營業秘密者本人以及藉由前者直接不法取得營業秘密者為處罰對象,但鑒於智慧型手機、平版電腦等裝置(携帯情報通信端末)之普及,造成營業秘密的竊取及使用型態趨向多樣化,是故未來將新增第三人不法取得之相關處罰規定;(4) 使用非法營業秘密而製造的物品,禁止轉讓或出口:新增相關刑罰規定;(5) 法定刑之提高:目前個人最高罰金為1000萬日圓、企業則為3億日圓,未來預計調整罰金之上限;並且,將新增沒收犯罪收益及海外加重處罰之規定;(6) 擬由告訴乃論改為非告訴乃論。 綜上,經產省力爭在2015年1月26日開始的通常國會期間內,依上述之改正要點為基礎,正式提交《不正競爭防止法》之修正案,預計最快將於2016年開始實行新法 ,後續的立法進度,值得吾人持續關注。
歐盟擬立法要求電信業者及ISP業者保留通聯紀錄歐洲議會民眾權益委員會( the European Parliament's civil liberties committee)於2005年11月25日以33票對8票通過新的指令草案,要求電話與網路的通聯紀錄(但不包含內容紀錄)均需被保留6個月到12個月。目前此草案已送交部長理事會(Council of Ministers)審議中。 為避免保留之通聯紀錄遭到濫用,民眾權益委員會要求僅法官可以調閱通聯紀錄,且僅限於調查重大犯罪(例如恐怖份子或是組織犯罪)時始可調閱。但創作及媒體企業協會( the Creative and Meida Business Alliance, CMBA)則希望歐盟能放寬通聯紀錄調閱之限制,允許進行所有犯罪之調查時,特別是在查緝盜版犯罪之情形,能調閱通聯紀錄。 對於業者因配合保留通聯紀錄而增加的額外負擔,則可能透過轉嫁給消費者或是透過整府補貼的方式解決。