華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
日本修正施行藥機法與醫療法以強化藥品供應韌性 資訊工業策進會科技法律研究所 2026年03月10日 日本政府為因應後疫情時代全球供應鏈失衡,以及國內學名藥產業因品質違規(GMP)引發的結構性缺藥危機,徹底解決國內藥品供應鏈之脆弱性,於 2025 年(令和 7 年)5 月 14 日國會表決通過《確保藥品及醫療器材等之品質、有效性及安全性法》(下稱《藥機法》)與《醫療法》等之修正法(令和7年法律第37號),並自同年 11 月 20 日起分階段施行。此項歷史性改革象徵日本為了確保藥品供應韌性,從藥事管制與確保醫療提供體制之觀點,將企業的自主遵從正式躍升為國家經濟安全保障之核心位階。管理手段亦從過往的行政上通知,轉向具備法律強制力之「韌性監控體系」。 壹、立法背景 2020 年底,日本因日醫工、小林化工等學名藥龍頭發生大規模 GMP 違規,引發震驚全國的缺藥潮,徹底暴露日本醫藥產業的四大結構性危機:首先是「少量多品目」特徵與惡性低價競爭導致產業結構失衡,使企業陷入收益低且產線缺乏彈性的惡性循環;其次是每年藥價改訂持續壓縮利潤,致使醫療必需藥品難以維持生產成本;再者是 API 原藥料高度依賴中、韓、印等海外市場,造成嚴重的供應鏈脆弱性;最後則是產銷資訊不透明與總價議價機制導致流通失靈,誘發恐慌性囤貨。厚勞省體認到單靠市場機制與行政指導已難以為繼,遂決定修訂《藥機法》與《醫療法》,將供應安全提升至法律位階,建立國家主導的「強韌性監控體系」,從根本強化藥品供應韌性。 貳、立法重點說明 本次修法首要戰略係建立由廣入深之金字塔監控體系。 一、特定藥品(處方藥)的基礎監控 (一)特定藥品之申報義務 依據修正後《藥機法》新設「特定藥品」定義,將絕大多數處方藥納入監控,確立「常態性申報義務」。製造販賣業者負有定期申報製造、進口及銷售流量數據之法定義務,旨在消除資訊黑洞並實現供應鏈可視化。 (二)供應不穩之報告與公開 製造販賣業者若發生出貨停止或限制出貨情形,或預見 6 個月內有發生之虞,應向厚勞大臣報告。大臣應將該申報內容公開,並得要求相關業者(含批發商)就製造、銷售、授與狀況提出報告,以利掌握替代藥品之供應現狀。 (三)請求相關業者協力(醫療法權限) 大臣針對特定藥品供應不足或具極大可能性(蓋然性)時,得要求供應端(藥廠、批發商)增產或調整銷售;針對使用端(藥局、醫院),得要求在調劑或處方上採取適當配慮(如節約使用)。 (四)設置供應體制管理責任者 藥廠必須指定專門負責人,其法律地位與品質負責人對等,專職負責供應鏈風險管理。若違反義務,行政機關可命強制撤換該負責人。 二、戰略保衛層:醫療法上「供給確保藥品」之計畫管理 針對前述特定藥品中,大臣得指定「醫療上不可或缺」且「供需風險顯著」之品項為「供給確保藥品」或「重要供給確保藥品」。 (一)藥品分類標準與指定 厚勞大臣衡量疾病嚴重性、有無替代療法及供應鏈狀況等,綜合考量後進行指定,並將藥品依重要性分為三類: 1. A類: 斷貨將直接危及生命且無替代藥(如全麻劑、碳青黴烯類抗生素)。 2. B類: 臨床必需,替代藥切換具高度挑戰(如抗癲癇藥、窄治療窗口藥品)。 3. C類: 臨床常用藥,替代容易且供應來源分散(如一般血壓藥)。 厚勞省於2025年11月10日公告(厚生勞動省告示第292號)供給確保藥品及重要供給確保藥品清單,並自同年月20日起實施。供給確保藥品共762成分,其中重要供給確保藥品清單75成分(A+B)[1],其管制強度由強至弱。A類與B類之差異為相對性之結果,其因指定所產生之法律效果相同。 (二)上游管理與強化義務 指定對象包含「製造該藥品不可或缺之原料或材料」,將管理延伸至活性成分(API)及關鍵賦形劑。業者負有強化義務,包括遵循「穩定供應確保指針」、配合平時監測及遵循行政機關之協力要請。 (三)平時監測配合義務,接受政府針對供應鏈穩定性之常態化檢查與壓力測試。 (四).協力要求之遵循,當供應不足出現徵兆時,行政機關可發布正式之「協力要求」,要求業者調整出貨計畫或優先供給特定醫療機構。 三、重要供給確保藥品之強制義務 針對「重要供給確保藥品」,厚勞大臣擁有兩階段強大權限: (一)預防階段:發布「未然防止措置指示」 若合理判斷存在供應不足之蓋然性,大臣得指示業者擬定並申報「供給不足未然防止措置計畫」。業者負有法定義務執行預防措施,如原料多軌化或增加庫存儲備。 (二)危機階段:發布「增產等指示」 當「現已供應不足」或不足之蓋然性特別高時,大臣得指示業者擬定並申報「製造或輸入計畫」。此機制賦予政府在市場失靈時直接介入,將企業計畫轉化為法律強制義務。 參、立法評析與建議 日本此次修正施行之核心在於使藥品供應韌性具備強制性法律基礎。將通報門檻提前至「預見風險之虞」,並擴大監控範圍至關鍵原料,確保行政機關得以早期介入。並建立法治化的管制手段,賦予主管機關下達「強制增產指令」與「流向調控指令」的法源,並將批發商納入義務對象,確保調度實效性。 