歐盟《5G網絡安全風險聯合評估報告》
歐盟執委會(European Commission, EC)於2019年10月9日發布《5G網絡安全風險聯合評估報告》(report on the EU coordinated risk assessment on cybersecurity in Fifth Generation networks),為執委會調查歐盟成員國家5G網路安全風險評鑑。該評估報告將由歐盟網路與資訊安全局(European Union Agency for Network and Information Security, ENISA)後續進一步分析歐盟發展5G行動通訊所帶來的網路安全威脅。
報告中顯示,5G網路的安全挑戰,主要來自(1)5G技術關鍵創新:尤其是5G軟體重要組成部分與5G廣泛的服務和應用等技術創新,以及技術創新所帶來的安全性更新;(2)供應商:若5G通訊營運業者對供應商過度依賴,會導致攻擊者可利用的攻擊路徑的增加。
5G網路開展將帶來許多影響,包含:
- 隨著5G網路軟體發展,攻擊者有更多潛在切入點;與軟體有關的安全風險漏洞管理十分重要,供應商內部不良的軟體開發流程會使攻擊者容易將惡意軟件植入後門,且難以被發現。
- 對單一供應商的依賴也會帶來風險增加,包含供應鏈中斷風險、增加供應商變更成本、供應商受到非歐盟國家有意介入的可能性、以及在產品供應瑕疵的情況下營運業者難以採行應變措施等。
- 隨著5G網絡作為許多關鍵資通訊應用的骨幹,對5G網路可用性、完整性、機密性的威脅將成為國家安全隱憂,也是歐盟未來需要面對的最大的網路安全挑戰。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉芷宜
法律研究員 編譯整理
歐洲聯盟法院(CJEU)2019年10月1日對Planet49案(Case C-673/17)作出裁決。Planet49 GmbH為線上遊戲公司,用戶必須註冊並填寫姓名、地址等資料,點擊「參加」鍵後,會出現兩個選項框,一為「同意接收贊助商及合作夥伴的廣告訊息」,用戶必須勾選此一選項始可參加;另一選項框是「同意將用戶的Cookies用於廣告目的與分析」,此一選項已被預先勾選,而用戶可以取消勾選;在選項旁附有說明(如Cookie的用途等),並告知用戶可以隨時刪除所設置的Cookie。 歐盟法院針對《電子通訊隱私指令》(ePrivacy Directive, ePD)以及《一般資料保護規則》(General Data Protection Regulation, GDPR)進行闡明,重點如下: 一、ePD所要求對於Cookie儲存與使用的「同意」必須符合GDPR的「同意」原則,必須是當事人自願、具體、知情且明確的同意,本案「預先勾選同意」不構成有效同意。 二、「同意」必須特定對象,而不能藉由其他標的加以包裝、暗示,用戶點擊「參加遊戲」不能代表「Cookie的同意」。 三、ePD是對於用戶資料儲存與取得的保護,不論是否涉及「個人資料」均有ePD的適用,而必須取得用戶同意。 四、對於Cookie的使用必須清楚揭露,包括Cookie用途、運作期間、第三方是否有機會取得此一資訊等,以確保用戶確實了解其所為「同意」的內容與範圍。
在西班牙下載音樂無罪?!本週西班牙法官判決,認為行為人為私人用途而下載音樂,其行為並非藉以從中獲利,應認其為無罪。 即便,檢察官辦公室及音樂工會呼籲應對此下載音樂並且在郵件及聊天室提供音樂之被告,處以兩年有期徒刑,然而,在此案當中,卻無直接證據證明被告於銷售音樂之過程中獲利。 此判決震驚了音樂工會,如此一來,西班牙一千六百萬的網路使用者將可透過網路交換音樂而不會受到處罰。西班牙唱片工會聯盟 Promusicae 表示,他將對此項判決提起上訴。 由於歐洲不同的法律規定,關於分享檔案的訴訟也會因不同國家而有極大的差異。然而,大多數的歐洲國家傾向對此處以較高的刑罰。就同為歐盟成員的芬蘭而言,上週便有 22 人因為非法分享電影、音樂遊戲及軟體而被處以 427,000 歐元。 至於西班牙此項為個人用途而下載音樂之行為,據其司法院院長指出,則有待立法修正解決。
