運動手錶隨身裝置資料直通雲端 資安及法規遵循不容輕忽
穿戴科技實現智慧健身 連網隱私供應鏈皆須安全
2021-05-25陳宏志
企業或組織內部對於連網裝置有較嚴謹規範,如自攜裝置(BYOD)相關規定,一般多會注意NB或智慧型手機。然就穿戴式裝置或相關設備,有鑑於其功能及能蒐集之資訊等日新月異,企業經營者或管理者規劃蒐集資料、擴大商機之外,在內部管理亦不可不注意。
約三五好友下班後或假日去練空中瑜珈、TRX,或到健身房內使用跑步機、飛輪,這樣的場景處處可見。而運動的過程不僅搭配音樂、錄音/影或社交軟體,以及各類健康管理APP,以便隨時直播、貼文、上傳相片,更會拿起智慧型手機計算消耗之卡路里等,健身時結合穿戴式裝置或軟體,幾乎已經成為全民運動。
由於國人健康意識抬頭,運動產業之盛行也是有目共睹。以民營健身中心為例,依教育部體育署2020年的統計,2019年全臺高達620間,銷售額更已突破新臺幣100億元。當臺灣正掀起一股健身熱潮下,運動結合科技打造新型態智慧健身已成為發展趨勢,各部會也投入相關資源,如經濟部技術處與資策會成立運動科技大聯盟以服務產學研界,宣示帶動運動產業轉型發展決心。且積極健身的同時,民眾常搭配穿戴式裝置(Wearable Devices),如智慧手環或手錶,以掌握心跳、血壓等生理資訊,作為私人教練或自我鍛鍊時規劃運動處方之參考。
二類生理數據/資訊法規各自適用
然而上開情境涉及生理數據或相關資訊,且可能被設備製造商或其他服務業者所蒐集、處理或利用,有關穿戴式裝置蒐集所得資訊是否符合個人資料保護法(簡稱個資法)之敏感或特種個資,以及適用該法規範,曾引起不少爭議。為解決爭議,個資法令主管機關-國家發展委員會(簡稱國發會)於2018年11月,就「業者蒐集、處理、利用民眾自行操作器材所得之生理數據資訊,是否屬醫療或健康檢查之特種個人資料範疇」已有函釋,將這些裝置蒐集所得資訊依對象、目的等分為二大類,並說明各自適用規範。
依國發會函釋重點,若屬受醫療院所委託,為供醫師或其他醫事人員以醫學目的所為之診察治療或基於醫療行為檢查,取得民眾自行操作器材所測量之生理數據資訊,符合個資法對醫療或健康檢查個人資料(簡稱個資)之定義者,這些穿戴式裝置、設備、器材或軟體所蒐集、處理或利用之資訊,不僅符合敏感或特種個資,更應依個資法相關規定辦理,如書面同意等。
但如果不是醫療院所委託,而屬於民眾自行操作器材所蒐集之資訊,因未涉及醫事人員診察(診斷)、治療,或以醫療行為施以檢查等,並不屬於敏感或特種個資。不過由於相關資訊仍會符合個資法對個資之定義,且可能提供給業者進行蒐集、處理、利用之行為,故應依循個資法規範,如履行告知、符合法定情形並於特定目的內利用等,不可不慎。
穿戴式裝置是否符合醫療器材
除了健身器材如為醫療器材應符合法規外,民眾所使用之穿戴式裝置若屬供醫師或其他醫事人員,以醫學目的所為之診察治療或基於醫療行為檢查的用途,其所蒐集資訊除須符合個資法外,因涉及疾病診斷及治療等醫療目的,尚須依循醫療器材相關規範。因醫療器材管理法已於2020年1月公布,將於2021年5月1日施行。但在新法暫未施行前,就醫療器材之管理主要係依藥事法及醫療器材管理辦法為主。如運動時搭配之穿戴式裝置或軟體,先依醫療器材管理辦法附件一所列品項作為判斷依據,再搭配是否具診斷、治療功能或協助診斷、治療等綜合評估。