我國115年3月4日公布修正《藥事法》,核心為確立必要藥品「常態性申報義務」,要求藥商定期回報產銷數據並於六個月前預警缺藥(§27-2);授權主管機關得限制供應流向及專案核准替代品(§27-3)(以上兩條另訂施行日期);並擴大緊急專案核准之要件(§48-2)。違者最高可處200萬元罰鍰。此舉標誌著我國由被動通報正式轉向主動監控機制。 相較於日本將監控觸角延伸至上游原料(API)並賦予政府下達「強制增產指令」的剛性權力,臺灣新法雖強化了監控與流向限制,但管理深度仍侷限於成品藥。日本的「分級管理」與「專職管理員」制度,相較臺灣現行的必要藥品申報,展現出更具層次感的精準干預能力與法律規範力。 [1]2021年厚勞省以「安定確保藥品」名稱,公布第一次關鍵藥品清單共506成分,其中A成分21種、B成分29種。本次藥機法法律明文定為「供給確保藥品」清單增加約1/3成分。
雲端運算所涉法律議題雲端運算(Cloud Computing),是一種基於網際網路的運算方式,用以共享軟硬體資源、依需求提供資訊給電腦和其他裝置。本質上其實就是分散式運算 Distributed Computing,其主要應用是讓不同的電腦同時協助你處理運算,故只要具備兩台以上電腦,讓他們之間互相溝通,協助您處理工作,就是基本的分散式運算。 雲端運算是繼1980年代大型電腦到用戶端-伺服器的大轉變之後的又一種巨變。使用者不再需要了解「雲端」中基礎設施的細節,不必具有相應的專業知識,也無需直接進行控制。雲端運算概念下描繪了一種基於網際網路而新增加的新興IT服務、使用和交付模式,藉由網際網路來提供各種不同的資源、服務功能而且經常是虛擬化的。 「雲端運算」供應模式以及實用定義如下: ‧ 軟體服務化 (SaaS):透過網際網路存取雲端的應用程式 (例如:Salesforce.com、趨勢科技 HouseCall)。 ‧ 平台服務化 (PaaS):將客戶開發的應用程式部署到雲端的服務 (例如:Google AppEngine 與 Microsoft Azure)。 ‧ 基礎架構服務化 (IaaS):有時亦稱「公用運算」(Utility Computing),意指處理器、儲存、網路以及其他資源的租用服務 (例如:Amazon 的 EC2、Rackspace 以及 GoGrid)。 雲端運算服務所涉及的法律議題相當廣泛,包含隱私權、個人資料保護、資料管轄權、契約責任、智慧財產權保護與營業秘密等。在隱私權問題方面,使用者的隱私或機密風險,乃至權利義務狀態會因為雲端供應商所提供之服務與隱私權政策(privacy policy)而有顯著不同,也可能因為資訊型態或雲端運送使用者類型不同而有差異。在雲端運算服務契約方面,發生資訊安全事件導致資料失竊或毀損時,供應商責任或注意義務如何於契約中合理分配風險,亦是契約方面重要議題。
歐盟通過「資料保存指令」「資料保存指令」( Directive on the retention of data ,下稱本指令)已於 2006 年 2 月 21 日 經歐盟部長理事會( European Council of Minister )批可而正式生效。但部分歐盟國家,如愛爾蘭( Irish )與斯洛伐克( Slovak )仍認為,由於資料保存對於歐盟民眾權益影響甚鉅,故應透過更嚴格的立法程序,如由歐盟部長理事會( European Council of Minister )全體一致通過「決定」( Decision ),而不應透過議會表決後再交由理事會批可指令( Directive )的方式生效。 本指令要求網路服務業者( Internet service providers, ISPs )與固定( fixed-line )及行動 (Mobile) 網路業者必須要保存客戶通聯之通聯日期、地點、通話時間等通聯資料等,保存期限從 6 個月到 2 年不等。而除了保存之責任以外,上述業者還必須要確保其保存之資料可隨時配合執法單位之調查,提供執法單位進行嚴重犯罪之調查與恐怖分子調查之參考與利用。 國際隱私權組織( Privacy International )表示,本指令的通過將對歐盟地區民眾之人權造成不可磨滅之影響。此外,歐盟地區之電信公司與 ISPs 則表示,本指令實施後,若政府單位未給予任何的補助,將大量增加業者在資料儲存之費用,進而影響市場競爭。 本指令最遲將於公布後隔年開始實施。
技術移民範圍放寬未來我國的技術移民政策,將放寬不再侷限於以往所重視的「高科技人才」者。內政部戶政司表示,該政策目的之改變,乃是參照了美國 、加拿大、澳洲及紐西蘭等國為促進該國經濟發展,創造就業機會,分別訂有投資移民的相關規定,供有意移民該國之外籍人士申請。 修正條文第25條第3項:外國人有下列情形之一者,亦得以向入出國及移民署申請永久居留:一 、對我國有特殊貢獻;二、為我國所需之高級專業人才。第4項:外國人得向入出國及移民署申請在我國投資移民,經審核許可且實行投資者,同意其永久居留。 因此,為了趨近國際化的趨勢,在本次的「入出國及移民法修正草案」中,將過去偏重於「高科技人才」的引入,擴大為「高級專業人才」;並且新增「投資移民」之外國人得以直接申請永久居留,以滿足多元化的經濟與社會需要。至於「大陸技術人才」亦視為外籍技術人士看待。