英國通過「隱私及電子通訊規範」英國於今年5月26日通過「隱私及電子通訊規範」(The Privacy and Electronic Communications Regulations),實現隱私監督之責,以管控cookies或是侵害個人資料之行為。 新法納入歐盟於2009年e隱私指令中所決定之改變,旨在讓網路使用者自行決定資訊服務業或其他事業能儲存多少使用者之紀錄。但業者對此項新要求表示困惑,因此英國之隱私權主管監督機關資訊專員公署(Information Commissioner's Office,ICO)最近出版一份指引,指導網站如何遵守新法使用cookies功能之規定及履行告知義務之要求。然而指引中並未強制規定告知內容與方式,因此業者仍可自行決定如何最有效地履行告知義務。 ICO本週表示新法尚有一年之緩衝期間,讓業者調整使用cookies功能之方式。政府表示目前仍在與瀏覽企業者討論,如何透過瀏覽器頁面之設置取得當事人之同意,而此部分尚未規定在新法中。 「政府的指引太晚公布了,並且缺乏明確性,又無法確定新法是否能允許以瀏覽器技術作為解決之方法,這樣會讓業界無所適從」,任職於Pinsent Masons法律事務所的科技法律專家Clarie McCracken說,「此種非決定性之指引會使業者無法找到標準作法以避免觸犯新法。」。 ICO認為企業在新法正式施行前,最好趕快表明其如何使用cookies功能並制定相關規定以遵守新法。 新法同時要求特定企業當其所蒐集之個人資料遭受駭客攻擊或外洩時,其必須要告知消費者。根據新法,個人資料遭受侵害之定義為:某種安全狀態遭受攻擊,導致與公共電子通訊服務有關之個人資料被故意或不法毀損、滅失、竄改、越權揭露或存取、傳遞、儲存或其他相關利用。當上述情事發生時,公司必須通報ICO,說明大致情況及可能產生之結果,並提出公司將採取之因應措施,同時告知受害之消費者。
MPAA 藉由 BT 網站伺服器記錄對 P2P(BT) 軟體用戶提起訴訟追蹤、定位、起訴,所有 P2P(BT) 軟體使用者的噩夢再次上演。全美製片業團體「美國電影協會」 ( Motion Picture Association of America ; MPAA ) 在 8 月 25 日對美國境內 286 位居民提起訴訟,成為首宗利用 P2P(BT) 網站伺服器記錄 ( server logs ) 追蹤 ( track down ) 盜版電影下載者的案例。 今年 2 月,著名 BT 網站 LokiTorrent 與 MPAA 的大戰告一段落。德州法院下令 LokiTorrent 關閉網站外,並命令 LokiTorrent 將伺服器記錄轉交給 MPAA 的調查員 ( investigator ) 。 MPAA 的發言人聲稱本月 25 日的訴訟與此事件無關,但所有人都明白 MPAA 正是憑此線索,最終找到了 P2P(BT) 用戶的行蹤。好萊塢希望藉此行動阻嚇免費下載電影的行?, MPAA 資深副總裁 John Malcom 聲稱「下載盜版電影的人要當心了,當你為著作權侵害行為時,網路上並不會有朋友站出來替你撐腰。」 儘管 P2P(BT) 軟體背負著助長盜版的惡名,但 P2P(BT) 的合法用途也在逐漸增加,例如使用 P2P(BT) 技術分發 ( distribute ) 開放原始碼軟體 ( open-source software ) ,網路瀏覽器軟體公司 Opera 即在新版的程式中內建了此種技術。 BT 技術的發明人 Bram Cohen 曾警告用戶,使用 P2P(BT) 軟體下載盜版是個蠢主意,因?軟體在設計時並未刻意隱藏用戶的識別資訊,這也是為何 MPAA 此次能憑藉著伺服器記錄對用戶提起訴訟的主要原因。