華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客( data broker ),在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取, AT & T 已通知相關客戶已被通知並凍結其帳戶。 AT&T 並未於訴狀中明確地列出被告的名字,表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人, AT&T 宣稱一旦這些資料掮客經鑑定被確認後,除了賠償 AT&T 的損害之外,還須償還其販賣資料所獲得的不法利益。 PrivacyToday.com 網站的總裁表示,「買資料的人無處不在,但只有少數的人會非法竊取客戶資料,而這少部分的人大多都可以被追蹤的到。」 這並非唯一的案例,未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄,還有銀行、醫療或其他個人敏感資料,每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法,將有關電話紀錄的欺騙行為判定為不法行為。
歐盟通過新電視指令歐盟27個會員國於5月24日在布魯塞爾通過新的電視指令(neue Fernsehrichtlinie),內容涉及「在線或離線電視服務(Fernsehen on- und offline)」、「廣告規範」及「來源國原則(Herkunftslandsprinzip:指跨國服務或商品依據來源國之標準處理。)」。新的電視指令乃源自於有18年歷史之電視指令,並重新命名為「影音媒體服務指令(Richtlinie über Audiovisuelle Mediendienste)」,指令內容包括線上直播節目、近似隨選視訊(Near-Video-on-Demand)、非線性傳輸節目(nicht-linear verbreitetes Programm)。 約一年半前歐盟就電視指令之規範,如何種經由網路傳輸之內容適用電視指令、廣告規範及來源國原則等議題加以討論;不具商業性之私人網站內容,如旅遊紀錄片,則不在本指令適用範圍。歐洲媒體法研究機構負責人Alexander Scheuer指出,類似YouTube網站,因其本身提供服務方式不涉及編輯性責任(redaktionelle Verantowrtung),故亦不在本指令適用範圍內;惟如YouTube將電視頻道引進其網站,則可能有適用本指令之餘地。Scheuer另外指出如何界定非商業性之難題,例如在個人儲存短片的網頁上打廣告,是否具商業性,值得討論。 指令中最具爭議的部份,除新聞時事及兒童節目仍嚴格禁止置入性行銷(Product Placement)外,新電視指令有條件放寬業者經營置入性行銷,前提是節目播出前須向觀眾為置入性行銷之揭露,此項放寬將使正常節目進行因廣告而中斷。另外關於禁止速食廣告於兒童節目中播出之建議則未被採納。 值得關注尚有適用來源國原則下對特定網站所發的禁制令問題,原則上對節目提供者只適用其來源國之法律,但指令第2a條明訂若有緊急情況(如內容違反青少年保護規定),可以對該特定網站發出制禁令,以防止規避會員國較嚴格之相關規定;而是否有緊急情況須提交委員會裁決。 新電視指令通過後引起多方關注,未來適用上仍存有挑戰空間。
澳洲於9月初生效《政府負責任地使用人工智慧的政策》(Policy for the responsible use of AI in government)2024年9月1日,澳洲生效《政府負責任地使用人工智慧的政策》(Policy for the responsible use of AI in government,下稱政策)。澳洲數位轉型局(Digital Transformation Agency,以下稱DTA)提出此政策,旨於透過提升透明度、風險評估,增進人民對政府應用AI的信任。 1. AI之定義 此政策採經濟合作暨發展組織(OECD)之定義:AI系統是一種基於機器設備,從系統接收的資訊進而產出預測、建議、決策內容。 2.適用範圍 (1)此政策適用於「所有非企業的聯邦個體(non-Corporate Commonwealth entities, NCE)」,非企業的聯邦個體指在法律、財務上為聯邦政府的一部分,且須向議會負責。此政策亦鼓勵「企業的聯邦實體」適用此政策。 (2)依據2018年國家情報辦公室法(Office of National Intelligence Act 2018)第4條所規定之國家情報體系(national intelligence community, NIC)可以排除適用此政策。 3.適用此政策之機構,須滿足下列2要件 (1)公布透明度聲明 各機構應在政策生效日起的6個月內(即2025年2月28日前)公開發布透明度聲明,概述其應用AI的方式。 (2)提交權責人員(accountable official,下稱AO)名單 各機構應在政策生效日起90天內(即2024年11月30日前)將AO名單提供給DTA。 所謂AO的職責範圍,主要分為: I.AO應制定、調整其機構採取之AI治理機制,並定期審查、控管落實情況,並向DTA回報;鼓勵為所有員工執行AI基礎知識教育訓練,並依業務範圍進行額外培訓,例如:負責採購、開發、訓練及部署AI系統的人員,使機構內的利害關係人知道政策的影響。 II.當既有AI 應用案例被機構評估為高風險AI應用案例時,通知DTA該機構所認定之高風險AI應用案例,資訊應包括:AI的類型;預期的AI應用;該機構得出「高風險」評估的原因;任何敏感性資訊(any sensitivities)。 III.擔任機構內協調AI的聯絡窗口 IV.AO應參與或指派代表參與AI議題之政策一體性會議(whole-of-government forums)。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
科技大廠被控剝削開放原始碼社群歐盟執委會( EC )一名資深官員 30 日大聲抨擊幾家美國的大型 IT 企業,指控他們對開放原始碼社群的發展產生過多影響。 EC 的資訊社會與媒體理事會軟體科技首長 Jesus Villasante 表示,如 IBM 、惠普( HP )和昇陽( Sun Microsystems )這些大公司,只是把開放原始碼社群當作承包商,而非鼓勵他們開發獨立的商業產品。 Villasante 在阿姆斯特丹舉行的荷蘭開放軟體大會( Holland Open Software Conference )中指出:「 IBM 會問顧客:你要專有或開放軟體?(如果他們選擇開放原始碼)然後他們會說:好,你要的是 IBM 的開放原始碼軟體。開放原始碼都將變成 IBM 、惠普或昇陽的財產。」 Villasante 說:「這些公司以承包商的模式,利用(開放原始碼)社群的潛能 – 當今的開放原始碼社群,等於是美國跨國企業的承包商。」他呼籲開放原始碼社群應發展更大的獨立性。 他表示:「開放原始碼社群需要看重自己,並瞭解他們對本身和社會都已作出貢獻。從他們瞭解自己是推動社會進化的一部分,並試圖發揮影響的那一刻起,我們才能朝正確的方向前進。」 Villasante 的看法令其他參與討論的成員頗為意外,包括 Sun One Consulting 的首席設計師 James Baty 。業界專家曾表示, IBM 等大公司對開放原始碼軟體的發展,作出相當大的貢獻,他們幫助說服企業與 IT 專業人員相信開放軟體與專有軟體一樣可靠。 Baty 並未直接回應 Villasante 的評論,但表示包括他的雇主在內的大型企業,都有責任奉獻給開放原始碼社群。昇陽捐助若干開放原始碼計劃,包括生產力應用軟體 OpenOffice.org 。 Baty 說:「有些公司僭取了開放原始碼社群的成果,其他公司則抱持他們必須奉獻的態度。(開放原始碼)應被視為一個機會,不是供人奪取和濫用的東西。」 Villasante 也利用稍早的演說,表達對歐洲軟體業的擔憂。他說:「我的看法是,歐洲目前根本沒有軟體產業 – 當今唯一的軟體產業只存在美國,未來或許還會出現在中國或印度。我們應該決定將來是否要建立歐洲的軟體產業。」 Villasante 認為開放原始碼是歐洲軟體產業發產的重要部分,但這種過程卻受到智慧財產遊說團體與傳統軟體業的壓力,及開放原始碼社群本身的分裂所壓抑。他說:「開放原始碼處於徹底的混亂 – 許多人作很多不同的東西。造成現在完全的混亂。」 一位聽眾指出, EC 也要為推動可能損害開放原始碼的軟體專利規章負責。 Villasante 回答,並非所有 EC 的成員都自動支持該規章。他說:「首先,我不負責軟體專利 – 軟體專利規章是由內部(市場)局長管理。資訊協會( Villasante 工作的單位)局長的意見,不一定與內部局長相同。」(陳智文)