《資料交換層法》Data Exchange Layer Act
愛沙尼亞原文:https://www.riigiteataja.ee/akt/106082019017
(1) 本法建立資訊系統中資料交換層之使用與維護規範。
(2) 本法不適用含有國家機密或源於外國之機密資訊的資訊系統。
本法使用之名詞,定義如下:
1) 資訊系統中的資料交換層(以下簡稱 X-Road ),係指於 X-Road 成員之間,提供安全與可驗證的網路資訊交換的技術基礎架構與環境;
2) X-Road 成員係指加入 X-Road 的機構或個人;
3) 中心係指國家資訊系統局,負責 X-Road 的管理和開發;
4) 資料服務係指一項 X-Road 成員服務,透過其可以進行基於網路的資訊交換;
5) 資料服務提供人係指為其他成員提供資料服務的 X-Road 成員;
6) 資料服務用戶係指使用資料服務的 X-Road 成員
7) 資料服務經紀人係指允許組織外的自然人或法人透過其資訊系統存取資料服務的 X-Road 成員;
8) 資料服務最終用戶係指透過 X-Road 成員資訊系統使用資料服務之自然人;
9) 資訊係指格式化之資料,透過 X-Road 在資料服務提供商和用戶之間進行交換;
10) 子系統係指 X-Road 成員資訊系統中用於提供或使用資料服務的一部分,該子系統在技術上與組織上均有定義;
11) 存取權係指在 X-Road 軟體中提供資料服務;
12) X-Road 基本協議係指一組確保透過電腦網絡進行安全資料交換操作的規則;
13) 安全伺服器係指依照 X-Road 基本協議的軟體解決方案;
14) X-Road 資訊協議係指 X-Road 基本協議系統的一部分,該協議允許 X-Road 成員處理資訊;
15) 電子戳章係指根據歐洲議會和理事會關於內部市場中用於電子交易的電子識別和信託服務的歐盟第 910/2014規則的電子資料的蒐集,並廢除了指令1999/93 / EC (OJ L 257,2014年8月28日,第73-114頁)(以下簡稱為「歐洲議會和理事會第910/2014號條例」);
16) 查詢日誌係指基於 X-Road 基本協議的安全伺服器的一部分,其儲存透過電子戳章認證的 X-Road 交換資訊。
X-Road 的管理遵循以下原則:
1) 平台與結構的獨立性 — X-Road 使軟體平台上的 X-Road 成員可以與在軟體平台上的資料服務提供人透過資訊系統進行通訊;
2) 多邊性 — X-Road 成員有機會要求存取透過 X-Road 提供的所有資料服務;
3) 開放性和標準化 — 在可能的情況下,在 X-Road 的��管理和開發中使用國際標準和協議;
4) 安全性 — 透過 X-Road 交換資料時,資料的完整性、可用性與機密性不會改變。
(1) 中心
1) 在生產和測試環境中管理存儲在 X-Road 成員、X-Road 安全伺服器與 X-Road 子系統中的資訊,從而確保 X-Road 成員安全伺服器有權存取建立 X-Road 安全資料交換管道與資料服務的必要資訊;
2) 組織對成員、子系統和安全伺服器的請求處理;
3) 在中心網站上發展並發布加入和使用 X-Road 的條款與條件;
4) 確保使用 X-Road 的可能性;
5) 監控 X-Road 的使用;
5-1) 蒐集資料服務監控日誌;
5-2) �彙整並發布非個人化的 X-Road 使用統計;
6) 處理安全事件;
7) 在本法規規定的情況下限制 X-Road 成員的權利;
8) 向 X-Road 成員提供與 X-Road 相關問題的建議;
9) 將 X-Road 的管理或使用方面的任何變化及任何妨礙使用 X-Road 或維護工作的已知情形通知 X-Road 成員;
10) 管理和組織愛沙尼亞 X-Road 環境與其他資料交換環境的整合;
11) 確保 X-Road 成員免費存取標準化的安全伺服器軟體;
12) 確保子系統自助資料服務最終用戶的標準解決方案符合 X-Road 資訊協議,並且軟體可以免費提供給 X-Road 成員;
13) 準備並實施 X-Road 基礎設施開發計畫,並確保 X-Road 結構的完整性;
14) 於本法第14條第3項規定情形,暫停 X-Road 成員安全伺服器資料服務所需資訊之可得性。
15)管理及開發註冊成員、信任服務、監督服務運作所需之解決方案,確保 X-Road 平台運作。
(1-1) 第1項第5-1款規定之紀錄,應與使個人於資料蒐集後三年,得代表 X-Road 成員請求識別之資料,由中心一同保存,並匿名化處理該資料。
