歐盟委員會發布NIS 2實施條例以定義資安重大事件
歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:
1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。
2. 造成商業機密洩漏。
3. 已造成或能造成自然人死亡。
4. 對自然人健康已造成或能造成大量傷害。
5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。
6. 反覆發生的事件。
7. 符合第5條至第14條特定資訊服務的事件。
實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。
歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
- EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024)
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
毛定瑜
副法律研究員 編譯整理
EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024),https://ec.europa.eu/newsroom/dae/redirection/document/109217 (last visited Nov. 07, 2024).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32022L2555 (last visited Nov. 07, 2024).
美國布希政府為捍衛1998兒童線上保護法(1998 Child Online Protection Act),要求法院命Google提交有關民眾使用該公司之搜尋引擎所輸入之關鍵字資料,以證明透過搜尋引擎,兒童使用電腦連結到色情網站並非不易。但是,Google主張此將會危及其使用者個人的隱私以及其營業秘密。 一名負責審理此案的法官於日前表示,其將會考量政府蒐集此等資料的需求以及Google之使用者的隱私保護議題,且其可能會允許司法部 (Justice Department) 可以接近使用 (access) 一部分由Google所建立的網站連結目錄,但並不是Google使用者所輸入的關鍵字資料。
日本智慧財產推進計畫2015分析(中)日本智慧財產推進計畫2015分析(中) 資策會科技法律研究所 104年10月02日 日本智慧財產戰略本部於今年6月19日所公布「智慧財產推進計畫2015」[1],係以智慧財產的創造、保護、活用及三者間的有效連接作為宗旨,並以少子高齡化與地方經濟衰退、智財糾紛處理機制的使用狀況和便利性、以及內容產業海外拓展的潛力及對智財戰略之重要性為背景,提出三項核心議題並分別剖析各項議題其現狀課題及主管部會應努力之方向,其中第二項議題「活化智財紛爭處理機制」之內容如下: 一、活化智財紛爭處理機制 (一)現狀與課題 1. 證據收集未見確實 在訴訟中,為能作成適切的裁判,原告、被告兩側需提出充分的證據,惟專利侵權訴訟中,多數情況下證據是為被告所掌握,權利人主張侵權之立證較為困難,就此日本認為應就以下三點檢討證據收集程序的機能:在訴訟開始的階段,確保爭點整理之程序充分發揮效用;確保「文書提出命令」作為證明被告有侵害事實有力手段之一,能充分發揮效用;作為證據收集的前提,確保證據保全制度能充分發揮效用。 2.權利安定性不足 從權利賦予乃至於紛爭處理的過程中,專利權等智財權之安定性亦相當重要。日本於2004年針對專利侵權訴訟,於專利法新增第104條之3[2],導入「專利無效抗辯」之制度,其後雖然有意見認為應廢止專利無效抗辯制度,但整體而言因無效抗辯制度的導入,確實使專利無效訴訟(無効審判)審理遲緩的狀況明顯獲得改善。而由於2015年日本再度導入專利異議制度(異議申立制度)[3],因此無論就權利者及疑似侵權者之間的平衡,或是產業政策上就專利權進步性要件的判斷等,本年度的推進計畫中均指出有就本條之內容再作檢討之必要。 