美國網路安全相關法規與立法政策走向之概覽
美國網路安全相關法規與立法政策走向之概覽
科技法律研究所
法律研究員 沈怡伶
104年08月11日
網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。
壹、美國聯邦政府相關網路安全規範、標準及措施
一、金融業相關管制規範
對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。
另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]。
二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)
該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]。
三、醫療健康資訊相關管制規範
「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]。
貳、立法焦點新況:網路安全及網路威脅資訊共享
美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]。
針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。
現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之:
一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。
二、能破解安全控制或利用安全漏洞的方法。
三、安全漏洞。包括能指出安全漏洞存在的異常活動。
四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。
五、惡意網路命令和控制。
六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。
七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。
八、任何結合上開措施之行動。
防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。
就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。
美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。
參、小結
網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]。
就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。
[1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015).
[2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015).
[3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015).
[4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015).
[5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015).
[6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015).
[8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015).
[9] Sec.2(15).
[10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015).
[11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015).
[12] Sec.2(6).
[13] Sec.2(7).
[14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。
[15]Paul et al., supra note 2, at 2.
有鑑於線上市集(如Google Play)、訂房網站等線上平台提供了迅速進入國際消費市場之機會, 因此成為了數百萬企業提供服務的首選之地。然而,存在於「平台對商家」(platform–to-business, P2B)之間的某些結構性問題,卻導致了企業之間的不公平交易行為。是以,歐洲議會、歐盟理事會與歐盟執委會於2019年2月14日就「提升線上中介服務商業用戶的公平性與透明性規則」(Regulation on promoting fairness and transparency for business users of online intermediation services),達成政治協議,歐洲議會並已於2019年4月17日批准。 該規則為全世界第一個針對線上平台與商業用戶訂定之規則,係數位單一市場策略(Digital Single Market Strategy)的一部分,預計適用於整個線上平台經濟,亦即,目前在歐盟境內營運的7000個線上平台或市集都包含在內,無論是科技巨擘,抑或是規模雖小但對商業用戶具重要議價能力的新創公司(small start-ups)皆屬之。此外,新規則中涉及搜尋結果排序透明度之部分,亦將適用於搜尋引擎。 其中,由於數以百萬計的中小企業是構成歐盟經濟的重要支柱,是以此番訂定的新規則,係專門針對此些較無議價能力的中小企業而設計。中小企業可自新規則中獲益之項目主要有四: 1. 禁止特定不公平行為 (1) 不得突然且未附理由的暫停帳號使用權 線上平台不得在無明確理由或未提供申訴可能性之情況下,暫停或終止賣家帳戶。 (2) 條款與條件需簡明易懂且變更時須提前通知 條款與條件需易於取得且以簡明易懂之文字書寫,當條款與條件有所變更時,線上平台需在15天之前通知,使賣家得即時調整業務,並可視業務調整複雜度適時延長通知期間。 2. 提升線上平台透明度 (1) 排序透明化 市集與搜尋引擎需揭露其排序商品或服務的主要參數,以利賣家進行適度優化。 (2) 強制揭露線上平台的部分商業行為 由於部分線上平台除了提供市集促進交易進行,更在該市集中身兼賣家之角色,是以,為維護公平競爭的環境,新規則強制此些線上平台全面揭露任何可能給予自家產品的優勢。此外,該等線上平台還需揭露所蒐集之資料及使用方式,尤其是與其他商業夥伴共享之資料。當涉及個人資料時,則有一般資料保護規則(General Data Protection Regulation, GDPR)之適用。 3. 增設爭端解決機制 (1) 建立投訴處理系統 線上平台應建立內部投訴處理系統以對商業用戶提供適當協助。 (2) 設置調解程序 線上平台應提供調解之協助,以助賣家在法庭外解決爭議,有效節省時間與金錢。 4. 規則之實施 商業公會能對違反規則之線上平台提起告訴,以降低賣家對平台報復行為的恐懼,並降低個別賣家的訴訟成本。 在歐洲議會批准後,一旦歐盟理事會同意,新規則將在公布後12個月後正式施行,且為了確保新規則與時俱進,歐盟將在適用後的18個月內進行檢視,並設立專門的線上平台觀測站(Online Platform Observatory),以監控市場的變化,並確保新規則有效施行。
