網際網路交換中心業務於我國電信法上定位之探討

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國商務部產業安全局（Bureau of Industry and Security, BIS）於2025年1月2日發布保護無人機系統資通訊技術及服務供應鏈（Securing the Information and Communications Technology and Services Supply Chain: Unmanned Aircraft Systems）之法規制定預告（advance notice of proposed rulemaking, ANPRM），其目的在於透過維護供應鏈安全，避免中俄等外國敵對勢力，藉由參與無人機系統（Unmanned Aircraft Systems, UAS）資通訊技術與服務（Information and Communications Technology and Services, ICTS）遠端存取和操縱UAS，提高美國敏感資訊暴露風險。本次ANPRM是BIS依據2019年5月15日川普總統簽署之確保ICTS供應鏈安全的第13873號行政命令所發布。 為確保UAS安全，BIS針對下列事項尋求公眾意見，包括但不限於： 1. 無人機系統及其零組件的定義： 針對BIS初步認定之下列UAS平台必要組成部分，評估其定義和標準功能：（1）機載電腦；（2）通訊系統；（3）飛行控制系統；（4）地面控制站或系統；（5）運作軟體；（6）任務規劃軟體；（7）智慧型電池電源系統；（8）本地和外部資料儲存設備和服務；及（9）人工智慧軟體或應用程式； 2. 評估是否有資料外洩和遠端存取控制以外的其他風險； 3. 評估不同外國敵對勢力帶來的風險，例如：是否應考慮與外國敵對勢力有關聯的特定個人或實體等； 4. 評估例外可允許交易的情形；及 5. 評估相關經濟性影響，例如：對美國企業或公眾資料隱私和保護、反競爭效應（Anticompetitive Effects）等，及其應有的相應措施。 BIS開放公眾得針對該ANPRM於2025年3月4日前提出意見，俾利後續發布法規。

　　歐盟執委會人工智慧高級專家小組（High-Level Expert Group on Artificial Intelligence）於2019年4月8日公布「具可信度之人工智慧倫理指引」（Ethics Guidelines For Trustworthy AI）。該指引首先指出，具可信度之人工智慧需具備三個關鍵特徵：（1）合法（Lawful）：應遵守所有適用於人工智慧之法規；（2）合乎倫理（Ethical）：確保人工智慧符合倫理原則與價值；（3）健全（Robust）：自技術與社會層面觀之，避免人工智慧於無意間造成傷害。 　　該指引並進一步指出人工智慧應遵守以下四項倫理原則： (1) 尊重人類之自主權（Respect for Human Autonomy）：歐盟之核心價值在於尊重人類之自由與自主，與人工智慧系統互動之個人，仍應享有充分且有效之自我決定空間。因此，人工智慧之運用，不應脅迫、欺騙或操縱人類，人工智慧應被設計為輔助與增強人類之社會文化技能與認知。 (2) 避免傷害（Prevention of Harm）：人工智慧不應對人類造成不利之影響，亦不應加劇既有的衝突或傷害。人工智慧之系統運行環境應具備安全性，技術上則應健全，且確保不會被惡意濫用。此外，弱勢族群應於人工智慧運用中受到更多關注，並被視為服務對象。 (3) 公平（Fairness）：人工智慧系統之開發、布建與利用，必須具備公平性。除了透過實質承諾與規範，進行平等與公正之利益與成本分配外，亦須透過救濟程序確保個人或特定族群不受到歧視與偏見之侵害，並可對人工智慧之自動化決策結果提出質疑，且獲得有效之補救。 (4) 可解釋性（Explicability）：人工智慧應盡量避免黑箱（Black Box）決策，其系統處理程序須公開透明，並盡可能使相關決策結果具備可解釋性，分析特定訊息可能導致之決策結果，此外亦需具備可溯性且可接受審核。

　　公平交易委員會於上（ 4 ）個月 20 日對巨擘等三家光碟廠商檢舉荷蘭商菲利浦電子公司專利授權合約不公一案做成決議，飛利浦的 CD-R 專利技術授權合約，要求被授權人提供「製造設備清冊」及「書面銷售報告」，已足以影響交易秩序、顯失公平行為，違反公平交易法第 24 條規定，處新台幣 600 萬元罰鍰。這是公平會對飛利浦的 CD-R 光碟專利授權行為，作成的第二件處分案，第一件為飛利浦、 日本 新力及日商太陽誘電被檢舉，在台的 CD-R 光碟片產品專利授權行為，違反聯合行為的規定，飛利浦被處新台幣 800 萬元罰鍰，該案目前仍在行政訴訟中。 　　公平會認為，飛利浦與新力公司共同制定 CD-R 光碟片技術規格書，國內光碟廠商如生產符合「橘皮書」規格的 CD-R ，必須取得飛利浦專利授權，在 CD-R 專利授權的締約過程中，飛利浦具有相對優勢地位。飛利浦並在授權合約要求被授權人，提供「製造設備清冊」及「書面銷售報告」，內容涉及被授權人的產能利用率、產量、客戶名單及個別客戶交易量等重要資訊；但這些資料與權利金總數額的計算，並無密切相關。飛利浦除為此專利的專利權人，也授權其他製造廠商產製 CD-R 光碟片，並以 Philips 品牌從事光碟片販賣，與被授權人在市場是處於競爭地位。因此，飛利浦利用此優勢地位，取得被授權人公司經營成本的重要資訊，雙方在市場會產生不公平競爭。 　　飛利浦則表示，授權合約要求被授權人提供「製造設備清冊」及「書面銷售報告」，是為確認被授權人授權產品報告的正確性，這是國際授權實務上的慣例。飛利浦在合約已保證相關內容，不為合約目的外的使用，並無違法行為；該公司將循正常程序提出訴願。