華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
墨西哥的聯邦資料保護法在二0一0年四月經墨西哥國會通過後,已於同年七月六日生效。這個新法旨在保護個人的隱私權並強化個人對自身資訊的掌控。與我國新近通過的個人資料保護法相同,墨西哥的這個新法所規範的範圍也包括了私部門對個人資料的蒐集、處理與利用。 在新法通過之後,原本的聯邦公共資訊近用機構(Federal Institute for Access to Public Information),亦擴張執掌並更名為聯邦公共資料近用及資料保護機構(Federal Institute of Access to Information and Data Protection)。在新制下,該機構將在原有負責事務外,另肩負起監督私部門就個人資料保護的相關事務。 此外,該法設計了一個雙重的監督機制:當資料的蒐集、處理或利用人,也就是所謂的資料控制者(Data Controller)出現可能違反聯邦資料保護法的狀況,將先由各相關部門的主管機關,例如主管經濟事務的機關或主管交通事務的機關來介入處理,而非由聯邦公共資料近用及資料保護機構立刻介入。
歐盟設立歐洲研究院(European Research Council)對前瞻性研究提供經費補助歐盟最近宣布其新設立的歐洲研究院(European Research Council, ERC),自2月底開始運作。ERC是依據歐盟第七期研發綱要計畫(Seventh Framework Programme for Research and Technological Development, FP7)下之子計畫-”理念”計畫("Ideas" programme)所設立。2006年底通過的歐盟第七期研發綱要計畫,揭示歐盟在2007至2013年間的科技研發政策、研發投入的重點領域與經費挹注情形。與PF6相較,PF7經費大幅成長,每年平均成長至少達40%,單是2013年一年,經費成長更高達75%。 ERC是第一個泛歐的經費補助機構,設立目的是為了贊助前瞻科學領域的研究活動。在設立第一年,歐盟挹注於ERC的經費即高達3億歐元,在FP7計畫的七年期間,ERC總計取得7.5 billion的經費。隨著ERC的設立,歐盟首度有了專為前瞻性研究量身訂作的經費補助運作機制,亦即交由歐洲科學界菁英,也就是由22位聲譽卓著的科學界菁英所組成的科學諮詢會(Scientific Council)自主管理,官僚系統不得對之表示意見。 歐盟希望藉由ERC的設立,促使科學界得以對最具有原創性的科學想法深入研究,以突破當前之知識界線,進而協助解決歐盟在社會、環境、經濟面所面臨之挑戰。
為打擊境外逃漏稅,國際間持續擴大稅務資訊自動交換經濟合作暨發展組織(簡稱經合組織、Organization for Economic Cooperation and Development,下稱 OECD)於今年6月30日表示「2019年已有近百個國家/地區進行了稅務資訊自動交換,使其稅務機關可以獲得其居民在海外所持有的8,400萬個金融帳戶的數據,涵蓋的總資產達10兆歐元。相較於2018年(交換了4,700萬個金融帳戶資訊,約5兆歐元)有了顯著增長。」且「共同申報準則(亦稱共同申報及盡職審查準則、Common Reporting Standard, 下稱CRS)要求各國和各司法管轄區每年自動交換其金融機構提供的非居民的金融帳戶資訊,以減少境外逃漏稅的可能性。許多發展中國家已加盟其中,預計未來幾年會有更多國家加入。」 OECD秘書長Angel Gurría亦表示「由OECD創建並由全球論壇管理的這種多邊交換制度,此刻正為世界各國(含發展中國家)提供大量的新資訊,使各國稅務管理部門能夠確保境外帳戶被正確申報。尤在目前COVID-19危機中,各國正籌集急需的收入,一個無處藏富的世界,此點遂至關重要。 事實上,我國財政部於2017年11月16日所發布(民國109年4月28日修正)之「金融機構執行共同申報及盡職審查作業辦法」(簡稱CRS作業辦法),正是為了使我國接軌OECD發布及主導的CRS,藉由提高金融帳戶資訊透明度,據此與其他國家/地區進行金融帳戶資訊自動交換,以利我國與各國稅捐機關能正確且完整地掌握其境外納稅義務人的金融帳戶資訊。值得注意的是,我國第一波稅務資訊自動交換將於本年度9月份與我國32個稅捐協定國進行。