美國參議院通過CISA網路安全資訊共享法案
美國參議院於2015年10月27號通過網路安全資訊共享法(Cybersecurity Information Sharing Act; CISA)。本案以74票對21票通過,今年稍早眾議院通過類似法案,預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年,目前可望兩院就立法版本達成一致而立法成功。
主導本案的參議院情報委員會(Intelligence Committee)主席Richard Burr於法案通過後發表聲明表示,「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外,認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。
CISA授權私人機構於遭受網路攻擊,或攻擊之徵兆(threat indicators)時,基於網路安全的目的,立即將網路威脅的資訊分享給聯邦政府,並且取得洩漏客戶個資的責任豁免權。基於同樣的目的,私人機構也被授權得以監視其網路系統,甚至是其客戶或第三人的網路。但僅以防禦性措施為限,並且不得採取可能嚴重危害他人網路之行動。相對於此,聯邦政府所取得該等私人機構自發性提供的網路威脅資訊,係以具體且透明的條款規制。此外,國土安全部(Department of Homeland Security)於符合隱私義務方針的方式下,管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件,以保護隱私。
相對於此,許多科技公司對此持反對態度,例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制,稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款,這將會促使隱私憂慮。另一方面,法案反對者也不信任聯邦政府機構將會落實隱私保護,FBI、國家安全局(National Security Agency, NSA)及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。
這些憂慮或許可以由法案投票前,網路法及網路安全學者共同發出的公開信窺知。「整體來說,(CISA)對有缺陷的網路安全中非常根本但真切的問題一無所助,毋寧僅是為濫權製造成熟的條件」。信中提到,該法案使聯邦機構得近用迄今為止公眾的所有資訊,並且對公司授權的範圍無明確界線,使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助,方向應該是引導各機構提高自身的資訊安全及良好管理。
- David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015
- Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015
- Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill
- CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015
林子傑
法律研究員 編譯整理
CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Nov. 3, 2015).
Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill, https://www.burr.senate.gov/press/releases/senate-passes-landmark-cybersecurity-bill (last visited Nov. 3, 2015).
Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/10/27/senate-passes-controversial-cybersecurity-information-sharing-legislation/ (last visited Nov. 3, 2015).
David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015, https://www.elon.edu/e/CmsFile/GetFile?FileID=202 (last visited Nov. 3, 2015).
