2020年6月、9月及11月,印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)分別發布三項公告,內容為封鎖數款具資安風險之應用程式,並直接列出名單,總數一共高達220款。三項公告分別如下:
三項公告皆指出依照資訊技術法(Information Technology Act 2000)第69A條之規定,中央政府為保護印度主權之完整性、國家安全、公共利益而有必要,得透過命令封鎖、監視或解密由特定電腦資源(computer resource)產生、傳送、儲存或管理的資料。依照同法第2條第1項第k款,電腦資源係指電腦設備、電腦網路、軟體或應用程式。
電子及資訊科技部進一步表示,經民眾檢舉後調查發現,在手機Android及iOS系統之應用程式商店中,有許多應用程式未經使用者授權就存取其重要資料,並傳輸到印度境外的伺服器,不僅對印度人民隱私造成威脅,更損害印度國家安全與公共利益。有鑑於此,電子及資訊科技部決定封鎖此類具資安風險之應用程式,將名單中所列應用程式自應用程式商店中下架,名單中包括TikTok、WeChat、淘寶、支付寶、微博等應用程式。由於名單中大多數皆屬中國企業開發之應用程式,外界普遍認為是今年6月中印軍隊於邊界西段加勒萬河谷(Galwan Valley)發生衝突,因此印度透過封鎖中國資通訊服務之手段以牽制對方,預計此舉將導致兩國關係更加緊張。
為了報復美國非法補貼國內棉花業者,造成巴西的損失,巴西先是在3月初公布一份含102項美國產品之關稅調高名單,將在4月7日生效;在3月中旬又提出另外一份含21個項目的名單,包括中止(suspend)美國化學、醫藥、軟體、書籍和電影方面的專利權和智慧財產權,這份新的名單在公布後的未來20天,任何人都可以提出意見。 巴西的制裁措施是依據去年8月世界貿易組織(WTO)針對巴西和美國的貿易糾紛所作出的決定,WTO認為美國在1999年到2002年違法補貼其國內棉花業者,違反作為WTO成員所應遵守的義務,而給予巴西對美國進行8.29億美元的跨業報復(cross-sector retaliation)權利。 巴西政府估計3月初的調高進口關稅總值可達5.91億美元,3月中旬的智慧財產權報復行動可產生2.39億美元的衝擊。此外,如果3月中旬的制裁措施最後真的付諸實行,將會是WTO糾紛中第一次成功地利用智慧財產權作為報復手段的案例。 巴西政府希望藉由最新的報復手段可以迫使美國正視這個問題,美國貿易代表團則認為巴西此舉會帶來負面的先例影響,並且希望能和巴西政府協商共同解決這項議題,盡可能不使報復行動發生。
機關實體安全維護現行法制與實務運作之研析(下)機關實體安全維護現行法制與實務運作之研析(下) 科技法律研究所 2013年08月25日 貳、澳洲防護性安全政策架構:機關實體安全維護政策暨相關規範 一、「防護性安全政策架構」概說 防護性安全政策架構(Protective Security Policy Framework)[1]由澳洲司法部(Attorney-General’s Department)發布,最新版本修訂於101年12月,其宗旨在協助機關有效鑑別安全風險容忍度的等級、達成安全維護之要求並因應各機關業務目標發展適合的安全文化,同時也能達到預期的行政效能、獲得人民及國際間的信任。其架構設計成四個層次。 最上層為「政府業務安全性指令(Directive on the security of government business)」,屬於防護性安全政策架構的基石,訂明機關及委外廠商的安全性要求。第二層進一步訂定「核心政策/法定強制要求(Core Policies/Mandatory Requirements)」,核心政策從三大面向出發:人員安全、資訊安全及實體安全。第三層則分別就三大核心政策制訂細節性的實施指引、安全保護措施和風險管理文件的範本,包含應用標準,使所有機關作法具一致性,使跨部門的業務執行更加順暢。最末層則為「機關特定防護安全政策與程序(Agency-Specific Protective Security Policies& Procedures)」,協助機關發展出合乎自身特性和業務需求的專屬政策和程序,同時補充和支援其他機關的的營運程序。 二、機關實體安全管理指引:管制區及風險減輕控制[2] 本指引的規範客體為政府機關內所有人員及接受政府機關委外安全維護服務的承包商(contractor)及個人。保護範圍涵蓋所有政府設備設施、實體資產及機關人員駐點場所,但若澳洲法律有比本指引更嚴格的要求,應優先遵守。規範內容可分成四大項:降低風險與確保措施(risk mitigation and assurance measure)、管制區方法論及要求(the security zones methodology and requirements)、個別控制要素(detail of individual control measures)、行政管理上的實體安全要素(Physical security elements in administrative security)。 (一) 降低風險與確保措施 機關應依指定之標準和要求進行風險評估[3]及風險管理[4]。風險評估是設計安全維護措施的基礎,且至少每兩年便應重新評估。