不管是穿戴式裝置內建,或自行下載之健康管理軟體,是否須納入醫療器材之管理,前提是要先符合法規定義。依衛生福利部食品藥物管理署(衛福部食藥署)於2020年12月修訂「醫用軟體分級分類參考指引」觀之,所謂醫用軟體泛指蒐集、儲存、分析、顯示、轉換人體健康狀態、生理參數、醫療相關紀錄等處理軟體。其使用場所更涵蓋醫療院所、個人居家使用或遠距醫療照顧。
爰民眾搭配健身所使用之穿戴式裝置或APP等,無論是內建或自行下載,依食藥署對外說明,倘該軟體僅為協助掌握日常生活或健康管理需求,如計算休閒或運動時之心率及血氧值,或鼓勵、監控飲食或運動之作息管理,不涉及特定疾病診斷及治療等醫療目的者,暫不涉及醫療器材之管理。反之,已列入前述法令之適用範圍(如附件所列品項),或經綜合評估屬於醫療器材之範疇,則須依循現行管理法規,包含但不限於如遵守產品開發、申請查驗登記相關規範,並清楚刊登廠商名稱、地址、品名及許可證字號等完整內容。
萬物聯(連)網、安全第一
不僅上開個資與醫療之法令遵循需求,穿戴式裝置等連網裝置之安全,也非新興議題。如自2015年起美國聯邦貿易委員會(FTC)及歐盟網路與資訊安全局(ENISA)等主管機關,已陸續提供物聯網(IoT)指引或參考資訊,並推動認/驗證。以FTC為例,像是設計此類產品時,需要考慮身分驗證、以保護產品與其他設備或服務間接觸的端點。連網後如何控管權限、利用現成的軟體工具保障安全,或在啟動產品或服務前進行安全測試,甚至預設安全選項供做出廠設定等,都是其建議廠商應注意的安全防護要項。
此外,除前述對IoT之安全考量或建議,如果企業或組織內部對於連網裝置有較嚴謹規範,如自攜裝置(BYOD)相關規定,一般多會注意NB或智慧型手機。然就穿戴式裝置或相關設備,有鑑於其功能及能蒐集之資訊等日新月異,企業經營者或管理者規劃蒐集資料、擴大商機之外,在內部管理亦不可不注意。
另因現代產業因專業分工甚細,生產、製造、銷售或後續服務可能分由不同廠商提供,或採用特定零組件再行組裝,且2019年隨著5G相關產品與服務逐漸興起,運用科技方便迅速之餘,也不能忽略對委/受託業務的監管,以減少或避免風險。這從2020年震驚全球的美國Solarwinds案件就可瞭解發展趨勢,駭客透過供應鏈內的平台,進行竊取其他成員資料之行為,更讓許多企業或組織意識到內部與委外管理一樣重要。基此,穿戴式裝置連網後,不僅在資安管理或隱私保護,確保供應鏈安全亦將是未來應持續關注之重點。
資料來源:https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/566EFC7BB1384CDB913F5B2D90FC8E0D
資通安全管理法分級 在 民意論壇:聯合報。世界日報。udn tv Facebook 的最讚貼文
#聯合筆記
口號治國無法解決危機
蕭白雪
總統府疑遭駭,密件外洩,總統府稱文件遭到「偽變造」,已向刑事警察局報案,目前在偵查程序中。本報資料照片
「資安即國安」,這句過去四年來蔡英文總統及政府講過無數次的口號,最近顯得格外諷刺,「口號治國」如今造成嚴重國安問題,更大的問題在接下來政府全力推動的數位身分證,誰敢保證不會有漏?
