美國參議院通過CISA網路安全資訊共享法案
美國參議院於2015年10月27號通過網路安全資訊共享法(Cybersecurity Information Sharing Act; CISA)。本案以74票對21票通過,今年稍早眾議院通過類似法案,預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年,目前可望兩院就立法版本達成一致而立法成功。
主導本案的參議院情報委員會(Intelligence Committee)主席Richard Burr於法案通過後發表聲明表示,「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外,認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。
CISA授權私人機構於遭受網路攻擊,或攻擊之徵兆(threat indicators)時,基於網路安全的目的,立即將網路威脅的資訊分享給聯邦政府,並且取得洩漏客戶個資的責任豁免權。基於同樣的目的,私人機構也被授權得以監視其網路系統,甚至是其客戶或第三人的網路。但僅以防禦性措施為限,並且不得採取可能嚴重危害他人網路之行動。相對於此,聯邦政府所取得該等私人機構自發性提供的網路威脅資訊,係以具體且透明的條款規制。此外,國土安全部(Department of Homeland Security)於符合隱私義務方針的方式下,管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件,以保護隱私。
相對於此,許多科技公司對此持反對態度,例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制,稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款,這將會促使隱私憂慮。另一方面,法案反對者也不信任聯邦政府機構將會落實隱私保護,FBI、國家安全局(National Security Agency, NSA)及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。
這些憂慮或許可以由法案投票前,網路法及網路安全學者共同發出的公開信窺知。「整體來說,(CISA)對有缺陷的網路安全中非常根本但真切的問題一無所助,毋寧僅是為濫權製造成熟的條件」。信中提到,該法案使聯邦機構得近用迄今為止公眾的所有資訊,並且對公司授權的範圍無明確界線,使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助,方向應該是引導各機構提高自身的資訊安全及良好管理。
- David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015
- Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015
- Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill
- CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015
林子傑
法律研究員 編譯整理
CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Nov. 3, 2015).
Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill, https://www.burr.senate.gov/press/releases/senate-passes-landmark-cybersecurity-bill (last visited Nov. 3, 2015).
Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/10/27/senate-passes-controversial-cybersecurity-information-sharing-legislation/ (last visited Nov. 3, 2015).
David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015, https://www.elon.edu/e/CmsFile/GetFile?FileID=202 (last visited Nov. 3, 2015).
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。 該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。 OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
日本首宗對網路拍賣業者提起之集團訴訟於日本雅虎拍賣網站 ( ?????????, Yahoo! Auctions) 交易,卻遭受詐欺之五百七十二名被害者,於三月三十一日向日本名古屋地方法院對日本雅虎公司以系統缺陷 ( ????欠?, system defect) 為由提起訴訟,請求總額一億一千五百萬元之損害賠償,成為日本第一宗對網路拍賣業者提起之集團訴訟。 原告方面皆是二○○○年四月至今年二月間曾於日本雅虎拍賣網站出價並且得標之買家,當買家將價金匯入賣家指定之帳戶後,卻未曾收到商品。原告主張:一、雅虎對於賣家及買家收取費用,即相當於仲介商;二、雅虎對於賣家實際刊登之商品未盡檢查、核對之責;三、雅虎負有提供無拍賣系統缺陷之契約上義務,以避免損害發生的可能性。日本雅虎則以尚未收受訴狀為由拒絕發表評論。
美國法院暫時禁止聯邦政府資助所有胚胎幹細胞研究美國哥倫比亞特區聯邦地方法院於今(2010)年8月23日作出暫時禁制令(preliminary injunction)的裁定,要求聯邦政府不得資助胚胎幹細胞(embryonic stem cell)之研究。本案是源自於2009年歐巴馬總統以行政命令(Executive Order 13505號)將小布希政府時代對胚胎幹細胞研究之限制予以放寬,讓科學家使用民間經費所製造之胚胎幹細胞株進行研究時,可申請聯邦經費的支持,美國國家衛生研究院隨後並提出人類幹細胞研究指導方針。 不過,對於此項新政策,部分保守團體及宗教團體也紛紛表示不滿,並進而支持成體幹細胞(adult stem cell)研究者James Sherley在內的原告,以衛生部違反聯邦法規,並且影響其申請經費為由,向法院提出訴訟。本案承審法官Royce Lamberth認為,1996年國會通過「Dickey-Wicker修正案」已禁止以聯邦經費資助毀壞人類胚胎的所有研究活動,而胚胎幹細胞研究必然伴隨著人類胚胎的毀壞,因此本案有違反Dickey-Wicker修正案之虞。在原告具有聲請暫時禁制令的要件下,包括勝訴可能性、無法彌補之損害、利害權衡以及公共利益等,裁定發出暫時禁制令。 這項裁定震撼了美國行政部門及科學界,過往對於Dickey-Wicker修正案,自柯林頓政府以降,行政部門均理解為聯邦政府不得資助毀壞人類胚胎之研究,但對於使用民間經費所製造之胚胎幹細胞株,則不在此限。因此本案法官之看法實已挑戰行政部門十多年來之共識,本案後續將如何判決,以及是否將促使行政部門提出法律修正案直接規範,將是後續觀察重點。
澳洲2020年5月全國數位經濟與科技會議會後聲明澳洲產業、科學、能源及資源部(Department of Industry, Science, Energy and Resources)於2020年5月15日舉行全國數位經濟與科技會議,並於會後發表「2020年5月全國數位經濟與科技會議會後聲明」。本次會議由澳洲產業科學能源及資源部部長擔任主席,邀集各州、領地地方政府的創新或科技部門首長,以視訊方式研商COVID-19疫情後如何整合澳洲企業的數位能量,並使澳洲在2030年成為全球數位經濟的領先者。 聲明中首先肯定澳洲數以萬計的企業在面對COVID-19疫情時所展現的危機應對能力與提出各式數位科技解決方案,用以支持員工、服務消費者、提出資源供應的替代方案、溝通利害關係人等,有效地提升了營運與財務上的效率。而政府則藉由提供各式財務、社會保險與稅務上的支援措施,並持續針對個別情況規劃最適的支援方案。 聲明指出根據研究,數位工具將能協助小型企業每週節省約10小時的工時,並提升約27%的營收;若乘上澳洲全國小型企業的總數,等於每週可省下約2200萬小時的工時,並可年增約3850億元的營收。企業在疫情期間所採取的數位科技解決方案是未來推動營運模式數位轉型的契機,因此在疫情後整合澳洲官方與民間的數位能量,將是疫情後經濟復甦與未來經濟成長的關鍵。 聲明指出與會聯邦及地方政府相關首長已達成共識,將組成「數位經濟與科技資深官員小組」(Digital Economy and Technology Senior Officials Group),專責整合聯邦政府與地方政府的數位政策。本小組將提出數位經濟政策與企業所需的支援措施,用以加速數位轉型與COVID-19疫情後的經濟復甦,包含完成人工智慧及自主系統能力地圖(Artificial Intelligence and Autonomous Systems Capability Map),來找出尚待強化的能力與可加強合作的契機。 此外本小組將合作推動數位與資通安全工作、關鍵技術法規鬆綁,以協助減少企業法遵障礙並支持數位經濟成長。COVID-19疫情下揭示澳洲推動數位轉型的重要性,期許本小組能有效整合數位能量並填補數位落差,未來將每年召開三次全國數位經濟與科技會議,追蹤澳洲數位經濟與科技生態系的推動情形,並聽取資深官員小組的定期工作報告。