又機關可能因為某些特別的原因易生潛在的特定威脅,需要額外的加強實體安全性,機關可以透過檢視自己業務是否具爭議性、辦公場所地區犯罪發生率、出入訪客數量及以往發生衝突的機率、是否因持有特定資訊或資產而易於成為攻擊目標、設施是否與民間企業共構及其他誘因等進行風險評估。 接著,機關應依風險程度差異區分不同安全等級的工作區,或區分上下班時間,評估可能遇到不同的風險。例如,上班時間會有洽公民眾或訪客,需特別注意內部威脅;下班後則要特別注意外部入侵問題。又辦公室動線的設計與有效的安全控制攸關,故可以考慮進行「關鍵路徑規劃(Critical path)」,亦即在動線設計上,讓可能的外來危險入侵到辦公場所核心領域的成功時間盡可能延長,使應變小組有時間偵測、延遲並能及時回應跟阻止入侵。最後,機關若能擁有獨立建物時,於設計時需考量「透過環境設計預防犯罪(Crime prevention through environmental design/CPTED )」,避免建物有太多死角而易於進行不法或犯罪行為[5]。 (二)管制區方法論及要求 管制區(Security Zone)共分為五個安全等級,也就是依風險評估劃分工作區,並賦予相應的控管措施[6]。機關得按自身需求決定要設置幾個等級的管制區。例如,一級管制區指公眾可出入的場所、車輛會不斷進出的作業區,故得使用、儲存的資訊及資產敏感性不得超過一定等級;二級管制區是所有員工及委外廠商的自由出入的區域,公眾在一定條件下得出入,通常是指標準辦公場所、機場工作區或具一定隔離、出入管制措施的訪客區或展示區;三級以上管制區則對於能進出的內部人員的資格益加限縮,且外部人士或委外廠商可能需由專人全程護送,同時也能使用或儲存高重要性的資產和資訊,如情報機構本身即屬五級管制區。 (三)個別控制要素 此部分在提供機關判斷、選擇控制措施的準則,機關可以根據風險評估的結果選擇相應的安全控制措施,共分為15項,主要包括了澳洲安全建設及設備委員會(The Security Construction Equipment Committee/SCEC)認可的產品目錄清單及產品選擇標準的指導手冊、建築物安全配備的標準、警報系統與相關設備、門禁管制、訪客管控、警衛與保全人員的聘用、安全置物箱或保險庫及周遭環境的安全管制(Perimeter access control)等。 又警衛與保全人員之聘用,必須擇用有證照者。澳洲依行政區有不同的保全證照制度與規定[7],以澳洲首都區(ACT)為例,主要係依2003年保全業法(Security Industry Act 2003)[8]、2011年保全業修正法(Security Industry Amendment Act 2011)[9]及2003保全業規則(Security Industry Regulation 2003)[10],證照共分五種:保全公司證照、保全人員證照、保全教官證照、見習保全證照及臨時保全證照。保全證照每三年需換發一次。另外,若在販賣酒精的場所工作或需使用槍枝,則需另外取得許可。 澳洲保全業的主管機關為法制服務辦公室(Office of Regulatory Service),職掌教育訓練、監督與查核、自我規範、資訊分享及強制執行。主要查核項目為定期檢查及工時外的抽查(afterhours inspection),前者著重於申訴案,證照的暫時中止或撤銷懲處;後者著重於高風險事件,例如非法經營的保全公司、不適當行為及保全業非法雇用未成年人員等[11]。 (四)行政管理上的實體安全要素 在行政作業程序上,機關得運用一些實體設備設施達成安全管理的需求,例如在傳遞小量的實體資產或資訊(如公文紙本)至其他機關,應使用保險箱、集裝箱;又銷毀機密紙本時使用碎紙機或水銷方式等。 三、防護性安全管理指引:委外服務與職能安全性 [12] 本指引在協助機關將業務委外時,如何建立完善的委外政策和擬定契約,詳述防護性安全政策架構4.12節以及機關要如何遵守政策架構下第12條規定:「機關必須確定委外服務廠商遵守本政策架構及所有的防護性安全規則書(protective security protocols)的要求」。由於委外服務的執行人員能夠進入機關內部辦公場所、接近機關資訊資產,故機關有責任建立人員安全控管程序(necessary personnel security procedures),管理委外服務的安全性風險。本指引提供一個持續性、結構性的方法幫助機關決定:委外廠商經營場所應有的安全維護措施、委外廠商使用人員的安全調查程序(security clearance requirements)及契約中安全管理措施的約定(protective security management arrangements)[13]。 契約中必須明訂委外廠商應遵守的相關法律規定、機關所需的必要安全維護要求與遵守期間、規律和持續性的監督辦法(例如機關代表可進入委外廠商的經營場所進行查核,檢視各項紀錄或設備設施)及危安事件發生時廠商的通報義務。機關依防護性安全政策架構所擬訂獨有的政策與程序,其內容必須於契約中明確的約定,不允許概括約定委外廠商必須遵守防護性安全政策架構。又機關的安全性要求可能會隨時間而變化,所以該部分的約定宜與本約分開,以利日後修正與變更。 若委外廠商的執行人員因業務得接近機密或敏感性資訊資產,必須通過安全查核程序(Security Clearance)[14];若不需接受安全查核,則需簽署保密條款(Non-Disclosure Agreement),機關應諮詢法律專業意見制訂屬於機關本身特定的保密條款[15],有複委外情形時亦同。