華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2014年間以路由器(Router)與雲端服務的安全漏洞,導生消費者面臨資安與隱私風險之虞,而依據《聯邦貿易委員會法》第5條(Federal Trade Commission Act, 15 U.S.C. § 45(a))委員會防止不公平競爭違法手段(unfair methods of competition unlawful ; prevention by Commission)之規定,即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由,對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。
本案歷經FTC近二年的調查程序後,華碩公司於2016年2月23日同意FTC的和解條件,即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善,並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出,華碩於銷售其所生產的路由器產品時,曾對消費者強調該產品具許多資安保障措施,具有得以防止使用者不受駭客攻擊等效果;然而,該產品實際上卻具有嚴重的軟體設計漏洞,使駭客得以在使用者未知的情況下,利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞,任意改變路由器的安全設定;更有專家發現駭客於入侵華碩製造之路由器產品後,得以強佔使用者的網路頻寬。
此外,華碩允許使用者沿用路由器產品的預設帳號密碼,再加上華碩所提供的AiCloud與AiDisk雲端服務功能,讓使用者得以隨身硬碟建立其私有的雲端儲存空間,使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出,駭客利用華碩路由器產品與相關服務的漏洞,於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外,使華碩更加備受譴責的是,當該漏洞被發現之後,其並未主動向產品的使用者強調產品存在該資安問題,更未告知使用者應下載更正該設計漏洞的軟體更新,因此FTC始決定對華碩進行起訴。
黃宇良
法律研究員 編譯整理
FEDERAL TRADE COMMISSION ACT, 15 U.S.C. § 45(a).
Federal Trade Commission, ASUS Settles FTC Charges That Insecure Home Routers and “Cloud” Services Put Consumers’ Privacy At Risk, Feb. 23, 2016, https://www.ftc.gov/news-events/press-releases/2016/02/asus-settles-ftc-charges-insecure-home-routers-cloud-services-put (last visited Feb. 25, 2016).
IN THE MATTER OF ASUSTek Computer, Inc., 142 F.T.C. 3156 (2016), https://www.ftc.gov/system/files/documents/cases/160222asusagree.pdf (last visited Feb. 25, 2016).
「食品衛生管理法」及「健康食品管理法」修正草案已於94年11月30日經行政院第2968次院會審查通過,將於近期進一步送立法院審議。未來只要有食品遭檢出含有害人體健康的物質,或標示不清,都一律得先下架禁賣並封存。而食品廣告誇大不實或宣稱具有療效部分,也在這次修法中加重其相關罰則。 本次修法重點為: 一、廣告管理:延長傳播業者保存委託刊播廣告者資料之期間,由原本2個月修正為6個月(食品衛生管理法修正條文第十九條、健康食品管理法修正條文第十五條)。 二、提高罰鍰額度: 1.加重宣稱療效健康食品業者之行政處分,提高其罰鍰額度,由原本6萬元以上30萬元以下,修正為20萬元以上100萬元以下,並規定一年內再違反者,得廢止其營業或工廠登記證照。(健康食品管理法修正條文第二十四條) 2.對於影響民眾飲食衛生安全較鉅之違法情節,提高罰鍰額度,將部分原本3萬元以上15萬元以下或4萬元以上20萬元以下,提高為6萬元以上30萬元以下(食品衛生管理法修正條文第三十一條及第三十三條)。 三、違規業者加重行政處分:違規標示產品 除應通知限期回收改正,進一步明定於改正前不得繼續販賣(食品衛生管理法修正條文第二十九條)。 四、擴大地方主管機關得命暫停作業並將物品封存之範疇(食品衛生管理法修正條文第二十四條)。