總統府去年以強化資安為理由,編列大筆預算用在硬體設備及系統服務費上,因立委質疑有關增編預算卻無法知悉對資安防治的幫助而部分凍結。
後來總統府對立法院提出希望解凍預算的報告中指出,根據「資通安全管理法」的資通安全責任等級責任分級辦法規定,總統府屬於A級重要核心機關,應建置資安防護機制,防止重要文稿及個資外洩。
同分報告中,總統府還特別引用國際資安報告指出,駭客攻擊趨勢已發展到前所未見的複雜程度,並透過雲端服務或其他合法途徑進行散播並快速變種,資安防禦技術不可再侷限於舊思維。
蔡總統日前出席調查局資安工作站揭牌儀式致詞時才重申,「資安就是國安」,並稱從前年開始,國安會、行政院資通安全處、國家通訊暨網際安全中心已經組成緊密的「資安鐵三角」。
不到一個月的時間,總統身邊重要幕僚電腦疑似遭駭客入侵,流出的文件在台灣政壇掀波外,不管是所謂總統版維基解密事件,或如官方所言是對岸駭客所為,對照政府過去四年不斷喊出的「資安即國安」口號,現實狀況中的政府資安漏洞百出,不只凸顯當今政府的國安危機,政府對民眾隱私與個資的保護機制更令人擔憂。
過去幾年,公務機關遭駭客入侵導致民眾個資外洩的事件一再發生,防疫期間政府對民眾個資的使用作為屢遭質疑,如今,還有上千名專家、學者連署反對政府規畫的數位身分證,除質疑配套不足,更擔憂可能帶來的危機。
政府官員雖一再強調絕不會監控民眾的數位足跡,並對資訊安全掛保證;但專家們都清楚,資訊安全很難百分之百保證,尤其連執政黨都說,台灣是近來對岸駭客的一大攻擊目標。
如果總統身邊幕僚記錄關於政府官員人事安排的思維、各方立場,甚至各方推薦名單等資訊都可能外流,不管是不是遭駭客入侵,都只再次證明,「資安即國安」只是不堪一擊的治國口號。
資通安全管理法分級 在 楊博宇 Facebook 的最佳貼文
【#別讓財團違法綁架了立法院:#農地農用】
#民意│#工廠管理輔導法【#分級納管,#資訊公開】
感謝資深專業地政專家、建築師、消防協會、環保團體研究報告參考,綜合研究討論出以下建言主張,望訂定全國性之清理原則:
1.分級納管 資訊透明
2.就地輔導 退場機制
3.保護環境 農地農用
4.全民監督 有效遏止
📌全文請見👉 https://reurl.cc/Yl0Max
📌懶人包👉 https://reurl.cc/0zZVqY
❤️「#立法更新,#國會換新」❤️
❤️「#專業治國,#安心樂活」❤
#專業文
#歡迎大家認同分享+1
--------------------------------------------------------------------
民意│工廠管理輔導法【分級納管,資訊公開】
象徵國土永續發展的《國土計畫法》自86年送進立法院審議,至2016年終於公告實施,立法院藍綠兩黨花了長達30年的立法時間,終於將《國土計畫法》通過法案,保障國土安全、保育自然環境與人文資產、復育國土環境,追求國家永續發展。
當《國土計畫法》成為我國國土使用的最上位法,數量龐大的「農地工廠」則成為《國土計畫法》的危機。而領用「臨時工廠登記證」的「農地工廠」面臨《工廠管理輔導法》將於2020年6月到期的「輔導期」大限,有7400餘家工廠將瞬間變成違法工廠,同時全國農地約有1.4萬公頃違章工廠,未登記的就有3.8萬家,成為國土規劃的危機。經濟部以農委會資料為基礎,編列前瞻計畫7500萬元給各地方政府,於108年底完成清查,為此有多名立委聯署提案修法展延「輔導期」,然而環保團體則認為無限期的修法,無意讓工廠遠離農田。
#未登記工廠的形成原因
民國61年政府「以農業培養工業,以工業發展農業」之政策,此政策帶領台灣產業工業化,此外由於早期倡導「客廳即工廠」政策,加上早期工廠創業資金缺乏,許多工廠設立選擇在自家農地設廠,加上當時政府工業地推廣不普及,民眾法規不了解情況下,因此造成未登記工廠氾濫。依據2017年農地資源盤查,我國約有1.4萬公頃農地遭到工廠占用,違規使用情形嚴重,成為國土規劃難題。
