華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
歐洲委員會在2008.4.7做出2008/295/EC決議,表示近期將開放執照,讓在泛歐盟國家飛行的航機提供行動電話撥打服務(Mobile Communication Aircraft Service, MCA Service);一但經過測試後,一些航班與行動通訊提供者計劃於年中以後提供相關服務。 目前歐洲委員會在2008.4.10做出2008/294/EC決議,決議內容主要為協調各系統間的支援設備相容性,以讓在飛機上撥打行動電話的政策能夠順利推行。除此之外,泛歐盟國家所自行制定的行動通訊規定,必須與該委員會的決議相符,以減低技術問題,讓乘客在飛機上可以使用自己的行動電話撥打電話、傳送文字訊息與收發e-mail。 依據歐盟委員會所制定的2008/295/EC決議,當飛機旅客使用航機行動通訊時,其所持有的行動電話設備,將先連接到所搭飛機上裝載的蜂巢網路,進而連結到衛星,再將訊號傳送到地面網路。這樣的傳輸方式將可減少飛航安全疑慮,同時能降低對地面通訊網路使用的干擾。 另外,歐盟資訊社會與媒體的委員Viviane Reding指出,此項新開放的業務雖然沒有就價格上限進行規定,但是主管機關會密切觀察市場運作的結果,並且要求收費透明公開化。
德國聯邦內政部對歐盟部長會議「資料保護基本規則」(Datenschutz-Grundverordnung)發表意見書,並提出修法建議德國聯邦內政部資料保護與資訊自由委員會於2015年8月15日針對歐盟部長會議於6月15日所確立對歐盟資料保護基本規則(Datenschutz-Grundverordnung)的基本立場,若依該立場則(1)資料處理目的之變更理由將變得更寬泛(2)對資訊保有機構所提出的申請程序以有償為原則(3)蒐集個人資料應遵循之規範過於簡略等,該委員會提出批評與建議。 該委員會會議認為有必要改進歐盟「資料保護基本規則」,令其更周延,更呼籲對資料保護基本規則的修正,應循以下重點及原則進行: 1.資訊節約原則應該堅持 多年來在德國法已確立的資訊節約原則(Datensparsamkeit)和資訊避免原則(Datenvermeidung),應予維持。因此資料保護基本規則中,須清楚詳盡地規定節約原則和資訊避免原則。 2.目的明確性原則的要求不能退縮 目的明確性原則(der Grundsatz der Zweckbindung)之功能,係為資料處理之透明性和可預見性,該原則亦強化了當事人的資訊自主權,使其得以信賴個人資料之處理,僅限於所申請之目的內進行。 故若依理事會建議之規範,使資料處理目的之變更,得以更寬泛的理由進行,將背棄歐盟基本權利憲章中之目的明確性原則。 3.即令個人同意書亦不得拋棄資訊主權 資訊自決權,意謂原則上個人可以用同意的方式,決定個人資訊的使用和拋棄。但即使有清楚明確的意思表示,該同意亦僅係保障資訊主權的重要因素之一。另就同意書而言,若如歐盟部長理事會所建議者,只需清楚明確即可,則這種方式於保護上是不夠充分的。 4.個人資料建檔必須有效地限制 該會議重申,嚴格規範對個人資料的蒐集有其必要性。為個人檔案之整合與充分使用設置嚴格的界限,現有規定太過簡略而遭到批評。 5.有效的資訊保護需要歐盟層級的企業與官署的資料保護專員 對於資訊保護監督的有效性,在德國已確立之官方與私人企業的資訊保護專員制度係重要之一環。應致力於歐盟層級公/私機構資訊保護專員制度在整個歐洲的推動。 6. 資訊傳輸第三國官署和法院需要更嚴格的監督 近期的隱私醜聞之後,目前亟需對歐洲公民個人資料給予更妥善的保護,以對抗來自第三國的機構。此意見書贊同歐盟議會的建議,即以第三國法院的判決和行政機關的決議,要求對個人資訊的披露,在歐盟之中僅能基於國際公約中機關互助和法律協助之規定,原則上予以承認與執行。
日本國土交通省等統整了無人飛行載具目視外飛行時的要件為了實現在2018年將無人飛行載具(drone)運用於離島或山區的貨物配送之目標,日本國土交通省及產業經濟省自2017年9月起舉行了6次「關於無人飛行載具的目視外與越過第三人上空之飛行檢討會」,並於2018年3月29日發表了其所統整出無人載具進行無輔助者目視外飛行之相關要件。 依據現行航空法第132條之2、國土交通省頒布的「無人航空機飛行手冊」第3點、以及該發表的內容所示,無人載具的目視外飛行除須就機體、操縱技術與安全對策的面向具備相關要件,尚要求在操縱者之外,應配置輔助者,在飛行時監視飛行與氣象狀況,同時管制飛行路線正下方及其周邊的第三人出入,並綜整判斷上述資訊,適時給予操縱者安全飛行所必要的建議。 基此,該發表指出,考量到以現行的技術而言,地上設備與機上裝置仍難以完全取代輔助者所扮演的角色,故就無輔助者的情形,除在現行飛行基準上,附加:1. 飛行路線須選在第三人存在可能性低、且有人機不會飛行的場所與高度;2. 機體須具備預想中用途的相當飛航實績;3. 事前履勘飛行路線與擬定意外發生時的對策等條件外,又增設新的個別要件如下: (1)就第三人的出入管理,設置能遠距離監視的攝影機,並在管制區域設置看板或海報等,以警示附近居民; (2)對機體施以增加辨識度的塗裝,裝設可供遠距離監視有無有人機接近的攝影機、或將飛行計畫事前提供給有人機營運者; (3)隨時掌握自機狀況,擬定在異常情形發生時降落的適切對策; (4)在飛行路線或機體裝設氣象計以監測氣象狀態,令其得以在判明天候狀況超出機體所能負荷限度的當下即時降落。 預期該發表內容將會成為日本「面向空中產業革命之行程表」中,關於目視外飛行審查要點修訂項目的重要參考基準。
