美國參議院通過CISA網路安全資訊共享法案
美國參議院於2015年10月27號通過網路安全資訊共享法(Cybersecurity Information Sharing Act; CISA)。本案以74票對21票通過,今年稍早眾議院通過類似法案,預計接下來幾周送眾議院表決。歐巴馬政府及兩院議員已就資訊共享法案研議多年,目前可望兩院就立法版本達成一致而立法成功。
主導本案的參議院情報委員會(Intelligence Committee)主席Richard Burr於法案通過後發表聲明表示,「這個作為里程碑的法案最終會更周全地保護美國人的個資不受外國駭客侵害。美國商業與政府機構遭受以日計的網路攻擊。我們不能坐以待斃」。副主席Sen. Feinstein於肯定法案對網路安全的助益之外,認為「我們在杜絕隱私憂慮的方面上盡了所有努力」。
CISA授權私人機構於遭受網路攻擊,或攻擊之徵兆(threat indicators)時,基於網路安全的目的,立即將網路威脅的資訊分享給聯邦政府,並且取得洩漏客戶個資的責任豁免權。基於同樣的目的,私人機構也被授權得以監視其網路系統,甚至是其客戶或第三人的網路。但僅以防禦性措施為限,並且不得採取可能嚴重危害他人網路之行動。相對於此,聯邦政府所取得該等私人機構自發性提供的網路威脅資訊,係以具體且透明的條款規制。此外,國土安全部(Department of Homeland Security)於符合隱私義務方針的方式下,管理電子網路資訊得以共享給其他合適的聯邦機構。檢察總長及國土安全部門秘書並建立聯邦政府接收、共享、保留及使用該等網路資訊的要件,以保護隱私。
相對於此,許多科技公司對此持反對態度,例如蘋果與微軟。隱私支持者更是於法案通過前後呼籲抵制,稱其為監視法。主要的論點圍繞在企業洩漏個資訊的寬鬆免責條款,這將會促使隱私憂慮。另一方面,法案反對者也不信任聯邦政府機構將會落實隱私保護,FBI、國家安全局(National Security Agency, NSA)及國家安全部則樂於輕易地取得、共享敏感的個資而不刪除之。
這些憂慮或許可以由法案投票前,網路法及網路安全學者共同發出的公開信窺知。「整體來說,(CISA)對有缺陷的網路安全中非常根本但真切的問題一無所助,毋寧僅是為濫權製造成熟的條件」。信中提到,該法案使聯邦機構得近用迄今為止公眾的所有資訊,並且對公司授權的範圍無明確界線,使公司對判斷錯誤的可能性毫無畏懼。這對於網路安全沒有幫助,方向應該是引導各機構提高自身的資訊安全及良好管理。
- David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015
- Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015
- Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill
- CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015
林子傑
法律研究員 編譯整理
CONGRESS.GOV, S.754 - Cybersecurity Information Sharing Act of 2015, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Nov. 3, 2015).
Richard Burr (R-NC), Senate Passes Landmark Cybersecurity Bill, https://www.burr.senate.gov/press/releases/senate-passes-landmark-cybersecurity-bill (last visited Nov. 3, 2015).
Andrea Peterson, Senate Passes Cybersecurity Information Sharing Bill Despite Privacy Fears, Washington Post, Oct 2015, https://www.washingtonpost.com/news/the-switch/wp/2015/10/27/senate-passes-controversial-cybersecurity-information-sharing-legislation/ (last visited Nov. 3, 2015).
David S. Levine et al., Professors’ Letter in Opposition to the “Cybersecurity Information Sharing Act (S. 754),” Oct 2015, https://www.elon.edu/e/CmsFile/GetFile?FileID=202 (last visited Nov. 3, 2015).