美國聯邦通訊委員會通過「數位機會資料蒐集計畫附加規則」,將改善美國境內寬頻網路布建差距之辨識美國聯邦通訊委員會(Federal Communication Commission, FCC)於2021年1月19日通過「數位機會資料蒐集計畫」附加規則(Digital Opportunity Data Collection additional rules),將幫助FCC蒐集更精確與準確的網路寬頻布建資訊(broadband deployment data),以完成美國境內寬頻網路布建差距之辨識任務。該規則規範了需向主管機關報告關於網路近用性和/或網路覆蓋率相關資訊的報告主體,使需要報告的固網和行動寬頻服務供應商範圍更加明確。另外該規則亦有針對網路服務供應商提出關於固網速度與網路延遲相關報告時,所應遵守事項作規範。 該規則亦針對蒐集各州、地方與部落網路寬頻布建資訊的對應實體(mapping entities)、聯邦政府機構,與第三方單位,制定此三方進行辨識寬頻網路布建差距作業時所應遵守之注意事項,並為網路服務供應商提交固網和行動寬頻覆蓋率地圖資料時,設置其提交流程所應遵守之相關規範。該規則要求行動式網路服務供應商提交依據實際情況的相關基礎設施資訊或現場測試資料,作為FCC對行動式網路覆蓋範圍調查和驗證的資料,這些資料還將應用於擴大某些特定區域行動式網路寬頻覆蓋範圍的相關作業上,以增加該區域居民的使用數位機會。 「數位機會資料蒐集計畫」附加規則將使FCC確切知道寬頻網的可近用服務位置和不可近用服務位置,以及更了解美國的寬頻網路需求,以確保將來每位美國公民都能使使用高速網路服務,這同時也是「數位機會資料蒐集計畫」的目的。
美國加州網路身分冒用法2011年01月正式生效2010年12月,加州參議院通過網路身分冒用法(Criminal “E-personation”,Senate Bill 1411),針對在網路上惡意冒用他人名義的行為態樣處罰,法案提案人加州參議員Joe Simitian表示:「現有的身分冒用法規係1872年所訂,無法規範現代科技所衍生的身分冒用態樣。」所以法院一般認為網路上的冒用屬於身分剽竊的態樣,但此類型通常不涉及金錢的損失,法庭上證明困難,受害者求償不易,因而制定此一法案。 本法針對故意、未經同意在網路或其他電子途徑冒用身分,傷害、恐嚇、威脅、詐欺他人的行為,判定為輕罪(standard misdemeanor),最高可處以1000元美金或一年以下有期徒刑。因此,在社群網站中冒用他人名義,發表不雅言論的行為往後可能會受到處罰。 但「傷害、恐嚇、威脅、詐欺」的行為態樣的認定,可能會造成法院實際執法上的困難,而且可能侵害人民憲法第一增修條文的權利。以The Yes Man組織為例,該組織假冒美國商會(American Chamber of Commerce)在網路上發表支持眾議院通過氣候變遷法案,其主要目的在於遊說美國商會改變其立場,本法尚未通過前,美國商會向加州法院提出訴訟,美國商會曾就訴訟過程表達不滿,認為現行法對於身分被冒用者無所助益,然新法正式施行後,本案如何在不侵犯憲法第一增修條文的情況下,嚇阻真正帶有惡意的身分冒用者,值得進一步觀察。
新加坡通過2010年版電子交易法施行細則繼新加坡2010年版本電子交易法(Electronic Transactions Act, ETA)於2010年7月1日式施行後,該國資通訊發展局(Info-communications Development Authority, IDA)因應修正電子交易法施行細則,該細則並於2010年11月1日起正式實施。其目的在使憑證機構管理制度得以配合新興資訊安全技術齊驅發展,進而使其與國際趨勢相符,修正要點如下: 1. 修正許可制為志願許可制:此次修正最大變革即在使該國憑證機構管理制度由原本的許可制,改為志願許可制。前者係使所有憑證機構均應向主管機關申請許可後,始能對外簽發憑證;而志願許可制則是原則上憑證機構對外簽發憑證無需主管機關許可,但憑證機構如果希望所簽發之憑證具備特定法律效果,則仍須經過許可。 2. 證據法上的推定效果:經過自願申請許可通過的憑證機構,經其所簽發之憑證而製作的數位簽章將有證據法上推定為真之效力,無待憑證用戶舉證即有其真實性,惟該真實性仍可由他方另舉反證推翻。換句話說,若數位簽章製作人使用的憑證為一般未經申請許可之憑證機構所簽發者,憑證用戶需先向法院提出其他輔助證據證明該簽章真實性。 3. 許可申請之要求:憑證機構自願申請許可時,應繳交申請費1千元新加坡幣(下同)及2年有效之許可執照費1千元。此外,新版施行細則統一整合舊有之「安全指導手冊」(Security Guideline)及其他各項稽核規定於「稽核需求要項表」(Compliance Audit Checklist),以供憑證機構得以更便利之方式了解並遵循共通之稽核程序。