機關可以從澳洲政府安全調查局(Australian Government Security Vetting Agency /AGSVA)調出相關人員的安全調查資料,如果該人員擁有尚未逾期且屬機關需求等級的安全資格,機關就不需要再做一次調查。 參、建議與結語 藉由對澳洲立法例之研析,可發現澳洲對於機關的辦公場所、設備設施及出入之內外部人員的控管,有嚴謹縝密的管理機制與具體標準供機關依循。相較於此,我國相關法制框架尚有強化空間,建置更明確性、細節性之規範及標準作業流程。例如我國法制上僅有「責任區」的概念,可考慮引進「管制區」及「關鍵路徑規劃」等項目。其次,機關宜將自訂的安全維護機制確實內化至與委外保全業者的契約內,訂明權利義務關係、落實監督管理辦法、監控畫面資料儲存、備份和刪除方式及保密義務範圍(如機關監視系統配置、巡邏時間)等,另考量當機關日後對於安全性要求之修正與變更可能,委外契約與安全性要求的細部文件宜分開訂立。至人員管控部分,應重視預防勝於治療之概念,於適當時(例如對負責監控機關內部監視系統或夜間巡邏等對機關生態、人員活動及弱點相當清楚者)採取如澳洲的安全查核程序,對人員擔任保全工作的適性程度進行評價,而不僅以保全業法所訂之資格條件作為唯一判準。 末者,機關之實體安全維護,是否適合全權委外保全業者,尤以本身屬高重要性的機敏機關而言,值得再斟酌,在保全人員素質頗受爭議與警政機關因業務繁重而無法有效輔導管理保全業的困境下,或可考慮是否有必要在組織內編列專職維安人員。 [1]Australian Government: Attorney-General’s Department (2012, December). Protective Security Policy Framework-securing Government business. Version1.5. Retrieved from http://www.protectivesecurity.gov.au/pspf/Documents/Protective%20Security%20Policy%20Framework%20amended%20December%202012.pdf (last accessed May.29,2013) [2]Australian Government: Attorney-General’s Department (2011, June), Physical security management guidelines: Security zones and risk mitigation control measures, Retrieved from http://www.protectivesecurity.gov.au/physicalsecurity/Documents/Security-zones-and-risk-mitigation-control-measures.pdf ,下稱「本指引」. [3]Australian Standard AS/NZS ISO 31000:2009 Risk Management–Principles and guidelines, Australian Standards HB 167:2006 Security risk management. [4]Australian Standards HB 167:2006 Security risk management . [5]相關建議可參考以下連結:Designing Out Crime: crime prevention through environmental design,Crime Prevention through Environmental Design Guidelines for Queensland. [6]詳細規定由機關安全顧問(Agency security advisers /ASAs)發布,請參本指引第15至20頁 [7]Australian Security Industry Association Limited (n.d.). Information about security licensing requirements and regulators in each state or territory. Retrieved from http://www.asial.com.au/Whoshouldholdasecuritylicence.(last accessed June.4,2013). [8]ACT Government(n.d.). Security Industry Act 2003..Retrieved from http://www.legislation.act.gov.au/a/2003-4/default.asp(last accessed June.4,2013) . [9]ACT Government(n.d.). Security Industry Amendment Act 2011. Retrieved from http://www.legislation.act.gov.au/a/2011-37/ (last accessed June.4,2013).