#政府執法成效不佳造成業者觀望心態
農地違章工廠輔導登記期已近9年,由經濟部截至107年2月底之統計資料,未登記工廠補辦申請合計11,440家,其中7,216家取得臨時工廠登記(立法院第9屆第5會期經濟委員會第6次全體委員會議經濟部書面報告,107年4月2日),僅有43家輔導進入工業區及9家變更;而符合登記門檻卻未登記的則有3.8萬家(工商時報社論第A2版火線焦點,108年2月22日),顯見輔導機制失靈,成效不佳。
政府原確定優先就105年5月20日以後農地上新增之違規工廠予以拆除。首波拆除名單34家,但名單最終縮減至17家,迄今除雲林1家申訴後變成農舍,另16件拆竣,農委會已宣告方案執行完畢,並表示完成首波方案後會提出第2波行動方案。但因目前僅拆除17家,未被拆除業者恐持觀望心態。
政府機構不同調,107年環保署表態「農地違章工廠不該展延」,「農地」生產糧食本不該與產生汙染源的「工廠」擺在一起,環保團體拒絕將零星使用問題「就地合法化」,例如:非都市土地丁種建築用地、都市計畫零星工業區...等就是工業區外合法化的「農地工廠」。
農地違章工廠自100年起,每年平均新增約5千〜6千家,拆的速度比新建的慢太多,緩不濟急,無法達到遏阻作用,亦令外界質疑放任其他工廠就地合法,政府應加速拆除或提出更有效之解決方案與立定修正法案。
#鐵皮屋(#輕量型鋼結構建築物)#的危險性
全台光是違章鐵皮工廠數量根據 2017 年盤點的結果就高達13萬家。該類結構物施工容易、建造速度快、建構成本低等,都是民眾接受度高的原因。鐵皮屋之構件多由鋼骨或C型鋼所構造,鋼結構物在溫度達 600℃以上其結構即會破壞彎曲變形進而崩塌。加上其火災成長迅速、無防火區劃、火勢猛烈度大等,對於內部人員初期滅火及後續消防搶救來說都是相對的困難。10/3台中大雅發生的大火就造成兩名消防員殉職。2019/06/27《工廠管理輔導法》修法時,消防員工作權益促進會就站出來跟環保團體一起反對農地工廠,並說明違章農地工廠的消防問題,包括鐵皮屋很容易垮掉,消防員可能被壓死,退出的門可能垮掉而無法逃出;農田道路狹小,消防車難以進入,消防栓又太遠,水線要拉上十幾二十條,危險更高。違章工廠沒有提供內部配置圖,化學品沒有列管,消防員進入難以掌握現場等問題。《工廠管理輔導法》新增第4章之1「未登記工廠與特定工廠之管理及輔導」專章,增訂1條罰則及修正施行日期規定,共計14條文。修正重點包括:不准新增、全面納管、就地輔導(增訂20年落日條款)、輔導用地合法、檢舉未登記工廠(增訂吹哨者條款及獎勵制度,俾利全民監督未登記工廠)
「臨時工廠登記」讓這些農地上違法工廠取得暫時的「假合法」,再階段性處理這歷史共業的問題。但經過近8年的輔導,歷史共業非但沒有解決,反而助長農地興建工廠的情形,未來如果繼續放寬申請臨登工廠的條件,甚至透過20年展延讓「假合法」狀態持續。臨時工廠登記雖然只有低污染事業可以申請,但依照《臨時登記辦法》第4條規定,中高污染事業取得環保許可文件,就會被視為低污染事業。如果各級地方政府協助這些中高污染廠商,取得環保許可文件,就會被視為低污染事業,雖然業者有相關污染防制措施,業者會趁豪大雨偷排,這不是一兩次問題,是經常性的,又出現世紀「彩虹河奇蹟」讓中高污染工廠在農地上,就是個威脅。應該就地限期拆除或輔導搬遷。
立法院臨時會今年6月27日三讀通過《工廠管理輔導法》修正案,明定「特定工廠」之有效「落日」期限為20年。其中,輔導農地工廠合法化分為兩階段,在第一階段,低污染的未登記工廠須在2年內申請納管、3年內提出改善計畫,並在10年內取得「特定工廠」登記;在第二階段,則須完成建物、土地之合法變更。