新加坡智財融資計畫介紹新加坡智財融資計畫介紹 科技法律研究所 法律研究員 羅育如 2014年12月23日 壹、前言 新加坡政府於2013年3月份提出IP (Intellectual Property) Hub Master Plan 10年期計畫[1],目標是成為亞洲智慧產權匯流中心。本文針對其中的智財融資計畫(IP Financing Scheme;IPFS)進行觀察,目的在於了解新加坡政府如何運用政府資源,協助建構智財交易市場。 貳、重點說明 新加坡政府2014年4月18日公布總值為1億新元(約24億新台幣)的智財權融資計畫,以協助新加坡本地的企業通過所持有的智財權獲得銀行的融資。 根據這項計畫,新加坡智財局將委託新加坡三家智財鑑價機構,為那些擁有智財權的企業進行鑑價,而相關企業則可以智財權為抵押,向參與本計畫的三家當地銀行—星展銀行(DBS Bank Ltd)、華僑銀行(Oversea-Chinese Banking Corporation (OCBC) Ltd)和大華銀行(United Overseas Bank (UOB) Ltd)申請企業貸款,用以擴展企業業務。 而新加坡智財局將依據不同企業貸款的申請情況,以計畫經費承擔部分違約風險,對於企業的智財資產融資負擔連帶責任(the Government partially underwrites the value of IP used as collateral)。須強調的是,該項計畫的申請資格需符合兩個標準:1.必須是新加坡企業;2.擔保品必須包含已獲證的專利。其餘具體推動作法,介紹如下: 一、申請流程 智財權融資計畫的申請流程分為三個步驟[2],首先必須向任選三家融資銀行的其中一家提出初步評估申請。接著則從三家合格之專門鑑價服務公司中,挑選適合的IP鑑價師,針對要作為擔保品的已獲證專利,進行價值評估。最後,該申請企業再將專業鑑價報告以及融資申請書,提交給融資銀行作審查。 二、合格之專業鑑價機構 如欲成為融資銀行可接受之合格智財權鑑價服務公司,必須通過新加坡智財局的評選機制,參加評選的公司必須符合以下四個條件: 1.在專利鑑價領域至少五年經驗。 2.過去曾替營業額500萬新元(約一億兩千萬台幣)的企業進行過智財鑑價。 3.曾經評鑑過至少100萬新元(約2400萬台幣)智財價值的案件。 4.每年的營業額最少為100萬新元(約2400萬台幣)。 目前通過評選之合格鑑價服務公司包括American Appraisal Singapore Pte Ltd(地點在新加坡)、Consor Intellectual Asset Management(地點在美國)以及Deloitte & Touche Financial Advisory Services Pte Ltd(地點在新加坡)。換言之,除上述三家公司外,融資銀行將不接受其他公司提供之智財權鑑價報告。 三、智財鑑價費用補助 新加坡智財局會補助欲申請智財權融資計畫之企業智財鑑價費用,但前提條件是,申請企業必須獲得通過融資審查,並提取100%獲准貸款之後,政府才會補助智財鑑價費用,而補助費用計算方式有三種選擇,政府從中選擇較低金額作為補助費用,包括: 1.50%智財鑑價費用。 2.該項智財價值2%。 3.新幣2.5萬(約60萬台幣)。 參、事件評析 一般而言,銀行不接受智財資產作為企業融資的擔保品,因為智財資產無明確的交易以及流通市場,當企業無法依約償還貸款時,銀行無法買賣智財擔保品,取回資金。 為了解決這個根本性的問題,新加坡政府透過智財融資計畫,直接提供資金挹注,協助銀行承擔智財融資風險,使企業可透過智財資產實質的取得資金,一方面讓企業更加願意投注智財相關費用,因為智財產出除了可用於內部製造與創新之外,還可以成為融資擔保品,協助企業取得資金。另一方面則可活絡智財交易市場,因為雖然政府承擔部份銀行風險,但智財交易市場還是會因為有需求而慢慢浮現。 [1] IP STEERING COMMITTEE, Intellectual Property (IP) Hub Master Plan─Developing Singapore as a Global IP Hub in Asia (2013) http://www.ipos.gov.sg/Portals/0/Press%20Release/IP%20HUB%20MASTER%20PLAN%20REPORT%202%20APR%202013.pdf(最後瀏覽日2014/10/15) [2] Intellectual Property Financing Scheme, ipos.gov, http://www.ipos.gov.sg/IPforYou/IPforBusinesses/IPFinancingScheme.aspx(last visited Oct. 15, 2014).