(1-2) 國防部行使使軍事情資職能與安全部門行使本條第1項第5-2款規定之職能時,中心不得揭露 X-Road 的統計資料。
(2) 履行本條第1項第9款規定之義務時,中心應遵守以下通知期限:
1)X-Road 管理及運作之變更或計畫維護,須於一個月前告知;
2)告知 X-Road 管理及運作緊急變更或未計畫維護時,中心得採短於前項規定之通知時限;
3)牽涉變更 X-Road 成員子系統或資料服務之 X-Road 基礎協定或 X-Road 通訊協定的變更,須於 18 個月前通知。
(1) 為加入 X-Road,申請人應向中心提交申請。
(2) 加入 X-Road 時,申請人應與中心簽署加入協定(accession agreement)。加入協定規定各方之權利、義務、及責任。
(3) X-Road 成員得依本法及加入協定使用 X-Road。
(4) X-Road 成員應:
1)加入 X-Road 時,確保其資訊系統運作之一致性、管理、發展、安全及無誤;
2)實施第7條規定之確保資料交換安全及標準化的要素,並使其資訊系統適應 X-Road 環境。
3)實施確保資料之完整性、機密性、近用性的措施,減低安全相關風險,並確保至少每4年獨立審查一次已實施之措施;
4)遵守中心命令;
5)通知中心任何聯絡細節之變更;
6)立即通知中心任何關於 X-Road 使用之問題,及任何可能影響中心或 X-Road 成員履行其義務之情況;
7)立即通知中心事件管理部門安全事件及該事件即將造成之威脅;
8)[已廢除]
9)就中心之要求,提供評估安全伺服器、安全規範之安全性所需資訊,及對已採取措施之說明。
(5) 維護中央及地方政府資料庫時,X-Road 成員應依《公共資訊法》第 43-9 條第3項規定,實施前項第3款規定之措施,並確保措施審查之獨立性。
有下列情況之一者,中心得拒絕其加入 X-Road 之申請:
1) 申請人未有因符合中心網站上要求而製發之獨特電子戳章(e-stamp)認證;
2) 申請人未提交中心要求為建立代表權所需之文件,或申請人未有提交申請之代表權;
3) 申請人提供錯誤之資訊;
4) 申請人或其資訊系統,為符合本法或 X-Road運作原則規定之其他要求。
符合下列所有條件時,方能保障 X-Road 資料交換之安全及標準化:
1) 依第8條規定建立安全傳輸通道;
2) 以依第9條規定之電子戳章保障資料交換之完整性;
3) 依第10條規定定義子系統;
4) 依第11條規定,經由協調規範提供資料服務;
5) 依第12條規定,經由資料服務使用協議及授與存取權,規範資料服務使用者。
(1) 建立 X-Road 安全資料交換層前,X-Road 成員應為其資訊系統安裝安全伺服器軟體,並依中心網站公布之規定,於中心註冊安全伺服器認證。
(2) 只有符合中心 X-Road 基礎協議的安全伺服器軟體,可以用於 X-Road 。
(3) 使用安全伺服器,X-Road 成員應遵守以下:
1) 確保具 X 標記之電子戳章交換資訊的查詢日誌存在,在存檔查詢日誌(query log),發展查詢日誌存檔的過程,其中包括存檔頻率和要存檔的資訊列表
2) 決定取用安全伺服器之查詢日誌的人選及取用條件。
3) 確保處理存檔資訊時的機密性要求,與存檔請求日誌時使用的數據服務所需之機密性要求相當。
4) 在愛沙尼亞共和國領土內提供安全伺服器的硬體支援。
(4) 為行使第3項的義務,X-Road 成員應使用由中心提供的安全伺服器:
1) 根據中心網站上發布的指示使用安全伺服器軟體
2) 在中心提供軟體更新的兩個月內,更新安全伺服器軟體
(5) 若 X-Road 成員有下列之情形,安全伺服器的硬體支援得於中心許可下,設置在愛沙尼亞共和國境外:
1) 確保遵守第5條第4項規定義務;
2) 確保資料之完整性、機密性及可得性以降低安全風險,並確保至少每兩年獨立稽核一次已實施之措施。
(6) X-Road 成員需與另一位X-Road 成員共享安全伺服器時,應使用加密連接及雙重驗證連接安全伺服器及子系統。
(1) 通過電子戳章來確保數據交換的完整性及 X-Road 資訊的識別和 X-Road 成員身份驗證,對此 X-Road 成員必須使用下列符合歐盟第 910 號��規則要求的信任服務:
1) 製發電子戳章認證服務
2) 憑證驗證服務
3) 時間戳記服務
(1-1) X-Road 成員可以使用中心發布的電子戳章憑證來建立第1項規定電子戳章。
