資通訊安全下之訊息分享與隱私權保障—簡析美國2015年網路保護法

　　紐約市議員Justin Brannan於2019年7月23日向紐約市議會提交一項內容為禁止電信公司和手機應用程式開發商與第三方共享客戶位置資訊（location data）的法案（Int 1632-2019, Prohibition on sharing location data with third parties.）。 　　該法案原則上，禁止電信公司和手機應用程式開發商與第三方（例如：行銷人員）共享客戶的位置資訊，主要原因在於一般客戶並不清楚自己的位置資訊被共享給第三人，且對於第三人取得其位置資訊後的利用行為存有疑慮。又，位置資訊應屬個人隱私的一部分，故未取得客戶本人同意，即共享其位置資訊無疑是對客戶個人隱私的侵犯。如公司違反法案規定，執法機關對該公司之罰款，以「行為次數」作為計算單位，每次課予1,000美元，惟就同一名受害者，如一天內有數個違法行為，則當天罰款上限為10,000美元。同時，該法案賦予位置資訊被違法共享的當事人，得就其權利被侵害之事實，向法院提訴訟，以為救濟。 　　不過，該法案並非「絕對」禁止位置資訊的共享，如屬下列情形，例外可共享： 為配合執法機關執行法定職務之所需，如：法律調查等程序，而提供客戶之位置資訊。 為911緊急服務之所需提供，或為免除本人之生命或財產上之急迫危險，提供其位置資訊。 聯邦法律、州法或地方法明文要求應提供。 客戶授權電信公司或手機應用程式開發商得與第三方共享其位置資訊。 　　這部法案主要目的在於，保障行動裝置使用者的位置資訊，不會在當事人不知情的情形下被提供給第三方。雖然目前該法案尚在審議中，但未來如果通過，紐約市將成為禁止出售個人行動裝置位置資訊的先鋒，同時其執行結果勢必也將成為關注焦點。

　　ITU國際電信聯盟秘書長Dr. Hanmasoun I Toure於2012年5月一場在加拿大舉行的無線通訊座談會中，針對之前國際上傳言聯合國與ITU將嘗試介入管理網際網路之說法進行澄清，並主張自1988年修改沿用至今的國際電信規則(ITRs)已不能應付目前新興之電信商業模式。 　　新型態的電信商業模式引發網路中立爭議的戰火，已延燒多時。從前的網際網路服務供應業者(ISP)，主要遵守網際網路協定，扮演好笨水管（Dum Pipe）的角色。但隨著網際網路內容與各類應用服務的急速成長，各類封包的傳輸加重了原有管道的乘載負擔，再加上網際網路管理技術的演進，業者可透過網管技術對資訊封包的傳輸做更細緻的調節，逐漸形成內容傳輸優先次序差異化的新興商業模式，並且持續發展中。 　　依目前的技術能力，網際網路中任何內容傳輸的速度，皆能透過寬頻管理機制(QoS)進行調節。過去，QoS在國際通訊上，於各國的終端網路中進行調節工作。但現有的封包式的網路傳輸架構(packet-base networks)動搖了原有的秩序，不僅質量參數(quality parameters)大部分未受明確定義，QoS的角色也逐漸模糊。導致各系統本身無法完全控制跨網資訊傳輸的品質，影響各類服務在使用者的終端設備上所呈現的服務品質。對於需與固網或各類終端設備連結的行動通訊業者而言，如何解決這類問題儼然已成了燃眉之急。 　　目前ITU剛結束於日內瓦的年會，從會中委員會對其文件是否具備國際效力之議題討論，不難看出ITU對於網際網路管理態度已由被動態度轉為積極。未來ITU更期望，藉由年底舉行2012年國際電信世界大會(WCIT-12)，重新修訂舊有國際電信規則(ITRs)，引領網際網路的新秩序。