感謝資深專業地政專家、建築師、消防協會、環保團體研究報告參考,綜合研究討論出以下建言主張,望訂定全國性之清理原則:
1⃣#分級納管資訊透明
將採「全面納管、就地輔導」方式,以達到「環境保護、經濟發展、勞工就業」三贏局面,「中小企業是台灣經濟命脈」,建議臨登期、輔導期縮修正及「特定工廠」減為最高5年並列管,以達成「拚經濟、護就業、顧環保、守農地」目標。以急迫性分級例如「違法開罰」、「民眾檢舉」、「造成環境危害」、「造成生命安全危害」等高度汙染急迫程度得以連續處罰,嚴重可依法斷水電、拆除。優先拆除執行或限期改善(重汙染:半年~1年內、次汙染:2年~3年內、低汙染:5年內) ,並且將違章工廠予以公告,讓資訊公開透明並公開公司及負責人資料。
2⃣#就地輔導退場機制
農地非農用有6.8萬公頃,其中違章工廠佔最大宗,除了輔導合法「工廠登記」、「搬離遷廠」、「消防安全」、「勞工職業安全」、經濟部同時應輔導「產業升級」相關配套措施,保障人民生命安全、農地適法適用、掌握經濟轉型契機。
3⃣#保護環境農地農用
依法編列預算, 確實清理農地未登記工廠,逐步恢復原有農地景觀,達到維護農地資源之目標,俾利國土規劃的執行。各縣市國土計畫通盤檢討,整個農業、工業分區,而不是圖利這些廠商,讓工廠在農地就地合法。各縣市開發工業區只租不售,輔導廠商搬遷入住工業區集中管理。
4⃣#全民監督有效遏止
鼓勵環保團體及全民主動檢舉未登記工廠(吹哨者條款及獎勵制度) ,共同監督政府資訊公開平台,增進行政效率。
最終目標是要透過《全國國土計畫》全面檢討,工地區及工業地不足與地價炒作昂貴問題,處理這些目前違規工廠,將嚴重污染移到工業區及研擬配套措施。現在修正《工輔法》雖過渡條款,「特定工廠」20年期限真的冗長,避免長期環境汙染應將這些違規工廠列管,「現在政府無法掌控,農地違章工廠六萬多家。」再轉交「經濟部」管理,經產生的問題會更多,應要全面檢討列管,「未登記工廠補辦臨時工廠登記」沒通過、 「工廠管理輔導法」未符合,地方政府就開罰,嚴重可依法斷水電。
※備註: 「工廠管理輔導法」部分或全部條文尚未生效,最後生效日期未定, 本法 108.07.24 修正之第 39 條條文、增訂之第 28-1~28-13 條條文及第四章之一章名,施行日期由行政院以命令定之。
參考資料:
中華民國 內政部營建署 國土計畫法專區
農業及農地資源盤查結果查詢圖台
立法院會三讀通過「工廠管理輔導法」部分條文修正案
20190328經濟部簡報_工廠管理法修正草案
北市府處理違反工廠管理輔導法事件統一裁罰基準
工輔法三讀,農地工廠兩階段合法化,落日期限20年
立法院-農地違章工廠相關問題研析
農地違章工廠護身符?立委提案讓「臨登工廠」無限展延,環團痛批假合法真放水
工廠管理輔導法
未登記工廠補辦臨時工廠登記辦法
資通安全管理法分級 在 資通安全責任等級分級辦法 的相關結果
第一條本辦法依資通安全管理法(以下簡稱本法)第七條第. 一項規定訂定之。 第二條公務機關及特定非公務機關(以下簡稱各機關)之資. 通安全責任等級,由高至低,分為A ... ... <看更多>
資通安全管理法分級 在 資通安全責任等級分級辦法 的相關結果
第一條本辦法依資通安全管理法(以下簡稱本法)第七. 條第一項規定訂定之。 第二條公務機關及特定非公務機關(以下簡稱各機關). 之資通安全責任等級,由高至低,分為A ... ... <看更多>
資通安全管理法分級 在 資通安全責任等級分級辦法 - 全國法規資料庫 的相關結果
公務機關及特定非公務機關(以下簡稱各機關)之資通安全責任等級,由高至低,分為A 級、B 級、C 級、D 級及E 級。 第3 條. 主管機關應每二年核定自身資通安全責任等級。 ... <看更多>