美國國家標準與技術研究院公布物聯網設備核心網路安全基礎指南草案
美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)於2019年8月1 日公布「安全物聯網設備之核心網路安全特徵基準(Core Cybersecurity Feature Baseline for Securable IoT Devices)」指南草案,提出供製造商參考之物聯網設備網路安全基本要素,該指南草案中提出幾項重要核心要素如下:
- 設備辨識:物聯網設備必須有可供辨識之相關途徑,例如產品序號或是當連接網路時有具獨特性之網路位址。
- 設備配置:獲得授權之使用者應可改變設備的軟體以及韌體(firmware)之配置,例如許多物聯網設備具有可改變其功能或是管理安全特性之途徑。
- 資料保護:物聯網設備如何保障其所儲存以及傳送之資料不被未經授權者使用,應清楚可被知悉,例如有些設備利用加密來隱蔽其儲存之資料。
- 合理近用之介面:設備應限制近用途徑,例如物聯網設備以及其支持之軟體應蒐集並認證嘗試近用其設備的使用者資訊,例如透過使用者名稱與密碼等。
- 軟體與韌體更新:設備之軟體應可透過安全且可被調整之機制進行更新,例如有些物聯網設備可自動的自其製造商取得更新資訊,並且幾乎不需要使用者特別之動作。
- 網路安全事件紀錄:物聯網設備應可記錄網路安全事件並且應使這些紀錄讓所有人或製造商可取得,這些紀錄可幫助使用者與開發者辨識設備之弱點以近一步修復。
本文為「經濟部產業技術司科技專案成果」
柯亦儒
組長 編譯整理
中國大陸為鼓勵科技研發與創新,陸續訂有《科學技術進步法》(最近一次修正為2007年12月29日,自2008年7月1日施行,以下簡稱科技進步法)及《促進科技成果轉化法》(原為1996年5月15日訂定,最近一次修正已於2015年10月1日起施行),並分別規範智慧財產權相關內容。 其中,關於中國大陸政府補助科技計畫產出之智慧財產權,依科技進步法第20條第1項規定,凡政府補助之科技計畫研發成果,其產出之發明專利權、電腦軟體著作權、積體電路布局權及植物品種權,除涉及國家安全、國家利益或重大社會公共利益者外,由該科技計畫項目承擔者(參照科技進步法第5條第2項規定,可能為組織或個人)依法取得。 而相關科研工作者依前述規定取得成果後,如欲進行運用或轉化,依《促進科技成果轉化法》第2條規定:「本法所稱科技成果轉化,是指為提高生產力水平而對科技成果所進行的後續試驗、開發、應用、推廣直至形成新技術、新工藝、新材料、新產品,發展新產業等活動」,需依該法相關規範辦理,如第12條可透過政府資源、融資、創投等支持科研成果轉化,且其運用方式如第19或45條具相當彈性,並可讓執行人員獲得一定的收入。
加州針對18歲以下兒童通過兒童隱私保護法加州州長Gavin Newsom 早先簽署了《加利福尼亞州適齡設計法》(California Age-Appropriate Design Code Act AB 2273,以下簡稱該法),2023年4月28日,倡議團體與聯邦政府官員提交一份意見陳述以支持該法,預計於2024年7月1日生效;針對提供線上服務、產品給18歲以下加州兒童的企業進行管制。 該法的適用範圍: 1. 倘若企業提供的線上服務、產品或功能符合以下條件,則受該法所規範: (1) 提供服務的對象為兒童(年齡於13歲以下的孩童)之網路服務商。 (2) 所提供之服務包括兒童經常瀏覽的網站,或者確定是廣泛被兒童使用的線上服務、產品或功能。 2. CPRA(California Privacy Rights Act)所規範之「企業」,是位於加州並蒐集加州居民個人資料的營利性組織,其須滿足以下條件之一: (1) 年度總收入超過 25,000,00美元,或是每年單獨或聯合購買、出售或共享100,000名以上加州居民或家庭的個人資料,或者年收入的50%以上來自出售或共享加州居民的個人資料。 (2) 該法不適用於網路寬頻服務、電信服務或實體買賣行為。 