歐盟資通安全局(ENISA)提出資通安全驗證標準化建議

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。

  受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。

  ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎:

  1. ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。
  2. IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。
  3. EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。

  然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。

相關連結
相關附件
你可能會想參加
※ 歐盟資通安全局(ENISA)提出資通安全驗證標準化建議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=8459 (最後瀏覽日:2024/05/21)
引註此篇文章
你可能還會想看
日本通過科學技術基本法等修正案,將創新與人文科技發展納為規範對象

日本通過科學技術基本法等修正案,將創新與人文科技發展納為規範對象 資訊工業策進會科技法律研究所 2020年12月10日   日本國會於2020年6月24日通過由內閣府提出的「科學技術基本法等修正案」(科学技術基本法等の一部を改正する法律)[1],為整合修正科學技術基本法、科學技術與創新創造活性化法(科学技術・イノベーション創出の活性化に関する法律,下稱科技創新活性化法)等法律之包裹式法案。其旨在新增創新與人文科學相關科技發展目標,將之列入基本法。並因應此一立法目的調整,修正科技創新活性化法,增訂大學、研發法人出資與產業共同研究途徑,同時調整中小企業技術革新制度之補助規範。 壹、背景目的   日本內閣府轄下之整合科學技術與創新會議(総合科学技術・イノベーション会議)於2019年11月公布的「整合提振科學技術與創新目標下之科學技術基本法願景(科学技術・イノベーション創出の総合的な振興に向けた科学技術基本法等の在り方について)」報告書提出,科學技術與創新之議題高度影響人類與社會的願景,而近年聚焦之重點,則在於全球化、數位化、AI與生命科學之發展。該報告書並進一步揭示了科學技術基本法的修訂方向[2]:(1)納入「創新創造」(イノベーション創出)之概念;(2)自相互協力的觀點,併同振興自然學科與人文學科之科學技術發展;(3)允許大學與研發法人以自身收入資助具特定創新需求、或發展新創事業之外部人士或組織;(4)從鼓勵創新創造的角度,調適建構中小企業技術革新制度。   基於該報告書之決議要旨,內閣府於2020年3月10日向國會提出本次法律修正案,並於同年6月24日正式公告修正通過[3]。公告指出,AI、IoT等科學技術與創新活動的急遽發展,造就了人類社會推動願景和科技創新密不可分的現況。因之,本次修法除將人文科學項目納入基本法科學技術振興的範疇內,亦意圖落實同步推動科學技術及創新創造振興之政策構想,建構具整合性且二者並重發展的法制環境。 貳、內容摘要   本包裹式法案主要修正科學技術基本法與科技創新活性化法。首先,本次修正並列創新與科技發展為科學技術基本法規範主軸,因之,將該法更名為「科學技術與創新基本法」(科学技術・イノベーション基本法,下稱科技創新基本法),並修訂科技創新基本法立法目的為「提升科學技術水準」以及「促進創新創造」;同時,參照科技創新活性化法相關規定,明文定義創新創造為「透過科學發現或發明、開發新商品或服務、或其他具創造性的活動,催生新興價值,並使之普及,促成經濟社會大規模變化之行為」。同時,增訂科技與創新創造的振興方針主要包含:(1)考量不同領域的特性;(2)進行跨學科的整合性研究開發;(3)推動時應慮及學術研究與學術以外研究間的衡平性;(4)與國內外的各相關機關建立具靈活性且密切的合作關係;(5)確保科學技術的多元性與公正性;(6)使創新創造之振興與科學技術振興之間建立連動性;(7)有益於全體國民;(8)用於建構社會議題解決方案。此外,亦增訂研究開發法人、大學與民間企業之義務性規範,要求研究開發法人與大學應主動、且有計畫地從事人才養成、研發與成果擴散作為;而民間企業則應致力於和研發法人或大學建立合作關係,進行研發或創新創出活動。最後,基本法內原即有要求政府應定期發布「科學技術基本計畫」,作為未來一定期間內推動科技發展政策的骨幹,本次修正除將之更名為「科學技術與創新基本計畫」(科学技術・イノベーション基本計画),亦額外要求基本計畫應擬定培養研究與新創事業所需人才的施政方針。   另一方面,配合科技創新基本法修訂與政策方向,科技創新活性化法的修正重點則為:(1)新增本法適用範圍,擴及「僅與人文科學相關的科學技術」;(2)明文創設大學或研究開發法人得與民間企業合作進行共同研究的機制,允許大學或研究開發法人出資設立「成果活用等支援法人」,並給予人力與技術支援。其可將大學、研發法人持有之專利授權給企業、與企業共同進行研究或委外研究等,藉以推動研發成果產業化運用,透過計畫的形式,和企業間建立合作關係;(3)為鼓勵與促進中小企業與個人從事新興研發,調整設立「特定新技術補助金」制度,用以補助上述研發行為;每年度內閣府則需與各主管機關協議,就特定新技術補助金的內容與發放目的作成年度方針,經內閣決議後公開。同時,在特定新技術補助金下設「指定補助金」之類型,由國家針對特定待解決之政策或社會議題,設定研發主題,透過指定補助金的發放,鼓勵中小企業參與該些特定主題之研發。 參、簡析   本次科技創新基本法的修正,為日本國內的科技發展方向,作出法律層級的政策性宣示。除將人文學科相關的科技研發正式納入基本法的規範對象內,最主要的意義,在於使創新與科技發展同列為基本法的核心目的之一,顯示其科研政策下,創新與科技的推展實存在密不可分且相輔相成的關係,而有必要整合規劃。而科技創新活性化法一方面拓展大學、研發法人等學術性或公部門色彩較為強烈的機構與民間企業合作研發、成果產業化運用的途徑;另一方面,則延續近期相關政策文件強調創新價值應自社會需求中發掘的構想[4],設置了激勵中小企業投入社會議題解決方案相關研發的補助金類型。   我國立法體例上,同樣存在科學技術基本法的設計,用以從法制層級確立國內科技發展的基礎政策方向。於COVID-19疫情期間,技術研發的創新落地應用,亦已成為我國產出各式疫情應對方案、以及後疫情時期重要政策的關鍵之一。則如何延續我國對抗COVID-19過程中所掌握的協作與成果運用經驗,或可借鏡日本的作法,使創新能量能透過研發補助機制的優化,充分銜接政策與社會需求。 [1]〈科学技術基本法等の一部を改正する法律の公布について〉,日本內閣府,https://www8.cao.go.jp/cstp/cst/kihonhou/kaisei_tuuchi.pdf (最後瀏覽日:2020/12/08)。 [2]〈「科学技術・イノベーション創出の総合的な振興に向けた科学技術基本法等の在り方について」(概要)〉,日本內閣府,https://www8.cao.go.jp/cstp/tyousakai/seidokadai/seidogaiyo.pdf(最後瀏覽日:2020/12/08)。 [3]〈第201回国会(常会)議案情報〉,日本參議院,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/201/meisai/m201080201047.htm(最後瀏覽日:2020/12/08)。 [4]〈中間とりまとめ2020未来ニーズから価値を創造するイノベーション創出に向けて〉,經濟產業省,https://www.meti.go.jp/press/2020/05/20200529009/20200529009-2.pdf(最後瀏覽日:2020/12/10)。

