美國總統歐巴馬簽署通過網路安全資訊分享法案(CISA)

  網路安全資訊分享法案(Cybersecurity Information Sharing Act,CISA)於2015年10月27日在「參議院」通過。接著眾議院於12月18日通過1.15兆美元的綜合預算法案,並將網路安全資訊分享法案夾帶在預算案中一併通過,最後美國總統歐巴馬亦在同日簽署通過使該法案生效,讓極具爭議的網路安全資訊分享法案偷渡成功。

  網路安全資訊分享法案,建立了一個自願性的網路資訊安全分享之框架,其主要內容,在讓美國民間企業遭受網路攻擊或有相關跡象時,得以分享客戶個人資訊予其他公司或美國國土安全局等相關部門,同時並讓民間企業免除向公務機關洩漏客戶個資隱私等相關之法律責任。該法案目的係期盼藉由提高網路攻擊訊息共享度來改善網路安全問題。

  該法案通過引發各界譁然。修正後的網路安全資訊分享法案去掉多數保護隱私權之條款,諸如分享客戶資訊時不用再遮掉無關的個人資訊、不再禁止政府利用這些個人資訊進行監控。

  美國媒體批評該法案的通過是政府最可恥荒謬的行為之一。就隱私權層面,批評者認為,該網路安全資訊分享法案仍與監控密切結合,未能解決客戶個人資料被大量外洩的風險。就程序面而言,一個正式的網路安全資訊分享法案似乎不應被包裹在大額綜合預算法案中通過。該法案通過後之執行情形值得繼續觀察。

相關連結
※ 美國總統歐巴馬簽署通過網路安全資訊分享法案(CISA), 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7164&no=64&tp=1 (最後瀏覽日:2026/07/13)
引註此篇文章
你可能還會想看
基改作物MON810,德法命運大不同

  德國今年1月底通過新修法,使國際知名生技公司孟山都主要用做於飼料的基改抗蟲玉米MON810得以在德國更加順利種植。   原來德國法律規定基改作物與其相同種類傳統非基改作物間的種植距離為150公尺,與有機作物間的距離則為300公尺;但這項距離的規定對於農田面積多數不大的德國西部來說始終是一個問題,新法為此提供了一項新的出路,亦即基改作物種植者可與其相鄰傳統作物種植者簽訂契約來排除前述種植距離的限制,此項契約雖可能使傳統作物必須標示成為基改作物,但預估仍不會減低傳統作物種植者簽訂契約的意願。   專家評論德國這項新的立法仍然為德不卒,由於新立法並未將德國公開註冊制度中基改作物需揭露詳細的種植地點改為只需揭露種植地區,使得反基改分子仍將得以順利找到基改作物並加以破壞。另外,此次亦未修正的鄰田污染賠償責任使專家擔憂基改研究仍將限於校園內。   MON810在另一端的法國則顯得命運多舛,自去年秋天起,法國引用歐盟法的防衛條款(Articles 23 of the EU Deliberate Release Directive)來暫時禁種此一抗蟲玉米,於今年1月初,法國政府為此項問題所組成的委員會向環境部長提交調查結果,委員會主席並對外表示嚴重質疑MON810的安全性,並已取得大量MON810對動、植物負面影響的科學證據,使法國政府於1月中宣佈延續去年的禁種令。但專家質疑委員會主席對於調查報告之陳述失之客觀,由於調查報告中關於MON810商業種植對於環境影響的問題仍懸而未定,事實上並未存有委員會主席所謂的「嚴重質疑」。

