核心業務

資安防護
政府組態基準(GCB)
資通安全弱點通報機制(VANS)
端點偵測及應變機制(EDR)
零信任架構(ZTA)
國家資安聯防監控中心(N-SOC)
國家資安通報應變中心(N-CERT)external link
資安資訊分享
國際資安政策觀測
漏洞警示
漏洞警訊公告
重大漏洞資訊
資安服務廠商評鑑
國家資安資訊分享與分析中心(N-ISAC)
資安人才培力
資安學習資源認定服務
巡迴研討會
資安人才培訓服務網external link
資安系列競賽網站external link
數位韌性
數位韌性教材
設計系統資源
SBOM資源
中文化翻譯教材
共通性建議教材

國際資安政策法制觀測週報 第71期 (03/15-03/21, Week 3)

2025/3/26 下午 05:34:50
一、重要國家與組織資安政策法制動態
1. 亞洲
2. 歐洲
3. 大洋洲
4. 國際組織
5. 其他
二、全球人工智慧資安政策法制焦點
  1. 週報全文下載  pdf 
 
壹、全球資安暨人工智慧政策法制動態

一、重要國家與組織資安政策法制動態

   1. 亞洲

  1. 中國

網信辦:
於3月20日由中華人民共和國國家互聯網信息辦公室(網信辦)、公安部等4個中國政府部門辦公廳發布《人臉辨識技術應用安全管理辦法》(以下簡稱:辦法),該辦法針對近年人臉辨識技術應用引發的個人隱私與資料安全問題制定法律規範,並將自2025年6月1日起正式實施。
辦法指出任何應用人臉辨識技術處理人臉資訊的行為,必須以合法、正當、必要為前提,並不得以任何形式侵害個人合法權益,或以技術名義侵害國家安全與公共利益。在資料蒐集方面,須取得個人「知情、明確、自願、單獨」的同意,且針對14歲以下未成年人,需取得監護人授權。人臉資訊原則上不得透過網路傳輸,只能儲存於本地設備中,保存期限也應控制在最短必要範圍內。在實際應用中,若有其他技術手段能實現同樣功能,則不得強制要求使用人臉識別作為唯一方式。不得以提升服務、辦理業務等理由,誤導、欺騙或脅迫用戶接受人臉識別。此外,在公共場所設置人臉識別設備,必須出於維護公共安全的實質需求並設置明顯提示,嚴禁在私密空間設置設備。
為強化資料安全,該辦法也要求應用系統必須具備加密、防範入侵、訪問控制等多項保護措施,防止資料洩漏或被非法利用。若企業或機構儲存的人臉資訊達到10萬人以上,應於30個工作日內向所在地的省級以上網信部門進行備案[1]

關鍵字:資安政策或法令、個資或隱私保護

 

  1. 韓國

國情院(NIS):
於3月17日與國土交通部共同舉辦資安說明會,對象涵蓋無人機相關企業、機構與協會。國情院指出,近期韓國無人機開發企業頻繁遭受來自北韓等國家或國際駭客組織的攻擊,手法包括釣魚郵件與透過系統弱點滲透企業內網,意圖竊取技術資料。雖尚未出現重大技術外洩事件,但也暴露出企業資安防護體系的薄弱。 

為強化防範,國情院於去年12月會同防衛事業廳、國家安全技術研究院等單位,聯合檢查無人機企業的資安管理實務,結果顯示多數企業存在資安系統不健全、管理鬆散等問題。 本次說明會除分享檢查中發現的具體弱點與改善對策外,亦發放《資安管理手冊》,內容涵蓋資安規章擬定、防火牆建置等基本事項,以及弱點檢查、安全設定等實務指引與檢查清單,以協助企業強化自主防護能力[2]

關鍵字: 產業資安、供應鏈安全

  2. 歐洲

  1. 英國:

國家網路安全中心(NCSC-UK):
於3月20日發布後量子密碼遷移的時程表及指引[3],提出自即日起至2035年的三階段路線圖,以協助各類組織因應量子電腦對現行加密技術所構成的潛在威脅。指引建議在2028年前盤點並找出需升級的加密服務並制定後量子密碼遷移計畫;2028至2031年針對高優先項目完成遷移;2031至2035年完成所有系統與服務的後量子密碼遷移。NCSC-UK並補充,對多數中小型機構而言,遷移工作可透過供應商的例行升級完成,而大型組織則需進行額外規劃及投入資源。而作為後量子密碼遷移推動工作的一環,NCSC-UK將啟動一項試辦方案(Pilot Scheme),針對可提供發掘、評估與規劃支援的顧問公司進行資格認可,確保英國境內具備足夠人力資源協助組織推動遷移作業[4]

關鍵字:參考指引、量子運算、後量子遷移、密碼學

  

3. 大洋洲

  1. 澳洲:

