美國參議員提案規範物聯網設備之資安漏洞
美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。
由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。
2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。
Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注:
- 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。
- 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。
- 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。
- 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。
- 要求所有執行機構清點所有連結物聯網的設備。
- Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device
- Steve Daines, U.S. Senators to Introduce Bill to Secure
- Internet of Things Cybersecurity Improvement Act of 2017
- Dustin Volz, U.S. senators to introduce bill to secure
- Rob Price, US lawmakers are trying to fix the security nightmare that is the
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
黃上川
法律研究員 編譯整理
Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device, https://www.warner.senate.gov/public/index.cfm/pressreleases?ID=06A5E941-FBC3-4A63-B9B4-523E18DADB36 (last visited Aug. 4, 2017)
Steve Daines, U.S. Senators to Introduce Bill to Secure 'Internet of Things', https://www.daines.senate.gov/news/in-the-news/us-senators-to-introduce-bill-to-secure-internet-of-things (last visited Aug. 4, 2017)
Internet of Things Cybersecurity Improvement Act of 2017, https://zh.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017 (last visited Aug. 4, 2017)
Dustin Volz, U.S. senators to introduce bill to secure 'internet of things', Reuters, http://www.reuters.com/article/us-usa-cyber-congress-idUSKBN1AH474 (last visited Aug. 4, 2017)
Rob Price, US lawmakers are trying to fix the security nightmare that is the 'internet of things', Business Insider, http://www.businessinsider.com/r-us-senators-to-introduce-bill-to-secure-internet-of-things-2017-8 (last visited Aug. 4, 2017)
中國大陸近年致力發展其國內技術研究產業,但在基礎研究經費申請制度上,長期存在一些結構問題,如在科研資助、實施和成果傳播三個階段。故自2017年起,中國大陸陸續修正關於科研經費制度,以使科技研究人員得以順利進行科研項目。截至目前,依中國大陸國發〔2018〕25號文為基準,江蘇省推出《關於深化科技體制機制改革推動高品質發展若干政策》(下簡稱『江蘇科技改革30條』),並出台完整的實用手冊 。 此次江蘇科技改革30條,明確落實中央對科研經費鬆綁及對科研結果獎勵與容錯的改革措施。在科研經費可直接列支項目的直接預算,如設備費、材料費等,從原本九個項目改合併為五個項目,科目經費支出將不再受比例限制;另在無法直接羅列預算項目的間接預算上,如績效支出等費用則精簡列支項目,提高間接費用核定比例。在科研結果獎勵與容錯改革上,建立原創成果獎勵機制、創新補償機制、援助機制及免責機制。 中國大陸科研經費長期採用嚴格預算制,直接預算需按照法律規範羅列,然間接預算部分常使研究人員因不知如何羅列,而導致研究經費中斷或減少。對於較易失敗的基礎研究上,研究人員則擔心在階段性考核中因錯誤致使研發經費無法取得,進而將錯就錯,謊報研究成果。此次江蘇科技改革30條修正,解決了上述科研經費制度的部分問題,並具體規範了實務上的操作。然各部會間如何解決關於監管經費結餘規範之法律衝突,及科研成果容錯機制之評價,仍待後續觀察。
