歐盟加密法規介紹

（四）重點摘要說明

歐盟 NIS 指令於 2016 年通過，各會員國於 2018 年 5 月前必須將其轉化為內 國法，有關於此一指令摘要如下：⁶⁹

1. 強化會員國之資訊安全能量：各會員國必須制定國家 NIS 策略，就資訊 安全擬定策略目標、適當的政策與法規。同時，各會員國必須指定特定 機關負責本指令之執行與落實。

2. 強化會員國間的網路安全合作：本指令將於會員國間建立一個合作小組，

以支持和促進會員國間的策略合作與資訊交換。其次，本指令將建立電 腦安全事件回應小組(computer security incident response teams)網絡，以 有效因應特定資訊安全事件。

3. 要求關鍵服務提供者(operators of essential services)採取適當安全措施並 向主管機關通報資訊安全事件：此部分主要適用於該服務在社會與經濟 具有重要性者，主要包括能源、交通、金融、醫療與關鍵數位服務。

其中，指令第19 條規定，為了要促進相關保護要求之實踐，各會員國可以在 技術中立的前提下，鼓勵採用與網路和資訊系統之安全有關的標準或規格，惟其 必須是歐盟或國際通用之標準或規格。

二、歐盟機密資訊保護措施-密碼產品認可

歐盟對於其所持有之 EU 機密資訊(EU classified information，EUCI)採取一 定的保護措施，以保護資訊的機密性、完整性、可用性、不可否認性與真實性等

70。當儲存EUCI 之資通訊系統如有使用到密碼產品，那麼這些密碼產品必須經過

69High Common Level of Network and Information Security, http://www.europarl.europa.eu/legislative -train/theme-connected-digital-single-market/file-network-and-information-security

(last visited Aug 8, 2019).

70 有關於 EUCI 之保護措施要求，可進一步參見 COUNCIL DECISION of 23 September 2013 on the security rules for protecting EU classified information,

https://eur-lex.europa.eu/legal-下列程序之認可：⁷¹

1. 如係用以保護資料等級為“SECRET UE/EU SECRET”以上(含)之資訊，

則該密碼產品 須經安 全委員會(Security Committee)推荐，並經 理事會 (Council)許可。

2. 如係用以保護資料等級為“CONFIDENTIEL UE/EU CONFIDENTIAL”或

“RESTREINT UE/EU RESTRICTED”之資訊，則該密碼產品須經安全委 員會推荐，並經理事會之秘書長(Secretary-General of the Council)許可。

目前已有許可之密碼產品，以保護資料等級為“SECRET UE/EU SECRET”以 上(含)之資訊為例，已許可之密碼產品類別有 GSM-, PSTN- and ISDN-encryptor、

IP–encryptor、ISDN–encryptor、Mobile phone communication encryptor…等⁷²。

三、SOGIS scheme

SOG-IS 協定(agreement)係因應歐盟理事會於 1992 年針對資訊系統安全所做 成的決定與1995 年針對資訊科技安全評估準則所提出的建議而建立的⁷³。1992 年 之決定係肇因於歐盟認為資訊系統安全之重要性，尤其是對於資訊之自由流通，

按決定第1 條之規定，必須於決定做成後的 24 個月內提出與資訊系統安全有關之 策略，並成立資深官員小組(Senior Officials Group) 長期針對資訊系統安全向歐 盟執委會提出建議⁷⁴；另，肇因於共同資訊科技評估準則對於驗證(certification) 之相互承認具有一定的重要性，且資訊系統安全資深官員小組(Senior Officials

content/EN/TXT/PDF/?uri=CELEX:32013D0488&from=EN .

71European Council of the European Union, Information assurance,

https://www.consilium.europa.eu/en/general -secretariat/corporate-policies/classified-information/information-assurance/ (last visited Aug 8, 2019).

72 有關於各類產品清單及其內容，可進一步參見 European Council of the European Union, Approved cryptographic products SECRET UE/EU SECRET, https://www.consilium.europa.eu/en/general -secretariat/corporate-policies/classified-information/information-assurance/eu-secret/

(last visited Aug 8, 2019).