信號局(ASD):
於3月18日更新《安全雲端藍圖》(Blueprint for Secure Cloud),以反映Microsoft近期對其資料治理平台Microsoft Purview所做的修改。該藍圖的宗旨是協助設計、設定與部署可供協作且安全的雲端與混合工作環境,目前聚焦於Microsoft 365 [5]。 Microsoft Purview則是協助組織針對依據該藍圖建置的系統進行資料治理、保護與管理。它涵蓋多種可保護組織資料的解決方案,並有助於防止資料外洩、對靜置與傳輸中的檔案進行加密、套用標籤保護內容,並於必要時協助調查事件(Respond to Investigations)。 本次更新內容針對Purview管理入口的變更提供指引,包括關於敏感度標籤(Sensitivity Labels)與資料外洩防護(Data Loss Prevention, DLP)的說明,並處理與Purview中字元限制相關的問題。ASD也更新並簡化DLP政策的指引,以提升安全性並簡化管理。

關鍵字:雲端安全

  4. 國際組織

  1. 歐盟:

對外事務總部(EEAS):
於3月19日發布《第三號外國資訊操弄與干預威脅報告》(3rd EEAS Report on Foreign Information Manipulation and Interference (FIMI) Threats)[6],首度引入「FIMI曝露矩陣」(FIMI Exposure Matrix)分析工具,系統性揭示俄羅斯與中國等威權政權如何透過多層次、跨平台的數位基礎設施,在全球民主國家進行資訊操弄與干預。

報告指出,官方與已知的訊息來源僅是冰山一角,其下隱藏著大量與國家有關聯、卻未公開的隱蔽頻道(Channel)。報告亦顯示,俄羅斯與中國的FIMI行動在手法上有明顯差異,但有時會彼此協同放大反西方訊息。
FIMI曝露矩陣可協助決策者與實務人員掌握公開與隱蔽訊息頻道間的網絡結構,不僅有助於提高社會對FIMI威脅的警覺,也為責任歸屬與反制行動提供依據。報告分析2024年蒐集的505起FIMI事件,涉及約38,000個頻道,顯示FIMI活動規模龐大且手法多元,尤其選舉、獨立媒體、國際組織與FIMI防禦者是高風險目標。
報告指出,社群平台仍是FIMI行動的核心場域,X平台占整體活動88%,常見手法包括虛假網站、機器人網絡與協調式不實行為,並已廣泛運用生成式AI進行內容產製與擴散。地理上,烏克蘭仍為首要目標,法國、德國、摩爾多瓦與非洲薩赫爾地區亦遭重點攻擊。報告亦收錄俄羅斯在摩爾多瓦與非洲、中國發起的具體行動案例,顯示FIMI策略會依地緣與在地脈絡調整。本報告延續前兩期成果,進一步提出預警導向的分析模式與政策建議,強化民主體系的集體應對能量。

關鍵字: 不實資訊、選舉安全

 5. 其他

  1. 媒體:

Euronews:
荷蘭國會於3月20日通過多項動議(Motions),要求政府減少對美國雲端服務的依賴,並建立國家雲端系統[7]
這些動議指出,荷蘭政府對美國科技的依賴構成了對該國「自主權與資安」的威脅。尤其美國《雲端法》(CLOUD Act)是在Donald Trump首任總統任期內簽署成法,該法案允許美國執法機關向美國科技公司發出傳票,要求提供其雲端資料,以協助調查重大犯罪。雖然川普尚未表明會援引《雲端法》,但專家指出,他可能要求Google、Microsoft和Amazon等雲端供應商交出荷蘭的資料,或迫使這些公司不再向荷蘭政府提供技術服務。這可能會對公共服務造成重大干擾。
其中一項動議要求荷蘭政府提出招標案,建立一套「完全由荷蘭管理」的國家雲端系統,用以儲存部會間的機密通訊與資料。該動議也要求政府重新考慮是否繼續使用AWS來託管荷蘭的網域名稱,並在公共採購案中對歐洲企業給予優先考量。

關鍵字: 雲端運算、國家安全

二、全球人工智慧資安政策法制焦點

  1. 英國

英國科學創新暨科技部(DSIT):
科技大臣Peter Kyle於3月18至25日訪美,宣導英國作為全球AI投資中心的實力,並探討如何在AI時代深化英美特殊關係。AI發展是英國政府《變革計畫》(Plan for Change)的政策核心[8],對此Kyle大臣並於3月20日Nvidia年度大會上發表演說,說明英國如何「重新佈線」(rewiring)經濟結構,使其透過AI驅動,讓全國各地社區都能掌握這項技術帶來的轉型契機,並將財富創造不再侷限於矽谷與倫敦[9]。英國AI產業目前估值超過920億美元,預計到2035年將突破1兆美元,英國目標成為民主世界第二大AI強國,並向美國企業與投資人敞開大量投資機會。 