(2) 若使用憑證的有效性與時間戳記之間不超過8小時,則 X 標記的電子戳章有效。
(3) X-Road 成員禁止在未被第1、1-1項規定電子戳章驗證之 X-Road上進行資料交換。
(1) 只有已在中心註冊之子系統,可於 X-Road 上使用或提供服務。
(2) X-Road 成員應對中心提交子系統註冊 X-Road 之申請。
(3) 下列子系統得於 X-Road 註冊:
1) [已廢除]
2) 負責子系統維運的自然人和為子系統提供服務的安全伺服器管理員的聯繫方式已被確定;
3) 採取相關措施確保資料之完整性、機密性及可得性以減輕安全風險,並確保至少每四年獨立審查一次已實施之措施,但應遵守第5條第5項之規定。
(4) 註冊子系統後, X-Road 成員需要:
1) 決定授權使用子系統的職務和職位,以確認子系統提供的資料服務,並僅允許組織內的授權人員存取。
2) 確保連接到 X-Road 的子系統的安全無故障的運行,並遵守 X-Road 成員間有關資料服務的使用協議。
(5) 若不符合本條第3、4項規定任何要求,中心有權拒絕子系統的註冊申請或刪除已註冊的子系統。
資料服務應:
1) 遵守由中心建立的 X-Road 資訊協議。
2) 記錄描述符合中心要求、及時且相關的數據服務,並應考慮使用資料服務所要求的安全措施,及資料的組成和數據服務的性質。
3)適用於 X-Road 測試環境。
(1) 資料服務應的提供和使用應按照 X-Road 成員間對於資料服務的使用協議。資料服務協議規定應包含:
1) 所作成之法律須涵蓋使用資料服務之所需資訊安全措施、資料服務之訂戶於架構上、物理上與IT安全所需規範、資料處理之所需程序;
2) 依本法第13條授予第三方資料中介服務之授權;
3) 服務級別協定。
(2) 資料服務提供者須遵守下列事項:
1) 應登記資料服務所使用之相關技術解釋於加密伺服器內,且應定期更新加密伺服器中之資料服務說明;
2) 在與資料服務使用者(無論其為法人或獨資經營者)訂定協議前,為降低安全風險,使用資料服務者應採取相關措施確保資料之完整性、機密性及可得性;
3) 確保 X-Road系統之取用權限與X-Road成員間使用資料服務之相關協議相符。
(3) 若 X-Road成員之子系統已被授予資料服務使用之特定權限,則該子系統可使用資料服務。
(4) 資料服務之使用與提供者須受下列規範:
1) 遵守相關資料服務使用之協議;
2) 於加密伺服器中所收到的資�訊連結須加上時間戳記。
(5) X-Road成員應於規範內以其資訊系統確保終端使用者許可、授權與使用資料服務之相關參與權益。
(1) X-Road成員僅於下列情況下向組織外部之自然人或法人授予資料取用權:
1) X-Road的成員已依本條第2項訂定之程序公布資料服務之代理;
2) X-Road的成員已註冊為 X-Road內之資料中介服務者;
3) 於 X-Road成員內之資料服務使用協議中已訂定代理資料服務之授權。
(2) 資料服務代理者之程序應涵蓋下列事項:
1) 資料中介服務之基礎;
2) 於其子系統內進行資料服務間接或直接授權之程序;
3) 登記子系統內使用資料服務之許可與授權日誌以及日誌效期之程序;
4) 註記 X-Road存取日誌與取用檔案之程序與期限。
(3) X-Road成員須遵守下列資料中介服務規範:
1) 依循已建立之資料中介服務程序;
2) 若資料中介服務之程序有所更動,應通知中心與所有使用該中介服務之提供資料服務者;
3) 遵守本條第1項第3款規定協議所規範當事人雙方之權利義務,並確保資料中介服務之合規性;
4) 依 X-Road基本協定,向資料服務提供者揭露由其子系統所中介之資料。
(1) X-Road會成員得向中心提交書面申請成員資格之終止。
(2) 若成員依本條第1項規定終止申請,卻未明定終止日期時,申請者之成員資格應於受理申請之該工作天內終止。
(3) 若具下列事項,中心有權立即終止成員資格、或限制該成員之權利或給予改正之期限:
1) X-Road成員違反了本法內所規範之連結協議或資料服務中介之程序;
2) X-Road成員提交錯誤或不完整之資訊。
(4) 中心得在30日前以電子郵件形式通知 X-Road成員資格之終止。
(1) 2017年1月2日後,資料服務提供者應以電子戳章確保本法第9條第1項規定資料交換之完整性。
(2) 2017年1月2日後,使用相關資料服務者應以電子戳章確保本法第9條第1項規定資料交換之完整性。
X-Road系統之發行受MIT授權條款之規範。
[已廢除]
本法第9條中第2、3項將於2017年6月2日生效。