美國總統拜登簽署「改善國家網路安全」行政命令
美國總統拜登於2021年5月12日簽署「改善國家網路安全」總統行政命令(Executive Order on Improving the Nation’s Cybersecurity),旨在增進美國政府與私部門在網路安全議題的資訊共享與合作,以加強美國對事件發生時的因應能力。本命令分從數個面向達成前述目標,分別為:
(1)情資共享之強化:消除威脅政府與私部門之間資訊共享的障礙,要求IT與OT服務者偵測到可疑動態時,與政府共享相關資訊與相關安全漏洞資料,簡化並提高服務商與聯邦政府系統服務合約之資安要求。
(2)現代化聯邦政府網路安全:針對聯邦政府網路,建構更現代化與嚴格的網路安全標準,並採取零信任架構,例如應強化雲端服務與未加密資訊之共享機制,包括由公眾直接透過WiFi連網取得或下載之資訊網頁等,針對其建構安全機制、更新加密金鑰與建構新的安全工具。
(3)強化軟體供應鏈安全:提高軟體供應鏈安全性,包括要求開發人員提高其軟體透明度、公開安全資料、利用聯邦資源促進軟體開發市場,以及建構軟體認證,使市場更容易確定該軟體的安全性。
(4)建立資安審查委員會:建立由公私部門共同合作的資安審查委員會(Cybersecurity Safety Review Board),針對重大資安事件做及時的回應、,並進行獨立第三方之審查與建議。
(5)標準化聯邦政府應對資安弱點及資安事件的教戰手冊:建構聯邦政府因應資安事件之資安事件教戰手冊,使聯邦政府得以及時並一致地回應網路攻擊事件。
(6)改進對聯邦政府網路資安弱點及資安事件之偵測:清查聯邦政府端點,改善聯邦政府對資通安全事件的偵查能力,並進一步布建強大的端點監測和回應系統(Endpoint Detect and Response, EDR)。
(7)提升聯邦政府調查與補救之能力:提升資訊安全事件調查與補救能力,並透過更頻繁與一致的資安事件日誌來減緩駭客對聯邦政府網路的入侵。
(8)建制國家安全系統:要求聯邦政府部門採用符合相關網路安全要求之國家安全系統。
本行政命令是美國政府在美國油管遭駭事件後,對相關事件之具體因應。本行政命令雖主要著眼於聯邦政府的網路安全,但亦透過總統行政命令鼓勵私部門在網路安全核心服務上加強合作與投資。預計美國在此總統行政命令基礎上,將有進一步強化公私合作的措施與資源挹注。
本文為「經濟部產業技術司科技專案成果」
- 製造業及技術服務業個資保護及資安落實-經濟部工業局112年企業個人資料保護暨資訊安全宣導說明會
- 【已額滿】2023科技研發法制推廣活動—科專個資及反詐騙實務講座
- 供應鏈資安國際法制與政策趨勢分享會
- 112年度「領航臺灣數位轉型」國際研討會-實體場
- 112年度「領航臺灣數位轉型」國際研討會-直播場
- 2023年【Skill-up Seminar】新創出海全攻略 Ep.5 歐美稅務法規與實務-實體場
- 2023年【Skill-up Seminar】新創出海全攻略 Ep.5 歐美稅務法規與實務-直播場
- 【實體】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 【線上】數位發展部數位經濟相關產業個資安維辦法說明會(南部場)
- 商業服務業個資保護宣導說明會
- 【實體】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 【直播】2024科技研發法制推廣活動— 科專個資及反詐騙實務講座
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
陳文葳
法律研究員 編譯整理
Exec. Order No.10428, 86. Fed. Reg. 26633. (May 12, 2021). US Gov., The White House, FACT SHEET: President Signs Executive Order Charting New Course to Improve the Nation’s Cybersecurity and Protect Federal Government Networks, May 12,2021 , https://www.whitehouse.gov/briefing-room/statements-releases/2021/05/12/fact-sheet-president-signs-executive-order-charting-new-course-to-improve-the-nations-cybersecurity-and-protect-federal-government-networks/, (last visited June 3, 2021).
World Economic Forum, What the cyber-attack on the US oil and gas pipeline means and how to increase security, May 10, 2021, https://www.weforum.org/agenda/2021/05/cyber-attack-on-the-us-major-oil-and-gas-pipeline-what-it-means-for-cybersecurity/ (last visited June 3, 2021).