Viacom 對YouTube提出之著作權侵權訴訟已被駁回

  美國法官駁回Viacom公司對Google之影片分享網站YouTube所求償美金10億元之訴訟,這個重要的勝利潛在地強化眾多網路服務提供者所獲得之法律保護。。   此一判決結果並非表示這場爭執3年的法律大戲已結束,因為紐約媒體大亨Viacom立刻承諾對於這判決提起上訴。如最後此一判決是被確認,將可能使得影片創作在現今這數位時代中更難受到保護。   Viacom是在2007年3月對Google提起此一侵權訴訟,內容指出其電影、電視節目及其他內容被廣泛的置於YouTube網站,涉及故意侵權。Google是在2006年10月以16億5千萬買下YouTube,於本訴訟中Google以其符合數位千禧年著作權法(Digital Millennium Copyright Act)之要求,即時取下經權利人所通知後之侵權內容作為抗辯。此案因涉及數位千禧年著作權法中之安全港條款,因而被受關注。   美國紐約南區地方法院法官Stanton於判決中,表示數位內容之著作權保護,非取決於網路服務提供者是否監控其所提供的服務,而在於其於接獲著作權權利人通知後之反應。更進一步表示YouTube已盡其責任,2007年初在接獲Viacom通知其網站約有10萬件受著作權保護影片後,幾乎於接到通知之下一個工作天內便將這些影片取下。並且表示Viacom於本案所提出之法律論點太薄弱。不意外地,Viacom對此不悅的表示:此一判決基本上是有缺點的,並試圖訴諸於美國第二巡迴上訴法院。   然而,Google的法務長Kent Walker表示這是一場重要的勝利,不僅只是對Google也是對全球幾十億利用網路溝通與經驗分享的使用者,並期待將焦點集中在鼓勵毎天於全世界YouTube網站張貼並瀏覽這數量龐大且驚人的想法與創作表達。

