美國司法部宣布德國SAP公司承認違法將美國軟體產品出口至伊朗,雙方達成不起訴協議
美國司法部於2021年4月29日宣布,德國SAP全球軟體公司承認從2010年1月至2017年9月,因未能識別用戶下載軟體的地理位置,導致美國原產技術和軟體在未經許可下,透過雲端伺服器和入口網站提供給伊朗用戶,已違反美國《出口管制規則》(Export Administration Regulations, EAR)和《伊朗交易和制裁條例》(Iranian Transaction and Sanction Regulation, ITSR)。SAP向美國司法部、商務部和財政部支付800萬美元罰款並配合調查與補救,雙方達成不起訴協議。
美國司法部指出,SAP違規行為主要為以下兩種。首先,SAP及其海外合作夥伴向伊朗用戶輸出超過20,000次的美國軟體產品,其方式包括軟體的更新、升級和修補程式。SAP及總部位於美國的供應商,均未使用地理位置過濾器來識別並阻止伊朗用戶下載,且多年來SAP並未採取任何措施解決此問題,導致伊朗用戶下載後,絕大多數美國軟體再流向土耳其、阿聯酋及多家伊朗跨國公司。其次,SAP旗下的雲端企業Cloud Business Group companies(簡稱CBGs)允許約2,360名用戶在伊朗使用美國的雲端運算服務。從2011年開始SAP陸續收購多家雲端服務供應商成為其CBGs,透過收購前的盡職調查及收購後的出口管制特種審計,清楚了解到這些CBGs缺乏足夠的出口管制與制裁合規程序,但SAP仍允許CBGs被收購後繼續作為獨立實體營運,且未能將CBGs完全整合至SAP自身的出口管制規劃中。
美國司法部指出,為確保軟體等美國敏感技術產品,不會非法出口至伊朗等禁運地,公司除必須識別用戶來源外,也有責任確保供應鏈下游與之為產品交易的外國子公司能識別產品輸出地,並且同樣遵守美國經濟制裁政策與出口管制法規,維護美國外交政策與國家安全,防止美國敏感技術落入競爭對手手中。
本文為「經濟部產業技術司科技專案成果」
許祐寧
專案經理 編譯整理
SAP Admits to Thousands of Illegal Exports of Its Software Products to Iran and Enters Into Non-Prosecution Agreement with DOJ, Department of Justice, Apr. 29, 2021, https://www.justice.gov/usao-ma/pr/sap-admits-thousands-illegal-exports-its-software-products-iran-and-enters-non (last visited June 10, 2021).
劉芷宜,〈英國發布出口軍用與軍民兩用技術定義與範圍之指南〉,資策會科法所,2021年5月,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8668&no=64(最後瀏覽日:2021/06/10)。
許祐寧,〈中國大陸商務部頒布《阻斷外國法律與措施不當域外適用辦法》維護國際經貿發展權益〉,資策會科法所,2021年3月,https://stli.iii.org.tw/article-detail.aspx?tp=5&i=180&d=8624&no=67(最後瀏覽日:2021/06/10)。
BS 10012:2009個人資訊管理系統近期轉版,英國標準協會已於2017年3月31日發布BS 10012:2017新版標準,此次修改主要係為遵循歐盟一般資料保護規則GDPR (General Data Protection Regulation )之規定。為了讓企業組織能更有效率整合內部已導入之多項標準,新標準採用ISO/IEC附錄SL之高階架構(High Level Structure),該架構為通用於各管理系統的規範框架。 2017新版架構由原本的6章變為為10章,新架構如下: 第1章 範圍 第2章 引用規範 第3章 專有名詞與定義 第4章 組織背景 第5章 領導統御 第6章 規劃 第7章 支援 第8章 營運 第9章 績效指標 第10章 改善 新標準主要修改內容如下: 個資盤點單需增加「法規」盤點項目,且應載明個資流向(軌跡紀錄)。 風險管理架構參酌ISO 31000:2009修改。 組織增設資料保護官(Data Protection Officer, DPO)。 個資蒐集、處理及利用: (1)蒐集前須先告知當事人並取得其同意。 (2)蒐集應有必要性且最小化。 (3)兒童個資蒐集、利用須先經監護人同意。 (4)若個資利用目的為開放資料(Open data)須作去識別化。 個資必須維持正確且最新。 個資保存不超過處理目的存在必要之期限(保存期限)。 增加個資完整性與機密性要求。 預先諮詢與授權,例如:網頁有使用cookies需明確告知瀏覽者。 個資管理目標與量測,包括欲導入範圍、現況評估等有效性目標。 增添文件管理規範。 BS 10012:2009版本將於2018年5月25日廢止,公司驗證轉版的過渡期為24個月,因此2019年3月未轉版者證書失效。
