華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解

  美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。

  本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。

  此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。

相關連結
※ 華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7201&no=55&tp=1 (最後瀏覽日:2026/03/09)
引註此篇文章
你可能還會想看
美國第七巡迴上訴法院於Wallace v. IBM, Red Hat, and Novell 一案認定GPL或自由軟體授權模式不違反聯邦反托拉斯法

  美國第七巡迴上訴法院( U.S. Court of Appeals (7thCir) )最近就 Wallace v. IBM, Red Hat, and Novell 一案做出判決,本案爭執重點在於 GPL 授權條款與反托拉斯法之間的關係,美國第七巡迴上訴法院認為 GPL 授權條款並不違反反拖拉斯法,法院也同時明確表示,一般而言自由軟體無須擔心會違反反托拉斯法。   本案上訴人 Daniel Wallace 係程式設計師,其欲販售由 BSD ( Berkeley Software Distribution )所開發出來的競爭軟體給各級學校。 BSD 是 Linux 的衍生版本,而 Linux 作業系統則是屬於自由軟體的一種,想要使用 Linux 的人就必須遵守 GPL 授權條款。依 GPL 授權條款規定,不論 Linux 或 Linux 之衍生著作均不得收取授權費用,上訴人因此指控 IBM 、 Red Hat 、 Novell 與自由軟體協會涉嫌共謀將軟體價格設定在零,涉嫌以掠奪性定價( predatory pricing claim )方式削減作業系統市場之競爭,已違反反托拉斯法。   法院認為,本案並無法主張掠奪性定價,蓋被上訴人 IBM 、 Red Hat 及 Novell 並無法因此而取得獨佔價格,其授權價格之所以為零乃是遵照 GPL 授權條款的結果,且消費者並未因此受到損害。其次,法院也指出,著作權法通常對他人之改作權加以限制,其目的是為了收取授權金,不過著作權法人亦可用以確保自由軟體維持零授權金,因此任何嘗試想要販售自由軟體之衍生著作者,將會違反著作權法,即令改作人不同意接受 GPL 授權條款的約束。

歐盟理事會修正《第428/2009號歐盟理事會規章》,提升歐洲軍民兩用出口管制力度

  歐盟理事會與歐洲議會於2020年12月14日,針對歐洲軍民兩用出口管制法規《第428/2009號歐盟理事會規章》(COUNCIL REGULATION (EC) No 428/2009)達成修正協議,並獲得歐盟理事會下設常駐代表委員會(Committee of Permanent Representatives, COREPER)認可後正式通過。《規章428/2009》用以規範歐盟軍民兩用出口管制,監管歐盟涉及「軍民兩用」敏感貨品、服務、軟體和技術的對外出口、內部轉口及過境貿易。因兩用貨品包含軍事用途及商用用途,故此次歐盟調整軍民兩用出口管制的相關規則,主要考量面向包括:英國脫歐對歐洲出口管制的影響;如何確保歐盟出口管制條例與國際反武器擴散制度相一致;以及解決網路監管和新興技術帶來的安全威脅等。本次歐洲軍民兩用出口管制修正重點如下: 提升出口管制力度,防止濫用網路監管等新興技術:管制項目具備監視、取得、蒐集或分析資通訊系統資料功能者,因涉及國家內部鎮壓或嚴重違反國際人權和國際人道法(International Humanitarian Law),即使未明列在歐盟軍民兩用法規的附件中,也應加強管制。 新增兩項歐盟一般出口許可證(EU General Export Authorisations, EU GEAs):包括集團內部技術轉讓(EU007)及加密(EU008),允許軍民兩用貨品出口至特定目的地。 統一歐盟軍民兩用貨品規則:例如技術協助屬於特定軍事用途且與軍民兩用相關者須經授權,歐盟成員國得配合擴張軍民兩用貨品清單。 強化企業調查和報告義務,遵守並適用出口管制規則:實施出口及授權作業的出口商,應落實內部合規計劃,確保企業遵守出口管制的政策和程序。 歐盟成員國間加強合作機制:促進資訊交流、政策調整和執法行動。

