美國商務部產業安全局公布「確保聯網車輛資通訊技術及服務供應鏈安全」法規預告
美國商務部產業安全局(Bureau of Industry and Security, BIS)於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)法規預告(Notice of Proposed Rulemaking, NPRM),旨在透過進口管制措施,保護美國聯網車供應鏈及使用安全,避免國家受到境外敵對勢力的威脅。
相較於BIS於2024年3月1日公告之法規制定預告(Advanced Notice of Proposed Rulemaking, ANPRM)意見徵詢中的討論,本次法規預告明確指出受進口管制的國家為中國及俄國,並將聯網車輛資通訊技術及服務之定義,限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統,排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態:(1)禁止進口商將任何由中國或俄國擁有、控制或指揮的組織(下稱「中俄組織」)設計、開發、生產或供應(下稱「提供」)的車輛互聯系統(vehicle connectivity system, VCS)硬體進口至美國;(2)禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車;(3)禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。
本次法規預告中亦提出兩種例外授權的制度:在特定條件下,例如年產量少於1000輛車、每年行駛公共道路少於30天等,廠商無須事前通知BIS,即可進行交易,然而須保存相關合規證明文件;不符前述一般授權資格者,可申請特殊授權,根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外,為提升供應鏈透明度並檢查合規性,BIS預計要求VCS硬體進口商及聯網車製造商,每年針對涉及外國利益的交易,提交符合性聲明,並附軟硬體物料清單(Bill of Materials, BOM)證明。BIS針對此規範是否有效且必要進行意見徵詢,值得我國持續關注。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳箴
專案經理 編譯整理
Department of Commerce Bureau of Industry and Security, Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles (2024), https://www.govinfo.gov/content/pkg/FR-2024-09-26/pdf/2024-21903.pdf (last visited Jan. 8, 2025).
〈美國公布「保護資通訊技術與服務供應鏈安全」行政命令〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8371&no=64(最後瀏覽日:2025/01/08)。
〈歐盟資通安全局發布《物聯網安全準則-安全的物聯網供應鏈》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8582&no=64(最後瀏覽日:2025/01/08)。
〈初探物聯網的資通安全與法制政策趨勢〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8649&no=64(最後瀏覽日:2025/01/08)。
〈半導體發展之潛藏風險 資策會科法所:應注意國際供應鏈資安政策趨勢與國際標準〉,資策會科法所,https://stli.iii.org.tw/news2019-detail.aspx?d=325&no=57(最後瀏覽日:2025/01/08)。
2019年5月3日,來自全球30多國的政府官員與來自歐盟、北大西洋公約組織的代表於捷克布拉格所舉辦的5G資安會議(Prague 5G Security Conference)中,強調各國建構與管理5G基礎建設時應考慮國家安全、經濟與商業發展等因素,特別是供應鏈的安全性,例如易受第三國影響之供應商所帶來的潛在風險,本會議結論經主辦國捷克政府彙整為布拉格提案(The Prague Proposals),作為提供世界各國建構5G基礎建設之資安建議。 在這份文件中首先肯認通訊網路在數位化與全球化時代的重要性,而5G網路將是打造未來數位世界的重要基礎,5G資安將與國家安全、經濟安全或其他國家利益,甚至與全球穩定等議題高度相關;因此應理解5G資安並非僅是技術議題,而包含技術性與非技術性之風險,國家應確保整體性資安並落實資安風險評估等,而其中最關鍵者,則為強調確保5G基礎建設的供應鏈安全。 因此在布拉格提案中強調各國建構通訊網路基礎建設,應採用國際資安標準評估其資安風險,特別是受第三國影響之供應商背後所潛藏之風險,並應重視5G技術變革例如邊緣運算所產生的新風險態樣;此外對於接受國家補貼之5G供應商,其補貼應符合公平競爭原則等。布拉格提案對於各國並無法律上拘束力,但甫提出即獲得美國的大力肯定與支持。
