華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
垂直場域應用之5G頻譜政策趨勢 資訊工業策進會科技法律研究所 2019年07月25日 壹、事件摘要 在科技的進展下,各國為提升民眾與企業之連網品質,皆刻正積極的推動5G網路相關應用,國際標準化機構第三代合作夥伴計畫(3rd Generation Partnership Project, 3GPP)更提出了三個5G應用場景,分別是更大頻寬(Enhanced Mobile Broadband, eMBB)、海量連結(Massive Machine Type Communications, mMTC),以及超低時延(Ultra-reliable and Low Latency Communications, URLLC)[1]。而相對於4G時代如雨後春筍般冒出的影音串流平台,係以「人」為主要消費客群,5G時代則擴大至「萬物」[2],其中,製造業因可能透過無線技術來重新配置產品線或研發新興產品,而在5G世代產生巨大變化[3]。也由於製造業廠區對無線接取設施之渴求,製造業者開始思索自行控制網路基礎設施之必要性,垂直場域應用之概念應運而生。 垂直場域應用又被稱為企業專網(private network),係指為了特定用途,企業或組織自行付費建置限定區域內之行動網路基礎設施,且該網路僅特定用戶得以使用。企業之所以願投入龐大成本自行建置網路基礎設施,是因垂直場域應用所具備的網路涵蓋密集、網路延遲低、網路容量大、網路安全高,以及得以自主控管網路之5大特性[4]。此外,企業還可完全掌握何人可接取至其專網,哪些行動應優先考量,以及如何完善利用網路資源等[5]。然無線網路的接取也意味著頻譜的使用,但頻譜是有限稀有的資源,為提高頻譜之使用效率與社會價值,如何妥善配置頻段,促進國內製造業之發展,已是政府不容忽視之議題。 貳、重點說明 為了鼓勵企業自行建置網路,部分國家透過保留特定頻段之頻譜政策規劃,再由有需求之業者申請取得,以鼓勵垂直場域應用之發展,並保障區域性業者、中小企業與新創企業取得頻譜之權利,以防止頻譜僅被全國性電信營運商取得。然而,這樣的政策面臨兩方面的重大挑戰,第一,電信業者擔憂企業自建網路可能會壓縮其取得頻譜的數量,是以對政府保留專網頻段表示反對;再來,大部分的企業缺乏自行營運電信網路之經驗[6]。僅管如此,在頻譜政策的規劃上,大致上仍可區分為兩種政策模式,即規劃保留單一完整頻段,或與其他既有服務共用頻譜,本文以下即分別以保留完整頻段的德國,以及與既有服務共享頻段的日本為例,說明其政策概要,並進一步探討我國是否亦有規劃垂直場域頻段之必要性,相關困難又應如何克服。 一、保留專用頻段(德國) 德國作為工業4.0(Industry 4.0)之發起國,為進一步推動智慧工廠與智慧製造,聯邦網路局(Bundesnetzagentur, BNetzA)在規劃5G頻譜時,除了透過競標釋出5G最關鍵的中頻段3.4-3.7 GHz供全國性電信服務使用,特別保留3.7-3.8 GHz頻段共100 MHz頻寬供企業專網使用。且由於數以萬計的中小企業是構成德國經濟的重要支柱,惟中小企業難以擁有龐大資本與電信業者共同競標頻譜,是以,為降低該等企業取得頻率之成本,並提升中小型企業與新創企業對頻譜之需求,BNetzA方保留特定頻段,並採申請制之方式配置[7]。 BNetzA在決議釋出3.7-3.8 GHz頻段供垂直場域應用使用前,於2018年8月15日至9月28日發布公眾諮詢文件,並在收到69份意見回覆,其中包含全球行動供應商協會(Global Mobile Suppliers Association, GSA)、大型製造業者BOSCH與空中巴士對保留特定頻段之正面支持後,在2019年1月31日針對徵詢意見發布框架草案,並預計在5G頻譜拍賣結束後開始接受申請。 BNetzA將3.7-3.8 GHz頻段分為三種用途,使業者可根據自身需求提出申請,分別是當地室內應用無線網路(3.7-3.8 GHz)、當地室外應用無線網路(3.78-3.8 GHz),與區域性應用無線網路(3.7-3.78 GHz)。