德國內閣公布「數位行政機關2020」 與「八大工業國(G8)開放資料宣言」行動計畫為執行「數位議程2014-2017」(行動領域3「創意政府」),德國內閣於9月17日分別公布出「數位行政機關 2020」與「八大工業國(G8)開放資料宣言」行動計畫。德國聯邦內政部部長de Maizère指出,此計畫的執行是為了讓公民享有行政機關更佳簡便、人性化、不受時間地點限制的服務,並且顧及到個人資安保障。 「數位行政機關 2020」旨於將德國數位政府(e-Government)法律在聯邦機關體制裏統一執行。在執行的做為中其中特別值得注意的是,以後聯邦形政體系使用的紙本檔案將全面轉換為數位版本。行政業務處理過程也將數位化、聯網化及電子化。此外、政府採購案流程也將數位化。這可幫助行政機關及企業節省行政資源。 為讓此計畫順利的執行,政府資料透明化的提升也變的格外重要。也因此,內政部長de Maizère公布針對「八大工業國(G8)簽署開放資料宣言」推出行動計畫。該計畫將政府機關的行政資料提供出來讓公民參考。依照該計畫,再明2015年4月底前,各聯邦政府機關將需提供兩個數據集(Datensatz),透過德國政府公開資料網路平台Govdata (https://govdata.de/) 公布出來。可公布出來之數據含括警察局統計之犯罪紀錄、政府建設合作案件、社會福利預算到德國國家數位圖書館資料及所有德國聯邦教育與研究部(Bundesministerium für Bildung und Forschung)的公開資料。
美國寬頻進步報告:寬頻部署有顯著改善但數位落差持續存在根據美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於2016年之寬頻進步報告,美國現行之標準為業者必須提供下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務,相較於2010年所設立之標準─下載速度至少達4Mbps與上傳速度至少達1Mbps的寬頻服務,顯示出美國在寬頻部署上有明顯的進步。然而,目前仍有3400萬美國人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。 這份報告亦顯示,持續之數位落差(digital divide)導致40%生活在鄉村以及部落地區之人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。此外,E-rate計畫方案之持續推行,雖使許多學校之網路連線已有顯著改善,但仍有41%之學校未能符合FCC之短期目標,亦即這些學校之寬頻連線仍無法供應數位學習之應用。基於以上理由,2016年之寬頻進步報告總結:寬頻部署並未被適時並合理的(timely and reasonable)適用於全體美國人。 該份報告亦認為當今的通訊服務應以固網及行動寬頻服務(fixed and mobile broadband service)之方式提供,彼此的功能不同並能互補。然而,FCC尚未建立行動寬頻服務標準,因此,行動寬頻之部署尚未能反映在目前之評估。 依據1996年電信法第706條之規定,FCC必須每年報告先進通訊能力之部署,是否讓每位美國人民都能適時且合理的使用。國會所定義之「先進通訊能力」(advanced telecommunications capability)必須具高品質之能力,可讓使用者傳輸以及接收高品質之聲音、數據資料、照片以及影像服務。 此份報告重點總結如下: ●全面部署: 目前仍有3400萬美國人(約10%人口)無法接取固網下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務。然而,相較於去年之5500萬美國人(約17%人口)未能接取該寬頻服務,今年已有顯著的改善。 ●鄉村與城市間之數位落差仍待改善: 仍有39%之鄉村人口(2340萬人)以及41%之部落人口(160萬人)無法接取該寬頻服務(25Mbps/3Mbps)。相較於都市僅有4%之人無法接取該寬頻服務,發展上仍不平等。但相較於去年報告所示,有高達53%鄉村人口以及63%部落人口無法接取寬頻服務,城鄉發展不均之程度已有改善。 ●學校之寬頻速度: 全國僅有59%之學校達到FCC所設立之短期目標,亦即100Mbps可以供1000位學生使用,並有極少數之學校達到長程目標,即1Gbps可供1000位學生使用。 這份報告首次將衛星寬頻服務列入評估,FCC對於衛星寬頻服務適用與固網寬頻服務採用同樣之標準(25Mbps/3Mbps)。然而,在評估過程中,尚未有任合衛星寬頻服務符合FCC所採行之寬頻標準。
美國地方法院以缺乏原創性為由駁回對泰勒絲歌詞的侵權訴訟2016年9月,詞曲創作者Sean Hall及音樂公司代表Nathan Butler提出著作權侵權訴訟,控訴泰勒絲2014年單曲【Shake it off】中「Playas, they gonna play / And haters, they gonna hate」的詞彙使用方法抄襲了2001年所錄製的【Playas Gon'Play】,主張在2001年前這種特定角色加上特定動作的重覆出現組合,並未於任何流行文化中所使用。 由於原告僅以歌詞部分進行侵權訴訟,美國聯邦地區法院法官不需專家或陪審團意見即可進行判決。法官Michael Fitzgerald以「平庸(banal)」一詞形容原告所提出的詞彙組合,駁回該訴訟,並表示被控侵權的泰勒絲歌詞內容部分為短語(short phrases),缺乏著作權法所保護的原始性及創作性,且「Playas gonna play / haters gonna hate」所展現的創作性和「鼓手會打鼓/游泳者會游泳」沒什麼兩樣。因此,除非【Shake it off】中有其他音樂元素可能值得聲稱侵權,法院願意給予原告機會修改聲明,進行上訴。此外,法院提出其它理由:「Playas+play」這樣的詞彙組合早於1977年單曲【Dreams】中「Players only love you when they’re playing」就曾被使用過,且「Playas」一詞也曾用於1990年年代做為R&B樂團的團名。 這不是【Shake it off】第一次遭逢侵權訴訟,2015年Jessie Braham指控【Shake it off】侵犯其於2013年發行的單曲【Haters Gone Hate】,並求償4,200萬美元。但由於原告並未提供足夠證據,該案亦遭駁回。