華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
經濟合作暨發展組織(下稱OECD)於2022年12月20日發布全球企業最低稅負制(即第二支柱,下稱最低稅負制)的「避風港與罰款免除規則」,再於2023年2月2日發布進階行政指引。系爭規則與指引旨在協助跨國企業降低法律遵循成本。 經蓋最低稅負制為防免跨國企業以稅捐規劃(如移轉訂價等方式)持續侵蝕稅基,透過實施補充稅(Top-up Tax)制度,並配合所得涵蓋與徵稅不足支出等原則,即向上或向下分配等方式,確保全球收入逾7.5億歐元的跨國企業及其所有經濟實體的個別有效稅率均不低於15%。 經上述補充稅制度看似簡單,惟其實施同時涉及各國相互合作與彼此補充稅間可能的零和遊戲,徵之各國境內稅捐制度調整、現有國際稅捐規則的淘換與新國際稅捐規則的建立等交互作用下,導致OECD與最低稅負制有關文件繁多,內容細項更不計可數,增添不確定性;另外,包含我國在內的許多國家均表示將於2024年起陸續實施全球企業最低稅負制,再增添急迫性。此不確定性與急迫性的雙重夾擊,致使受規範跨國企業法律遵循成本持續增加。 經準此,為避免最低稅負制不當限制跨國企業發展,甚至有害全球經濟,OECD提出避風港條款,使位於高稅負或低風險稅捐管轄區的跨國企業或其經濟實體得減免其補充稅或簡化其計算基礎等,提高補充稅制度確定性以協助降低跨國企業法律遵循成本。
中國電子簽名法將於四月一日正式生效去年八月甫通過的中國電子簽名法在今年四月一日正式生效,而中國首家對外提供電子簽章服務的憑證機構(電子印章中心)在三月三十日成立。 中國電子簽名法對於電子簽名的定義指出,電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身分並表明簽名人認可其中內容的數據。而電子簽名的適用範圍,除了在涉及婚姻、收養、繼承等人身關係、土地房屋等不動產權益轉讓、停止供水、供熱、供氣、供電等公用事業服務或法律、行政法規規定不適用電子文書的其他情形外,均可使用電子簽名。
新加坡通過「線上安全(救濟與問責)法案」強化對抗線上傷害新加坡國會於 2025 年 11 月5日三讀通過「線上安全(救濟與問責)法案」(Online Safety (Relief and Accountability) Bill, OSRA),希望透過「賦權受害者」與「強化平臺問責」來對抗日益嚴重的線上傷害事件。OSRA旨在補充個人在面對有害的線上行為(Online Harmful Activity)傷害時的救濟途徑,並設置「線上安全專員(Commissioner of Online Safety)」為處理投訴與發布救濟指令的專責機關。 OSRA明確定義了多種有害的線上行為,包括針對deepfake的「不實內容濫用」(Inauthentic material abuse),以及惡意公開他人隱私的「人肉搜索」(doxxing),而為了讓損害即時受到控制,線上安全專員在接獲國民投訴並調查評估後,可直接發出具法律效力的指令(Directions),要求平臺移除、隱藏特定內容,或限制惡意帳號的互動;若平臺不遵守指令,線上安全專員亦得向電信業者發出阻斷特定服務,或向應用程式商店發出下架特定應用程式的命令(Orders),無正當理由違反指令或命令皆有可能構成刑事責任。 此外,OSRA亦擴張了平臺的民事責任,當受害者依指定方式向平臺發出「線上傷害通知」後,若平臺未能在合理期間內採取行動,受害者得逕向平臺經營者或網站管理者提起民事訴訟要求損害賠償,若平臺無故怠慢,法院得判決加重損害賠償,希望藉此敦促平臺建立更敏捷的線上傷害控制機制。 值得注意的是,OSRA宣告了廣泛的長臂管轄機制,為保障新加坡國民的權益,不僅法院對OSRA規範的民事、刑事事件有管轄權,線上安全專員發布指令與命令的對象亦不限於境內,表現對抗全球線上傷害的強烈企圖。
歐盟如何打擊「非現金支付」詐欺?有鑑於「非現金支付」(non-cash payment)──包含信用卡、電子錢包、行動支付和虛擬貨幣──之詐欺犯罪率有增加之趨勢,歐洲議會公民、司法與內政委員會 (Committee on Civil Liberties, Justice and Home Affairs)於2018年9月3日批准一修正草案,更新2001年通過之理事會框架決定(Council Framework Decision)2001/413/JHA,提高非現金支付詐欺之刑責,同時強化被害人保護。此一修正草案旨在消弭歐盟成員國間之法律落差,以強化對非現金支付詐欺之預防、偵查及懲罰。 此一草案最重要者為將虛擬貨幣交易納入犯罪之構成要件,並提高刑責。如法官認定犯罪情節該當國內非現金支付詐欺最重之罪,則最低應處以三至五年之有期徒刑。而其他新增及修正之內容包含: 改善歐盟區域內之合作,以利跨境詐欺之訴追。 強化對犯罪被害人之援助,如心理支持、財務及法律問題之諮詢,並對缺乏足夠資源者提供免費法律扶助。 透過宣導、教育與網路資源(如詐欺之實際案例)提供,提升民眾認知及預防之意識。 於委員會投票批准修正草案後,其後將待歐洲議會通過,並與歐盟理事會開啟非正式對談。