日本《人工智慧技術研究開發及應用促進法》簡介

日本《人工智慧技術研究開發及應用促進法》簡介 資訊工業策進會科技法律研究所 2025年06月25日 為全面性且有計畫地推動人工智慧(以下簡稱AI)相關技術之研發及應用,同時為改善國民生活和促進國家經濟健康發展做出貢獻,日本內閣於2025年2月28日提出《人工智慧技術研究開發及應用促進法》(以下簡稱本法)草案。 [1] 本法進一步於同年5月28日經參議院表決通過[2] ,通過之條文內容與2月28日提出之草案並無二致,惟5月27日內閣委員會另外通過20點附帶決議[3] ,其中涵蓋共多具體措施。本法於6月4日公布施行[4] ,以下將介紹本次日本《人工智慧技術研究開發及應用促進法》及附帶決議內容。 壹、立法緣由 近年AI技術及應用蓬勃發展,然而日本卻深感國內對AI發展不如其他主要國家,依據科學技術創新推進事務局(科学技術・イノベーション推進事務局,以下簡稱科技事務局)釋出之立法概要,本次立法主要有兩大理由 [5]: 一、國內AI技術開發、應用起步緩慢 科技事務局引用史丹佛大學於2024年所發布之《AI指數報告》(AI Index Report 2024),該份報告彙整2023年各國對於AI相關產業之民間投資額,如下圖所示。從此圖可知,作為世界主要經濟體的日本,對於AI的民間投資於2023年竟僅有6.8億美元,遠遠不及美國的670.22億美元、中國77.6億美元及英國37.8億美元。[6] 圖一、各國對於AI相關產業民間投資額統計 資料來源:STANFORD INSTITUTE FOR HUMAN-CENTERED AI [HAI], Artificial Intelligence Index Report (2024). 此外,根據日本總務省於2024年所發布之調查結果,如下圖所示,日本僅有9.1%的國民有使用過生成式AI之經驗,相較於中國的56.3%、美國的46.3%、英國的39.8%及德國的34.6%,仍有相當程度之落後。 [7] 圖二、各國國民使用過生成式AI之經驗調查 資料來源:総務省,令和6年版情報通信白書 不僅國民的AI使用率低,日本總務省亦針對企業將AI運用於其業務進行調查,如下圖所示,目前有在使用AI之企業僅有46.8%(包含已取得具體成效及尚未取得成效),其餘53.2%之企業則正在測試階段、正在商議導入或至今仍未討論導入。對比中國的95.1%、德國的80.6%及美國的78.7%,雖不如國民使用率落後,但仍有不少進步空間。[8] 圖三、各國企業業務中AI運用情形調查 資料來源:総務省,令和6年版情報通信白書 二、多數國民對於AI仍感到不安 科技事務局引用KPMG於2023年所發布的《全球AI信任研究報告》(Trust in AI: A Global Study 2023),僅有13%的日本國民認為現行法規已足以確保AI可被安全使用,亦低於中國的74%、德國的39%及美國的30%。此調查結果亦如實反映出有77%的日本國民迫切希望國內能針對AI訂定相關規範。[9] 除上述兩項主要理由外,考量日本有需要進一步促進創新發展、積極應對AI產生之風險,因此科技事務局決定訂立新的AI法規。 貳、立法重點 《人工智慧技術研究開發及應用促進法》總計28條,共分為四個章節,包含第一章總則(第1條至第10條)、第二章基本政策實施(第11條至第17條)、第三章人工智慧基本計畫(第18條)及第四章人工智慧戰略本部(第19條至第28條)。考量依法規條文及章節順序不易說明,以下將以科技事務局所提供之立法概要之脈絡進行說明。 一、目的 第1條即說明本法旨在全面且有計畫地制定AI相關政策,推動AI技術之研發與應用,以改善國民生活並為國民經濟發展做出貢獻。 二、基本理念 第3條亦規定AI技術之研發與應用應以提升AI產業之國際競爭力為目標,希冀藉由AI技術創造高效率新業務,並得以應用於國民日常生活與經濟活動之各階段,另考量AI技術若經不當使用,將有助漲犯罪行為或洩漏個資等風險發生之可能性,故應確保AI技術之正確使用。最後,同條亦規定日本應在AI技術之研發與應用上進行國際合作,並努力在國際合作中取得主導地位。 三、AI戰略本部 本法第四章皆為設立AI戰略本部相關之條文,第19條、第20條及第25條第2項規定AI戰略本部應由內閣所設立,其職責有以下兩項: (一)研擬AI基本計畫草案,並推動相關事宜。 (二)促進AI相關技術研發及應用相關重要政策之規劃、提案及統籌協調等事宜。 (三)除本法規定的事項外,總部相關必要事項由政令規定。 為使AI戰略本部可順利履行上述職責,第25條賦予AI戰略本部認為有必要時,得向行政機關、地方公共團體、獨立行政機構、地方獨立行政機構的首長以及公共機關的代表,要求提供資料、發表意見、進行說明及提供其他必要協助。 第21條至第28條則為與本部組成相關之規定,其規定AI戰略本部組成成員包含以下三個職位: (一)部長:由總理擔任,掌管總部事務,並領導監督總部工作人員。 (二)次長:由官房長官及AI戰略大臣(由總理任命)擔任,負責協助部長履行職責。 (三)由除部長、次長以外的所有國務大臣組成。 四、AI基本計畫 如上所述,AI戰略本部重要職責之一,即研擬AI基本計畫草案。