2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下:
三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。
電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。
美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。 每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。 塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。 塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
歐盟REACH規則之登錄義務與化學品創新商業模式歐盟REACH規則之登錄義務與化學品創新商業模式 資訊工業策進會科技法律研究所 2019年12月 依據「聯合國化學品管理策略方針 」(UN Strategic Approach to International Chemical Management SAICM)要求在化學品的製造、使用及管理上,應盡可能地減少對環境及人體健康的負面衝擊,並以聯合國2030年永續發展目標為基礎,持續推動化學品管理,減少有毒物化學物質與危險材料的釋出,將全球的回收與安全再使用率提高,使化學品健全管理成為實現永續發展的必要條件,透過開發創新的化學品商業模式與經濟活動,來促進綠色化學及永續發展之目標前進。 壹、歐盟REACH規則與登錄義務之要求 一、歐盟REACH規則之立法目的及意旨 歐盟於2006年以「化學品登錄、評價、許可及限制規則」(Registration, Evaluation, Authorization and Restriction of Chemicals, REACH)[1],作為歐盟境內統一性化學物質管理法制。依據REACH規則第1條規定「本規章之目的為確保人類健康及環境之高度保障(high level of protection),包括促進對於因化學物質(substance)產生之危險之替代評估方法,維護物質於歐洲內部市場之自由流通,及同時提高競爭力和創新。」其目的除管制歐盟境內之化學物質,來保護人類健康與環境安全,達到永續發展之目的外,亦期望透過歐盟境內一致性的協調性規範,使化學物質的流通能夠順暢,以促進經濟的發展。 二、歐盟REACH規則之登錄義務要求 為掌握歐盟境內化學物質之風險管理與因應措施,REACH規則第5條以下要求製造者或輸入者須完成化學物質本身或混合物或成品中化學物質之登錄後,始得製造或輸入。登錄制度之建立有助於獲取更多化學物質的資訊,並使相關產業之供應鏈及公眾獲知更多相關物質資訊。特別是,對於後續進行化學物質之風險管理,具有重要性之影響與作用。依REACH規則第5條至第14條規定,登錄義務人(化學物質之製造者與輸入者)須提供其生產或輸入之化學物質的相關資訊及暴露情境、暴露評估及風險特性等資訊,並且針對該物質應提出適當之風險管理措施的建議。 三、歐盟REACH規則之登錄義務對於產業之影響 由於製造商與輸入商須提供暴露情境、暴露評價與風險評估報告之義務,該報告內容包含簡易資訊卡(the simple infocard)、細節性摘要檔案(the detailed brief profile)及完整來源數據(the full source data)之資訊。該登錄義務對於上游供應鏈業者而言,往往面臨缺乏對物質情境與風險管理之相關資訊,例如其對於勞工與消費者接觸之危害程度、化學物質之用途以及對於評價之風險應提出何安全建議等[2]。除此之外,中小企業由於資源有限性、人力及成本的考量,相較於大型企業容易在物質資訊交換論壇(Substance Information Exchange Forums, SIEF)遇到困難[3] 。 貳、創新化學品商業模式與REACH規則登錄義務之交互作用 一、以服務為導向之化學品租賃商業模式 國家發展與經濟成長的同時,化學工業的生產、製程與發展的過程中,為人們生活條件與經濟物質帶來許多便利性;然而,過程中所排放的廢氣、廢水與廢棄物等污染,可能為人類健康與環境安全,帶來直接、間接或隱藏性的危害。有鑑於此,聯合國工業發展組織(United Nations Industrial Development Organization, UNIDO)與奧地利政府合作,推動「以服務為導向」的化學品租賃服務(Chemikalienleasing, ChL),此一創新化學品之商業模式有助於循環經濟體系之推動,除同時確保化學品內廢棄物回收物質之風險,更有利於降低人類健康及環境安全之危害物質[4]。 二、化學品租賃有助於REACH登錄義務之履行 化學品租賃係供應商以「化學品的產品週期」的產品服務取代傳統「數量或容量」之實物作為契約交付方式;從客戶端而言,其得按其對於化學品之實際需求,購買相關使用化學品之提供及後續產品維護等服務[5] 。從而,由於化學品之製造或輸入商提供化學品使用之服務,即實質地掌握物質的物質資訊、使用情境與風險危害資訊,相對於傳統線性模式有較完整之風險評估與防範措施。就此而論,其符合REACH規則之建置基礎,精準地掌握物質風險、有效控管物質危害及減少客戶依據REACH規則遵守登錄要求[6]。 三、化學品租賃有助於達成綠色化學與永續發展之目標 當下游使用者或客戶不再以擁有化學品的所有權為主,反而係享受化學品的使用服務時,除加深產業鏈之間的資訊交流緊密度,更有效地擺脫傳統線性經濟之取得、製造、丟棄之線性經濟模式,降低原物料的成本與減少對環境之污染,成為有效推動綠色經濟轉型與提升產業競爭力之關鍵綠色轉型契機例如SAFECHEM業者將汽車金屬製品的洗劑,改用租借整套清洗機台與洗劑給使用者,除讓清潔劑(化學品)可以被循環使用,並為客戶減少93%的溶劑使用量[7]。。 參、小結與建議 化學工業產業作為所有產業的一切基礎,如何讓化學工業發展對環境更有好的技術研發、降低危害性質之安全替代物質,以及發展更節省成本與降低污染的商業模式,固有發揮其重要性意義與亟迫需求。環保署現無一統籌性推行創新化學品商業之單位與措施,根據「107年至109年資源回收再利用推動計畫」建議加強推動化學品級產品租賃服務,藉以延長產品之壽命[8]。