華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
研發成果下放就不適用國有財產法嗎? 資訊工業策進會科技法律研究所 2020年3月26日 科學技術基本法(下稱科技基本法)下放研發成果予執行單位,授權各部會機關按其對研發成果管理運用的需求,彈性制訂該部會之科學技術研究發展成果歸屬及運用辦法(下稱成果運用辦法)。然據悉某些公立學校或公立機關(構)曾在盤點財產時,因漏未將研發成果登入為國有財產,或列帳時未列載相關費用而遭主計處指正,從而對研發成果是否為國有財產及如何適用國有財產法有所疑問。因此,本文先回歸科技基本法,探討國有財產法之適用範圍,再論成果運用辦法和國有財產法間互補適用的關係,以解答上述疑問。 壹、科技基本法排除國有財產法適用之範圍 按科技基本法第6條第1項及第2項[1],當研發成果歸屬於公立學校、公立機關(構)或公營事業等公部門單位時,僅排除適用國有財產法中保管、使用、收益及處分之規定,改由各部會之成果運用辦法規範,故當研發成果歸屬於公部門時,並非完全排除適用國有財產法,係僅於前揭特定管理運用事項適用科技基本法及其授權訂定之成果運用辦法。因此其他未被排除的國有財產法規定[2],包括何謂國有財產與國有財產種類之總則、國有財產登記、設定產籍與維護,以及有關國有財產之檢查與財產報告等仍須依循相關規範。前述遭主計處指正之案例,或許就是忽略歸屬於公部門之研發成果仍有前揭國有財產法之適用,致漏未將研發成果依該法登入國有財產或將相關支出列帳。 貳、成果運用辦法的適用範圍 另一可能造成執行單位在運用其研發成果時產生疑問的原因,是現行各部會之成果運用辦法中,有部分規定與前述科技基本法第6條第2項,將歸屬於公立學校與公立機關(構)之研發成果定性為國有財產之意旨扞格。以衛生福利部科學技術研究發展成果歸屬及運用辦法(下稱衛福部成果運用辦法)為例,雖然按該辦法第2條第5款定義國有研發成果為研發成果歸屬國家所有者。然該辦法第30條第1項第1款[3],卻出現執行單位為公、私立學校、公立研究機關(構)之「非國有」研發成果收入之上繳交比率規定,恐使適用本辦法之公立學校、公立機關(構),誤以為其所有之研發成果可為非國有,而產生無庸適用國有財產法之誤解,亦與該辦法第2條第5款對國有研發成果的定義產生內部矛盾,更與科技基本法第6條第2項相衝突。 當研發成果歸屬公立學校、公立機關(構)時,因上述公部門單位本即為政府機關(構),故歸屬上述單位等同歸屬於國家,凡屬上述單位所有之研發成果即為國有研發成果,也會適用國有財產法;邏輯上不應出現公部門單位擁有非國有研發成果之情況,顯然衛福部成果運用辦法第30條第1項應修正第1款,將非國有研發成果上繳比率規定之適用主體排除公立學校、公立研究機關(構)。 參、結論 現行科技基本法第6條第1項與第2項,使研發成果是否適用國有財產法,會因為其歸屬而有不同。研發成果歸屬於公部門者為國有財產原則上應適用部分國有財產法,例外於特定管理運用事項始適用各該部會的成果運用辦法;而研發成果歸屬於私部門者非國有財產,無國有財產法之適用,僅適用各該部會辦法管理。在這套體制下,執行單位須注意國有研發成果仍是國有財產,仍須依國有財產法進行財產列帳、登記及財產檢查;而出現規定公立學校、公立研究機關(構)「非國有研發成果」條文之成果運用辦法, 則顯與現行科技基本法有違,反致生誤會,建議進行修正。公立學校與公立研究機關(構)在進行研發成果之管理、運用時,除依循各部會成果運用辦法外,應注意科技基本法的意旨,以避免造成被認為未依法處理之情況。 [1]科技基本法第6條第1項及第2項:「政府補助、委託、出資或公立研究機關(構)依法編列科學技術研究發展預算所進行之科學技術研究發展,應依評選或審查之方式決定對象,評選或審查應附理由。其所獲得之研究發展成果,得全部或一部歸屬於執行研究發展之單位所有或授權使用,不受國有財產法之限制。前項研究發展成果及其收入,歸屬於公立學校、公立機關(構)或公營事業者,其保管、使用、收益及處分不受國有財產法第十一條、第十三條、第十四條、第二十條、第二十五條、第二十八條、第二十九條、第三十三條、第三十五條、第三十六條、第五十六條、第五十七條、第五十八條、第六十條及第六十四條規定之限制。」 [2]未被排除而應適用的國有財產法條為:第1條到第8條總則、第9、10、12、16條之管理機構、第17條到第19條國有財產登記、第21條到第24條設定產籍、第26條有價證券保管處所、第27條之損害賠償責任、第30、31條不動產維護、第32、34條公用國有財產之使用和非公用國有財產之變更、第37條受贈財產,第38到41條非公用財產撥用、收益、第42到44、45條不動產與動產出租、第46到48條不動產與動產之利用,處分第49到55條不動產與動產標售、第59條非公用財產之估價、第61到63條財產檢查、第65到70條財產報告、第71到73條之刑責和舉報獎金、第75到77條之施行日期等。內文未提及之其它未排除適用的條文,主要是針對有體物,即動產與不動產的相關規範,和非公用國有財產之管理;而研發成果多為無體財產,即智慧財產權等,且多為公用財產,故使用這部分條文的情況較少,在此不贅述。 [3]衛福部成果運用辦法第30條第1項第1款:「執行單位因管理及運用其非國有研發成果之收入,應依下列規定辦理:一、執行單位為公、私立學校、公立研究機關(構)者,應將其研發成果收入之百分之二十繳交本部。」
