華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
為了報復美國非法補貼國內棉花業者,造成巴西的損失,巴西先是在3月初公布一份含102項美國產品之關稅調高名單,將在4月7日生效;在3月中旬又提出另外一份含21個項目的名單,包括中止(suspend)美國化學、醫藥、軟體、書籍和電影方面的專利權和智慧財產權,這份新的名單在公布後的未來20天,任何人都可以提出意見。 巴西的制裁措施是依據去年8月世界貿易組織(WTO)針對巴西和美國的貿易糾紛所作出的決定,WTO認為美國在1999年到2002年違法補貼其國內棉花業者,違反作為WTO成員所應遵守的義務,而給予巴西對美國進行8.29億美元的跨業報復(cross-sector retaliation)權利。 巴西政府估計3月初的調高進口關稅總值可達5.91億美元,3月中旬的智慧財產權報復行動可產生2.39億美元的衝擊。此外,如果3月中旬的制裁措施最後真的付諸實行,將會是WTO糾紛中第一次成功地利用智慧財產權作為報復手段的案例。 巴西政府希望藉由最新的報復手段可以迫使美國正視這個問題,美國貿易代表團則認為巴西此舉會帶來負面的先例影響,並且希望能和巴西政府協商共同解決這項議題,盡可能不使報復行動發生。
美國法院新判決,讓Rambus公司無法取得Micron公司的權利金美國德拉瓦(Delaware)州法庭於1月9日判決,記憶體晶片(DRAM)設計業者Rambus公司(Rambus Inc.)因在訴訟過程中,毀壞此一專利訴訟案件的相關文件與資料,使其專利不具執行力。因此無權以系爭的12項專利要求 Micron公司(Micron Technology Inc.)支付權利金。判決公告後,Rambus公司的股價因而重挫約40%。 兩家公司的紛爭可溯至2000年,該年度Micron公司曾控告Rambus公司,宣稱Rambus公司試圖掌控當時DRAM晶片的市場。當時,Rambus公司要求Micron公司在內的晶片製造業者須支付權利金給該公司,而晶片製造業者則予以反擊,宣稱Rambus公司取得專利的過程有瑕疵。 雙方除於法院進行訴訟外,並利用美國聯邦貿易委員會(FTC)進行紛爭處理,互有勝負。例如:去年11月,加州地方法院宣判Rambus公司控告Micron公司、海力士(Hynix)、三星電子(Samsung Electronics)與南亞科技(Nanya Technology)等公司侵權一案,獲得初步勝利。然而如今法院的判決卻又重擊Rambus公司,因為該判決可能使該公司往後難以利用其所擁有的專利,迫使其他晶片製造業者支付權利金,也因此造成Rambus公司股價重挫的情形。
英國政府將設置兩個新的網路安全機關,以維護國家網路安全英國政府在考量保護政府機關及民眾免於網路安全之威脅下,設置了網路安全辦公室(Office of Cyber Security,OCS)及網路安全營運中心(Cyber Security Operations Centre,CSOC)兩個新的網路安全機關,並將於2010年3月正式運作。同時,內閣辦公室(Cabinet Office)發出聲明表示,英國政府將網路安全訂為21世紀政府的安全防護重點,並認為透過設置這兩個新的機關協助維護國家安全,將是達成這個目標的重要步驟。 在英國政府的規劃下,OCS設於內閣辦公室下,負責提供政府跨部會的資訊安全策略,並整合協調政府部門間網路安全之工作;CSOC則是設置於英國政府通信總部下(Government's Communications Headquarters,GCHQ),負責有效的監測網路空間之健全性並針對緊急事件提出應變措施、瞭解攻擊英國政府及使用者之技巧、提供對於企業及大眾有關網路安全風險應變之忠告與建議。內閣辦公室也表示,OCS將與移民署(Home Office)及警察局長協會(Association of Chief Police Officers,ACPO)合作,盡快制訂出有關防範網路犯罪之相關策略。 英國政府肯認網路安全對於政府在安全防護上的挑戰。因此內閣辦公室強調,網路安全防護策略之整合是重要的,其將透過企業,國際合作伙伴及民眾的力量,藉由專業知識及能力的提升、以及更為完善的策略,降低安全風險及發掘安全防護機會,發揮英國在網路安全防範之優勢。
歐洲人權法院(ECtHR)認為土耳其政府封鎖網站之行為,有違歐洲人權公約言論自由規定歐洲人權法院(ECtHR)在去年(2012)12月作出一項因封鎖網路而侵害言論自由的判決。該判決認為土耳其政府封鎖整個Google網站的行為,已違反歐洲人權公約第10條關於言論自由之保障。 土耳其法院在2009年審理侮辱有土耳其國父之稱的凱末爾將軍案時,判決封鎖設在Google平台的某網站,但土耳其通訊主管機關(Telecommunications Directorate)向法院建議,因技術上問題,建議封鎖整個Google網域才能達到效果,此舉連帶影響本案上訴人架設於Google平台上的網站也一併遭致封鎖,上訴人在窮盡國內訴訟程序後,進而向歐洲人權法院提告。 歐洲人權法院認為,網路目前已經成為表達言論的一個重要工具與場域,根據歐洲人權公約第10條規定,立法限制言論自由必須明確,以便當事人能夠遵循。但土耳其法令(Law no. 5651)並無可封鎖整個網域之相關規定;此外,亦有證據顯示土耳其政府並未盡告知義務,且該網路平台Google亦無拒絕遵循當地國法令之情形;至於通訊主管機關建議法院封鎖整個Google網域行為,亦違反土耳其法令(Law no. 5651)之授權範圍。因此歐洲人權法院認為土耳其政府已經違反歐洲人權公約第10條規定。 根據歐洲安全與合作組織(Organization for Security and Co-operation in Europe)的調查指出,在2012年土耳其政府至少封鎖了3700個網站,包括YouTube、DailyMotion、Google等知名網站。 而總部設在倫敦的維護言論自由知名組織Article19(取名自世界人權宣言第19條言論自由保障而來)主任Agnes Callamard博士也指出,本案是網路言論自由的重大勝利,尤其是當前各國政府積極尋求各種網路管制手段時,更應注意立法限制言論自由必須具有明確的法源基礎且應有救濟管道,以落實歐洲人權公約保障言論自由之意義。