73 SOGIS, Introduction, https://www.sogis.eu/ (last visited Aug 9, 2019).

74 COUNCIL DECISION of 31 March 1992 in the field of secu rity of information systems (92/242/EEC).

Group on the security of Information Systems，SOG-IS)建議採用共同資訊科技評 估準則，以利於資訊科技產品單一市場之形成，理事會於 1995 年建議(一)為因應 資訊科技產品、系統和服務之需求，於近 2 年內先行使用資訊科技安全評估準則 (Information Technology Security Evaluation Criteria，ITSEC)作為評估和驗證機 制，(二)SOG-IS 負責推動資訊科技安全評估準則的調合與標準化，(三)在國際調 和與標準化完成之前，會員國應 資訊科技安全評估驗證進行相互承認之談判，

(四)SOG-IS 應就科技安全評估準則之國際調合採取適當措施⁷⁵。

SOG-IS 協定以 IT 安全評估和驗證機制之相互承認為目的，於 1999 年即進行 相關簽署，並於 2010 年進行協定內容之更新⁷⁶，至 2017 年 6 月為止，參與的國 家及其代表機構如下：⁷⁷

1. Austria, Bundeskanzleramt

2. Belgium, Centre for Cyber Security Belgium 3. Croatia, Information Systems Security Bureau 4. Denmark, CFCS - Center for Cyber Security 5. Estonia, RIA - Riigi Infosüsteemi Amet

6. Finland, FICORA - Finnish Communications Regulatory Authority

7. France, ANSSI - Agence Nationale de la Sécurité des Systèmes d'Information

8. Germany, BSI - Bundesamt für Sicherheit in der Informationstechnik 9. Italy, OCSI - Organismo di Certificazione della Sicurezza Informatica 10. The Netherlands , NLNCSA - Netherlands National Communications

Security Agency, Ministry of the Interior and Kingdom Relations

75 95/144/EC: Council Recommendation of 7 April 1995 on common information technology security evaluation criteria, Official Journal L 093 , 26/04/1995 P. 0027 – 0028, https://eur-lex.europa.eu/legal-content/PL/TXT/?uri=CELEX:31995H0144 .

76有關條文之內容可進一步參閱 SOGIS, Text of the Agreement, https://www.sogis.eu/uk/mra_en.html (last visited Aug 9, 2019)。

77 Supra note73.

11. Luxembourg, ANSSI.lu - Agence Nationale de la Sécurite des Systèmes d'Information Luxembourg

12. Norway, SERTIT - Norwegian National Security Authority operates the Norwegian Certification Authority for IT Security

13. Poland, NASK - Naukowa i Akademicka Siec Komputerowa 14. Slovakia, NBÚ - Národný bezpečnostný úrad

15. Spain, CCN - Centro Criptológico Nacional, Organismo de Certificación de la Seguridad de las Tecnologías de la Información

16. Sweden, FMV - Försvarets Materielverk

17. United Kingdom, NCSC - National Cyber Security Centre

根據 SOG-IS 協定，IT 安全評估準則主要涉及資訊科技安全評估共同準則 (Common Criteria for Information Technology Security Evaluation ，CC)與 ITSEC⁷⁸。會員國參與 SOG-IS 協定的方式有二種，分別是(一)驗證消費參與者 (certificate consuming participants)，與(二)驗證生產者(certificate producers)⁷⁹， 而 參 與 SOG-IS 協 定 者 將 共 同 致 力 調 和 歐 洲 驗 驗 機 構(European Certification Bodies)間之共同準則保護文件(Common Criteria protection profiles) ⁸⁰與驗證政策，

以及(二)當歐盟執委會所制定的指令有涉及國家層級之資訊安全要求時，調合保 護檔案之發展。⁸¹

目前SOG-IS 相互承認協定(Mutual Recognition Agreement，MRA)主要含括

78 Mutual Recognition Agreement of Information Technology Security Evaluation Certificates VERSION 3.0,

§5 (2010), https://www.sogis.eu/documents/mra/20100107 -sogis-v3.pdf.

79 有 關 於 各 會 國 參 與 之 方 式 ， 可 進 一 步 參 考 SOGIS, Status of SOG-IS participants / schemes, https://www.sogis.eu/uk/status_participant_en.html (last visited Aug 9, 2019).

