RFID應用與相關法制問題研析－個人資料在商業應用上的界限

　　美國聯邦貿易委員會（Federal Trade Commission, FTC）於2014年間以路由器(Router)與雲端服務的安全漏洞，導生消費者面臨資安與隱私風險之虞，而依據《聯邦貿易委員會法》第5條（Federal Trade Commission Act, 15 U.S.C. § 45(a)）委員會防止不公平競爭違法手段（unfair methods of competition unlawful ; prevention by Commission）之規定，即華碩涉嫌行使不公平或詐欺的手段致影響商業活動之公平競爭為由，對我國知名全球科技公司華碩電腦股份有限公司(ASUSTeK Computer, Inc.)進行起訴 。 　　本案歷經FTC近二年的調查程序後，華碩公司於2016年2月23日同意FTC的和解條件，即華碩公司應針對部分存在資安疑慮的產品依計畫進行改善，並且於未來20年期間內須接受FTC的獨立稽核(independent audits)。 FTC於該案的起訴報告中指出，華碩於銷售其所生產的路由器產品時，曾對消費者強調該產品具許多資安保障措施，具有得以防止使用者不受駭客攻擊等效果；然而，該產品實際上卻具有嚴重的軟體設計漏洞，使駭客得以在使用者未知的情況下，利用華碩路由器的網頁控制面板(web-based control panel)之設計漏洞，任意改變路由器的安全設定；更有專家發現駭客於入侵華碩製造之路由器產品後，得以強佔使用者的網路頻寬。 　　此外，華碩允許使用者沿用路由器產品的預設帳號密碼，再加上華碩所提供的AiCloud與AiDisk雲端服務功能，讓使用者得以隨身硬碟建立其私有的雲端儲存空間，使得駭客得藉由上述華碩路由器的設計漏洞直接竊取使用者於隨身硬碟內所儲存的資料。FTC並於起訴聲明中指出，駭客利用華碩路由器產品與相關服務的漏洞，於2014年間成功入侵超過12,900多位產品使用者的雲端儲存空間。除此之外，使華碩更加備受譴責的是，當該漏洞被發現之後，其並未主動向產品的使用者強調產品存在該資安問題，更未告知使用者應下載更正該設計漏洞的軟體更新，因此FTC始決定對華碩進行起訴。

　　美國聯邦通訊委員會（Federal Communications Commission）於1998年要求有線電視業者將條件式接取（conditional access, CA）元件與機上盒的基本瀏覽設備分離；並於2003年採用CableCARD做為共通標準，希望藉由此「機卡分離」措施，達成有線電視服務層與設備層的結構分離，為設備層導入競爭與投資，以促進機上盒之功能創新與降低價格。 　　惟本措施2007年實施以來，因CableCARD安裝程序複雜、有線業者與機上盒製造商態度消極，致實行成效不彰。絕大多數的民眾仍未自購市售機上盒；且租用有線業者所提供機上盒者，大多未安裝CableCARD。 　　FCC故於2010年底發佈新命令，希望弭平有線訂戶租用與自購機上盒之落差；本命令於2011年8月生效，FCC表示將「嚴格執行」以下八項政策。有線業者應： (1)提供零售機上盒相容性之精確資訊； (2)提供非租用機上盒之訂戶同等的頻道套餐折扣； (3)無論租用或自購機上盒，CableCARD之價格必須一致，且明確揭露費用； (4)不得因租用或自購機上盒而行費率之差別待遇； (5)允許訂戶自行安裝CableCARD； (6)專業安裝人員必須到府完整安裝CableCARD； (7)提供具多重串流（multi-stream）效能之CableCARD； (8)確保得以收視所有的線性（linear）頻道。

二００四年十二月九日日本金融廳表示，為因應日益頻繁的網路及IC智慧卡被用以進行電子金融交易的現況，該廳將研議「電子銀行法」(暫稱)之立法以保障金融消費者，並將此納為未來施政方針。該項立法提案計劃已納入金融廳最新的金融行政方針─「金融重點強化計劃」(2005年4月起2007年3月止)之中，期待在2005年至2006年度間完成立法。 　　目前電子金融交易及電子現金等實務現況雖有可能涉及「電子簽章法」及「電子消費者契約法」的相關規範，惟金融廳的研究認為尚缺乏對此類交易活動的「總合性立法規範」。該立法研議甚擬導入對於因在網路上交易不慎遭受「冒名欺騙」 (?????；spoofing)的被害人，由金融機構為一定額補償的制度。

　　美國眾議院於2016年4月27日一致同意通過支持電子郵件保護及雲端隱私法案（Email Privacy Act, EPA），本法案之後將會要求執法部門於搜查電子郵件或儲存於雲端設備的資料時，必須向法院取得搜查令，才能取得超過180天以上的資料。 　　本法案係針對1986年推出的《電子通信隱私法（Electronic Communication Privacy Act, ECPA》進行補強，因為目前科技的進步，早已遠超過ECPA是在網路興起前所得規制的範圍，在當初ECPA法案訂定之初，人民仍有定期刪除E-mail以保持硬碟空間的習慣，但相較於現在多數人都已使用雲端信箱的習慣下，如仍能讓警方等恣意調查任何人的信箱，往往可取得巨量的消息，因此本次的修正可預期將更能使相關規範符合時宜需求。 　　本次修正重點如下： 1.過往之ECPA規定要求聯邦機構在調查超過180天的電子郵件時只需要取得傳票即可，現在則是需要取得搜查令。 2.要求政府機構必須先取得法院的搜查令，才可以要求供應者揭露其保有之資訊。 3.要求執法部門應於取得資料的10天內向資料被揭露者提供相關證明，如涉及政府單位者則縮短至3天。 　　雖然EPA在眾議院內獲得美國兩黨的一致通過，但仍須經參議院下一波的投票表決，才能決定本案是否得順利通過。