為了便利經常透過網際網路與政府打交道的民眾,芬蘭人口登記中心 (The Finnish Population Register Centre) 推出了一項創新的方式,也就是利用行動電話提供網路服務的安全憑證。而 Elisa 是首家與芬蘭人口登記中心合作並提供行動電話使用者身分認證這項服務的電話公司。 由芬蘭第二大行動電話網路公司 Elisa 所推出的第一批載有行動簽章 (mobile signature) 所需之安全憑證的行動電話 SIM 卡正式問世,此種 SIM 卡是以國際高科技集團捷德公司 (Giesecke & Devrient, G&D) 的 UniverSIM 產品為基礎所研發,卡片上載有一張類似我國自然人憑證的公民憑證 (citizen certificate) ,具有簽章功能與加密機制。此種技術屬於行動安全建置 (mobile security architecture) -也就是公開金鑰基礎建設 (PKI) -的一部份,能夠確保身分辨識所需具備的安全性與獨特性。 想要利用這項透過行動電話之數位簽章享受政府服務的民眾 可以在當地警察局登記, 預計在 2005 年底前,芬蘭的 OKO 銀行、社會保險機構、稅務機關以及勞工局等都會利用這個新的行動公民憑證 (mobile citizen certificate) 來提供服務,這將會使芬蘭人民擁有一個全國性數位服務的電子身分證。此舉也使得芬蘭在行動通訊與電子化政府領域的領先地位更形穩固。
英國資訊委員辦公室首次對違反資料保護案件開罰英國資訊委員辦公室(Information Commissioner’s Office,ICO)於今(2010)年11月24日首次對違反資料保護案件開罰。 賀福郡理事會(Hertfordshire County Council)員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定,由於賀福郡理事會未能防止兩次資料外洩事件發生,導致嚴重損害,而在首次外洩事件發生後,亦未採取足夠的預防措施避免類似情況發生,因此裁定十萬英鎊之罰鍰。 另一家發生資料外洩事件的人力資源服務公司A4e,則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊,且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為,A4e並未採取適當措施避免資料外洩,且A4e允許其員工將未加密的筆記型電腦帶回家時,已知內含個人資料種類及數量,因此裁定六萬英鎊之罰鍰。 ICO表示,希望本次處罰能對於處理個人資料的機構有所警惕。 ICO今年4月被賦予裁罰權,至於裁罰的標準,則有裁罰指引(fine guidance)可參考。根據裁罰指引,若資料控制者(data controller)故意違反資料保護法(Data Protection Act),或可得而知可能違法之情形,卻未採取適當措施預防之,而可能造成相當損害時,ICO得處以相當罰鍰。
法國高等教育暨研究部宣布額外投資新創企業培育計畫,強化產業競爭力與發展深度技術為強化產業競爭力與發展深度技術,法國高等教育暨研究部(Ministère de l'enseignement supérieur et de la recherche)於2023年1月9日宣布將額外投資5億歐元,以培育更多的研究型新創企業。 基於2021年10月12日法國總統宣布的《法國2030投資計畫》(France 2030),法國政府將於五年內投入540億歐元於新創相關事務,且目前已於2022年達到成立25間獨角獸公司的中期目標。為進一步提高學研機構以研發成果衍生新創之數量,讓新創公司數量成長2倍,法國高等教育暨研究部部長Sylvie Retacleau與法國產業部(Ministre chargé de l'Industrie)部長Roland Lescure提出以下三大行動,並額外投資5億歐元執行: (1)建立25個大學創新中心(Pôles Universitaires d'Innovation, PUI):法國政府將投入1.6億歐元,在大學網站上提供創新戰略、單一治理及敏捷方法,藉此激發研發團隊潛力及創意。PUI將在不額外增設法律規範之情況下,與現有政策結合推動上述措施。 (2)透過既有措施推動深度科技:透過i-Lab、法國科技新興獎學金、深度技術發展援助計畫等現有措施,以及增設法國科技實驗室獎學金,加速深度技術發展計畫。此外,未來也將提供6500萬歐元的補助。 (3)加強推廣研究工作及專題研究計畫(Programmes et équipements prioritaires de recherché, PEPR)成果:未來法國政府將投入2.75億歐元,挑選17項研究成果,建立評估研發成果之檢測及支援能力,並依領域性質,研究各領域專利證書、標準化和相關法規。
Ofcom公佈「2014年通訊基礎建設報告」英國電信管制機關Ofcom於2014年12月8日提出第二版通訊基礎建設報告(Infrastructure Report 2014)。依據英國2003年通訊法(Communications Act 2003)規定,Ofcom必須每三年向英國文化、媒體與體育大臣(Secretary of State for Culture, Media and Sport)提出英國電子通訊網路及服務檢討報告,此次報告是在2011年11月第一版通訊基礎建設報告之後,對於英國現有政策施行情況再進行檢討,重點在於檢視目前整體基礎設施建設情形,內容大致可區分為:1. 網路及服務的覆蓋率、成效以及範圍、2. 頻譜使用、3. 基礎設施共享、4. 安全性與彈性。 在未來整體的規劃上,報告指出以下三項是未來決策者可能會面臨的挑戰,在政策推行與改善時應該一併考量。 一、寬頻普及服務義務:在固網寬頻部分,2009年英國政府推行寬頻普及義務(Universal Service Commitment for Broadband),目前英國超過2Mbit/s的寬頻覆蓋率已達97%,超過10Mbit/s的寬頻覆蓋率則達到85%。在高速寬頻方面,目前已達75%覆蓋率,家戶可接取寬頻速度至少有30Mbit/s。英國政府希望能在2017年使95%可達接取24Mbit/s以上之寬頻。 在行動網路覆蓋率部分,目前英國政府投注一億五仟萬英鎊在新的基礎建設上,希望將行動網路覆蓋率普及於未有服務的家戶,並配合其他政策增加覆蓋率,例如以漫遊、靜態基礎設施共享或MVNO業者來完成。 二、新科技廣泛運用於市場:目前,手機營運商積極推展4G服務,希望終端用戶能達98%之覆蓋率。但在推行之際,尚需要政府的補助,以及法規政策的調整。 三、檢視未來基礎建設的發展:為促進不同科技產業的發展,對固網與行動寬頻速度不斷地進行改善仍為現階段重要的推行項目。因此,應定期依據市場的供需,持續進行政策上的調整。 此外,報告指出,將來在前述三項主要政策推行目標上,除了考量基礎建設應達成的網路速度以外,符合民眾需求的品質經驗等因素亦應一併在政策施行之時納入考量。Ofcom提出之報告重點在於能提供目前英國通訊基礎建設政策推行時之參考指標,此在後續我國的通訊基礎建設方面,亦能做為參酌,以因應物聯網或其他新興科技的迅速發展。