淺談我國經濟部能源局建築能源效率管制措施 科技法律研究所 2013年3月25日 壹、事件摘要 　　行政院2012年9月份核定「經濟動能推升方案」，擘畫台灣2030年經濟藍圖。在該方案中，乃明示能源永續發展的重要性。經濟部能源局於2013年3月份公告修正「指定能源用戶應遵行之節約能源規定」，針對22,349家空調設備用電大之觀光旅館、百貨公司、零售式量販店、連鎖超級市場、連鎖便利商店、連鎖化妝品零售店、連鎖電器零售店及銀行、證券商、郵局、大眾運輸場站及轉運站等合計11類業者，實施「冷氣不外洩」、「禁用白熾燈泡」及「室內冷氣溫度限值」規定，預估每年可節省2,158萬度電。 　　經濟部能源局表示，11類服務業100年總用電量約71億度，其中空調用電量約占41%。觀鄰近中國大陸、南韓、日本政府均已針對營業場所訂有夏季室內空調溫度，並由公部門帶頭示範。台北市政府自2011年起亦開始推動「營業及辦公場所室內冷氣平均溫度須保持在攝氏二十六度以上」規定，實施至今有效促使約700家能源用戶(契約容量超過300kW)之空調均溫維持於二十六度，實施結果由99年不合格率32.3%，至101年不合格率降低為4.9%，顯示執行該規定有效可行。 貳、重點說明 　　經濟部能源局新修正公告之「指定能源用戶應遵行之節約能源規定」，乃著眼於建築物內部耗能之管制，而該管制措施乃近年來歐、美等先進國家亟力促進推動的建築能源效率(energy efficiency)議題。 參、事件評析 　　據統計，建築物耗能占人類經濟活動總碳排放量40%，而台灣地區舊建築物約莫占整體建築物97%，如何有效提升舊建築物本身之能源效率為重要課題。查內政部建築研究所之相關研究，建築物節能主要含括三個面向 - 外殼節能、空調節能及照明節能，因建築外殼節能為內政部營建署之管轄範疇，故經濟部能源局僅就建築物之空調節能及照明節能進行管制，本文將以美國聯邦能源部(Department of Energy, DOE)相關之法制政策為比較探討。 　　美國聯邦政府於2011年2月份正式啟動「更佳建築倡議」(Better Building Initiative)，於2012年12月份能源部(Department of Energy, DOE)發布之進度報告(Progress Report)指出，目前建築能源效率存有若干投資障礙，第一，尚缺少能源效率投資成本節省之實證數據；第二，尚缺少潛在市場和技術解決方案之相關資訊；第三，能源效率作為商業最佳實踐尚未普遍被接受。基此，能源部將致力於促進能源效率投資並強化聯邦公部門示範作用等手段。 　　在促進能源效率投資上，因市場尚缺乏相關數據資訊，難就能源效率之市場價值進行驗證；將研議相關機制，作為未來融資和建築物改善的基礎。另在聯邦公部門強化示範作用上，將透過聯邦能源管理計劃(Federal Energy Management Program, FEMP)和節能績效契約(Energy Savings Performance Contract, ESPC)，持續強化能源技術服務公司(Energy Service Companies, ESCO)進行聯邦建築物節能效益之提升和擔保。 　　此外，於該倡議旗下之「更佳建築挑戰」(Better Building Challenge)乃鼓勵民間部門之參與。以美國百貨業龍頭梅西百貨(Macy)為例，其承諾將透過能源資訊系統(EMS)之使用、觀察及分析，找出佔地一億七千九百萬平方呎的商業樓地板面積之關鍵能源機會。照明方面，該公司也以超過一百萬盞LED燈之替換與重點照明，在過去三年內減少了百分之七十的照明能源消耗。 　　綜上觀察，我國能源局新修正「指定能源用戶應遵行之節約能源規定」下「禁用白熾燈泡」規定，乃禁止十一類業者使用二十五瓦特以上之白熾燈泡於一般照明用途，近似於美國梅西百貨於「更佳建築挑戰」下所承諾之LED重點照明之實踐。此外，借鏡美國經驗，我國宜研議建立起台灣建築能源效率數據資訊之系統資料庫，助於未來舊建築改善市場之發展。

　　美國聯邦商務部（Department of Commerce, DOC）下之工業及安全局（Bureau of Industry and Security, BIS）於2021年10月20日公布一暫行最終規則（interim final rule），對出口管制規則（Export Administration Regulation, EAR）進行修訂，其於商品管制清單（Commerce Control List）中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼（Export Control Classification Number, ECCN）項目及說明文字，並增訂「授權網路安全出口（Authorized Cybersecurity Exports, ACE）」的例外許可規定（15 CFR §740.22），該暫行最終規則將於2022年1月19日生效。 　　被列入商品管制清單內的項目，原則上即不允許出口（或再出口、於國內移轉，以下同），惟透過ACE之例外許可，使前述項目可出口至大多數國家，僅在下列「再例外」情況需申請出口許可： 出口地為反恐目的地：出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時，須申請出口許可。 出口對象為國家類別D之政府終端使用者（Government end user）：政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體，當政府終端使用者歸屬於國家類別D時，須申請出口許可。惟若類別D之國家同時被歸類於類別A:6（如賽普勒斯、以色列及台灣），在特定情況下，如為弱點揭露、犯罪調查等目的，出口予該國之電腦安全事件回應小組；為犯罪調查、訴訟等目的，出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品（digital artifacts）予警察或司法機關；或出口數位製品予前述政府，而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者（favorable treatment cybersecurity end user）擁有或操作資訊系統相關之網路安全事件時，不適用ACE之再例外規定，而不須申請出口許可。 終端使用者為國家類別D:1、D:5之非政府單位：結合上述第二點之說明，不論出口至國家類別D:1、D:5之政府或非政府單位，皆受ACE之「再例外」拘束，而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位，或對非政府單位的視同出口（deemed export）行為，方不適用再例外規定，而不須申請出口許可。 終端使用者限制：已知或可得而知該物品將在未獲授權之情況下，被用於影響資訊系統或資訊之機密性、完整性或可用性時，須申請出口許可。