80 CC(Common Criteria)可謂是一種國際標準與指引，用以評估資訊安全產品，以確保其符合政府部門使用 的 需 求 ， 其 全 稱 為 IT 安 全 評 估 共 同 準 則 (Common Criteria for Information Technology Security Evaluation)，此一準則主要有二個構成要素，分別是保護文件(Protection Profile, PPro) 與評估確保水準 (Evaluation Assurance Levels, EAL) ，前者針對特定產品(如：防火牆)設立安全要求，而 EAL 則定義產 品應該如何被測試，其水準可從 1 至 1，1 是最低水準，而 7 是最高水準，但越高水準不表示產品越安全，

而是表示其歷經較多的測試。Common Criteria (CC) for Information Technology Security Evaluation, https://whatis.techtarget.com/definition/Common -Criteria-CC-for-Information-Technology-Security-Evaluation (last visited July 11, 2019).

81 Supra note 73.

下列技術/產品領域：⁸²

1. 智慧卡(Smartcards)及相類似裝置：主要針對涉及安全功能之部分，尤 其是硬體或晶片，相關產品例如：智慧卡硬體/晶片、智慧卡複合產品 (smart card composite products)、 數 位 行 車 記 錄 卡(digital tachograph cards)等。

2. 含安全盒(Security Boxes)之硬體裝置：所謂的安全盒係置於硬體裝置內，

用於對抗來自於外界的物理攻擊，通常會裝置安全盒的硬體裝置，如：

支付終端裝置、行車記錄裝置、智慧電錶、門禁控制裝置、硬體安全模 組…等。

四、歐盟網路與資訊安全局對於加密技術/產品之意見

歐盟網路與資訊安全局(European Union Agency For Network and Information Security，ENISA)於 2016 年時曾針對加密技術發表意見⁸³。ENISA 係由網路與資 訊安全專家所組成之中心，其提供歐盟有關於資訊安全政策與法規建議，並致力 於改善歐盟關鍵基礎設施的安全性與穩定性，同時，其也致力於歐盟會員國際的 合作。

ENISA 於 2016 年之意見，係為了檢視有關於降低加密(encryption)之強度 的建議，然而，為何有提議要降低加密強度，其目的係為了 促進安全服務之通 訊(communications)的監聽(interception)與解密(decryption)⁸⁴。ENISA 在其意見 中指出，因應執法議題而對於加密技術/產品所採取的措施，可能有以下幾種，

82 SOGIS, SOG-IS Technical Domains, https://www.sogis.eu/uk/tech_domain_en.html (last visited Aug 9, 2019)。

83ENISA, ENISA’s Opinion Paper on Encryption (2016), https://www.enisa.europa.eu/publications/enisa -position-papers-and-opinions/enisas-opinion-paper-on-encryption.

84 Id. at 4.

分別是：⁸⁵

1. 國內控制(domestic control)，此部分在多部分的西方國家並不常見，即 在西方國家少有禁止使用加密技術之規定，但可能會有一些替代性的規 定 ， 如 ： 美 國 於 1993 年 時 曾 倡 議 發 展 託 管 加 密 標 準(Escrowed Encryption Standard)，即一般所知悉的 Clipper 芯片(Clipper Chip)，此 標準要求在美國境內運作的通訊設備必須裝置Clipper 芯片，此芯片具有 加密功能，且為了讓美國執法機關可以存取加密資訊，其在設計上將可 用於解密金鑰分成二個部分，分別置於美國司法部(Justice Department) 與國家標準與科技機構(National Institute of Standards and Technology，

NIST)⁸⁶。然而，這樣的管理機制並未在歐洲被接受與執行。

2. 出口控制(export control)，此部分主要基於瓦聖那(Wassenaar)協定，將 密碼技術/產品視為兩用品(Dual Use goods)，進而對於施予出口管制，

主要的作法為出口通常必須取得政府的許可。

ENSIA 針對加密技術/產品之運用，提出了下列的意見，包括：⁸⁷

1. 人民間的通訊必須受到保護，加密技術/產品有助於此目的之達成。但是，

考量恐怖攻擊與組織犯罪的對抗，執法機構必須有辦法可以規避這樣的 保護措施。同時，如果限制加密技術/產品的利用，將會形成漏洞而使恐 怖份子或組織犯罪者有機可乘，且會影響電子服務之可信性，進而不利