從美國PayPal經驗與歐盟支付服務指令論我國第三方支付服務之現狀與未來

英國NCSC針對使用高風險供應商之電信網路提出風險管理建議

  英國於2020年1月31日正式脫歐,同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定(Free Trade Agreement, FTA)。然而,美國認定中國大陸華為的5G設備存在資安風險,可能被用於間諜活動進而威脅國家安全,故主張美英貿易合作與情報共享的前提,必須建立在英國排除使用華為5G網路基礎建設之上,對此英國嘗試透過政策研擬,在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心(National Cyber Security Centre, NCSC)於2020年1月28日,即針對使用「高風險供應商(High risk vendors簡稱HRV)」之電信網路,提出風險管理建議,說明如何因應HRV帶來的網路安全風險及挑戰(須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor,必須透過關鍵與否及風險高低兩個變動因素加以細部區分)。目前英國5G及光纖到戶(Fiber To The Home, FTTH)計畫推動處於關鍵階段,NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議,將有助於保護營運商免於外部攻擊,並降低英國電信網路的國家安全風險。   NCSC在報告中,針對何謂高風險供應商,及如何管理這些供應商帶來的特定安全風險,提出詳盡判斷標準包括:供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點:包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管,進而與英國法律相抵觸甚至進行外部指導等。   又為減少由HRV引起的網路安全風險,NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務,並將高風險廠商供應上限設定為35%,有效進行網路安全風險管理,平衡安全性風險和市場供應多樣化彈性需求。另外,其他具備敏感性的網路營運模式,例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統(BNG / BRAS)等,必須根據具體情況,對HRV進行限制;且不得在與政府營運或重要國家基礎設施,及任何與安全系統直接相關的敏感網路中使用HRV設備。目前,中國大陸華為是英國NCSC唯一認定的HRV廠商,華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制;華為亦需遵守NCSC要求,訂定風險緩解策略,確保產品及服務不致威脅英國網路即國家安全。

FTC提供意見給NHTSA有關隱私權和車輛對車輛通訊(V2V)

  美國聯邦貿易委員會(FTC)針對國家公路交通安全管理局(NHTSA)的行政命令提出建議,就有關車輛到車輛通信(V2V)之事宜,FTC長期作為負責保護消費者隱私與安全的聯邦機構,FTC認為NHTSA在行政命令中採取隱私和安全問題考慮是非常適當。   在FTC的建議評論指出,FTC針對物聯網的的資訊安全疑慮,同樣也會適用在消費者的車輛收集的隱私和安全問題。FTC認為NHTSA的協商支持作法,基於流程的可解決隱私和安全隱患,其中包括隱私風險評估。該評論還讚揚NHTSA設計一個V2V系統來限制收集和存儲僅是供應其預期的安全目標的數據。   美國每年都會有上千人意外死於汽車意外事故,NHTSA研究指出,汽車相撞的原因多數情況下在於資訊的不透明,如果汽車之間可以「相互溝通」,讓駕駛彼此知悉對方的情況,就能減少碰撞事故。   「V2V」係指vehicle-to-vehicle,是規劃建立於汽車之間的通信網路。在這個網路中,汽車之間能夠互相傳送數據,告訴對方自己的狀態和行為,也了解其他車輛的狀態和行為。但是目前V2V各家發展的標準不一,因此假設福特的車如果不能跟其他廠商的汽車溝通,技術再好也沒用。   也因此,NHTSA在官網上公告規則,宣布將制定「V2V」通信技術標準的法規。也就是說,NHTSA將要制定一個統一的標準,來確保汽車之間溝通使用的是同一種語言。在最新的一份報告中,NHTSA詳細說明了「V2V」通信技術的軟硬體標準。它包括部署該項技術可能需要的硬體設施及其費用,汽車之間溝通的資料類型,以及該技術將如何提醒司機。此外,還覆蓋了「V2V」通信技術的安全細則,以及它將如何加密以避免竊聽和侵犯隱私。   在使用者和廠商都關心的資料外洩方面,NHTSA表示,資料本身將不包含個人身份資訊,並且將會被保密。目前提出的方案裡包含兩套數據,其中一個包含核心資訊:如位置、速度、駕駛方向、剎車狀態、車輛尺寸等。這些資料將即時更新並相互傳播。第二套數據則會更加複雜,只有在數據發生變化時才會相互傳輸。它包括汽車輪胎是否漏氣,前燈是否打開,保險杠的高度,是否行駛在密集人群中等。

TOP