3.損害認定額偏定 在損害賠償的額度方面,雖然在歷年來多次專利法之修正後已經獲得一定程度的改善,但普遍看法仍認為訴訟實務上法院所認定的侵權損害賠償數額,和商業實態上所造成的影響及需求相比仍是顯然偏低。另日本為求簡化便利損害賠償額的舉證難度,雖已於1998年修正專利法第102條[4]之規定,但於司法實務上並未能充分運用,加以民法上對不法行為之賠償側重實際上造成之損害,而未能從研究開發投資所得之專利權受損之角度思考,造成日本在專利權等智財糾紛中損害賠償額普遍偏低,此一問題仍有待解決。 4.中小企業專利權人不易勝訴 根據日本知的財產戰略事務局之統計,日本專利侵權訴訟中有約六成為中小企業提起,但扣除和解之部分單以終局判決而言,中小企業的原告勝訴率在二成以下,其中對大企業的勝訴率更不到一成,探究其原因,日本認為除了中小企業與專利、法律專業人員間合作程度有所不足外,在權利取得的階段就未能針對未來權利行使、保護充分進行戰略性規劃也可能是問題所在,故應對中小企業的權利取得、行使及訴訟進行上給予一定的支援。 (二)今後施政方向 日本為強化智財紛爭解決體系的機能,於2015年智財推進計畫中指出三個方向:首先是「強化智財紛爭處理體系的機能」,在權利人及侵害嫌疑人間地位平衡的前提下,對證據收集手續、損害賠償額、權利安定性和禁制令的核發等各方面為綜合性的檢討;其次是「促進智財紛爭處理體系的活用」,針對中小企業與大企業的往來過程中,就智財保護、紛爭預防、訴訟對應等面向提供進一步的支援,例如廣設據點提供充分的諮詢、提供具有訴訟實績的專家團隊、減輕進行訴訟之負擔等。此外針對「智財紛爭處理有關之資訊普及化」,為創造能因應經濟全球化之商業環境,除有必要將日本智財相關法令翻譯為英文提供予世界各國,尚應持續針對各國法院、專利局、及訴訟外紛爭解決等智財紛爭處理體系,與日本制度間的異同進行調查研究並公開揭露。 (三)小結 智慧財產權的保護和國家經濟發展息息相關,而僅有優質的專利申請程序及審查品質,仍無法達到健全智慧財產制度及其相關產業之目的,完善的智慧財產爭議解決程序,乃其中不可或缺之一環。有鑑於此,我國於2008年7月參考德、美、日等智財先進國家之作法成立智慧財產法院,目的即在於藉由專業的審判人員及程序,解決具備國際性及高等專業性的智慧財產案件,進而達到智慧財產案件審判的專業化、效率化。 而在智慧財產法院成立已滿七年的今日,學術界和產業界仍持續對提出各項檢討意見,例如法院於專利侵權訴訟中可自行就個案認定專利無效影響專利安定性、專利權人勝訴率偏低、損害賠償數額偏低、訴訟當事人審級利益保障不足等[5],此等議題和前揭日本智財推進計畫中所提出「活化智財紛爭處理機制」,當中的各項現況與課題同質性甚高,由此可知我國及日本目前在強化智財紛爭處理機制上,均面臨類似的問題有待克服。 二十一世紀為知識經濟時代,由於科技發展及商業型態的多元化,以知識產能為基礎所形成的專利、商標及著作權等智慧財產權,不僅 性質上與傳統的財產權有異,在權利保護上亦有不同的面貌。尤其高科技產業發達與否,攸關國家競爭力,而以鉅額投資研發取得高科技成果,常存有多種智慧財產權,必須藉由法律程序的保護,始能確保該產業在國際市場的競爭力。因此,就法律層面而言,必須建構妥適保護智慧財產權的制度程序,方足以維持國家在國際社會的競爭力[6]。我國後續或可參考前述日本作法,從事前紛爭預防和事後案件處理兩個面向同時著手,降低智財紛爭的發生率並提高解決效率和滿意度,逐步實現活化智財紛爭處理機制之目標。 [1]〈知的財産推進計画2015〉,知的財産戦略本部,http://www.kantei.go.jp/jp/singi/titeki2/kettei/chizaikeikaku20150619.pdf(最後瀏覽日:2015/08/14) [2] 特許法(昭和三十四年法律第百二十一号)第百四条の三(特許権者等の権利行使の制限):「特許権又は専用実施権の侵害に係る訴訟において、当該特許が特許無効審判により又は当該特許権の存続期間の延長登録が延長登録無効審判により無効にされるべきものと認められるときは、特許権者又は専用実施権者は、相手方に対しその権利を行使することができない。 