歐盟委員會發布NIS 2實施條例以定義資安重大事件
歐盟委員會於2024年10月17日通過了歐盟第2022/2555號《於歐盟實施高度共通程度之資安措施指令》(Directive (EU) 2022/2555 on measures for a high common level of cybersecurity across the Union,下稱NIS 2)的第一個實施條例(下稱「實施條例」)。NIS 2要求企業發生重大事件(Significant incident)後24小時內,應向會員國主管機關通報,依實施條例之規定,符合以下任一條件會被視為重大事件:
1. 造成超過50萬歐元或上一年度營業額5%以上的直接財務損失。
2. 造成商業機密洩漏。
3. 已造成或能造成自然人死亡。
4. 對自然人健康已造成或能造成大量傷害。
5. 疑似惡意且未經授權的存取網路和資訊系統造成嚴重運作中斷。
6. 反覆發生的事件。
7. 符合第5條至第14條特定資訊服務的事件。
實施條例主要在於補充上述條件的第6項及第7項。第6項規定於實施條例的第4條,定義「反覆發生」的要件,包含:(1)6個月內發生兩次;(2)有相同的根本原因;(3)大致符合超過50萬歐元或年營業額5%以上的直接財務損失。第7項則在實施條例的第5條至第14條列舉特定資訊服務提供者的重大事件條件,而其他資訊服務則包含DNS(domain name system)服務、TLD(top-level domain)網域註冊管理、雲端運算服務、資料中心服務、內容交換網路、託管服務、網路商城、搜尋引擎、社群網路服務、信託服務等,對於不同服務可能造成的影響各別列舉視為重大事件的條件。
歐盟委員會發布該實施條例確立何謂重大事件,並依歐盟考量資訊安全威脅所制定的NIS 2,將公共電子通訊網路或服務、會員國等進行連結,要求會員國設置資訊安全主管機關、危機管理機構、資訊安全聯絡點等義務,建立資訊安全通報機制,確保歐盟有整體的資訊安全戰略及框架,阻止潛在危機擴散。我國於2018年已制定《資通安全事件通報及應變辦法》並建立四級資通安全事件的標準,其標準以機敏或業務資訊遭洩漏對機密性的影響、資通系統遭竄改對完整性的影響,以及資通系統運作遭中斷對可用性的影響為依據,但並未對不同類型服務有制定更精細的定義。歐盟實施條例中有關重大事件之定義,可做為我國相關主管機關參考對象,研擬更準確的資通安全事件標準。
- EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024)
- Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
毛定瑜
副法律研究員 編譯整理
EUROPEAN COMMISSION, COMMISSION IMPLEMENTING REGULATION (EU) …/...of 17.10.2024 (2024),https://ec.europa.eu/newsroom/dae/redirection/document/109217 (last visited Nov. 07, 2024).
Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance), European Union, https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:32022L2555 (last visited Nov. 07, 2024).
2017年12月14日美國聯邦通信委員會(Federal Communications Commission, FCC)以3票對2票表決通過,廢止自2015年來所採取網路寬頻服務的高壓監管規定,並恢復了原來所採取低管制監管框架。支持者與反對者分別來自兩個不同的黨派。 經過詳細的分析以及對消費者和利益相關者的評論廣泛審查後,委員會認為自2015年來對網路寬頻服務採取的高壓規定,對整個網路生態系統施加了巨大的成本。為了取代這個嚴格的框架,FCC重新採用2015年之前的傳統低管制監管框架。 FCC 特別要求行動寬頻服務業者應公開揭露其網路管理政策例如:如何處理網路安全與壅塞問題、服務內容與商業條款等,以利於消費者與業者進行有效選擇,並促進政府對寬頻業者的行為進行有效的監督。此外 ,FCC恢復了聯邦貿易委員會(Federal Trade Commission, FTC)的管轄權,以便在寬頻業者從事反競爭、不公平或欺騙行為時採取行動。 在對消費者的影響方面,自由市場的支持者認為,付費優先的作法,意味在寬頻基礎建設上會有更多投資,使得上網和整體資料傳輸速度大為增加。 為達上述目標,委員會所採取之具體措施如下: 將寬頻接取服務(包括固定與行動寬頻服務)重新歸類為資訊服務。 將行動寬頻接取服務恢復歸類為私人行動服務。 將網路服務提供者有關隱私保護、不公平、詐欺和反競爭行為之管轄權回歸由聯邦貿易委員會負責。 要求網路服務提供者向消費者、企業和委員會揭露有關其做法的訊息,包括阻止,限制,支付優先次序或附屬優先次序。 此外FCC又禁止各州限制擴建寬頻網路服務的法律。據FCC統計,大約20個州有限制社區寬頻網路服務活動的法律,這些州的法律不公平地限制政府部門與有線電視和電信寬頻服務提供商的競爭。 FCC通過該案後引發不少如Google、Facebook及Netflix等科技公司,與消費者保護環體齊力撻伐,認為ISP業者在FCC力挺下,將可隨意限制民眾上網瀏覽的內容,大企業因此具優先權,不利新創網路公司生存發展,且投下反對票的政黨表示,將率領各州對聯邦傳播委員會這項決定提出法律挑戰,透過訴訟尋求翻盤機會。