美國食品藥物管理局發布《上市後研究及臨床試驗:判定未遵守聯邦食品、藥品和化妝品法案第505(o)(3)(E)(ii)節的正當理由》指引草案美國食品藥物管理局(U.S. Food and Drug Administration, US FDA)於2023年7月14日發布《上市後研究及臨床試驗:判定未遵守聯邦食品、藥品和化妝品法案第505(o)(3)(E)(ii)節的正當理由》(Postmarketing Studies and Clinical Trials: Determining Good Cause for Noncompliance with Section 505(o)(3)(E)(ii) of the Federal Food, Drug, and Cosmetic Act)指引草案,說明FDA如何判定處方藥廠商未遵守上市後要求(Postmarketing Requirements, PMRs)的正當理由。 根據聯邦食品、藥品和化妝品法案(Federal Food, Drug, and Cosmetic Act, FD&C Act)第505(o)(3)節,應完成PMR的廠商必須向FDA更新研究或臨床試驗進度的狀態及時間表,例如:提交最終版本計畫書、完成研究/臨床試驗、提交結案報告。廠商若未向FDA更新上述PMR資訊即違反FD&C Act,除非廠商提出正當理由。 未遵守PMR的正當理由應符合下列三項條件: 一、與錯失時程直接相關的情況。 二、超出廠商的控制範圍。 三、當初制定時間表時無法合理預期的情況。 該指引草案舉例說明可能的正當理由及非正當理由,另建議廠商提交年度報告前主動通報PMR進度的狀態,並在預期錯過時程之前儘快提供理由,亦須採取矯正PMR不合規行為的措施,包括立即制定矯正計畫、主動向FDA通報實際或預期的延誤,以及修訂合理的時間表。未遵守PMR的廠商可能會收到FDA的警告信(Warning Letter)或無標題信(Untitled Letter)、不當標示指控(Misbranding Charges)和民事罰款,FDA將根據廠商是否採取矯正措施來確定罰金。 「本文同步刊載於 stli生醫未來式 網站(https://www.biotechlaw.org.tw)」
歐盟出資贊助開放原始碼研究歐盟決定斥資 66 萬歐元的經費研究全球的開放原始碼軟體與標準。 歐盟在為期兩年的 FLOSSWorld 專案中,首度贊助的國際性開放原始碼軟體研發與政策發展計畫,先前的 FLOSS 專案主要只著重在歐洲的開放原始碼部分。 FLOSS 即為自由 / 開放原始碼軟體的縮寫 (free/libre/open source) ,藉由本專案,歐盟希望能夠強化歐洲在自由軟體領域的領導力,與增加國際合作夥伴。 FLOSSWorld 召集人 Rishab Aiyer Ghosh 向對外表示,歐盟通常是不贊助國際性專案的。而此次計劃共區分五大區域,而合作的國家包括中國 ( 東亞 ) 、印度與馬來西亞 ( 南亞 ) 、非洲 ( 南非 ) 、東南歐 ( 保加利亞與克羅埃西亞 ) 、中南美洲 ( 阿根廷與巴西 ) 。 研究將專注在三大領域:開放原始碼對於技能發展的影響,以及對經濟與新增職缺的影響;軟體開發的區域差異性;政府與公家單位對使用開放原始碼的態度。 Ghosh 指出 FLOSSWorld 的目標在增加國際層次的合作,增加對其他國家對於開放原始碼的使用與影響的了解程度。
Codex研提進口食品含有未經核准之GMO含量的技術指導原則由聯合國農糧組織及世界衛生組織共同成立的The Codex Alimentarius Commission (Codex),刻正研提一份與GMO有關的重要技術指導原則,以協助各國評估並管控進口食品是否含有未經核准的GMO或由未經核准的GMO所製程的風險,藉此降低食品貿易的障礙。 關於未經核准的GMO,目前歐盟採取的零容忍度政策(zero-tolerance policy),亦即,進口之食品或飼料中,絕對不能含有未經核准的GMO或由未經核准的GMO所製程,至於一般所知的歐盟0.9%的GMO標示義務,是適用在經依法核准上市的GMO,若因技術上不可避免的原因而使非基改產品含有此GMO之可容忍界線。 根據Codex調查,許多GMO的上市審查在歐盟受到延宕,但這些GMO在歐盟以外其實很多都已經被其他國家核准,或歐盟的技術審查單位—食品安全管理局(European Food Safety Authority, EFSA)也已提出正面的安全評估意見,但歐盟執委會卻遲遲未完成行政審查,造成在歐盟進口的食品或飼料中若含有這些GMO,即被認定為未經核准而影響產品之進口。 鑑於歐盟的GMO管理與出口國的GMO管理有重大的制度面差異,Codex認為此一制度面的衝突若不尋求解決,未來將越演越烈,影響的作物範圍也會越來越廣,因而Codex才會思考制定相關的技術指導原則,解決某GMO可能在一個或多個國家已經被核准上市,但在進口國還未經核准上市,而進口非基改食品或飼料中卻含有這些GMO的問題,目前Codex預計在2008年7月提出相關的技術指導原則建議。