此外更對申請人附加二項限制,第一,須為該地區或建物之不動產所有權人或承租人;第二,不得為700-3600 MHz頻段之全國頻譜使用權者,換言之,BNetzA排除了既有電信業者申請取得該頻段之權利,以保障中小型企業與新創業者自行建置垂直場域應用之空間。但對於3.7-3.8 GHz範圍內的未使用頻譜,BNetzA允許電信業者為擴充網路容量,暫時性的使用該頻段,亦即在特定情況下,容許電信業者與中小企業共享頻譜,以促進頻率的有效利用。 二、與既有服務共享頻段(日本) 日本總務省(Ministry of Affairs and Communications, MIC)在規劃5G頻譜時,為鼓勵垂直場域應用之建置,考量保留企業專網頻段,並在2018年12月組成「Local 5G檢討作業班」(ローカル5G検討作業班),定期舉行會議共同討論如何推動企業或地方政府自行建置專網[8]。與德國相同,日本亦是透過申請制配置專網頻段,並僅限建物或土地所有權人自行利用或委託他人利用,全國性營運商不得使用垂直場域應用之規劃頻段,以保障中小型企業與地方政府取得完整頻段之權利[9]。 Local 5G檢討作業班研議之項目主要有三,第一,垂直場域應用的名額分配,並明確申請者的使用目的;第二,垂直場域應用技術條件的訂定,同時檢討頻率共享的可能性;第三,參考寬頻無線接取(Broadband Wireless Access, BWA)之導入經驗,規劃區域型與自用型,避免頻率互相干擾[10]。 頻譜方面,MIC研擬在中頻段4.6-4.8 GHz與毫米波28.2-29.1 GHz頻段保留總共1100 MHz頻寬,供當地業者與地方政府使用。相對於德國是保留一段乾淨的頻譜供垂直場域應用使用,日本則是規劃使垂直場域應用與既有服務共享頻段,4.6-4.8 GHz頻段需與政府專用電信共用,28.2-29.1 GHz頻段則與衛星業務共用,以極大化頻譜的利用效率。惟為避免干擾,MIC並正針對28.2-28.3 GHz頻段進行干擾測試,最快會在2019年8月作出是否釋出之決議,若未能通過干擾測試,該100 MHz頻寬將會作為護衛頻段(guard band),避免兩個相鄰的服務互相干擾。4.6-4.8 GHz與28.3-29.1 GHz頻段則會在與既有服務進行和諧共用測試後,至2020年5月過後方會釋出。 參、事件評析 一、我國垂直場域應用之頻段規劃必要性 有鑑於5G網路所需頻段較4G為高,通訊距離與訊號穿透性皆會受到影響,再加上為了確保傳輸速率並降低時延,需大量建置基地台,網路佈署成本將大幅度增加[11]。因此,5G網路布建初期將著重在六都等主要都會區,並逐步對外擴散。大多數製造業基於廠區地理範圍以及投入成本等問題,更將服務據點設在商用效益不佳、5G網路建置進度延後之地區。基此,政府若未為企業專網規劃特定頻段,可能導致企業使用免授權頻段而發生干擾之情形,更可能會抑制我國相關供應鏈掌握新市場商機之可能性。 針對頻段之保留,基於中頻段(3.5 GHz)為5G的關鍵頻段,毫米波(mmWave)則是推動5G網路達到峰值速度不可或缺的要素,是以我國似可參考德國與日本垂直場域應用之相關政策,由政府規劃在中頻段或高頻段保留部分頻寬,或是與現有服務進行頻譜共用,期在專網產業的興起下帶動整體網路設備業者的發展。 按電信業者因擔憂垂直場域業者可能會在取得頻譜後,將其用於提供公眾電信服務,而成為電信業者的水平競爭者,此方面可透過相關法規之限制避免類似情況發生。另一方面,電信業者也可適時提供援助,藉由長年網路建置經驗,作為系統整合的角色與垂直場域業者合作,而達到雙贏的局面。惟企業專網對於網路規格、服務品質、資安等皆與公眾電信服務不同,電信業者與企業如何深化合作,仍有待更多的交流與討論。 二、推動我國垂直場域應用之可能頻譜政策 相較已進行5G商轉的其他國家,我國目前尚未釋出頻譜[12],發照速度雖慢於其他國家,惟我國產業仍可透過實驗網路頻譜的申請,研發具高附加價值的企業專網應用,以在智慧製造、智慧醫療,抑或智慧農業等領域搶佔一席之地。