華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
根據歐盟GMO食品上市規則,唯有通過歐盟EFSA的安全評估並經歐盟審查通過發給上市許可的GMO,始得於歐盟境內流通上市。 過去兩年,歐盟陸續發現其自中國進口的米類產品,被未經許可的基改稻米Bt 63污染,對歐盟的食品安全產生重大疑慮,因而引起歐盟官方及消費大眾的高度關注。為此,中國主管當局雖已請求歐盟提供有關此非法GMO之基因構成(genetic constructs)的詳細資訊,並針對歐盟會員國通報至Rapid Alert System for Food and Feed(RASFF)的案件,開始進行調查並暫時禁止相關業者出口米製品,不過中國迄今未能依歐盟要求,提供其在實施出口管理時的控制樣品,以及其所使用的檢測方法與歐盟所要求者,具有相同品質之證明。 因此,歐盟已在今(2008)年2月通過一項緊急措施的決定,要求自4月15日起,進口至歐盟的中國米類產品應檢附非基改證明(GMO-free certification),且此非基改證明應由歐盟官方所設立或認可之實驗室,使用特定的GMO檢測技術檢測後,檢測結果發現未含有GMO成分時,始能核發非基改證明。 雖然歐盟並非我國農產品的主要外銷國家,但歐盟此項緊急措施仍值得我國注意,蓋我國當前GMO的進出口管理法制與先進各國尚有所落差,而我國最主要的農產品出口國—日本,其GMO管理法律中亦有授權主管機關對進口產品實施生物檢查(即是否含有GMO的檢測)的規定,倘若我國在發展GMO時,未能妥善落實GMO的管理,不無可能對非基改產品造成重大衝擊,當前歐盟要求中國出口的米類產品應檢附非基改證明,即是一例。
新近奈米科技智財法制之發展趨勢 「你在哪裡? 我正在看著你!! 談行動定位服務與隱私權保護」 美國FDA公布醫療器材上市前審查指令510(k)美國食品藥物管理局(The Food and Drug Administration,簡稱FDA)於今年(2014)7月更新並公布了醫療器材上市前審查(premarket notification)的指令(guidance)(該指令名稱為510(k) Program: Evaluating Substantial Equivalence in Premarket Notification,以下簡稱510(k)),針對醫療器材業者將其生產製造的醫療儀器申請上市的過程做了新的調整及規範。此指令主要是讓業界及FDA人員了解FDA在評估醫療器材申請過程中所評估的因素及要點,並藉由FDA在審查醫療器材的實務規範及審查標準來當作標準並訂定510(k)修正,以提高510(k)評估的可預測性、一致性及透明度,讓業界有一定的遵循標準。雖然FDA的指令文件並不受法律強制規範,但可供醫材藥廠清楚FDA所重視的審查程序及內容。 510(k)審查的內容主要規範於美國藥物食品化妝品管理法第513(i)條,其重點規範包括定義FDA評估實質上相同的標準:實質上相同指新醫材在技術上特點(technological characteristics)與比對性醫材相同;若該新醫材的技術特點在材料設計等和比對性醫材不盡相同,其需證明該儀器的資訊包括臨床試驗或是實驗數據等,與比對性醫材的安全及有效性性質並無歧異。以下為FDA在進行510(k)審查過程中,主要的評估內容: 1.說明欲申請上市新醫材在技術上的特點。 2.比較新醫材及比對性醫材在器材技術上特點的異同。欲申請510(k)的製造商需比較新醫材及已上市的醫材在功能上的異同。 3.決定技術特點的差異是否會影響新醫材的安全及有效性。