華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
自從歐洲法院判決谷歌(Google)應該尊重當事人的「被遺忘權」,從搜尋結果移除敏感、不當或過時的資訊聯結後,日本雅虎(Yahoo!)於2014年11月組成了專家小組,針對民眾請求刪除網路搜尋結果時,搜尋引擎應該在何種程度上及如何給予回應等議題進行討論,並於2015年3月30日公布了個資刪除標準,隔日起生效。 日本雅虎表示,當搜尋某人的姓名,出現其病歷、過去曾經犯下的輕罪等敏感性資訊或明顯侵害個人權益的資訊(如非公眾人物的地址、電話號碼等)時,當事人可以請求刪除搜尋結果,但在決定是否准許當事人請求前,雅虎將先行檢查當事人係屬成年人、弱勢族群或公眾人物(包括國會議員、公司高階主管及影視圈名人等)。至於那些被強烈懷疑為非法的性愛照片,如兒童色情或報復性色情(未經本人同意而散播的親密照片)等,將主動予以封鎖而無法瀏覽。 由於線上文字及圖片相當容易複製,不願意公開的資訊被公開在網路上而無法移除時,往往造成當事人心理上極大的痛苦,於搜尋階段便設法封鎖有問題的資訊,能夠有效地防止因資訊傳播而帶來的傷害。但從言論自由及知的權利的角度出發,某些資訊的揭露本身即具有公益色彩,應該適度限制當事人移除資訊的請求。日本雅虎率先公布個資刪除標準,預料將帶動亞洲入口網站對於隱私保護的重視。
德國完成800MHz頻譜重分配德國電信監理機關Bundesnetzagentur (BNetzA)於2010年5月宣告完成包括800MHz、1.8GHz、2GHz和2.6GHz等多頻帶中共計41塊頻段的頻譜拍賣,成為歐洲第一個完成數位紅利頻譜重分配的國家。 本次拍賣主要由四個行動營運商(E-Plus、T-Mobile、Vodafone、O2)參與投標,歷經224回合競標,挹注政府約43.8億歐元收入,遠低於之前預估的80億歐元,也遠低於10年前的3G頻譜500億歐元。 只有三家業者(T-Mobile、Vodafone、O2)取得數位紅利800MHz頻譜使用權;未得標的E-Plus公司則早已表達意願,將租用其中一個得標者的新網路頻寬,以使用數位紅利。 本次拍賣並沒有產生新的市場參進者,此狀況讓那些希望開放新頻譜即可刺激新的市場競爭的人頗為失望。惟BNetzA以為,目前市場上已經有約100家的MVNO業者和為數眾多的次品牌服務經營者在競爭,監管機關看不出應執行拍賣條款中「應有利新的市場參進者」的理由。 市場主導者T-Mobile已經宣稱,將率先於今年開始利用800MHz測試發展LTE服務。但由於在800MHz段部署LTE網路將與歐洲其他國家(主要指TeliaSonera公司在瑞典和挪威)早先同意於2.6GHz佈建的網路技術有異,而在密集的城市環境中,在800MHz與2.6GHz頻段同時部署LTE被視為是相當理想的網路佈建策略,歐盟現階段正在想辦法調和兩個頻段的和諧使用策略中。
何謂「ERIC」?為加強歐盟及各成員國的研究基礎設施合作,從發展政策方面,於2002年成立「歐洲研究基礎設施策略論壇」(European Strategy Forum on Research Infrastructures, ESFRI)協助各會員國統籌規劃RIs(Research Infrastructures, RIs)的發展藍圖。在法律層面,於2009年通過「第723/2009號歐盟研究基礎設施聯盟法律架構規則」(COUNCIL REGULATION (EU) No 723/2009 of 25 June 2009 on the Community legal framework for European Research Infrastructure Consortium (ERIC),使各歐盟會員國、夥伴國家、非夥伴國家之第三國家或跨政府國際組織等對於分散的RIs整合起來後,可向歐盟執委會提出申請,依該號規則取得法律人格,成立「歐盟研究基礎設施聯盟」(European Research Infrastructure Consortium, ERIC),且可為權利得喪變更之主體,更可與他方簽訂契約或成為訴訟當事人,使其具有自我經營管理之能力。 截至目前為止(2015年9月),歐盟的RIs正式成立11個ERIC,並且透過國際間合作將RIs做更有效率之使用。國際上近年來創新研發競爭激烈,歐盟執委會為了持續推動建置世界級歐洲研究區域(European Research Area, ERA),無論在資金面、政策面及法律層面均有積極作為,在強化歐盟RIs同時促進國際科技研發合作,俾使歐盟於研發創新的領域保持世界領導之地位,歐盟未來仍會持續推動各個重要研發領域的ERIC,ERIC對於整合歐盟各國重大RIs負有重要使命。
菲律賓基因改造茄子被迫停止田間試驗菲律賓為亞洲國家間第一個將基因改造作物(基改玉米)商業化並用於食品和動物飼料者,而另一項正等待商品化的基改作物,基因改造茄子,原預計於今(2011)年底完成7項試驗並於明年達成商品化的目標,卻因未符合地方政府法規所要求的公眾諮詢程序而被迫暫時中斷其中2項實驗。 2010年12月,菲律賓Davo市市長因申請本案田間試驗之UP Mindano公司未遵守應於市政府內張貼公開資訊之法定義務,以違反基因改造作物環境釋放之法規為由,向該公司發出禁止令並銷毀植株,其田間試驗因此延誤了6個月以上。無獨有偶的,作為菲律賓基改作物主管機關的植物產業局,也以同樣的理由中止另一項在Visayes國立大學所進行的基因改造作物田間試驗。 Davo市農業辦公室Leonardo Avila III主任表示,就該公司就試驗田所設立的藩籬實際狀況來看,雙方對於嚴格密閉的田間試驗(strictly confined field trial)有理解上的落差。面對UP Mindano公司於期間未盡公開資訊義務以進行充份溝通的指控,該公司負責田間試驗的科學家Rasco表示,所有爭議皆已透過直接或間接的方式於報紙和公開論壇中予以釐清。甚至嘗試著透過說明會教育大眾關於基因改造茄子的風險和優點,更強調茄子沒有異花授粉植物所會造成的基因汙染問題。 從法規面觀察,此一事件所透露的問題在於,即便一國中央法規允許基因改造作物之環境釋出,地方政府亦有可能藉由地方法規來落實其限制或阻擋基因改造作物之政策或目的,因而中央和地方間之政策歧異也將會成為GMO推展時必須面對的法制議題。