Kyle大臣強調,英國已做好迎接AI投資的準備,特別聚焦於將過去經濟時代的遺跡(如廢棄工廠與礦場)轉型為創新的AI成長區(AI Growth Zones),這些成長區是《AI機會行動計畫》(AI Opportunities Action Plan)的關鍵措施,為吸引大規模AI投資而設置,具備簡化法規與專屬基礎設施的優勢,代表企業可在此迅速擴張與創新。 

Kyle大臣此行並預計與美國科技業主要公司如OpenAI、Anthropic、Nvidia與Vantage會面,推廣英國作為矽谷企業「海外第二據點」的優勢。 

關鍵字:產業扶植措施、技術研發、公私協力、人工智慧、量子運算

 

  1. 國際組織

歐盟執委會:
於3月20日宣布啟動《語言科技聯盟-歐洲數位基礎建設聯盟》(Alliance for Language Technologies European Digital Infrastructure Consortium, ALT-EDIC)與《語言資料空間》(Language Data Space, LDS)計畫,以解決訓練大型語言模型所需的歐洲語言資料不足問題,促進多語言AI系統的發展。這些計畫將提供涵蓋所有歐盟語言的服務,協助中小企業突破語言障礙,同時保護歐洲文化與語言多樣性,並強化歐盟在科技主權(Tech Sovereignty)上的地位。
ALT-EDIC於2024年2月成立,目前有17個會員國參與,是歐洲數位基礎建設聯盟(European Digital Infrastructure Consortia)的先驅之一;LDS由執委會主導,是歐洲共同資料空間(Common European Data Spaces)的一部分,並由《數位歐洲計畫》(The Digital Europe Programme, DIGITAL)提供資金,目標是打造語言資料的整合市場(A Cohesive Marketplace for Language Data),強化多語言資料的蒐集與共享。該計畫初期將開放特定機構使用,未來將擴大至所有公私部門[10]

關鍵字:國際合作、人工智慧
貳、我國資安暨人工智慧政策法制動態
  1. 數位發展部資通安全署

資安署於2025年3月15日發布《2025年2月資安月報》,本次資安聯防監控系統共蒐集64,531件情資,雖較上月減少約1萬5千件,但仍顯示政府機關面臨持續的資安威脅。從威脅類型來看,以資訊蒐集類最多(39%),主要為掃描、探測與社交工程攻擊;其次為入侵攻擊類(34%)及入侵嘗試類(14%)。在資安事件通報方面,本月共通報60件事件,較上月增加13件,但比去年同期減少約17.8%。在公務機關的資安政策與教育推動上,資通安全署於2月14日與2月19日辦理兩場資安主管研習,共360人參與,提升各機關對國家資安政策與新興威脅的理解與應對能力[11]

關鍵字:資安政策或法令、資安威脅發展趨勢

參考資料  

[1]網信辦,國家互聯網信息辦公室、公安部聯合發布《人臉辨識技術應用安全管理辦法》,查閱網址https://www.cac.gov.cn/2025-03/21/c_1744174262342111.htm

[2]NIS, 국정원, 드론 업계 사이버보안체계 맞춤형 구축 지원, available at:  https://www.nis.go.kr/CM/1_4/view.do?seq=341. 

[3]NCSC-UK, Timelines for migration to post-quantum cryptography, available at:https://www.ncsc.gov.uk/guidance/pqc-migration-timelines

[4]NCSC-UK, Cyber chiefs unveil new roadmap for post-quantum cryptography migration, available at: https://www.ncsc.gov.uk/news/pqc-migration-roadmap-unveiled.

[5]ASD, Updates to ASD’s Blueprint for Secure Cloud, available at: https://www.cyber.gov.au/about-us/view-all-content/news/updates-to-asds-blueprint-for-secure-cloud

[6]EEAS, 3rd EEAS Report on Foreign Information Manipulation and Interference Threats, available at: http://eeas.europa.eu/sites/default/files/documents/2025/EEAS-3nd-ThreatReport-March-2025-05-Digital-HD.pdf 

[7]Euronews, A threat to autonomy: Dutch parliament urges government to move away from US cloud services, available athttps://www.euronews.com/next/2025/03/20/a-threat-to-autonomy-dutch-parliament-urges-government-to-move-away-from-us-cloud-services

[8]DSIT, UK Tech Secretary to bang the drum for closer AI partnership with the US, available at: https://www.gov.uk/government/news/uk-tech-secretary-to-bang-the-drum-for-closer-ai-partnership-with-the-us

[9]DSIT, Secretary of State Peter Kyle speech to Nvidia GTC 2025, available at: https://www.gov.uk/government/speeches/secretary-of-state-peter-kyle-speech-to-nvidia-gtc-2025

[10]European Commission, Commission welcomes new initiative to support European cultural and linguistic diversity in Artificial Intelligence, available at:https://digital-strategy.ec.europa.eu/en/news/commission-welcomes-new-initiative-support-european-cultural-and-linguistic-diversity-artificial

[11]數位發展部資通安全署,資通安全網路月報(114年2月),查閱網址:https://moda.gov.tw/ACS/press/report/15670