拜登政府宣布採取促進負責任AI創新之新行動,以保護美國人民權利與安全拜登政府於2023年5月4日宣布將採取促進負責任AI創新之新行動,表示公司於部署或公開其產品前,應致力於降低AI風險,並強調風險管理與保障措施的重要性,以防止AI對個人與社會造成潛在危害。此外,拜登總統於2月簽署「透過聯邦政府進一步推動種族平等和支持弱勢群體」行政命令(Executive Order on Further Advancing Racial Equity and Support for Underserved Communities Through The Federal Government),指示聯邦政府機關在設計和使用AI等新技術時,應避免偏見,並保護公眾免受演算法歧視。促進負責任AI創新之新行動包括: 一、投資負責任AI的研發 美國國家科學基金會(National Science Foundation)宣布撥款1.4億美元以啟動7個新的國家AI研究所,未來全美將有25個國家級AI研究所。除有助於促進公私部門之間合作外,將強化AI研發基礎設施、支持多元化AI勞動力發展,及推動氣候、農業、能源、公共衛生、教育與資安等關鍵領域之突破。 二、公開評估現有的生成式AI系統(generative AI systems) Anthropic、Google、Hugging Face、微軟、NVIDIA、OpenAI和Stability AI等領先AI開發商將參與AI系統獨立公開評估,以評估其模型是否符合AI權利法案藍圖(Blueprint for an AI Bill of Rights),及AI風險管理框架(AI Risk Management Framework)所提出之原則與實踐,並使企業及開發人員能就所發現問題,進一步採取解決措施。 三、提出政策引導聯邦政府減輕AI風險及提升AI利用機會 美國行政管理預算局(Office of Management and Budget)宣布,將於2023年夏季發布有關聯邦政府機關各部門使用AI系統之政策指引草案,並徵詢公眾意見。
聯邦巡迴上訴法院確認同為蘋果供應商的玉晶光並未侵害大立光的專利權2013年6月4日大立光在北加州聯邦地方法院起訴玉晶光,主張玉晶光生產的八款透鏡侵害其五件美國專利。就部分的產品玉晶光請求法院裁判無引誘侵權,北加州聯邦地方法院部分准許了玉晶光的請求,之後大立光就無引誘侵權部分上訴聯邦巡迴法院敗訴。 大立光未能主張直接侵權,因為玉晶光絕大部分的透鏡是銷售給蘋果在亞洲的供應鏈中的鏡頭模組廠,鏡頭模組廠再販售給亞洲的系統組裝廠,最後由系統組裝廠整機出售給蘋果,再由蘋果販賣給美國的消費者。這個過程中玉晶光並非唯一的透鏡供應商,大立光也是供應商之一甚至供應量大於玉晶光。 法院贊同並認為引誘侵權是行為人(本案中為蘋果)被引誘而有直接侵權的證據,但大立光在本案中無法證明玉晶光有引誘侵權責任,因玉晶光沒有在美國有直接製造、使用、銷售、許諾銷售或進口的行為,故不構成直接侵權,而玉晶光在本案中並不爭執侵害大立光的專利權,但主張並非是引誘侵權人。 大立光另提出的主張是蘋果的供應鏈是「隨機選擇」大立光或玉晶光的透鏡,因此推論蘋果在美國的產品採用玉晶光的比例,等於蘋果在全世界的產品採用玉晶光的比例,進而認定蘋果在美國有直接侵權。唯聯邦巡迴上訴法院認為大立光關於「隨機選擇」這個主張,沒有提出來自供應鏈的相關證據,所以沒辦法證明蘋果在美國的產品有使用玉晶光的透鏡。大立光可再上訴美國最高法院。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟法院裁決:網站「預先選取同意」不構成ePrivacy Directive及GDPR合法有效的同意歐洲聯盟法院(CJEU)2019年10月1日對Planet49案(Case C-673/17)作出裁決。Planet49 GmbH為線上遊戲公司,用戶必須註冊並填寫姓名、地址等資料,點擊「參加」鍵後,會出現兩個選項框,一為「同意接收贊助商及合作夥伴的廣告訊息」,用戶必須勾選此一選項始可參加;另一選項框是「同意將用戶的Cookies用於廣告目的與分析」,此一選項已被預先勾選,而用戶可以取消勾選;在選項旁附有說明(如Cookie的用途等),並告知用戶可以隨時刪除所設置的Cookie。 歐盟法院針對《電子通訊隱私指令》(ePrivacy Directive, ePD)以及《一般資料保護規則》(General Data Protection Regulation, GDPR)進行闡明,重點如下: 一、ePD所要求對於Cookie儲存與使用的「同意」必須符合GDPR的「同意」原則,必須是當事人自願、具體、知情且明確的同意,本案「預先勾選同意」不構成有效同意。 二、「同意」必須特定對象,而不能藉由其他標的加以包裝、暗示,用戶點擊「參加遊戲」不能代表「Cookie的同意」。 三、ePD是對於用戶資料儲存與取得的保護,不論是否涉及「個人資料」均有ePD的適用,而必須取得用戶同意。 四、對於Cookie的使用必須清楚揭露,包括Cookie用途、運作期間、第三方是否有機會取得此一資訊等,以確保用戶確實了解其所為「同意」的內容與範圍。