論智慧科技裝置之法律問題—美國資訊隱私法制變革與發展

　　由於美國之主要電信業者與有線電視業者紛紛推出語音、數據與影音三合一服務(triple play)，彼此之間的競爭也日益激烈。為搶奪市場，電信業者與有線電視業者分別向美國聯邦通訊傳播委員會(FCC)提出申訴，指競爭對手以不公平方式阻擋客戶轉換服務提供業者。如2008年2月間，Comcast、Time Warner 等有線電視業者向FCC申訴，Verizon 及其他既有電信業者在消費者申請電信號碼可攜服務過程中，以違反通訊法(the Communications Act of 1934)規定方式，利用消費者之個人資料進行「客戶忠誠度行銷」(Customer retention marketing)。電信業者在3月間亦向FCC申訴，有線電視業者拒絕接受競爭對手代替消費者申請取消原訂服務，而要求消費者親自申請，造成消費者轉換服務提供業者之困擾，不利電信業者爭取客戶轉向訂閱其他業者之影音服務。 　　針對有線電視業者所提出之申訴，FCC執行局(the Enforcement Bureau)認為，就法條解釋觀之，電信業者此一利用消費者資料的方式並未違反通訊法之規定，故建議FCC駁回有線電視業者之申訴。然而，有鑑於電信業者與有線電視業者之間競爭逐漸白熱化，執行局建議FCC就「客戶忠誠度行銷」行為涉及之客戶資料使用與市場競爭利益發佈「初步立法公告」(Notice of Proposed Rulemaking, NPRM)，徵詢各方意見，希望建立能一體適用於各個不同平台之規範，以因應跨業競爭問題。

　　昇陽公司本月十四日把 500 多萬行 Solaris 核心 (kernel) 的原始碼張貼在 OpenSolaris 網站上。不過，一些原始碼元件，像是安裝程式與管理工具，因為仍在逐行檢視以免專利侵權問題，稍後才會推出。 　　Solaris 是使用率相當廣的一種 Unix 衍生版本，在一九九○年代末期網路泡沫時期大行其道，但後來隨開原碼作業系統 Linux 竄起而式微。同時，微軟的 Windows 作業系統，也蠶食著昇陽的市占率。為了讓 Solaris 成為開放原始碼軟體，昇陽積極拉攏軟體開發人員，軟體開發人數增多，可能引來更多的使用者、更多的合作夥伴，以及更多的軟體開發者。然而，要與氣勢正旺的 Linux 競爭，並非易事。 Solaris 開發工程僅傾昇陽一家公司之力，但 Linux 幕後卻有廣大的開發人員社群支持。 　　Quandt Analytics 分析師 Stacey Quandt 說，與外部程式設計師分享權力，是昇陽必須通過的考驗。對昇陽來說，真正的挑戰是，昇陽是否真能容納局外人貢獻的修補程式，而且不叫昇陽經驗老到的工程師加以改寫。 　　OpenSolaris 是昇陽自行研發的專屬計畫，但不表示一定會失敗。 IBM 即曾經以 Eclipse 程式設計工具為中心，建立起活力十足的開原碼社群，就是成功的例子。昇陽雖來不及按原訂計畫在二○○四年推出 OpenSolaris ，但已推動一些配套措施，包括在今年一月發布稱為 DTrace 的元件，提供詳細的效能分析；吸引一百五十位外部程式設計人員參與 OpenSolaris 測試計畫；並成立由五人組成的社群顧問委員會，其中兩席是昇陽的代表。

　　為促進自駕車研發和推廣，日本國土交通省召集產官學研各界成立先進安全汽車（Advanced Safety Vehicle, ASV）推進檢討會，檢討設計自駕車時之注意事項，並於2020年7月17日公布「最後一哩路自駕車系統基本設計書」（ラストマイル自動運転車両システム基本設計書），希望能藉此達成確保地方交通運輸能量及加速自駕車落地之目標。 　　「最後一哩路自駕車系統基本設計書」將操作適用範圍（Operational Design Domain, ODD）定義為限定區域或駕駛環境條件，並提出所有自駕車應具備之共通ODD，包括（1）道路/地理條件︰目標道路、行駛道路；（2）環境條件︰時間、天氣；（3）行駛條件︰行駛速度；（4）行駛空間︰可支援自駕車行駛之基礎設施，以及可提醒用路人注意正在進行自駕車實驗之設施。此外，由於不同應用情境會影響ODD之設定，故本書以限定路線下往返之自駕車為代表，說明在個案中該如何進一步檢討ODD。以行駛速度為例，在共通ODD中，最後一哩路自駕車時速應為30公里，但在提供限定路線內往返之載客服務時，自駕車的時速應設定在12公里以下。最後，「最後一哩路自駕車系統基本設計書」內整理最後一哩路自駕車共通及特有之技術要件，以及設計時應留意和確認的問題。

　　在2013年的國際資訊安全會議（RSA Conference）上，資安專家紛紛表示，將Big Data技術應用於資訊安全分析的項目上，確實可以幫助企業建立更佳的情勢判斷能力，但在實際執行過程中是一大挑戰。 　　資安廠商如RSA和賽門鐵克公司，在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標，這是傳統的特徵偵測（signature-based）安全工具無法做到的。 　　不像傳統的安全手段著重於阻斷攻擊，新的技術強調偵測並立即回應違犯行為，也就是提前遏止任何違犯行為，協助企業作全面性的偵測而不擔心有所遺漏。 　　由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊，巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類，而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型，取代部署特定產品和外圍系統的防禦。 　　美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 　　「駭客只需要攻擊成功一次，但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅，更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說，以巨量資料技術強化資訊安全是很好的想法。 　　不過另有其他的說法，金融服務企業LSQ的首席安全及法務主管皮爾遜認為，許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了，這才是問題所在。他表示，目前現存的SIEM（安全性資訊及事件管理）工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內，但真正的問題是，SIEM工具必須要有能力分析數據並找出關聯性，如此才能偵測到駭客入侵的前兆證據和真實的入侵行為，這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料，而是要如何為資訊安全的目的建立關聯規則和應用方式，以有效率的方式找出有用的巨量數據並進行分析，和留下可供進行訴訟使用的證據。