美國聯邦貿易委員會插手企業資訊安全引起爭議
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。
根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。
不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。
本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。
微軟在文書處理軟體的獨占鰲頭局勢已漸漸產生變化。 首先,昇陽(Sun)與Google簽下合作協議將推廣在網路上免費使用的文字處理軟體「OpenOffice」,兩家的合作對微軟OFFICE套裝軟體營收將會有很大的殺傷力。 再者,十月份正式推出的OpenOffice.org 2.0軟體,是第一套可穩定支援新XML開放文件格式(OpenDocument Format;ODF)標準的開放原始碼辦公室軟體。ODF是由OASIS(Organization for the Advancement of Structured Information Standards;結構化資訊標準推動組織)所制定的,採用XML儲存格式,具備共用性、跨平台等特性,並支援文書處理和資料庫等各種儲存格式。OpenOffice.org 2.0軟體還可以支援36國語言,又可在Microsoft Corp's Windows,Linux,Sun's Solaris等多家系統上執行 。 此外,美國麻薩諸塞州宣布自2007年起該州政府文件只能存成OpenDocument或Adobe的PDF兩種格式,因此該州所屬機關必須汰換不支援這2種格式的軟體,當然包括微軟OFFICE套裝軟體,如此一來微軟損失至少數百萬美元以上的商機。如果其他政府部門跟進,這不僅意味ODF的一大勝利,也將重挫微軟的龍頭地位。而Corel及Novell也重申支持OpenDocument格式。 此些舉動對於微軟的根基大業OFFICE套裝軟體可真是成心頭大患。
美國聯邦交易委員會延展紅旗規則之施行日美國聯邦交易委員會(Federal Trade Commission,FTC)因應眾議院之要求,再次延展了紅旗規則(Red Flags Rule)之施行日,目前將由原先預定之2009年11月1日,延後至2010年6月1日施行。此規則最初預計於2008年11月1日施行,此次已是第四次延展。 所謂紅旗規則,原為「公平與正確信用交易法(Fair and Accurate Credit Transactions Act)」中之規定,依該法眾議院指示美國聯邦交易委員會及相關部門制定法規,用以規範金融機構及授信單位降低身分盜用之風險。基於此一指示,金融機構及授信單位必須研擬防止身分盜用的方案。詳言之,紅旗規則係要求凡管理使用包括性帳戶(covered account)者都應研擬並執行防止身分盜用之書面計劃。所謂的包括性帳戶係指:1.用於多次消費計算用途之帳戶,如信用卡帳戶、汽車貸款帳戶、手機帳戶、支票帳戶等;2.所有預期會產生身分盜用風險的帳戶,並不僅指於金融機構中所設立之帳戶。而前述應研擬之計畫將用以協助確認、偵測並解決身分盜用之行為。 由於只要用於支付計算,或有可能產生身分盜用風險之帳戶,均為包括性帳戶,而用於支付會計師款項之帳戶亦包含在內。惟美國會計師協會(American Institute of Certified Public Accountants, AICPA)要求FTC免除註冊會計師適用紅旗規則,該協會執行長Barry Melancon認為:「我們很在意紅旗規則的廣泛應用,因為我們並不認為當CPA之客戶付款時,會產生相當的身分冒用風險。」他指出該紅旗規則所帶來之負擔已超過其風險。AICPA並要求各州會計師協會去函對FTC表達排除適用之意見。而Melancon贊同FTC延後適用紅旗原則之決定,其並認為紅旗規則並無須廣泛運用於會計業,因為作為值得信賴的顧問,會計師對於其客戶應該都很熟悉,也會要求對身分資訊採取嚴格的隱私保護標準。 為了推動紅旗規則之適用,FTC已於紅旗規則之官方網站提供了該規則之適用綱領,並以座談會之方式對各團體進行運用之培訓。同時以出版企業之應用綱領,大量之文宣及宣導短片,對民眾提供諮詢服務等方式推廣紅旗規則。 而司法實務界對於此一規則之適用範圍亦開始表達其見解,在2009年10月30日,哥倫比亞地方法院判決律師業不適用紅旗規則。不過此次的延展施行公告並不會影響相關案件的進行及上訴流程,也不會影響其他聯邦部門對於金融機構及授信單位的監督。
美國於2020年12月4日正式施行聯邦《物聯網網路安全法》美國現任總統川普(Donald J. Trump)於美國時間2020年12月4日簽署物聯網網路安全法(IoT Cybersecurity Improvement Act of 2020),針對美國聯邦政府未來採購物聯網設備(IoT Devices)制定了標準與架構。 該法要求美國國家標準技術研究院(National Institute of Standards and Technology, NIST)應依據NIST先前的物聯網指引中關於辨識、管理物聯網設備安全弱點(Security Vulnerabilities)、物聯網科技發展、身分管理(Identity Management)、遠端軟體修補(Remote Software Patching)、型態管理(Configuration Management)等項目,為聯邦政府建立最低安全標準及相關指引。如果使用政府機關所採購或獲取之物聯網設備無法遵守NIST制定的標準或指引,則不得續簽採購、獲取或使用該設備之契約。 安全標準和指引發布後,美國行政管理和預算局(the Office of Management and Budget)應就各政府機關的資訊安全政策對NIST標準的遵守情況進行審查,NIST每五年亦應對其標準進行必要的更新或修訂。此外,為促進第三方辨識並通報政府資安環境弱點,該法要求NIST針對聯邦政府擁有或使用資訊設備的安全性弱點制定通報、整合、發布與接收的聯邦指引。 雖然該法適用範圍限於聯邦政府機關,惟因該法限制聯邦政府機關採購、獲取或使用不符合NIST標準或指引的物聯網設備,將促使民間業者為獲取美國政府訂單而選擇遵循NIST標準,未來該標準可能成為美國物聯網安全的統一標準。
美國CVAA義務豁免之案例介紹與分析