2 前項の規定による攻撃又は防御の方法については、これが審理を不当に遅延させることを目的として提出されたものと認められるときは、裁判所は、申立てにより又は職権で、却下の決定をすることができる。 3 第百二十三条第二項の規定は、当該特許に係る発明について特許無効審判を請求することができる者以外の者が第一項の規定による攻撃又は防御の方法を提出することを妨げない。」 [3] 日本於2003年廢止原有之專利異議制度,2015年專利法修正時雖再度納入,但其內容及性質與舊法時之規定略有不同。 [4] 特許法第百二条第一項(損害の額の推定等):「特許権者又は専用実施権者が故意又は過失により自己の特許権又は専用実施権を侵害した者に対しその侵害により自己が受けた損害の賠償を請求する場合にお いて、その者がその侵害の行為を組成した物を譲渡したときは、その譲渡した物の数量(以下この項において「譲渡数量」という。)に、特許権者又は専用実施 権者がその侵害の行為がなければ販売することができた物の単位数量当たりの利益の額を乗じて得た額を、特許権者又は専用実施権者の実施の能力に応じた額を 超えない限度において、特許権者又は専用実施権者が受けた損害の額とすることができる。ただし、譲渡数量の全部又は一部に相当する数量を特許権者又は専用 実施権者が販売することができないとする事情があるときは、当該事情に相当する数量に応じた額を控除するものとする。」 [5] 李素華,〈智慧財產法院運作之觀察與檢討-以專利侵權訴訟為中心〉,《全國律師》,第18卷第10期,頁18以下。 [6] 同註5,頁42。
英國氣候過渡計畫小組公布氣候揭露報告框架的最終版本英國氣候過渡計畫工作小組(Transition Plan Taskforce,以下稱TPT)於2023年10月9日公布其氣候揭露報告框架(TPT Disclosure Framework,下稱「框架」)最終版本及使用指引。TPT是英國財政部在2022年4月成立,負責建立氣候過渡計畫準則。TPT則於2022年11月提出框架草案,並開始徵詢產官學界意見,最後提出正式版本。 TPT框架建議企業以宏觀、有策略的方式制定氣候過渡計畫。TPT框架從企圖心、行動力和當責性三項原則出發,分別就五個必須揭露的事項說明如何在氣候揭露報告中呈現企業的氣候過渡計畫: 一、企圖心:說明企業的基礎事項,例如氣候戰略目標和商業模式。 二、行動力:說明過渡計畫的執行策略、以及擴大參與的策略。 三、當責性:說明將採用哪些指標與標的來監督計畫的執行、以及如何將過渡計畫融入企業的治理當中。 TPT也配合框架內容制定行業指引,目前已公布40個行業摘要(Sector Summary),簡述各行業可用的脫碳手段、指標與目標。未來還將公布針對銀行業、資產擁有者、資產管理者、電力公用事業和電力發電機、食品與飲料、金屬與礦業、石油和天然氣等7個行業的深度剖析(Sector Deep Dives)。 此外,TPT網站上也提供TPT框架與相關國際主流框架或準則之比較報告給各界參考,要使這套由英國自行開發、為英國內部量身打造的框架也能接軌國際,其未來實施成效值得繼續追踪觀察。
歐盟環保新指令 科技業2,000億產值受衝擊歐盟將於今年8月實施兩大環保新指令,廠商生產的電機電子產品,包括材料、元件、製程等,都必須符合可回收55%至75%的規定,才准輸往歐盟,預估將影響國內科技業者輸出產值達新台幣2,000億元。 台灣區電機電子公會調查,中大型電子業廠商大都準備完成,中小型業者則未必。前年我國電子產品輸出金額達1兆元,屬於中小型零件廠製造的產值超過三分之一,金額達3,500億至4,000億元。經濟部委託工研院調查,國內可能面臨重大衝擊,預估有44項產品受管制,占歐盟管制81項產品的一半以上。業者的回收成本將增加3%至5%,調整產品材質及零件成本也提高5%至10%。 歐盟實施的環保指令分別是:廢電機電子指令(WEEE)、危害物質限用指令(RoHS)。前者是針對10大廢電機電子品,建立回收體系,並達成法定一定的回收率55%至75%,要求至2006年12月,每年每人回收4公斤。後者是國際企業必須自我要求8月完成停止使用含有重金屬鉛、汞等六種化學物質的電子產品,如IC封裝、電腦塑膠零件等。2006年7月將全面禁止輸入。