印度廣告標準委員會公布「虛擬數位資產和連結服務廣告指引」印度廣告標準委員會(Advertising Standards Council of India, ASCI)於2022年2月23日發布「虛擬數位資產及連結服務廣告指引」(Guidelines for Advertising of Virtual Digital Assets and Linked Services),旨在防止使用加密資產和相關服務用戶所面臨的風險。 本指引使用「虛擬數位資產」(Virtual Digital Assets, VDA)此專有名詞,而非「加密資產」,並將虛擬數位資產定義為透過加密或其他方法所產生的任何訊息、編碼或代幣,得以充當計價或記帳單位的憑證或儲存,包括加密貨幣和其他相關產品,例如非同質化代幣(NFTs)均屬之。 該指引目的在將虛擬數位資產廣告與印度廣告標準委員會所發布的準則保持一致,該準則要求廣告必須真實,不得因「模糊、誇大或遺漏」而誤導消費者,並且不得利用消費者之信任或欠缺了解。 最重要的是,廣告商必須在所有虛擬數位資產的廣告中,於明顯位置附上免責聲明,且免責聲明必須至少佔總印刷或靜態廣告空間的20%,而動態廣告至少要有5秒,並且必須出現在聲音和社群媒體廣告中。免責聲明中應載明:「加密資產和非同質化代幣並不受監管,風險高。此類交易造成的任何損失可能因為沒有監理,而難以取得賠償。」
歐盟個人資料侵害事故通知規則於2013年8月生效歐盟個人資料侵害事故通知規則(regulation on the notification of personal data breaches)於2013年8月生效,其目的係為統一歐盟各會員國有關個人資料侵害事故通知之規定,以使當事人可以獲得一致性的待遇,同時,業者於歐盟境內亦可採取一致性的作法。此規則將適用於所有供公眾使用之電子通訊服務(publicly available electronic communications services)提供者,例如網路服務提供者(Internet service providers)及電信業者,同時,其敍明前述業者所持有之個人資料如有發生洩露或其他侵害時,應通知當事人與通報主管機關之技術性程序(technical measures)。 依個人資料侵害事故通知規則之規定,業者於知悉個人資料侵害事故之24小時內通報主管機關,通報內容包括:事故發生之日期與時間、受侵害之個人資料之種類與內容、受影響之當事人人數、以及為降低對當事人可能帶的負面影響擬採取或己採取之組織上與技術上之措施。 個人資料侵害事故可能對當事人之個人資料或隱私產生負面影響,業者必須立即通知當事人有關個人資料侵害事故之情事,例如遭侵害之個人資料涉及金融資訊、個人資料遭侵害會造成當事人名譽受損或業者知悉該個人資料已被未經授權之第三人擁有時。若業者能證明其對被侵害之個人資料已滿足主管機關所要求的技術保護措施,使未經授權而取得資料之人無法探知該遭侵害之資料內容時,即無須通知當事人有關個人資料遭侵害之情事。
澳洲國家交通委員會針對駕駛法規之修正進行公眾諮詢,聚焦自駕系統實體法律義務澳洲國家交通委員會(National Transport Commission, NTC)於2017年10月3日提出「修正駕駛法律以支持自動駕駛車輛(Changing driving laws to support automated vehicles)」討論文件,向相關政府機關與業界徵詢修正駕駛法規之意見。此文件目的在於探討法規改革選項,並釐清目前針對駕駛人與駕駛行為法規對於自駕車之適用,並試圖為自動駕駛系統實體(automated driving system entities, ADSEs)建立法律義務。文件中並指出改革上應注意以下議題: 目前車輛法規皆以人類駕駛為前提; 自動駕駛系統並不具有法律人格,無法為其行為負法律責任; 目前的法律並未提供法律實體之定義或規範(即自動駕駛系統實體ADSEs)來為自動駕駛系統行動負責; 目前有些法律上人類駕駛應負之義務,無法直接於自動駕駛時由ADSEs負擔; 車輛之安全義務於自動駕駛時,可能需由非駕駛之他人執行; 法律中並未定義自動駕駛系統車輛的「控制」與「恰當控制」; 目前沒有規範何時人類應有義務將駕駛控制權力自自動駕駛系統轉移回來,來確保人類駕駛保持足夠之警覺性; 目前的遵循與實施規範可能不足以確保自動駕駛系統的安全運作。 NTC並提出建議應定義自動駕駛系統之法律實體,重新規範人類與自動駕駛系統法律實體間的義務。澳洲國家交通委員會將進一步將諮詢結果與法律改革選項於2018年5月提供給澳洲交通部。