關於化學品租賃之推動多由民間業者自主發起與推行。 由於使用後之化學品,依據廢棄物清理法第28條規定,須委託經許可清理、處理廢棄物之公民營廢棄物清除處理機構予以清理、處理,造成供應商無法回收、再利用使用後之化學品、溶劑或副產品等。現行解套措施為環保署同意改以資源物處理,經專案申請核可後,同意供應廠商收回純化、再製循環使用,以協助廠商推動化學品租賃制度。惟僅係個案性解套化學品租賃之法規障礙,對於回收使用後之化學物質之風險資訊及危害程度,並無法實質性與國內「毒性及關注化學物質管理法」做鏈結與接軌。 從而,國內若能透過調修相關化學物質管理法制之規範,由此通盤性打造有利於「創新化學品商業模式」之制度框架,建置符合循環經濟利用資源不斷循環、再利用為基礎,善用化學品租賃之新型商業模式與創新合作關係,將有助於協助引導化工產業之企業進行永續化學之綠色轉型,降低使用化學品所產生之空氣污染、廢水及廢棄物等,俾利於保護人類健康及環境安全之雙贏目標。 [1] Regulation (EC) No 1907/2006 of the European Parliament and of the Council of 18 December 2006 concerning the Registration, Evaluation, Authorisation and Restriction of Chemicals (REACH). [2] ECHA, ECHA, Report on the Operation REACH and CLP 2016 (2016), at 10, https://echa.europa.eu/documents/10162/13634/operation_reach_clp_2016_en.pdf (last visited Dec. 1, 2019). [3] id. at 32. [4] United Nations Industrial Development Organization [UNIDO], https://www.unido.org/our-focus/safeguarding-environment/resource-efficient-and-low-carbon-industrial-production/chemical-leasing (last visited Dec. 1, 2019) [5] Bundesministerium für Umwelt, Naturschutz und nukleare Sicherheit [BMU], Chemikalienleasing als Modell zur nachhaltigen Entwicklung mit Prüfprozeduren und Qualitätskriterien anhand von Pilotprojekten in Deutschland (Mar. 1, 2010), S. 7, https://www.bmu.de/fileadmin/Daten_BMU/Pools/Forschungsdatenbank/fkz_370767407_chemikalienleasing.pdf (last visited Dec. 1, 2019) [6] United Nations Industrial Development Organization [UNIDO], GLOBAL PROMOTION AND IMPLEMENTATION OF CHEMICAL LEASING BUSINESS MODELS IN INDUSTRY (2016), at 13-14, http://www.recpnet.org/wp-content/uploads/2016/08/10-Years-Chemical-Leasing-Report.pdf (last visited Dec. 1, 2019). [7] SAFECHEM, https://safechem.com/de/metallreinigung/compleasetm.html (last visited Dec. 1, 2019) [8] 行政院環保署,推動循環經濟—廢棄物資源化,頁12,網址:https://www.ey.gov.tw/File/A7633C551685F1CC?A=C (最後瀏覽日:2020/1/8)。
美國指控中國兩大電信通訊商威脅國家安全,呼籲各機關及私人企業拒絕向其購買設備及技術美國眾議院情報委員會終於發佈了對中國兩大電信通訊商「中興」(ZTE)和「華為」(Huwei)的調查報告,報告結論指出,「中興」和「華為」確實危及美國的國家安全。 情報委員會呼籲美國政府機關和企業,尤其是政府機關,不應該讓「中興」、「華為」成為資訊系統相關設備或零組件的供應商,因為他們會安裝「後門程式」(backdoor)為中國政府和軍方進行間諜活動和網路攻擊,並敦促美國企業的經營者,應該阻絕未來收購、購併「中興」、「華為」的可能性。情報委員會亦呼籲美國國民不要購買任何由「中興」、「華為」製造的任何電子設備,包括手機、平板電腦、數據機等,否則個人資料將在不知不覺中全數洩漏給中國。 「華為」的建立者任正非(Ren Zengfe),同時也是「華為」執行長,1987年離開中國軍方創立「華為」,情報委員會認為他始終與中國政府和軍方保持密切聯繫,而「華為」拒絕配合情報委員會的調查,「中興」也不願提供完整的內部資料,報告指出:「中興」和「華為」應該讓公司內部架構、組織和財務管理及經營運作更加透明化,盡到美國法制要求的應盡義務」。 但英國政府表明支持「華為」,只是會採取必要的保護措施維護國家安全。「華為」在英國具有相當龐大的影響力,2001年在英國正式營運,投資了一億五千萬英鎊,並創造了650個工作機會,主要提供英國電信業者於寬頻服務的相關硬/軟體設備。另外英國手機營運商EE(Everything Everywhere)所發行英國首套的4G商用網,當中的行動作業系統便是使用「華為」的技術,EE的發言人表示:「我們有一套嚴格的安全檢查程序,確保合作伙伴和合作內容都符合EE的要求和標準,而「華為」是值得信賴和尊敬的伙伴」。 其他國家如加拿大和澳洲,則採取保守態度,評估這兩家電信通訊商的可信度和可用性。