其他相關規範請參http://www.ors.act.gov.au/industry/security_industry/legislation (last accessed June.4,2013). [10]ACT Government(n.d.). Security Industry Regulation 2003. Retrieved from http://www.legislation.act.gov.au/sl/2003-30/default.asp (last accessed June.4,2013). [11]ACT Government(n.d.).Security Industry Licensing Practice Manual. Retrieved from http://www.ors.act.gov.au/publication/view/1689/title/security-industry-licensing-practice-manual (last accessed June.4,2013). [12]Australian Government: Attorney-General’s Department (2011, September). Protective security governance guidelines-security of outsources services and functions. Version1.0. Retrieved from http://www.protectivesecurity.gov.au/governance/contracting/Pages/Supporting-guidelines-for-contracting.aspx (last accessed June.7, 2013). [13]「防護性安全措施」Protective security依澳洲政府所發佈的「專門術語詞彙表」(glossary of security terms)的定義,指一套包括程序、實體、人員及資訊四大方向的安全維護措施,保護資訊、機關機能運作、內部人員和外部訪客。請參http://www.protectivesecurity.gov.au/pspf/Pages/PSPF-Glossary-of-terms.aspx [14]請參PSPF Australian Government personnel security core policy – PERSEC 1.。 [15]請參本指引第11頁的附件A:NDA範本。
掀起網路自由與版權衝突的另一場戰爭-Megaupload事件概述掀起網路自由與版權衝突的另一場戰爭-Megaupload事件概述 科技法律研究所 法律研究員 劉得正 101年06月25日 Megaupload 是著名的線上網路硬碟服務商,提供用戶上傳檔案、藉此分享資料予他人之網路空間。自2005年3月間上線後,迅速累積用戶至1億8千萬,並一度排名全球網站瀏覽量第11名。然而在2012年1月19日卻遭到美國政府強制關閉,相關負責人(包括創辦人KIM DOTCOM)遭到美國司法部起訴,並透過國際合作逕予逮捕。此舉為網路環境投下前所未有之震撼彈。本文以下便針對此一個案提出簡要說明,釐清美國採取行動之依據及考量。 壹、Megaupload起訴依據 根據本案起訴書[1],司法部本次起訴KIM DOTCOM等,主要是認為其觸犯以下規定: 一、「共謀實施著作權侵權」[2]、「著作權侵權刑事處罰規定」[3]- 美國司法部認為Megaupload直接藉由複製、散佈盜版物來賺取利潤,構成對著作權之侵權。因其發現,Megaupload獲利來源主要來自網站上商業廣告之瀏覽量。為了提高廣告瀏覽量,Megaupload規定用戶所上傳文件之存續時間,取決於該文件的下載次數,並鼓勵上傳可長期受到使用者青睞下載的文件。換言之,Megaupload獲利與盜版物之散佈具有直接關連。 其次,司法部發現,Megaupload網站上已使用一種「移除程序」來辨認兒童色情內容,但卻未將此技術應用在移除侵權的內容上,或以其他方式使「移除程式」無法搜尋特定盜版物,顯見Megaupload係故意以散佈盜版物來賺取商業利益,並因此無法適用數位千禧年著作權法案中,對於網路服務提供者之「安全港」條款。 二、「共謀詐欺」[4]與「網路詐欺、教唆及幫助網路詐欺」[5]- 此外,司法部認為,Megaupload網站運作方式,除了構成著作權侵權外,其以組織運作方式進行犯罪,以及透過網路進行犯罪,此等行為已符合「共謀詐欺」及「網路詐欺」 ( Fraud by Wire ) 。同時,Megaupload使用激勵程序來鼓勵用戶上傳「流行」的文件,亦構成教唆及幫助網路詐欺。 三、洗錢防制規定[6]- 最後,美國司法部認為KIM DOTCOM等Megaupload之負責人,有針對上述不法所得再進行金融交易之行為,因此亦違反洗錢防制規定。 貳、Megaupload案目前發展情況 如前所述,美國司法部係透過國際合作,逮捕相關負責人。以創辦人KIM DOTCOM而言,目前仍在紐西蘭政府監管之下,不過近期內,將依美國司法部之請求,召開引渡聽證會,討論是否引渡KIM DOTCOM至美國受審。至於在犯罪調查方面,紐西蘭法院已下令允許美國FBI可從Kim Dotcom電腦中拷貝超過150TB的資料,以作為美國司法部指控Megaupload之訴訟證據[7],相信對於是否得以引渡Kim Dotcom,將帶來一定影響。 