但針對企業專網的頻譜需求,由於我國5G頻譜釋照迄今仍以競標拍賣商用頻譜為大方向,在第一波5G釋照時並不會保留「指配頻譜」予企業專網,僅會在「第一類電信事業開放之業務項目、範圍、時程及家數一覽表」中以註記的方式,說明處理企業專網之大方向[13]。 依108年立法院三讀通過之電信管理法第57條規定,主管機關得考量無線電頻率使用特性、國家安全、實驗研發及市場競爭等情形,依職權或依申請核配二以上使用者使用同一無線電頻率。此一條文似可解釋為,在頻譜和諧使用及不干擾之情況下,通訊主管機關國家通訊傳播委員會可核配垂直場域業者與電信業者使用同一頻譜的法源依據。 有論者提出電信管理法通過後,尚可利用第58條頻譜租賃之方式提供企業專網頻譜,該條允許電信事業在取得主管機關核准後,將其獲配頻率之一部提供予他電信事業使用;惟按電信事業僅指利用公眾電信網路提供公眾通信服務之事業,垂直場域業者在屬性上較偏向專用電信,而非該法所稱之「電信事業」,在法規適用上仍有疑慮。此外,即使未來允許電信事業將頻譜出租、出借予垂直場域業者,惟電信業者取得5G頻譜之代價高昂,其衍生之使用成本恐亦非中小型垂直場域業者所能承擔。 肆、結語 各個國家基於不同的制度或產業特性,而對企業專網之規劃各有不同的考量,然共同目的皆係藉由頻譜之規劃刺激中小型企業、新創企業與地方政府自建網路,並透過客製化的領域營運需求,避免工業間諜與駭客攻擊等情事[14]。是以,我國政府亦可參採國際案例,在協調電信業者與垂直場域業者之下,為企業專網保留特定頻譜,以掌握垂直場域應用之發展脈動,並促進新創服務之萌芽,達到提升我國整體國際競爭力之目標。 [1] Keith Mallinson, The Path to 5G: as much evolution as revolution, 3GPP (May. 10, 2016), https://www.3gpp.org/news-events/1774-5g_wiseharbour (last visited June 11, 2019). [2] 総合通信基盤局,〈第5世代移動通信システムの導入のための特定基地局の開設に関する指針案について〉,頁8(2018)。 [3] 陳端武,〈AT&T、高通將智慧製造視為5G商機〉,DigiTimes,2018/03/23,https://digitimes.com.tw/iot/article.asp?cat=158&cat1=20&cat2=10&id=0000527161_V5Y24IJX5ULPGI230CHFJ(最後瀏覽日:2019/6/12)。 [4] 李建勳、蘇奕霖、廖修武,〈全球5G專網市場發展〉,資訊工業策進會產業情報研究所,頁4(2019)。 [5] Tony Ridzyowski, What is a Private 5G Network?, TTI (Dec. 18, 2018), http://www.turn-keytechnologies.com/blog/network-solutions/what-is-a-private-5g-network (last visited June 14, 2019). [6] Id. [7] BNetzA, Entwurf der grundsätzlichen Rahmenbedingungen des zukünftigen Antragsverfahrens für den Bereich 3.700 MHz – 3.800 MHz für Anwendungen des drahtlosen Netzzugangs (Jan. 31, 2019), available at https://www.bundesnetzagentur.de/DE/Sachgebiete/Telekommunikation/Unternehmen_Institutionen/Frequenzen/OeffentlicheNetze/RegionaleNetze/regionalenetze-node.html;jsessionid=1612C0A9E32BF6C018EF03D2F781EF94 (last visited June 12, 2019). [8] 総務省,〈ローカル5G検討作業班〉,http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/joho_tsusin/5th_generation/local_5g/index.html(最後瀏覽日:2019/6/13)。 [9] 新世代モバイル通信システム委員会,〈情報通信審議会 情報通信技術分科会 新世代モバイル通信システム委員会報告概要(案)〉,頁9(2019),http://www.soumu.go.jp/main_content/000624455.pdf(最後瀏覽日:2019/6/13)。 [10] 総務省 総合通信基盤局電波部 移動通信課,〈ローカル5G検討作業班の主な検討内容〉,頁2(2018),http://www.soumu.go.jp/main_content/000589526.pdf(最後瀏覽日:2019/6/13)。 [11] Ferry Grijpink, Alexandre Ménard, Halldor Sigurdsson & Nemanja Vucevic, The road to 5G: The inevitable growth of infrastructure cost, McKinsey & Company (Feb. 2018), https://www.mckinsey.com/industries/telecommunications/our-insights/the-road-to-5g-the-inevitable-growth-of-infrastructure-cost (last visited June 17, 2019). [12] 鄭鴻達、楊文琪,〈5G拚明年一月釋照 四年計畫啟動〉,聯合新聞網,2019/06/14,https://udn.com/news/story/7238/3870814(最後瀏覽日:2019/6/14)。 [13] 林淑惠,〈5G企業專網 首波落空〉,中時電子報,2019/03/04,https://www.chinatimes.com/newspapers/20190304000226-260202?chdtv(最後瀏覽日:2019/6/14)。 [14]經濟日報社論,〈5G企業專網規劃 兼顧公平與發展〉,聯合新聞網,2019/06/06,https://udn.com/news/story/7338/3855673(最後瀏覽日:2019/6/17)。
何謂「國立研究開發法人」?國立研究開發法人為日本法制度下三種獨立行政法人類型的其中之一(其餘兩種為中期目標管理法人、與行政執行法人),任務乃是獨立於國家,發揮一定程度之自主性與自律性,從事在國民生活或社會經濟安定性等公益目的上所必要,但不須由國家為主體來執行的科學技術之實驗、研究與開發,並且這些科技研發業務,係基於具備一定中長期政策目標之計畫而進行,目的在於最大限度地確保得以提升國家科技水準、同時攸關經濟健全發展及其他公益的研發成果,並被期待產出得參與國際競爭的世界頂尖水準之新創科技,作為國家戰略的一環,同時專注於基礎科學與國家核心技術的研發。但在國立研究開發法人中,其所屬職員的身分並非公務員。 現在日本共有將近30個獨立研究開發法人,如日本醫療研究開發機構、森林研究‧整備機構‧新能源‧產業技術總合開發機構(NEDO)、國立環境研究所等。