依第18條規定,總理應將AI戰略本部所研擬之AI基本計畫草案,提請內閣決定是否同意草案內容,待內閣作成決定後,總理應立即公布AI基本計畫。 同條亦明定AI戰略本部應以前述第二節的基本理念及以下第五節的基本政策實施之相關規定為基礎,研擬AI基本計畫草案,其應涵蓋之事項包含: (一)AI技術研發及應用政策實施的基本方針。 (二)為促進AI技術研發及應用,政府應全面性且有計畫地實施政策。 (三)政府為能全面性且有計畫地實施政策所採取的必要措施。 五、基本政策實施 第二章所涵蓋之第11條至第17條則規定政府應執行之基本政策實施事項,包含: (一)促進AI技術研發 依第11條規定,國家應採取措施促進AI技術研發,使AI技術可順利從基礎研究階段進展至實際應用階段,並在研發機構間建立研發成果得以互相流通之制度,同時提供研發成果資訊。 (二)提升基礎設施建置與使用 依第12條規定,國家應採取措施建置AI基礎設施,包含AI技術研發及應用所需之大規模資料處理、資通訊、電磁紀錄儲存等設備及為特定目的所收集之資料集等,並使AI基礎設施得以廣泛供研發機構或企業所使用。 (三)確保符合國際規範 依第13條規定,國家應根據國際規範制定基本方針並採取其他必要措施,以確保AI技術之研發及應用得以適當之方式進行。 (四)確保人力資源 依第14條規定,國家應與地方政府、研發機構和企業緊密合作,並採取必要措施,以確保、培訓和提升各領域人才的專業素質,使其具備AI技術從基礎研究至實際應用於民眾生活或經濟活動之各階段所需之專業知識,並提升其專業知識之廣度及深度。 (五)提升教育 依第15條規定,國家應提升與AI技術相關之教育與學習、辦理推廣活動或採取其他必要措施,以增進大眾對AI技術之認知與興趣。 (六)研究調查 依第16條規定,國家應掌握國內外AI技術研發及應用之最新趨勢,並進行有助於AI技術研發及應用發展之研究與調查,包含分析因不正當目的或不適當方法研發應用所導致國民受侵害之案例,及針對不正當使用之因應對策。 同時,國家亦應根據此類研究調查成果,向研發機構、企業和其他人員提供指導、建議和最新資訊,並採取其他必要措施。 (七)國際合作 依第17條規定,國家應進行AI技術研發及應用之國際合作,積極參與國際規範之制定過程。 六、職責 第4條至第8條分別規定國家、地方政府、研發機構、企業與國民應各司其職,其職責分述如下: (一)國家 依第4條規定,國家應依前述第二節的基本理念,制定並實施促進AI技術研發及應用之基本政策實施相關之計畫。此外,國家應在行政機關間積極應用AI技術,以提升行政效率。 (二)地方政府 依第5條規定,地方政府應依前述第二節的基本理念,在與國家進行適當分工後,結合各地方特色,制定並實施自主政策,以促進AI技術之研發及應用。 (三)研發機構 依第6條規定,大學及研發機構應依前述第二節的基本理念,積極進行AI技術之研發,推廣其成果,培育具有專業性和廣泛知識之人才,並協助國家與地方政府之政策實施,而國家與地方政府則應促進大學研究活動,尊重研究人員自主權及將各大學之特色納入考量。 此外,研發機構應進行跨領域或綜合性研發,同時為有效推動AI技術研發,應綜合考量人文科學及自然科學等領域之專業知識。 (四)企業 依第7條規定,任何企業有意開發或提供使用AI技術之產品或服務,或任何其他有意在其業務活動中使用AI技術,應依前述第二節的基本理念,提升其業務之效率和品質。 此外,上述企業應透過積極使用AI技術創造新興產業,並須配合執行國家依第4條所定之措施及地方政府依第5條所定之措施。 (五)國民 國民應依前述第二節的基本理念,加深對AI技術之認知與興趣,並盡可能配合執行國家依第4條所定之措施及地方政府依第5條所定之措施。 七、附帶決議 本次立法過程除條文本身外,5月27日內閣委員會亦通過20點附帶決議,針對政府實施本法時應採取之適當措施進行補充說明,以下摘錄重點說明 :[10] (一)政府應以「以人為本之AI社會原則」為基礎,進行AI技術研發及應用。 (二)政府制定AI基本計畫和基本方針,或執行政策措施時,應將風險降至最低,並考量推廣AI之益處。 (三)企業和國民應充分了解AI應用之注意事項及規避風險之措施,並透過教育使國民了解AI合理使用方法及其風險。 (四)政府針對AI應用導致之失業或貧富差距擴大採取必要措施。 (五)政府應透過法規打擊AI技術之濫用,特別是利用兒童圖像產生之深偽色情內容,並加強對網站管理員刪除違法內容之監管,保護受害者。 (六)政府和民間機構將合作開發以日語為基礎之大型語言模型。 (七)政府應消除新創企業等新進者之壁壘,創造公平開放之市場環境。 (八)政府應將AI定位為國家戰略重要領域。 (九)政府應考慮電力供需,策略性地建設資料中心。 (十)政府應以跨學科之觀點強化對AI人才之培養,並確保足夠有投資。 (十一)政府應積極營造有利於國家、地方政府、企業應用AI之環境,並避免因營運效率提升而出現裁員情形。 (十二)政府應執行降低AI風險之措施,並進行公私合作以確保安全。 (十三)政府於進行調查和指導時,應避免施加過重之負擔或要求過多資訊揭露,同時考慮保護企業之商業機密等智慧財產權。 (十四)政府於國民權益受害之個案進行調查和指導時,應即時自企業或服務使用者和人工取得資訊,以便迅速發現個案並因應。 (十五)針對依《廣島人工智慧進程國際行為準則》負有報告義務之企業,政府應最大限度地減少其與現行國內法規之報告義務之重複。 (十六)政府應不斷修訂本法及其他相關計畫與方針,以確保AI應用能促進國民生活改善和國民經濟發展,並及時應對新風險。 (十七)AI戰略總部之組織架構,應消除各部會、機構垂直分工造成之弊端,並積極自民間招募人才。 (十八)政府應儘早成立由AI倫理、法律和社會議題等領域專家組成的智庫機構。 (十九)如出現現行法規難以因應之新風險,政府應考慮導入風險導向之概念,依風險等級而採取不同監管措施。 (二十)因應AI應用產生之智慧財產權相關侵權行為,政府應參考其他國家之情形,探討因應措施。 參、總結 日本緊接著韓國之後,成為亞洲第二個在法律層級通過AI法規的國家,惟相較歐盟或韓國通過的AI法,日本在法律條文的訂定上,主要是針對政府與各界之職責進行規範,而缺乏對於AI技術開發或應用風險之監管。儘管附帶決議中較多具體內容,仍須待AI基本計畫訂定後,日本對於AI技術開發或應用之監管模式才會有較清晰之雛形。 考量到日本尚有通過20點附帶決議,日後仍可關注AI戰略本部如何依據AI法及附帶決議擬定AI基本計畫,未來或可成為我國人工智慧法制政策規劃之參考依據。 [1]人工知能関連技術の研究開発及び活用の推進に関する法律案(第217回閣法第29号)。 [2]〈議案情報:人工知能関連技術の研究開発及び活用の推進に関する法律案〉,参議院,https://www.sangiin.go.jp/japanese/joho1/kousei/gian/217/meisai/m217080217029.htm(最後瀏覽日:2025年6月11日)。 [3]参議院,〈人工知能関連技術の研究開発及び活用の推進に関する法律案に対する附帯決議〉,https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/current/f063_052701.pdf(最後瀏覽日:2025年6月11日)。 [4]人工知能関連技術の研究開発及び活用の推進に関する法律法律(令和7年法律第53号)。 [5]內閣府,〈人工知能関連技術の研究開発及び活用の推進に関する法律案(AI法案)概要〉,https://www.cao.go.jp/houan/pdf/217/217gaiyou_2.pdf(最後瀏覽日:2025年6月11日)。 [6]STANFORD INSTITUTE FOR HUMAN-CENTERED AI [HAI], Artificial Intelligence Index Report (2024), https://hai.stanford.edu/assets/files/hai_ai-index-report-2024-smaller2.pdf (last visited June 11, 2025) [7]総務省,〈令和6年版情報通信白書〉,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1510000.pdf(最後瀏覽日:2025年6月11日)。 [8]総務省,〈令和6年版情報通信白書〉,https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r06/pdf/n1510000.pdf(最後瀏覽日:2025年6月11日)。 [9]KPMG, Trust Inartificial Intelligence: Country Insights on Shifting Public Perceptions of AI (2023), https://assets.kpmg.com/content/dam/kpmgsites/xx/pdf/2023/09/trust-in-ai-country-insight.pdf.coredownload.inline.pdf (last visited June 11, 2025). [10]参議院,〈人工知能関連技術の研究開発及び活用の推進に関する法律案に対する附帯決議〉,https://www.sangiin.go.jp/japanese/gianjoho/ketsugi/current/f063_052701.pdf(最後瀏覽日:2025年6月11日)。

美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效

隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面: 一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且: 1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務: 1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。 2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。 3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。

TOP