參、代結論 Megaupload案之所以造成如此大的風波,主要可從對用戶之影響與對整體網路環境之影響看起。在用戶方面,首要原因在於Megaupload擁有廣大用戶,美國查封Megaupload之結果,造成眾多付費用戶之權益受損,此部分將如何求償,將會是相當大的難題。其次,如前所述,本次紐西蘭法院已容許美國FBI拷貝Megaupload。其中將涉及用戶資料之探知,對此是否有適當的保護措施保障用戶隱私,將是考驗美國政府之另一難題。 至於對整體網路環境面而言,此一事件是首次針對網路平台業者 ( 網路硬碟服務商 ) ,所進行之大規模跨國查緝行動。眾多網民多形容此舉象徵著作權凌駕網路言論自由的時代已經來臨,未來網路服務業者間勢必將出現所謂的寒蟬效益。然而,有待觀察的是,本次美國司法部起訴之主要依據在於,主張Megaupload係故意利用複製、散佈盜版物,以獲取商業利益,對此美國法院是否能接受此一見解,事實上仍是未定之天。因美國司法部需說服法院,Megaupload並無善盡網路服務業者保護著作權之義務。更重要的是,僅是提供平台之Megaupload,能否被解釋侵權行為人,並非毫無疑慮。 [1]USA v Kim DotCom et al, U.S. District Court, Eastern District of Virginia, no. 1:12CR3 [2]18 U.S.C. § 371 - Conspiracy to Commit Copyright Infringement. [3]18 U.S.C. §§ 2,2319;17 U.S.C. § 506 - Criminal Copyright Infringement By Electronic Means & Aiding and Abetting of Criminal Copyright Infringement. [4]18 U.S.C. § 1962(d) - Conspiracy to Commit Racketeering. [5]18 U.S.C. §§2, 1343 - Fraud By Wire & Aiding and Abetting of Fraud by Wire. [6]18 U.S.C. § 1956(h) - Conspiracy to Commit Money Laundering. [7]“FBI told to copy seized Dotcom data”http://www.nzherald.co.nz/technology/news/article.cfm?c_id=5&objectid=10813260 (last visited 2012/06/25)
美國科羅拉多州通過《人工智慧消費者保護法》2024年5月17日,科羅拉多州州長簽署了《人工智慧消費者保護法》(Consumer Protections for Artificial Intelligence Act,Colorado AI Act,下簡稱本法),其內容將增訂於《科羅拉多州修訂法規》(Colorado Revised Statutes,簡稱CRS)第6篇第17部分,是美國第一部廣泛對AI規範的法律,將於2026年2月1日生效。 本法旨在解決「高風險人工智慧系統」的演算法歧視(Algorithmic Discrimination)的問題 ,避免消費者權益因為演算法之偏見而受到歧視。是以,本法將高風險AI系統(High-risk Artificial Intelligence System)定義為「部署後作出關鍵決策(Consequential Decision)或在關鍵決策中起到重要作用的任何AI系統」。 而後,本法藉由要求AI系統開發者(Developers)與部署者(Deployers)遵守「透明度原則」與「禁止歧視原則」,來保護消費者免受演算法歧視。規定如下: (一)系統透明度: 1.開發者應向部署者或其他開發者提供該系統訓練所使用的資料、系統限制、預期用途、測試演算法歧視之文件以及其他風險評估文件。 2.部署者應向消費者揭露高風險人工智慧系統的預期用途,也應在高風險人工智慧系統做出決策之前向消費者提供聲明,聲明內容應該包含部署者之聯絡方式、該系統的基本介紹、部署者如何管理該系統可預見之風險等資訊。 (二)禁止歧視: 1.開發者應實施降低演算法歧視之措施,並應協助部署者理解高風險人工智慧系統。此外,開發者也應該持續測試與分析高風險人工智慧系統可能產生之演算法歧視風險。若開發者有意修改該系統,應將更新後的系統資訊更新於開發者網站,並須同步提供給部署者。 2.部署者應該實施風險管理計畫,該風險管理計畫應包含部署者用於識別、紀錄降低演算法歧視風險之措施與負責人員,且風險管理計畫應定期更新。在制定風險管理計畫時,必須參考美國商務部國家標準暨技術研究院(National Institute of Standards and Technology, NIST)的《人工智慧風險管理框架》(AI Risk Management Framework, AI RMF 2.0)與ISO/IEC 42001等風險管理文件。 美國普遍認為科羅拉多州的《人工智慧消費者保護法》為目前針對人工智慧系統最全面之監管法規,可作為其他州有關人工智慧法規的立法參考,美國各州立法情況與作法值得持續關注。