英國皇家內科醫學院等三個團體聯合發布基因檢測醫療之指引建議書近年隨基因檢測技術成熟及成本下降的影響,基於醫療診斷或照護目的,而對於血液、其他體液、細胞或DNA所進行之基因檢測行為已有逐漸增多的趨勢,惟基因資訊使用本身往往容易觸及倫理、道德或法律層面的爭議,導致專業醫療人員在實際為檢測時容易產生法規遵循上的困難;因此,若能有明確的程序或標準可供依循,將能大幅增進基因檢測技術的商業運用價值。 1. 有鑑於此,三個英國醫療團體-英國皇家內科醫學院(Royal College of Physicians)、英國皇家病理科醫學院(Royal College of Pathologists)及英國人類遺傳協會(British Society for Human Genetics)於今(2011)年9月聯合公布了一份『診療性基因使用行為的同意及秘密性:基因檢測及基因資訊的分享指引』報告書(Consent and confidentiality in clinical genetic practice:Guidance on genetic testing and sharing genetic information)。該建議書之主要目的即在於指引醫療人員在使用基因資料及樣本時,應如何遵循相關的法律規範,包括1998年資料保護法(the Data Protection Act of 1998)及人類組織法(the Human Tissue Act)等;內容上則涵蓋病患同意、基因醫療行為、家族史與醫療資訊的秘密性,以及當病患所提供之基因樣本可能作為研究用途時,應如何告知等事項。 建議書中特別強調當病患選擇接受基因檢測以獲得更好的診療建議時,基因資訊也開始對病患個人及其家族成員帶來的風險。基此,該報告對基因檢測行為提出三項主要建議:1. 基因檢測所得到的家族史及診斷資訊只有在其他家族成員出現健康照護(healthcare)需求時,才能進行共享,且必須在醫療人員不違反保密義務的前提下進行。2. 醫療人員應當告知病患包括基因調查對其近親屬的潛在好處、部分基因訊息可能會提供給家族親屬、基因檢測可能會得到不確定或非預期的發現、其所提供之樣本及基因資訊將如何被運用,以及該樣本若對於該類型之檢測具有相當重要性時,其檢測結果可能會被收錄於國家資料庫以作為未來醫療研究之用。3. 由於醫療干預行為可能會導致基因診斷(genetic diagnoses)結果的改變,所以應該由病患本人或專業醫師直接告知其親屬,此誤差所可能導致的遺傳風險(例如血友病患者的基因診斷結果發生誤差,可能導致其近親屬生下患有血友病的下一代)。 目前基因檢測技術雖已趨向商業化及普及化發展,但由於基因訊息一般被界定為個人隱私資訊,因此在使用、分享及儲存上有相當之限制規範,並造成醫療人員遵循上的難度。而英國皇家內科醫學院等三個醫療團體所公佈的這份指引建議書,在內容上聚焦於告知病患的程序及病患的同意,同時擬定明確的流程圖及同意表格供各醫療人員參考使用,相信對於未來英國基因檢測技術的普及化會有相當正面之幫助。
日亞化學與藍光LED發明人和解日亞化學與前員工、現任美國加州大學教授中村修二(Shuji Maka mura)達成和解,日亞化學要支付中村修二本人8億4400萬日圓的費用,以補償其在日亞化學任內發明藍光LED晶粒技術,並帶給日亞化學日後龐大收入的功勞。 中村修二去年1月因不甘其在日亞化學工作期間,開發相關藍光LED晶粒技術,為公司帶進3300億餘日圓的收益,但日亞化學卻將專利獨佔,並未支付中村修二合理的費用。中村修二遂向日本地院提出告訴,日本地方法院一審判日亞化學敗訴,需支付200億日圓作為中村修二的補償金。日亞化學不服再向高院上訴,近日傳出雙方已達成和解,以8億4400萬日圓達成和解,其中6億850萬日圓係中村修二在日亞化學工作時開發出藍光LED晶粒後,為公司帶進約3300餘億日圓中屬中村修二的貢獻所得。 相較於一審判決日亞化學要賠200億日圓來看,此次只需支付8億4000餘萬日圓,替日亞化學省下了一大筆錢,且可早日解決此紛爭,日亞化學在此次官司中不能算輸,還可確立日亞化學日後擁有藍光LED晶粒的所有技術專利,有利日亞化學未來拓展白光LED及藍光晶粒市場。一般認為,日亞化學急於與中村修二達成和解之因,主要是藍光L ED晶粒市場仍在大幅成長中,預估今年全球LED市場需求可達到50億美元,其中白光及藍光LED也佔到一半以上,未來更是以倍數成長。日亞化學如未能快速解決與中村修二的官司,恐影響日亞化學在藍光及白光LED市場上的領先地位。