美國參議員提案規範物聯網設備之資安漏洞
美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。
由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。
2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。
Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注:
- 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。
- 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。
- 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。
- 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。
- 要求所有執行機構清點所有連結物聯網的設備。
- Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device
- Steve Daines, U.S. Senators to Introduce Bill to Secure
- Internet of Things Cybersecurity Improvement Act of 2017
- Dustin Volz, U.S. senators to introduce bill to secure
- Rob Price, US lawmakers are trying to fix the security nightmare that is the
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃上川
法律研究員 編譯整理
Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device, https://www.warner.senate.gov/public/index.cfm/pressreleases?ID=06A5E941-FBC3-4A63-B9B4-523E18DADB36 (last visited Aug. 4, 2017)
Steve Daines, U.S. Senators to Introduce Bill to Secure 'Internet of Things', https://www.daines.senate.gov/news/in-the-news/us-senators-to-introduce-bill-to-secure-internet-of-things (last visited Aug. 4, 2017)
Internet of Things Cybersecurity Improvement Act of 2017, https://zh.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017 (last visited Aug. 4, 2017)
Dustin Volz, U.S. senators to introduce bill to secure 'internet of things', Reuters, http://www.reuters.com/article/us-usa-cyber-congress-idUSKBN1AH474 (last visited Aug. 4, 2017)
Rob Price, US lawmakers are trying to fix the security nightmare that is the 'internet of things', Business Insider, http://www.businessinsider.com/r-us-senators-to-introduce-bill-to-secure-internet-of-things-2017-8 (last visited Aug. 4, 2017)
2010年,蘋果(Apple Inc.)與法商Hachette、美商HarperCollins、美商Simon & Schuster、英商Penguin與德商Holtzbrinck/Macmillan等五家主要出版商訂定協議,改變電子書過往在市場上的銷售模式。過去電子書係由零售商(通常是網路書店)自行訂定銷售價格,而今蘋果與五家出版商透過協議,改由出版商決定電子書在網路書店的銷售價。 歐盟執委會於2011年3月對此展開反競爭(anti-competition)調查,認為這五家書商聯合蘋果公司限制零售書商定價的行為有違反競爭法之虞。根據歐盟運作條約(Treaty on the Functioning of the European Union, TFEU))第101條規定,事業間協議與一致性行為足以影響歐體會員國間交易,且以妨礙、限制或扭曲歐體共同市場競爭為效果或目的者,與共同市場不相容,應予禁止。 2012年9月,除Penguin外,其中四家出版商皆提出和解方案,承諾將終止與蘋果簽訂的代理協議,不再干涉電子書零售商調整電子書零售價格,此外,並同意未來五年內排除「最惠國(Most-Favoured-Nation, MFN)」條款的適用,該條款規定出版商與其他電子書銷售商如亞馬遜的訂價不得低於與蘋果的訂價。排除最惠國條款的適用意味著,未來出版商和零售商協議的電子書價格將能低於蘋果訂價。 英商Penguin日前與歐盟執委會達成協議,決定終止與蘋果公司關於電子書定價的契約,其承諾條件如下: 一、Penguin公司將終止和零售書商間的代理契約。 二、未來兩年內零售書商可自訂電子書價格與折扣,包含Penguin公司出版的書籍。 三、Penguin公司和零售書商的契約也將適用禁止價格最惠國條款,期限5年。 歐盟執委會接受Penguin公司所提出之承諾,並認為此舉將有助於恢復市場的有利競爭環境。本案終能落幕。
美國聯邦貿易委員會插手企業資訊安全引起爭議美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。 根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。 不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。 本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。
營業秘密管理概要 中國發布《國家中長期生物技術人才發展規劃(2010-2020年)》中國科學技術部與中國科學院等六個部門,於2011年12月8日聯合發布《國家中長期生物技術人才發展規劃(2010-2020年)》(以下簡稱「生技人才規劃」),期藉由具體政策措施之推動,充實國內生技人才資源,以促進生物技術及其產業蓬勃發展。 從中國國務院於2006年所提出的《國家中長期科學和技術發展規劃綱要(2006-2020年)》到科技部最近發布的《國家十二五科學和技術發展規劃》,均揭示「生物技術」為中國科技發展的重點領域。然而,現階段中國生技發展卻面臨了人才瓶頸,包括缺乏高層次創新人才、缺乏優秀創業型人才、人才資源開發投入不足,以及人才發展體制障礙待破除等問題,本規劃便在這樣的背景下誕生。 針對前述生技人才缺乏問題,生技人才規劃以「2020年時將中國打造成生物產業大國」為總體目標,分兩階段達成充實、培育生技人才的目的。第一階段為2011年至2015年,主要目標係在國內培育、造就一定規模的科技人才與創新團隊;第二階段為2016年至2020年,主要目標則為提高中國整體生技人才的素質,並建置5到10個具國際水準的國家生技實驗室。為達成前述目標,生技人才規劃宣示未來將分別實施以下各項政策措施,包括:持續給予優秀人才科研經費支援、鼓勵支持生物技術人才創業、加速生物技術人才在產學研各領域間的流動、制定優先支持生物產業技術人才發展的財政金融政策,以及吸引海外高層次生物技術人才回國創業或參與重大科研計畫等。 自2006年以來,中國於各個重大科技與產業政策規劃中,均將生物技術列為國家重點發展領域,顯見中國對於生技產業的重視,而根據往例,中國在發布重大國家政策規劃綱要以後,國務院各部門隨即會頒布相關法令及配套措施,以達成規劃綱要中所揭示的各項發展目標。因此,「生技人才規劃」頒布後,其後續相關的人才引進法制架構將如何呼應、達成綱要所訂的總體發展目標,值得持續觀察。