日本國土交通省公布最後一哩路自駕車系統指引為促進自駕車研發和推廣,日本國土交通省召集產官學研各界成立先進安全汽車(Advanced Safety Vehicle, ASV)推進檢討會,檢討設計自駕車時之注意事項,並於2020年7月17日公布「最後一哩路自駕車系統基本設計書」(ラストマイル自動運転車両システム基本設計書),希望能藉此達成確保地方交通運輸能量及加速自駕車落地之目標。 「最後一哩路自駕車系統基本設計書」將操作適用範圍(Operational Design Domain, ODD)定義為限定區域或駕駛環境條件,並提出所有自駕車應具備之共通ODD,包括(1)道路/地理條件︰目標道路、行駛道路;(2)環境條件︰時間、天氣;(3)行駛條件︰行駛速度;(4)行駛空間︰可支援自駕車行駛之基礎設施,以及可提醒用路人注意正在進行自駕車實驗之設施。此外,由於不同應用情境會影響ODD之設定,故本書以限定路線下往返之自駕車為代表,說明在個案中該如何進一步檢討ODD。以行駛速度為例,在共通ODD中,最後一哩路自駕車時速應為30公里,但在提供限定路線內往返之載客服務時,自駕車的時速應設定在12公里以下。最後,「最後一哩路自駕車系統基本設計書」內整理最後一哩路自駕車共通及特有之技術要件,以及設計時應留意和確認的問題。
歐盟啟用半導體供應鏈示警系統,監測各成員國半導體供應鏈狀況歐盟執委會(European Commission, EC)於2023年5月10日宣布啟用《歐盟晶片法案》(EU Chips Act)三支柱之一的半導體供應鏈示警系統(Semiconductor Alert System),其目的在於監測半導體供應鏈短缺之問題。 根據《歐盟晶片法案》,歐盟各成員國的半導體供應鏈主管機關須定期執行半導體供應鏈的觀測任務,以隨時確認半導體供應鏈之狀況。然而,由於歐盟係由眾多不同的國家所組成,各成員國間訊息的流通相比於其他單一國家可能較為緩慢,故EC決定創建半導體供應鏈示警系統,交換半導體供應鏈資訊以解決上述問題。在此系統中,私人企業得單獨對所處產業中的早期半導體短缺進行回報,惟個別產業常常單獨誇大或高估危機的發生可能性,對此,EC成立了歐盟半導體專家小組(European Semiconductor Expert Group, ESEG),協助收集各半導體產業與成員國所回報之訊息,除將其用於建立風險評估外,亦彙整並分析成有價值的資訊後再分享給各成員國。 若資訊收集完成後,ESEG或EC察覺歐盟確實有發生半導體供應鏈崩潰的危險,EC將召開特別委員會會議(extraordinary board meeting),共同尋求解決方案,包含聯合政府採購(joint procurement),或與第三國進行合作,以合力解決半導體供應鏈之危機。
YouTube網站被控侵害著作權美國新聞記者兼直昇機飛行員 羅伯特爾( Robert Tur )於 7 月 14 日 控告近來迅速竄紅的影片分享網站 YouTube 侵害著作權,特爾指稱 YouTube 網站鼓勵用戶拷貝受到保護的影片資料,此舉違反了 2005 年一項美國最高法院的判決( MGM v. Grokster ) ,該判決認為 P2P 軟體業者若蓄意鼓勵或誘使客戶從事線上盜版行為,即可能構成著作權侵害。 羅伯特爾聲稱,他所拍攝的 1992 年洛杉磯暴動事件以及 1994 年高速公路上追捕辛普森的直昇機空拍報導影片,未經他的同意就被上傳並在 YouTube 網站上廣為流傳。 特爾亦聲稱, YouTube 網站從他的作品中獲利,同時也侵害了他的著作權,因此提出了 15 萬美元賠償要求並要求網站不得再使用他的影片資料。 YouTube 網站發表聲明指出,自獲悉特爾提出告訴的消息後,網站就已經將他的影片撤下,另一方面認為網站的行為完全符合「一九九八年 數位千禧年著作權法案」﹙ Digital Millenium Copyright Act of 1998 ﹚之規定,應受到該法案免責條款的保護 。