逐漸式微的「不可避免揭露原則(Inevitable Disclosure Doctrine)」在2023年,多個美國法院判決拒絕採納「不可避免揭露原則(Inevitable Disclosure Doctrine)」,顯示出該原則將不再是原告於營業秘密訴訟中的一大利器,原告亦無法僅透過證明前員工持有營業秘密資訊且處於競爭狀態,便要求法院禁止該名前員工為其競爭對手工作。 在2023年2月,美國伊利諾伊州北區法院於PetroChoice v. Amherdt一案中指出,法院在適用「不可避免揭露原則」時會遏制競爭對手之間的員工流動,故將評估個案事實並嚴格限制其適用。在2023年6月,美國伊利諾伊州北區法院於Aon PLC v. Alliant Ins. Services一案中指出,根據2016年美國國會所通過的「保護營業秘密法案(Defend Trade Secrets Act, DTSA)」,該法案拒絕了「不可避免揭露原則」的適用,並禁止法院僅憑他人所知悉的資訊,阻礙其尋求新的工作,因此駁回了原告的損害賠償主張。在2023年9月,美國密蘇里州東區法院於MiTek Inc. v. McIntosh一案中同樣拒絕了「不可避免揭露原則」的適用,儘管該州的州法並未明確表達採納或拒絕該原則。 除此之外,美國聯邦法院在去年度的每一份報告意見中(Reported Opinion),皆未顯示出根據「不可避免揭露原則」申請禁令或取得救濟是合理的。換言之,大多數的美國法院都拒絕採納「不可避免揭露原則」或嚴格限制其適用。 綜上所述,儘管「不可避免揭露原則」能有效防止來自前員工不當使用其營業秘密的威脅,但其不再是未來營業秘密訴訟中的勝訴關鍵。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
FDA發佈人工智慧/機器學習行動計畫美國食品藥物管理署(U.S. Food & Drug Administration, FDA)在2021年1月12日發布有關人工智慧醫療器材上市管理的「人工智慧/機器學習行動計畫」(Artificial Intelligence/Machine Learning (AI/ML)-Based Software as a Medical Device (SaMD) Action Plan)。該行動計畫的制定背景係FDA認為上市後持續不斷更新演算法的機器學習醫療器材軟體(Software as Medical Device, SaMD),具有極高的診療潛力,將可有效改善醫療品質與病患福祉,因此自2019年以來,FDA嘗試提出新的上市後的監管框架構想,以突破現有醫療器材軟體需要「上市前鎖定演算法、上市後不得任意變更」的監管規定。 2019年4月,FDA發表了「使用人工智慧/機器學習演算法之醫療器材軟體變更之管理架構—討論文件」(Proposed Regulatory Framework for Modifications to Artificial Intelligence/Machine earning (AI/ML)-Based Software as a Medical Device (SaMD) - Discussion Paper and Request for Feedback)。此一諮詢性質的文件當中提出,將來廠商可在上市前審查階段提交「事先訂定之變更控制計畫」(pre-determined change control plan),闡明以下內容:(1)SaMD預先規範(SaMD Pre-Specification, SPS):包含此產品未來可能的變更類型(如:輸入資料、性能、適應症)、變更範圍;(2)演算法變更程序(Algorithm Change Protocol, ACP):包含變更對應之處理流程、風險控制措施,以及如何確保軟體變更後之安全及有效性。 根據「人工智慧/機器學習行動計畫」內容所述,「事先訂定之變更控制計畫」構想被多數(包含病患團體在內)的利害關係人肯認,並於相關諮詢會議當中提出完善的細部建言。FDA將根據收到的反饋意見,於2021年以前正式提出有關人工智慧/機器學習上市後監管的指引草案(Draft Guidance),並持續研究提高演算法透明度、避免演算法偏見的方法。
國際能源總署發布CCUS(碳捕捉、利用及封存)法律與管制框架指引文件,協助各國建立相應法制國際能源總署(International Energy Agency, IEA)於2022年7月發布「CCUS法律與管制框架:IEA CCUS指引」(Legal and Regulatory Frameworks for CCUS: An IEA CCUS Handbook),協助各國建構碳捕捉、利用及封存(carbon capture, utilisation and storage, CCUS)相關法制。CCUS是有助於實現2050年全球淨零目標的重要除碳技術,可以捕捉空氣中或大型排放源裡的二氧化碳,將捕捉到的二氧化碳進行再利用,或將二氧化碳注入深層地質構造當中永久封存,藉此減緩全球氣候變遷。 建立健全的CCUS管制架構對於達成全球氣候目標至關重要,IEA於該報告中進一步探討25項法制優先議題,大致可依開發階段區分為資源評估(如二氧化碳及地下空隙空間所有權歸屬)、場址開發、施工、營運、開發、關閉與關閉後防止碳洩漏之法律問題。 由於CCUS在各國發展情況有所差異,IEA提出數種立法模式,例如(1)修改既有廢棄物法律規範以管理CCUS活動,但可能無法涵蓋地下權等其他議題;(2)修正部分既有廢棄物規範並結合環境法規既有之管理面向(如環評等)以形成管制框架;(3)在既有的礦產或石油開發規範建立相關二氧化碳注入與儲存等活動規範,將可包含地下權、開發許可程序、營運及關閉等完整生命週期之立法。(4)制定專法以涵蓋CCUS所有面向之活動。 在國際經驗中,立法者與管制機關於建構CCUS法律框架時,經常遭遇下列問題,包含:(1)CCUS在滿足國家能源需求方面的預期作用為何?(2)CCUS法規如何與現有規範進行調適?(3)是否已有可用的監管指導原則?(4)誰是主要的利害關係人?應如何與之進行溝通?(5)未來是否有審查或修正框架之相關程序?(6)監管機構是否有足夠資源監督CCUS活動?IEA建議釐清上述議題,逐步形塑CCUS管制架構。