一. 規範內容 1. 資料保護影響評估:企業針對所營事業須完成資料保護評估,且必須每兩年自主進行資料安全確認。 2. 最高級別隱私權設置:企業對於兒童使用者,須預設最高等級之隱私權設置及保護。 3. 隱私政策和條款:企業必須簡明的提供隱私政策、服務條款和明確標準,並使用與兒童年齡相符的清晰語言,以便兒童理解語意。 (1) 將兒童依據年紀分為:0至5歲為「早期識字階段」、6至9歲為「核心小學階段」、10至12歲為「過渡階段」、13歲以上為「早期成年階段」。 (2) 定位服務:要求企業在兒童的活動或位置受到父母、監護人或其他消費者的監控或追蹤時,向兒童明確提醒。 該法針對兒童制定嚴謹的法規予以保護,確保兒童個人資料不會在沒有認知的情況下,因使用服務而被蒐集、處理及利用。該法特殊的地方為,對於未成年人進一步區分不同年齡段,若有明確區分出並針對各年齡段進行不同的告知事項設計,將更易使閱讀之未成年人明確了解個資告知內容,應值贊同。
首件由好萊塢電影公司共同對網路空間(cyberlocker)業者提起著作權侵害之訴迪士尼、20世紀福克斯、環球影城、哥倫比亞和華納兄弟於2011年2月向美國佛羅里達州南部法院起訴,控告Hotfile網站非法、大規模侵害其享有的著作權。美國電影協會(the Motion Picture Association of America, MPAA)於新聞稿中聲明,Hotfile以數位方式大規模的侵害他人著作權,而其經營人亦未馬上有效處理該侵權爭議。 Hotfile係近二年來提供電腦檔案寄存最熱門的網路空間(cyberlocker)服務業者之一,主要的業務在提供民眾一藏塞夾(stash box)儲存其私人影片。網路空間(cyberlocker)服務業者擁有龐大的儲存設備,並提供有限上傳檔案空間、檔案寄存時間及下載速度之免費服務,為雲端服務之一種形式,其主要收入是廣告或用戶付費,以維持營運。跟BitTorrent不同的是,cyberlocker無需下載任何軟體即可資訊共享,用戶只要上cyberlocker網站即可直接觀賞影片或電視節目。 MPAA在聲明中表示,Hotfile以支付費用之獎勵方式,鼓勵其會員上傳並散布受著作權保護之最熱門的電影或電視節目到Hotfile網站,任何人均可透過網路連結,到Hotfile網站下載受著作權保護之電影或電視節目。Hotfile並向下載該電影或電視節目之會員收取費用,卻未向所上述電影公司支付任何費用。原告(電影公司)因此對被告Hotfile訴請損害賠償及禁制令。 Hotfile提供上傳空間的網站用戶和流量近幾個月迅速增加,但該網站是否會因為原告(電影公司)向法院訴請損賠及禁制令,而支付巨額賠款或停止網路服務,則需視該案訴訟之發展情況。
法國法院判決:政府獨占賭博事業 違法賭博事業之經營是否應由政府獨占之議題,已陸續在歐洲國家產生爭議問題。2007年3月,義大利禁止於英國取得經營賭博事業執照之Stanley公司至義大利提供賭博服務,因此,義大利法院請求歐洲法院判決,以確定此一行為是否違反歐盟自由貿易原則。隨後,歐洲法院做出判決,認定義大利法律禁止未於義大利取得經營執照之公司在義大利境內經營賭博之規定,違反歐盟競爭法及歐盟條約第49條之規定。 2007年7月中旬,法國最高法院逆轉了過去禁止Malta’s Zeturf於法國經營經營賭博的見解,而遵循歐洲法院之判決結果,認為禁止賭博事業係違反了歐盟競爭法,以及歐盟條約第49條保障境內服務自由流通之規定,並基於上述理由判決Malta’s Zeturf取得於法國經營線上賭博遊戲之權利。法國法學專家Credric Manara以為,最高法院該判決將可能打開原來由政府獨占的賭博市場,而讓賽馬及其他運動賭博遊戲能擴及其他歐洲國家。 法國該向判決卻顯示了法國刑法禁止賭博的規定將無法限制歐盟條約中所保障的自由流通原則,然而,這樣的結果,卻也考驗了以刑法禁止賭博的國家對於法規衝突應如何解決以為之因應。