美國總統歐巴馬宣布增加強化美國網路安全預算經費
為強化並有效因應網路安全相關議題,美國總統歐巴馬日前於4月10日提出在2014財政年度(於2013年10月開始起算)增加強化網路安全經費之建議,期待透過藉由加強並建置相關網路安全機制的方式,有效解決目前美國所面臨來自中國、伊朗、俄國、以及其他國家之的網路安全威脅;同時,其亦希望藉此厚植並改善美國政府,以及私人企業的電腦網絡防禦能力。
本次由美國總統歐巴馬所提出的國家網路安全策略主要可區分為二部分:1. 加強美國網路事件(cyber incidents)的彈性度,以及2. 減少網路威脅事件。首先針對加強美國網路事件彈性度的部份,主要會透過a. 強化美國數位基礎建設,進而能有效抵禦滲透和干擾,b. 改善美國對於複雜和敏捷的網路威脅防禦能力,以及c. 培養針對不同類型的網路事件,皆能快速應變並恢復的能力,這三個方法來加以落實。而就減少網路威脅事件的部份,則計畫以透過a. 與美國友邦結盟的方式,共同研議國際網路規範,b. 強化網路犯罪的法律執行能力,和c. 遏止潛在對手就現有之美國網路漏洞採取不當行動,三個策略模式的實施來加以實踐。然而除了上述的兩個策略及其子項的具體落實外,美國政府亦強調串連各政府部門,以及私人企業團體間之合作重要性,以及建立一個能夠使得網路維護人員及其他相關人員,得以快速取得相關網路安全資訊的便捷管道亦為重要。
隨著全球資通訊網路交流互動以及依賴程度日益增長,如何有效兼顧個人網路安全隱私及使用自由,並同時確保網路資訊流通的安全性,乃為目前強加網路安全的重要關注焦點。本次美國總統歐巴馬所提出的網路安全推動策略走向,及其如何加以落實,實值得持續關注。
本文為「經濟部產業技術司科技專案成果」
愛爾蘭資料保護委員會(Data Protection Commission,DPC)於今(2021)年9月宣告WhatsApp Ireland Limited(下稱WhatsApp)違反歐盟一般資料保護規則(General Data Protection Regulation,GDPR)並處以高額裁罰。 DPC自2018年12月起主動調查WhatsApp是否違反GDPR下的透明化義務,包括WhatsApp透過其軟體蒐集用戶與非用戶的個人資料時,是否有依GDPR第12條至第14條提供包括個資處理目的、法律依據等相關資訊,以及該資訊有無符合透明化原則等,其中又以WhatsApp是否提供「如何與其他關係企業(如Facebook)分享個資」之相關資訊為調查重點。 歷經長時間的調查,DPC作為本案領導監管機關(lead supervisory authority),於2020年12月依GDPR第60條提交裁決草案予其他相關監管機關(supervisory authorities concerned)審議。惟DPC與其他相關監管機關就該裁決草案無法達成共識,DPC復於今年6月依GDPR第65條啟動爭議解決程序,而歐洲資料委員會(European Data Protection Board)在同年7月對裁決草案中的疑義做出有拘束力之結論,要求DPC提高草案中擬定的罰鍰金額。 DPC最終在今年9月2日公布正式裁決,認定WhatsApp未依第12條至第14條提供資訊予「非軟體用戶」之資料主體,而「軟體用戶」的部分也僅有41%符合規範,嚴重違反GDPR第5(1)(a)條透明化原則。據此,以母公司Facebook全集團營業額作為裁罰基準,DPC對WhatsApp處2.25億歐元之罰鍰,為GDPR生效以來第二高的裁罰,並限期3個月改善。