85 Id. at 13-14.

86 美國白宮於 1993 年時提出 Clipper Chip，其為一種密碼裝置，主要用於語音通訊設備，可以保密通訊內 容，同時，要求使用者必須將可用於解密的金鑰置於美國政府，使美國政府在具有法律正當性的前提下，

可以存取其所調查的通訊內容。為了避免外界的爭議，美國 NIST 透過外部專家意見的徵詢，發展演算 法 等 標 準 ， 但 是 ， 仍 引 發 了 諸 多 的 爭 議 。 是 以 ， 在 1994 年 時 ， 美 國 政 府 另 行 提 出 了 金 鑰 託 管 (Key Escrow)機制，提出數份有關於產業發展金鑰託管軟體(escrow-based software)的建議，該建議係將備用 金鑰置於經政府認可的可信賴第三方(trusted third party)，該第三方可基於美國政府調查之需求將金鑰提 供予政府。美國於當時除了倡議產業發展金鑰託管軟體外，也倡議國際組織，諸如：OECD 與歐盟，採 用金鑰託管作為標準。參見 EPIC, Key Escrow, https://www.epic.org/crypto/key_escrow/ (last visited Aug 9, 2019), EPIC, The Clipper Chip, https://www.epic.org/crypto/clipper/ (last visited Aug 9, 2019)。

87 ENISA, supra note 錯誤! 尚未定義書籤。, at 16.

於歐盟產業與公民社會之發展。

2. 如果要將後門(backdoor)與第三方解決方案納入立法，則必須考量提供 適當之安全服務所需要的成本與支出。

3. 考量科技的快速發展，後門這一個方案未必是有效的，因為恐怖份子或 組織犯罪者也可以自己發展加密技術/產品。

4. 部分科技使用一次性的加解密金鑰，故不會有中央儲存金鑰概念。不可 否認地，此類科技的發展與使用，強化了識別通訊與將其解密的困難。

5. 如果弱化加密技術/產品的發展，可能會連帶影響其他密碼產品之應用或 發展，如：數位簽章之發展與使用。

6. 未來必須有必針對執法需求與產業發展需求為進一步之研析，以確認是 否有立法之必要。

7. 同時，為了解決執法所面臨的困難與需求，有必要持續找尋其他解決方案。

五、歐盟執委會有關加密技術/產品之政策

因為反恐與犯罪防制議題，歐盟執委會於 2017 年時針對加密技術/產品之運 用所帶來的犯罪調查或證據調查之困擾發表了相關意見⁸⁸，其認為加密技術/產品 可用以確保資訊安全與個人資料之安全，尤其是歐盟於2018 年正式施行的一般個 人資料保護規則(general data protection regulation)即有提及可以運用加密技術保 護個人資料。是以，在兼顧執法調查與個人權益保護等需求之下，其認為未來可 以嘗試發展的途徑有二，分別是法律途徑與技術途逕：⁸⁹

1. 法律途逕：歐盟執委會於2018 年就有關於如何促進跨境存取電子證據此

88 Eleventh progress report towards an effective and genuine Security Union , COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE EUROPEAN COUNCIL AND THE COUNCIL, Brussels, 18.10.2017 COM(2017) 608 final,

https://ec.europa.eu/home-affairs/sites/homeaffairs/files/what

-we-do/policies/european-agenda-security/20171018_eleventh_progress_report_towards_an_effective_and_genuine_security_union_en.pdf .

89 Id. at 8-10.

一議題提出建議，包括會員國間如何進行司法合作之標準作業程序。

2. 技術途徑：在不禁止、限制或弱化加密技術之運用的前提下，歐盟執委 會希望透過一些措施來解決現行執法所面談的議題，包括：(1)強化歐洲 刑警組織(Europol)的解密能力，(2)建立專家網絡，(2)在前揭專家的協 助下，建立其他的調查工具，(4)與產業提供加密技術、產品或服務之業 者合作，(5)提升人員的能力，以及(6)持續從技術面和法規面評估加密 技術在犯罪調查中所扮演的角色。