美國商務部工業及安全局(Bureau of Industry and Security, BIS)於2020年5月15日公告,為防止中國大陸華為取得關鍵技術,修正美國《出口管制規則》(Export Administration Regulations, EAR)第736.2(b)(3)條第(vi)款「外國直接產品規則」(Foreign-Produced Direct Product Rule),限制華為透過國外廠商,取得包含美國技術及軟體設計製造在內的半導體產品,以保護美國國家安全。並於「實體清單」(Entity List)增加註腳一(footnote 1 of Supplement No. 4 to part 744)之規定,使部分出口管制分類編號(Export Control Classification Number, ECCN)第3(電子產品設計與生產)、4(電腦相關產品)、5(電信及資訊安全)類之技術所製造的產品,不能出口給華為與分支企業。 自2019年起,BIS將華為及其114個海外關係企業列入實體清單以來,任何要出口美國產品給華為的企業,必須事先取得美國出口許可證;然而,華為及其海外分支機構透過美國委託海外代工廠商生產產品事業,繞道使用美國軟體和技術所設計的半導體產品,已破壞美國國家安全機制與設置出口管制實體清單所欲達成之外交政策目的。本次為修補規則漏洞調整「外國直接產品規則」,不僅限制華為及其實體清單所列關係企業(例如海思半導體),使用美國商業管制清單(Commerce control list, CCL)內的軟體與技術,設計生產產品。美國以外廠商(例如我國台積電)為華為及實體清單所列關係企業生產代工,使用CCL清單內的軟體與技術,設計生產的半導體製造設備與產品,亦將同受《出口管制規則》之拘束。這代表此類外國生產產品,從美國以外地區,透過出口、再出口或轉讓給華為及實體清單上的關係企業時,皆需取得美國政府出口許可證,影響範圍擴及全球產業供應鏈。
美國聯邦通訊委員會新通過的隱私規範這是客戶的資訊,該資訊如何被使用應為客戶的選擇。」於此一理念下,美國聯邦通訊委員會(Federal Communication Commission,FCC)於2016年10月27日通過了寬頻客戶隱私規定(Broadband Consumer Privacy Rules),該規定要求寬頻網路服務提供者(broadband Internet Service Providers,ISPs)應保護其客戶之隱私,該新通過的隱私規範非禁止使用及分享客戶的資訊,而係給予客戶有更多的選擇去決定自身的資訊該如何被分享及使用。以下簡介規範內容: 一、規範對象:寬頻網路服務提供者及其他電信營運商,例如Comcast、Verizon、AT&T等。規範對象未包含聯邦貿易委員會(Federal Trade Commission,FTC)所管轄的隱私保護措施下的網站或其他邊緣服務商(edge service),例如Google、Facebook、Amazon等。亦未規範寬頻網路服務提供者營運的社交媒體網站或政府監管、加密,執法等問題。 二、 主要規範內容:將ISP所蒐集得使用及分享的資訊分為三類,建立客戶同意要件,分類如下。 (一)敏感性資訊須事前取得客戶肯定地選擇同意加入(opt-in),才得為使用及分享。敏感性資訊包含精確的地理位置、金融資訊、健康資訊、孩童資訊、社會安全碼、網站瀏覽紀錄、app使用紀錄及通訊內容。 (二)非敏感性資訊,例如電子郵件地址或服務層資訊,得使用及分享,惟當客戶選擇退出(opt-out)則不得使用及分享。 (三)同意要件之例外。除了在建立客戶與ISP關係外,針對特定目的將會被推定為已取得客戶同意,包含寬頻服務之提供或針對服 三、 其他重要規範內容:清楚告知客戶收集的資訊、將如何使用、向誰分享;實施合理的資料安全準則;保密性違反之通知。 然而針對FCC是否具有相關管制權限,質疑聲浪仍存於本次規範之通過。亦有認為該規範與FTC的管制同時運行將形成疊床架屋,造成社會大眾之混淆。並且該規範未能真實反映網路生態,未將網路公司或社交網站公司列入管制對象,無法真正保護客戶隱私。
德國聯邦網絡管理局將於四月拍賣800 MHz等頻譜供4G使用德國聯邦網絡管理局(Bundesnetzagentur,BNetzA其職權類似目前我國之交通部)將於2010年4月12日展開針對800 MHz、1.8 GHz、2 GHz及2.6 GHz四大頻段中的部分頻譜拍賣,以供電信服務無線網路接取之用─特別是供4G技術使用;惟競標者僅有既存的四大電信營運商:Deutsche Telekom、Vodafone、KPN’s E-Plus(該公司成立一百分百控股公司獨立參與投標) 以及Telefónica O2,並無新進業者投標,明顯欠缺多樣性(diversity)。 局長Matthias Kurth表示,曾收到兩家業者有意參與競標的訊息,但其中一家營運商並未符合相關投標資格,而無法參與拍賣;另一家則已表明退出競標拍賣程序。 前揭四大頻段原屬軍方或傳統廣播電視業者所使用,屬歐盟所謂之數位紅利(digital dividend)之頻段已清空待價而沽。其中最受矚目者乃電波物理特性極佳的800 MHz頻段,特別適合於4G通訊技術之用,能在偏遠地區與都會遮蔽密度高之地區展現良好的覆蓋率及滲透率。 歐美地區皆已陸續進行廣電數位化(DSO)及數位紅利頻譜拍賣或制訂相關使用規則,以提升無線網路接取的便利性與普及性,強化國內資通訊產業競爭力。惟德國電信產業似乎與我國目前情況類似,為既有電信營運商寡占頻譜使用及相關服務市場,與美國700 MHz拍賣結果大異其趣,商業價值是否亦為德國頻譜釋出之重要考量,後續發展頗值得注意。