自特斯拉(Tesla)推行Autopilot(此於特斯拉之繁體中文官網譯作自動輔助駕駛)以降,其原先宣稱可免手動(Hands free),但經美國國家公路交通安全管理局(National Highway Traffic Safety Administration,NHTSA)指摘特斯拉前述宣稱可能使駕駛人注意力渙散而發生事故,似乎影響近年來特斯拉對於其自動輔助駕駛系統之論調,而改要求駕駛人即便開啟該系統仍須將手放置於方向盤上。除了前揭特斯拉於車輛銷售(廣告)資訊所生的爭議外,日前2020年7月間德國慕尼黑第一地方法院(Landgericht München I)之合議庭的判決,認定特斯拉於其車輛(Model 3)之銷售(廣告)標示資訊的整體,以及原告競爭中心(Wettbewerbszentrale)所分別主張之內容,均屬不正當競爭防制法(Gesetz gegen den unlauteren Wettbewerb,UWG)第5條第1項第2句第1款之誤導性商業行為(Irreführende geschäftliche Handlungen,或譯作引人錯誤之交易行為)。 本件之爭點核心在於特斯拉現行車輛既有配備之Autopilot系統,以及消費者可自行選購之Volles Potenzial für autonomes Fahren(德文直譯:具備完全自動駕駛潛力,而特斯拉之繁體中文官網譯作全自動輔助駕駛)系統等用詞,因其等涉及車輛功能與設備之決定性概念和資訊,則與現行「車輛駕駛輔助系統」(Fahrassistenzsystem)存有落差,進而導致消費者理解與實際情況不一致之情形。 法院認定理由在於不論特斯拉之Autopilot或Volles Potenzial für autonomes Fahren等系統,均無法達到毋須人為介入行駛的情境,即便其於官網上有另行標註目前該等系統功能有限,仍須駕駛人主動監控所有行駛環境等,但因該等內容說明不夠透明與清晰,而仍無法排除其等資訊具有誤導性,故特斯拉使用Autopilot等詞以及其他暗示車輛技術上能完全自主(vollkommen autonom)等用語,將引起消費者錯誤認知其可在德國的道路上運行完全自主之自動駕駛系統(註:此部分似係指SAE標準等級5之自動駕駛系統,然德國道路交通法目前僅開放運行等級4以下之自駕系統)。不過該判決結果仍可上訴。
歐美擴大永續報告書的揭露範圍,企業可透過歷程管理增進資料透明度根據美國瑞生國際律師事務所(Latham & Watkins)於2024年1月發布的ESG年度報告指出,隨漂綠議題延燒,ESG報告不受信任為一課題,因此國際逐步擴大ESG監管,多國透過立法強制企業應揭露永續報告書或供應鏈資訊,比如:歐盟於2023年1月生效之《企業永續報告指令》(Corporate Sustainability Reporting Directive, CSRD),要求企業揭露的永續資訊需增加供應鏈資訊的透明度;美國證券交易委員會(SEC)於2024年3月6日通過規則,要求上市公司及公開發行公司揭露碳排放報告等氣候風險相關資訊。 為因應ESG帶來的挑戰,報告建議企業應採取流程化管理方式,了解產品進出口涉及的其他國家對ESG揭露資訊的要求,加以規劃並建置資料控管規範、進行人員教育訓練以及確認ESG相關資料的所有權歸屬。 由於碳排放量的計算沒有一致標準,且難以確保供應鏈上下游所提供的碳排資訊真實、未經竄改等問題,外界不容易信任企業永續發展書提倡的供應鏈減碳策略。國內企業可參考資策會科法所創意智財中心發布的《重要數位資料治理暨管理制度規範(EDGS)》,透過流程化管理,從制度規劃及留存供應鏈二氧化碳排放量或二氧化碳減量等產品相關資料歷程來增進ESG資料透明度。 本文同步刊登於TIPS網(https://www.tips.org.tw)
美國財政部發布「非銀行金融、金融科技和創新」之金融科技創新報告美國財政部於今(2018)年7月31日發布一份重要報告,呼籲對金融科技領域的創新要採取更靈活,更有利的監管方法。這份報告主題為「非銀行金融、金融科技和創新」,其內容提及加密貨幣和分散式帳本技術(Distributed Ledger Technologies,DLT),並指出該些技術正由金融穩定監督委員會(Financial Stability Oversight Council)的工作組來主導進行跨部門的研究。整體來說,該報告表明美國政府大力推動新興金融技術的發展,並使現有的監管框架現代化,主張更加精簡和適當的監督,以消除發展過程中的障礙。並對於可能阻礙金融科技發展的法規,提出合理化建議,包括協調各州間加密貨幣交易的資金移轉立法。 美國財政部提及金融服務業正在開發的一系列DLT應用程式,其優勢仍有高度不確定性,因而進一步倡導使用監理沙盒,並鼓勵創建實驗室、工作組、創新辦公室,和其他讓行業參與者直接接觸監管機構的管道。監管機構和創新者之間的共生關係,是支持美國經濟和保持全球競爭力所必需的。該報告最後結論提到美國必須與新興技術並肩一起進步,要以不限制創新的方式來適當調整原有的監管策略。美國監管機構必須比過去更加靈活地履行職責,不能給創新的發展帶來不必要的阻礙。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。 此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。 此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。