華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
環保署近日表示,一九九八年所訂二氧化碳減量標準無法達成,建議參考經濟合作暨發展組織( OECD )模式,在二○二五年年平均成長率降為一%,對工業、能源和交通等有影響環境之虞的政策實施「政策環評」。但學者研究認為,及早因應比延後減量更有利。依據環保署所提出對溫室氣體減量根本問題,所牽涉的工業、能源和交通等重大政策進行政策環評,首當其衝包括蘇花高、中油八輕和台塑大煉鋼廠恐都將接受「檢驗」。 除鋼鐵排放持續逐年增加,國內前一百大公司的溫室氣體排放量佔工業部門排放量九成,住商和運輸部門執行情況也差。尤其推動汽燃費改隨油徵收一直未落實,交通政策以大量資金投注在新道路建設,吸引更大車流,應檢討整體運輸政策。 在策略上,應根據現有環境影響評估法第廿六條,訂定「政府政策環境影響評估作業辦法」,對國家溫室氣體減量最根本所在的工業、能源、交通政策,以及其他有影響環境之虞政策,都應實施「政策環評」,並應建立現有能源價格和徵收碳稅討論機制。
從歐洲法院實務看資料保護在智慧聯網時代下發展-以資料保存指令無效案和西班牙Google案為例 運用AI工具協助管理智慧財產組合(IP Portfolio)之方式美國實務界律師2023年6月9日撰文指出,人工智慧(artificial intelligence,簡稱AI)將對智慧財產法律和策略帶來改變,大部分企業熟悉的改變是目前仍有爭議的法律問題—由AI工具產生的發明創造是否為專利或著作權適格的保護標的。但除此之外,AI工具對於創建和管理智慧財產組合(IP Portfolio)的方式也已發生改變,並介紹以下五種利用AI工具協助管理智慧財產組合之方式。 1.簡化先前技術之檢索 無論是評估新產品的可專利性、評估競爭對手之智慧財產權之相關風險、抑或是回應侵權索賠,企業均須了解特定領域之先前技術,因應此需求,全球已有大量公司提供先前技術檢索服務,惟AI工具的出現使得企業可自行進行先前技術檢索。例如知名的文件審查平台Relativity創造了Relativity Patents,使用者輸入專利號碼等特定關鍵字即可進行先前技術檢索;美國專利商標局亦為了審查官開發一種AI工具,提升其確認先前技術之準確性及效率。 2.協助專利申請文件撰寫 對於專利申請人而言,可使用AI工具協助草擬專利申請範圍,有些企業甚至會運用AI工具自動化撰寫專利申請文件,惟使用AI工具撰寫專利申請文件時,應留意提供AI工具的資料是否會保密,抑或有向第三人提供之風險。此外,AI工具撰寫之內容建議仍須雙重確認內容正確性及適當性,如引用來源及內容是否正確。 3.改善商標維權能力 企業可使用AI工具協助監控潛在的侵權及仿冒產品,有鑒於現今網站及社群媒體仍有大量未經商標授權的賣家存在,AI工具可作為審查貼文及識別商標侵權案件之工具,相較於傳統的人工審查可更有效率。 4.協助商標檢索作業 於美國、澳洲、歐盟、中國,甚至世界智慧財產組織導入AI工具協助審查官進行商標審查,包括以關鍵字及影像標記之搜尋功能,此一工具不僅可簡化商標申請和註冊審查程序與時間,亦有部分國家提供使用者自行檢索之功能,使企業可進行更快速、有效率之商標檢索,使其於品牌保護策略上節省不必要之時間及金錢。 5.支持策略性專利組合管理 AI工具亦可協助專利組合管理,包括最廣的專利範圍、評估是否需繼續維護專利、或是評估擬收購專利之價值,以AI工具協助評估以上事項,雖無法完全取代人工進行策略評估,惟可顯著減少勞動力支出。 AI工具改變了智慧財產組合創建及管理之方式,雖然AI工具不能完全承擔管理智慧財產權組合之職責,但AI工具在專利/商標檢索、專利申請文件撰寫、專利權評估、商標維權等方面已可大量減少人力及管理成本,有助於企業智慧財產組合管理,惟企業及使用者須留意使用AI工具的資料管理問題,以避免機密資訊遭到外洩。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
德國因應歐盟一般資料保護規則(GDPR)之通過,即將進行該國資料保護法(BDSG)修正德國聯邦資訊技術,電信和新媒體協會(bitkom)於2016年9月2日釋出將以歐盟新制定之一般資料保護規則(GDPR)內容為基礎,調整德國聯邦資料保護法(BDSG)之修法動向。 德國政府正在緊鑼密鼓地調整德國的資料保護立法,使之與歐盟GDPR趨於一致。已知未來將由“一般聯邦資料保護法”取代現行的聯邦法律。草案內容雖尚未定稿,但修正方向略有以下幾點: 首先,德國未來新法不僅參考GDPR、也試圖將該法與GDPR及歐盟2016年5月4日公告之歐盟資訊保護指令Directive(EU)2016/680相互連結。該指令係規範對主管機關就自然人為預防,調查,偵查等訴追刑事犯罪或執行刑事處罰目的,處理個人資料時的保護以及對資訊自由流通指令。 其次,新法將遵循GDPR的結構,並利用一些除外規定,如:在資料處理時企業應指派九人以上資料保護官(DPO)的義務。某些如通知當事人的義務規定,亦有可能在存有更高的利益前提下,限縮其履行範圍。此意味某些通知義務有可能得不適用,例如履行該義務需要過於龐大人力、資金支出、耗費過多等因素。 第三,聯邦法律將保留一些規定,如上傳給信用調查機構的條款、雇傭契約中雇用方面處理個人資料的條款,以及在公眾開放地區使用電子光學裝置監視的條款等。 最後,立法修正動向值得注意的重點尚有,(1)未來德國立法者將如何應對新的歐洲資料保護委員會(EDPB)中德國代表的地位(represe。由於EDPB將發布具有約束力的決定,針對爭議內容的決定意見,德國內部顯然應該統一意見。蓋因迄今為止的德國聯邦資料保護監察官(17個)經常提出不同的見解。此外,(2)還應該觀察聯邦資料保護監察官是否應該賦予權限,向法院提出對歐盟爭議決定或法律救濟,使案件進入德國法院,以爭執歐盟執委會所為之決定是否具備充足理由。前此,德國聯邦參議院(代表十六邦)2016年5月已要求聯邦政府引進新規定,使資訊監察保護官有請求法院救濟之權。這項源於安全港協議判決的討論,將來有可能提供德國資料保護監察官,挑戰隱私盾協議的可能性。但新法案是否會解決這一問題,這還有待觀察。 可預見在2017年9月下一屆德國聯邦議會選舉前,將通過法案。