德國法院判決,網站上“連絡我們(Contact-Formula)”非屬德國電信服務法第5條規定之電子聯繫資訊德國Essen地方法院判決(Az. 44 O 79/07),網站上之聯絡我們的功能(Contact-Formula),並不符合網路服務者依德國電信服務法第5條(Telemediengesetz, TMG)所應遵守之資訊揭露義務*。 根據德國電信服務法第5條第1項第2款規定,網路服務提供者之資訊揭露義務範圍,包括應提供一個供網路使用者可以快速且直接聯繫網路服務提供者之電子聯繫方式,例如提供電子郵件。 按德國電信服務法第5條規定目的在提供消費者法定之保護,而違反本條規定者,將可依德國「不正競爭防止法,UWG」第4條第11款及第2條第1項第2款規定,視為違反公平競爭之行為。 該法院認為,網站上「連絡我們功能(Contact-Formula)」性質上僅屬於一個用以製造連結的科技措施,使用者需填寫網站上表格,按下傳送鍵後,始能得知網路服務者之電子郵件,而有些網站甚至無法顯示網路服務者之電子郵件。 我國於「電子商務消費者保護綱領」第5點企業經營者應提供有利於消費者選擇及進行交易之充分資訊包括「企業經營者本身資訊」,例如登記名稱、負責人姓名及公司簡介、公司或商號所在地及營業處所所在地、電子郵件、電話、傳真等聯絡方式及聯絡人等資訊,資訊提供範圍與德國電信服務法第5條第1項第2款大抵相同。 *德國電信服務法(TMG)第5條網路服務者應揭露之資訊範圍包括其聯繫資料、特許職業執照證號、營利事業登記證號等。
美國證券交易委員會發布指引要求公司進一步揭露加密資產之潛在影響美國證券交易委員會(United States Securities and Exchange Commission,下稱SEC)於2022年12月8日發布「致公司有關近期加密資產市場發展之樣本函(Sample Letter to Companies Regarding Recent Developments in Crypto Asset Markets)」指引文件(下稱本指引),指導公司應針對自身業務涉及近期加密資產市場動盪事件(如虛擬貨幣交易所破產等),進行直接或間接影響之風險揭露,以符合聯邦證券法規之資訊揭露(如風險及風險暴露等)義務。SEC轄下之企業金融處(Division of Corporation Finance,以下簡稱金融處)認為公司應向投資者提供具體且量身訂製之市場動盪事件報告、揭露公司在動盪事件中之狀況以及可能對投資者造成之影響。爰此,本負有常態報告義務的公司應據此考量現有的揭露內容是否須進行更新。 金融處說明,為加強並監督公司對資訊揭露要求之遵守狀況,爰依據1933年證券法(Securities Act of 1933)及1934年證券交易法(Securities Exchange Act of 1934)內涵,要求公司亦須針對應作出聲明的實際狀況,進一步揭露相關重大訊息,且不得進行誤導。本指引所要求公司明確揭露加密資產市場發展的重大影響,包括公司對競爭對手及其他市場參與者之風險暴露;與公司流動資金及獲取融資能力相關的風險;及與加密資產市場法律程序、調查或監管影響相關的風險等。 值得注意的是,本指引並未列出公司應考量問題的詳細清單,個別公司應視自身情況評估已存在之風險,或是否可能受到潛在風險事項的影響。由於公司所揭露之文件事前通常不會經過金融處審查,因此金融處也敦促各公司應自主依循本指引進行相關文件準備。
日本IPA/SEC公佈「IoT高信賴化機能編」指導手冊日本獨立行政法人情報處理推進機構(IPA/SEC)於2016年3月公佈「聯繫世界之開發指引」,並於2017年5月8日推出「IoT高信賴化機能編」指導手冊,具體描述上開指引中有關技術面之部份,並羅列開發IoT機器、系統時所需之安全元件與機能。該手冊分為兩大部份,第一部份為開發安全的IoT機器和關聯系統所應具備之安全元件與機能,除定義何謂「IoT高信賴化機能」外,亦從維修、運用角度出發,整理開發者在設計階段須考慮之系統元件,並依照開始、預防、檢查、回復、結束等五大項目進行分類。第二部份則列出五個在IoT領域進行系統連接之案例,如車輛和住宅IoT系統的連接、住家內IoT機器之連接、產業用機器人與電力管理系統之連接等,並介紹案例中可能產生的風險,以及對應該風險之機能。IPA/SEC希望上開指引能夠作為日後國際間制定IoT國際標準的參考資料。