英國推動寬頻速度業務法則以提升寬頻速率服務

  英國通訊管理局Ofcom在2008年12月公布寬頻速度業務法則(Broadband speeds code),用以確保消費者在寬頻速度的選購上可獲得更正確的資訊。這個業務法則係在要求ISP業者必須在銷售點提供明確的寬頻速度說明,於消費者購買時清楚解釋廣告上「保證頻寬」的意義;業者亦需解釋何種技術因素可能會降低速度(例如距離機房多遠影響速率傳輸、高峰流量時導致速率傳輸變慢等等),並提供客戶得以在家中改善情況的方案;若實際速度遠低於原來的說明或保證,則消費者得以選擇替代服務而無須負擔多餘的費用。雖然僅係自願性的業務法則,卻已經有超過全國95%的寬頻用戶所屬的ISP業者進行簽署。   此外,Ofcom同時公布寬頻服務消費者指南(Advice for consumers: Broadband speeds),協助消費者瞭解自己的寬頻服務權利,以及ISP是否遵行寬頻速度業務法則。   在2009年01月08日所公布的2008年英國寬頻速度報告(UK Broadband speeds 2008)指出消費者寬頻上網的平均速率為 3.6 Mbit/s(下行),低於業者在推銷廣告上的4.3Mbit/s。雖然3.6 Mbit/s就足以滿足大多數的網路應用,例如語音以及標準畫質的影音,但是有超過60%的英國消費者所購買的服務卻是「保證」8 M的頻寬;但有1/5 的用戶甚至實際得到的速率不到2 Mbit/s,是廣告上速率的45%。此外,研究顯示有9%的消費者不滿意寬頻服務,其中速度是最常被抱怨的項目;且因為距離的關係,城市居民的速率高於農村地區的15%。速率最高在倫敦,最低在英格蘭東北部、威爾斯以及蘇格蘭,使得農村用戶(14%)不滿意寬頻服務的比率高於城市用戶(8%)。   Ofcom在接下來的六個月內將持續監測這些已經簽署業務法則的ISP業者,以期督促業者能提供更符合消費者需求的服務,並預計納入2009年的政策規劃中。   (2008年英國寬頻速度報告為實地調查,於1500個家庭用戶安裝相關網路設備進行監測網路品質,透過調查期間為2008年10月23日至2008年11月22日止。)

2023年日本著作權法修訂之相關規範

2023年5月17日,日本國會通過了《著作權法》部分條文修正案,並於同月26日公布(2023年第33號法)。 隨著數位化的進步,內容的創作、傳播和使用變得更加容易,不再只是過去主流的出版社、電視台等「專業人士」才能從事,而是一般普羅大眾也可以參與創作,並將內容貼在網路上。與此同時,既有著作之重新利用的需求等情形均日益增加,然而此類內容的問題在於難與著作權人取得聯絡,不一定可順利使用。 為了解決上述問題,本次修正重點之一係新增第67之3條,根據該條規定,儘管著作之利用人採取了確認著作權人授權意願等措施,但仍無法確認著作權人授權意願時,得向文部科學省所屬之文化廳申請裁定,經文化廳長裁定允許利用並繳納補償金後,利用人得於該裁定所定之期間內(申請書所載之期限最長不得超過3年)先行使用該著作。新裁定利用制度放寬了確認著作權人意願之程序與要求,降低使用門檻,並同時規定著作權人可聲請撤銷使用,如果文化廳長裁定撤銷使用,則利用人應停止繼續使用該著作,著作權人得依利用人實際使用期間之比例領取補償金。另為簡化及加快程序,關於新裁定利用制度之申請受理、要件確認與補償金額的決定等部分事務,文化廳長得指定特定之民間機構作為聯絡窗口負責相關行政手續之處理(第104條之33以下相關規定)。 新裁定利用制度的建立,將有助於促進著作之流通利用,即認為已充分週知著作權人,且盡可能地確認著作權人等是否可以使用的意思,仍不能確認意思狀態之著作,而採取一定措施放寬使用是妥適的。因考慮到週知等需要時間,乃決定從公布日(2023年5月26日)起3年內施行。 本文同步刊登於TIPS網(https://www.tips.org.tw)

TOP