美國總統歐巴馬簽署通過網路安全資訊分享法案(CISA)
網路安全資訊分享法案(Cybersecurity Information Sharing Act,CISA)於2015年10月27日在「參議院」通過。接著眾議院於12月18日通過1.15兆美元的綜合預算法案,並將網路安全資訊分享法案夾帶在預算案中一併通過,最後美國總統歐巴馬亦在同日簽署通過使該法案生效,讓極具爭議的網路安全資訊分享法案偷渡成功。
網路安全資訊分享法案,建立了一個自願性的網路資訊安全分享之框架,其主要內容,在讓美國民間企業遭受網路攻擊或有相關跡象時,得以分享客戶個人資訊予其他公司或美國國土安全局等相關部門,同時並讓民間企業免除向公務機關洩漏客戶個資隱私等相關之法律責任。該法案目的係期盼藉由提高網路攻擊訊息共享度來改善網路安全問題。
該法案通過引發各界譁然。修正後的網路安全資訊分享法案去掉多數保護隱私權之條款,諸如分享客戶資訊時不用再遮掉無關的個人資訊、不再禁止政府利用這些個人資訊進行監控。
美國媒體批評該法案的通過是政府最可恥荒謬的行為之一。就隱私權層面,批評者認為,該網路安全資訊分享法案仍與監控密切結合,未能解決客戶個人資料被大量外洩的風險。就程序面而言,一個正式的網路安全資訊分享法案似乎不應被包裹在大額綜合預算法案中通過。該法案通過後之執行情形值得繼續觀察。
蔡馥如
法律研究員 編譯整理
CONGRESS.GOV, H.R.2029 - Consolidated Appropriations Act, 2016, https://www.congress.gov/bill/114th-congress/house-bill/2029/text (last visited JAN. 5, 2016).
David J. Bender , Congress Passes the Cybersecurity Act of 2015, http://www.natlawreview.com/article/congress-passes-cybersecurity-act-2015 (last visited JAN. 5, 2016).
Chris Velazco, Budget bill heads to President Obama's desk with CISA intact, http://www.engadget.com/2015/12/18/house-senate-pass-budget-with-cisa/ (last visited JAN. 5, 2016).
CONGRESS.GOV,S.754 - Cybersecurity Information Sharing Act of 2015, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited JAN. 5, 2016).
美國政府近年來為預備恐怖活動積極部署國家安全相關措施,包括運用出口管理規則(Export Administration Regulations)監控軍商二用技術及產品(dual-use items)之輸出;然而在維護國家安全的同時,美國仍然希望能持續鞏固其經濟及技術領先地位,以及避免全球高科技及市場遭到稀釋。美國總統因此於今(2008)年初,提出一系列有關軍商二用出口管制之行政新措施,欲藉此強化軍商二用出口管制制度(dual-use export control system)。其主要目標如下: (1)適當管制外國終端用戶(Foreign End-Users):美國政策作法是,未來軍商二用出口管制制度將要著重在美國高科技產品外國終端用戶之管理,除了保持其拒絕將敏感性科技輸給武器擴散份子、國際恐怖分子和習慣進行違背美國國家安全及外交政策與利益之國家對象之宗旨外,美國一方面將擴大受管制實體清單(Entity List)對象範圍,嚴格審查曾從事違背美國國家安全和外交政策及利益活動之外國夥伴;另方面,美國則將妥善使用所謂正當使用者計畫(Validated End User(VEU) program),免除這些受信賴之使用對象在輸出產品時受制於嚴格的出口申請程序。例如港商Manufacturing International Corporation(SMIC)最近即被納入VEU初始清單。 (2)增進國家競爭能力:美國將以維持經濟競爭力和創新研發為目標,建立一道檢討受管制軍商二用標的之常規程序,藉此重新評估並適時修正商業控制清單(Commerce Control List)所列產品及對象。 (3)透明化:為求達到資訊公開、共同促進國家安全及競爭之目的,美國商業部還會在網站上公開受到高度審查之外國夥伴清單。 最後,美國行政主管機關亦表示,為了有利於行政機關有效執行國家軍商二用出口管制政策,高度支持透過出口管理法(Export Administration Act)修正之再授權,更新違法之刑罰規定,並提升行政機關之執行權限。
美國聯邦貿易委員會(FTC)有權監督管理企業資料處理方式2015年8月24日,美國第三巡迴法院做出判決,宣告美國聯邦貿易委員會(the Federal Trade Commission, FTC)本於聯邦貿易委員會法第5章(Section 5 of the Federal Trade Commission Act)之規定,對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實,該委員會針對企業違法事實的判定將產生法律效力。 案件起因於2008年及2009年間,飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵,導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵,使客戶權益受損。Wyndham Hotels不服並上訴,表示FTC只有提供企業資料安全保護措施的建議權,無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中,第三巡迴法院確立了FTC除了有一般建議權外,也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外,第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說,FTC僅需負一般性的告知義務。 此判決大幅擴張FTC監督管理企業資料安全保護措施的權力,對於廣大個人資料本人而言,可說是一大保障。
英國「數位紅利」頻譜管理政策簡介 美國聯邦法院裁定執法部門無搜索令要求提供手機位置記錄並未違憲美國聯邦第六巡迴上訴法院於2016年4月13日就U.S. v. Timothy Ivory Carpenter & Timothy Michael Sanders案作出判決,裁定執法機關在未取得搜索令的情況下要求出示或取得手機位置記錄,並不違反憲法增修條文第4條。美國憲法增修條文第4條規定:「人人具有保障人身、住所、文件及財物的安全,不受無理之搜索和拘捕的權利;此項權利,不得侵犯;除非有可成立的理由,加上宣誓或誓願保證,並具體指明必須搜索的地點,必須拘捕的人,或必須扣押的物品,否則一概不得頒發搜索令。」 本案事實係聯邦調查局取得兩名涉及多起搶劫案之嫌疑人的手機位置,而根據手機位置之相關資料顯示,於相關搶案發生之時間前後,該二名嫌疑人均位於事發地半英哩至兩英哩的範圍內,故該二名嫌疑人隨後被控多項罪名。在肯認與個人通訊相關之隱私法益的重要性的同時,聯邦第六巡迴上訴法院認為,「縱使個人通訊之內容落於私領域,但是為了將該些通訊內容自A地至B地所必須之資訊,則非屬私領域之範疇。」聯邦第六巡迴上訴法院拒絕將憲法增修條文第4條的保護延伸至像是個人通訊或IP位址等之後設資料(metadata),其原因在於,蒐集此等資訊或記錄並不會揭露通訊的內容,因此本案之嫌疑人就聯邦調查局所取得之資訊並無隱私權之期待。法院認定,此等行為不同於自智慧型手機取得資訊,因為後者「通常而言儲存了大量有關於特定使用人之資訊。」 2015年11月9日,美國聯邦最高法院拒絕審理Davis v. United States案,該案係爭執搜索令於執法部門要求近用手機位置資料時之必要性。加州州長Jerry Brown於2015年10月亦簽署加州電子通訊法(California Electronic Communications Act, CECA),該法禁止任何州政府的執法機關或其他調查單位,在未出示搜索令的情況下,要求個人或公司提供具敏感性之後設資料。