從國外案例談軟體漏洞資訊公布與著作權防盜拷措施

　　在經歷1個多月、共50回合4G(含LTE與Wimax)頻譜拍賣後，英國Ofcom在2月20日宣布Everything Everywhere Ltd(EE)、 Hutchison 3G UK Ltd、 Niche Spectrum Ventures Ltd、 Telefónica UK Ltd (O2)與Vodafone Ltd五家公司取得頻譜執照。這次4G釋照拍賣收入比預期少10億英鎊，但也挹注英國政府23.4億英鎊，使財政得以紓緩。目前，英國民眾最晚於2017年，就可享有更快、更便宜與覆蓋性更佳的4G服務。 　　此次頻譜釋出共有250MHz取自於800MHz與2.6GHz。800MHz之得以釋出，來自於類比電視訊號關閉後，因頻譜重整所取得之「數位紅利」，並採取分頻多工（frequency division duplexing，FDD）；至於，2.6GHz則依頻段不同，而分別採用分頻多工與分時多工（time division duplexing，TDD）。由於，800MHz擁有優良覆蓋性，是故，英國政府藉由800MHz特性，釋放一張2*10MHz之執照，並規定業者覆蓋義務，以達到英國發展行動網路之目標。目前，取得該執照的O2，最晚於2017年須提供98%人口於室內可取得行動寬頻服務、至少95%人口能於英國境內(英格蘭，北愛爾蘭，蘇格蘭和威爾士)取得4G服務。 　　在Ofcom採取組合價格鐘拍賣型式（combinatorial clock auction，CCA）下，目前，業者已完成頻譜標得區塊數目(Eg:EE於800MHz取得一張2*5MHz)，待得標者完成配置(Assignment stage)頻段位址(Eg:EE頻段確定在800 MHz ~805 MHz)，最快於2013年夏天，英國民眾可更普及的享有下述優點： 　　1.網速可達到100Mbp，超越現今3G五至十倍。 　　2.使用智慧型手機、平板觀看電視，雜訊、遲緩的問題將不復見。 　　3.使用高畫質視訊將更為輕鬆，並且，照片與影片上傳於社群網站將非常迅速。 　　4.偏遠地區可因4G的覆蓋性廣而具有網路服務。 　　OFCOM不僅促進4G市場競爭外，並在今(2013)年年底提供報告，告知消費者與企業4G服務發展現況、地理位址，與網路速度，讓使用者有能力作出最好的選擇。而在未來的發展上，許多研究單位估計2030年時，行動網路的傳輸需求將可能是現在80倍，英國亦開始探討釋出頻譜發展5G的可能性，以因應未來供不應求所導致的「容量危機」(capacity crunch )。

2024年保護美國人資料免受外國對手侵害法案（Protecting Americans’ Data from Foreign Adversaries Act of 2024, PADFA）於2024年6月生效。該法案為美國國家安全補充法案（H.R. 815, the National Security Supplemental）的一部分。美國總統拜登在2024年4日24日簽署通過國家安全補充法案以及該法案所包含的PADFA，而PADFA將於簽署日後60天發生效力。 PADFA禁止資料經紀人將美國人民的敏感個資（personally identifiable sensitive data）傳輸到指定的外國對手國家，以及由這些國家控制的實體，如公司等。 PADFA所指之資料經紀人（data broker），是指以出售、授權、租賃、交易、轉讓、發布、揭露、提供存取權或其他方式，將個人資料提供給特定實體，並收取對價者。而該法所稱之敏感個資，定義則相當廣泛，從個人日常活動資料如行事曆資訊、電子郵件，到個人醫療、財務資料皆包含在內。 目前PADFA指定之外國對手國家，是引用自美國法典第十編4872（d）（2）條（4872（d）（2）of title 10, United States Code.），包含中華人民共和國、朝鮮民主主義人民共和國、俄羅斯聯邦、伊朗伊斯蘭共和國。而外國對手國家控制的實體則包含以下幾類 : 1.前述國家擁有20%以上所有權的實體。 2.主要營業據點、總部、住所位於前述國家的實體。 3.依前述國家法律建立的實體。 4.受前述國家指導、控制之人。 由於PADFA適用範圍廣泛，未來美中兩國資料傳輸將受更多限制。該法案生效後將由美國的聯邦貿易委員會（Federal Trade Commission）執行，該委員會將有權對違規者進行民事處罰。

美國目前沒有聯邦的隱私法，由各州訂定州隱私法、產業隱私法，要求企業應揭露資訊以提升資訊透明度，然而隱私法要求企業揭露的資訊多涵蓋了企業的營業秘密。美國華盛頓州州長於2023年4月27日簽署《我的健康資料法（My Health My Data Act）》的州隱私法，其將消費者的健康資料廣義定義為「與消費者有關或具合理關聯的個人資料，可用於識別消費者過去、現在或未來的物理或心理健康狀況」，例如醫療相關資料、患者接受醫療服務的精確地理位置、透過非健康資料可推斷得出的資料。「非健康資料可推斷得出的資料」，如零售業者蒐集消費者近期採購的訂單內容（非健康資訊），並透過AI機器學習分析得出消費者可能懷孕的比例及預產期，藉此對該消費者投放零售業者的嬰幼產品的個人化廣告。 於《我的健康資料法》廣義定義「健康資料」下，導致消費者可要求企業提供的資料可能涵蓋了「企業長期累積之消費者使用資料、經演算法分析運用之消費者使用資料、共享消費者資料的第三方企業名單」等企業認為屬於其營業秘密的資料。 為平衡隱私法的資訊透明度及企業想保護其營業秘密，建議企業可先採取：　 1.使公司的智財部門與資料保護部門合作，確保公司人員對公司營業秘密標的及範圍的認知一致，並盤點企業所有的營業秘密以製作、持續更新營業秘密清單。 2.企業在揭露受營業秘密保護的資料給消費者前，先與消費者簽訂保密契約，並參考前述營業秘密清單約定契約之保密範圍。 如企業欲採取更完備的營業秘密管理措施，建議參考資策會科法所創意智財中心發布的《營業秘密保護管理規範》。 本文同步刊登於TIPS網站（https://www.tips.org.tw）。

美國及其他參與國際反勒索軟體倡議（International Counter Ransomware Initiative, CRI）之50個成員（含國家及國際組織），於2023年10月31日至11月1日召開第三次大會，並且發布聲明表示：應積極建立對抗勒索軟體之集體韌性（collective resilience）、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。 CRI於2023年之關鍵成果主要可分以下三個面向： 一、加強資安管理能力 對CRI新成員提供指導及戰術培訓，例如由以色列督導約旦，以確保新成員之資通安全。此外，亦發起利用人工智慧打擊勒索軟體之計畫。 二、促進資訊共享 設立可即時更新之資訊共享平台，使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫（Malware Information Sharing Project, MISP）、以色列及阿拉伯聯合大公國之水晶球平台（Crystal Ball platforms）。 三、反制勒索軟體使用人 CRI發布前所未有之共同政策聲明，闡明成員不應支付贖金，且創設成員間共享之加密貨幣錢包黑名單（blacklist of wallets），以便揭露勒索軟體使用人之非法帳戶，並公開與犯罪組織之金流紀錄。另，CRI於2024年起將持續致力發展前述聲明提及之目標，並優先向潛在成員進行宣導，透過提供量身訂做之資安應變能力培訓，滿足潛在成員之需求。