資通訊安全下之訊息分享與隱私權保障—簡析美國2015年網路保護法

　　2020年11月3日，加州於其大選中以公投方式批准通過第24號提案（Proposition 24），該提案頒布《加州隱私權法》（California Privacy Rights Act，以下簡稱CPRA）。CPRA對加州消費者隱私保護法（California Consumer Privacy Act 2018，以下簡稱CCPA）所規定之隱私權進行重要修正，改變了加州的隱私權格局。 　　CPRA賦予加州消費者新的隱私權利，並對企業施加新的義務，例如消費者將有權限制其敏感性個人資料（例如財務資料、生物特徵資料、健康狀況、精確的地理位置、電子郵件或簡訊內容及種族等）之使用與揭露；消費者有權利要求企業更正不正確的個人資料；CPRA同時修改現有的CCPA的「拒絕販售權」，擴張為「拒絕販售或共享權」，消費者有權拒絕企業針對其於網際網路上之商業活動、應用或服務而獲得的個人資料所進行之特定廣告推播。CPRA亦要求企業對各類別之個人資料，按其蒐集、處理、利用之目的範圍及個人資料揭露目的，設定預期的保留期限標準。 　　CPRA另創設「加州隱私保護局」（California Privacy Protection Agency）為隱私權執行機構，該機構具有CPRA之調查、執行和法規制定權，改變了CCPA 係由加州檢察長（California Attorney General）負責調查與執行起訴的規定，並規定加州隱私保護局應於2021年7月1日之前成立。 　　 CPRA將在2022年7月1日之前通過最終法規，且自2023年1月1日起生效，並適用於2022年1月1日起所蒐集之消費者資料，隨著CPRA的通過，預期可能促使其他州效仿加州制定更嚴格之隱私法，企業應持續關注有關CPRA之資訊，並迅速評估因應措施。

　　BIOS是「基本輸出/輸入系統」（Basic input/output systems）的簡稱，這種在所有應用底層的軟體，過去以來PC廠商一向自我保護相當嚴密，而且還需要用到專門設計BIOS的公司。而現在，一些批評開始希望逼迫業界放棄其機密，這些批評宣稱，客戶應該可以自由發開自己的選擇方案，確保可以控制自己的裝置──也就是說，可以讓他們自由取得BIOS資訊。 　　「我們需要自由的BIOS，因為如果我們無法控制BIOS，就無法控制電腦。」自由軟體基金會（Free Software Foundation）總裁Richard Stallman表示。BIOS自由軟體計畫開始於BIOS史上的第一波改革──當時軟體程式碼希望轉向新的「可延伸式韌體界面」（Extensible Firmware Interface，或簡稱EFI）。另一方面，PC硬體安全功能的一些計畫也讓Stallman等一類團體批評指出，消費者對於自己的裝置缺乏主控權，希望能夠公開BIOS撰寫規格，可讓消費者能夠自行安裝、修改，及再發佈BIOS軟體──雖然不見得會是免費的。更重要的是，將可讓使用者避開未來一些可能的安全強化功能，例如廠商用控制文件使用方式的數位版權管理功能。 　　已有許多廠商宣稱，BIOS的自由軟體純粹只是為了自由而自由，對於電腦使用者沒什麼意義。BIOS廠商的高層及晶片巨子英特爾都表示，由於目前業界對BIOS的控管嚴密，也才能夠保有PC的安全和穩定，同時可藉由對一些廠商IP（智慧財產權）的保護以促進市場競爭。有些人則認為，對於BIOS的嚴密保護，有助於防止駭客攻擊。 　　英特爾則已經提出了折衷的方案──名為Tiano的開放原始碼技術。Tiano是為了取代BIOS的一種框架工作，希望透過EFI，讓PC零件以自己的驅動程式來啟動零件。英特爾的這項計畫為BIOS的汰換工作建立了一個框架，因此可能成為BIOS自由軟體的基礎。但是它把PC零件初始化用的程式碼撰寫工作留給了軟體的下載者。但Stallman依然宣稱英特爾做得不夠，且BIOS廠商其實是多餘的，他希望看到資訊釋出。

　　歐洲網路暨資訊安全局(European Union Agency for Network and Information Security, ENISA)於2017年11月20號發布了「重要資訊基礎設施下智慧聯網之安全基準建議」。該建議之主要目的乃為歐洲奠定物聯網安全基礎，並作為後續發展相關方案與措施之基準點。 　　由於廣泛應用於各個領域，智慧聯網設備所可能造成之威脅非常的廣泛且複雜。因此，了解該採取與落實何種措施以防範IOT系統所面臨之網路風險非常重要。ENISA運用其於各領域之研究成果，以橫向之方式確立不同垂直智慧聯網運用領域之特點與共通背景，並提出以下可以廣泛運用之智慧聯網安全措施與實作: 　　(一) 資訊系統安全治理與風險管理 　　包含了與資訊系統風險分析、相關政策、認證、指標與稽核以及人力資源相關之安全措施。 　　(二) 生態系管理 　　 包含生態系繪製以及各生態系的關聯。 　　(三) IT安全建築 　　 包含系統配置、資產管理、系統隔離、流量過濾與密碼學等資安措施。 　　(四) IT安全管理 　　帳戶管理與資訊系統管理之相關安全措施。 　　(五) 身分與存取管理 　　有關身分確認、授權以及存取權限之安全措施。 　　(六) IT安全維護 　　有關IT安全維護程序以及遠端存取之安全措施。 　　(七) 偵測 　　包含探測、紀錄日誌以及其間之關聯與分析之安全措施。 　　(八) 電腦安全事件管理 　　資訊系統安全事件分析與回應、報告之資安措施。

　　2016年10月27日，FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點： 選擇加入（Opt-in）：當使用或分享消費者之「敏感資訊」，須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄，以及通訊內容。 選擇退出（Opt-out）：對於符合消費者期待的「非敏感資訊」，除非客戶Opt-out，ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外：推定客戶會同意之資訊，例如在客戶與ISP業者建立關係後，不須額外取得寬頻服務或計費之同意。 　　2016 Privacy Order通過後受到ISP業者大力抨擊，尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分，其認為如此可能扼殺電子商務發展，消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平，因此通過後半年，美國參議院與眾議院分別於2017年3月投票廢止，總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 　　廢止《寬頻用戶隱私保護規則》之原因為，消費者之個人資料雖可受到保護，但該規則僅適用於寬頻服務提供者與其他電信供應商，並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制，其餘網路服務則由FTC管轄，而FTC對隱私權之規範較為寬鬆，因此可能發生提供不同服務的兩家業者使用同一份客戶資料，受到的管制程度卻不同之情形。 　　贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範，因消費者能輕易在網站間轉換，卻不能輕易更換ISP，且ISP得以取得消費者在所有網站上之瀏覽資料，但如Google與Facebook等大廠雖非ISP業者，卻亦能取得不限於自身網站的客戶瀏覽資料。 　　由於《寬頻用戶隱私保護規則》已正式廢止，FCC將不得再通過其他相同或實質上相同之規範，對ISP業者之管制回歸《傳播法案》第222條，亦即，對於網站瀏覽與應用程式使用紀錄之使用或分享，不須取得客戶之事先同意。