美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
歐盟最近對CISAC公司的權利金收費行為,是否涉有不公平競爭之情事展開調查,此舉引發藝文界高度關注。CISAC乃是由作家及作曲家所組成的一個國際性聯盟組織( International Confederation of Societies of Authors and Composers),會員來自於109個國家的207個社團( member societies),代表超過兩百萬位以上的藝術家、作曲家及導演之權益。 在一封2月7日寄發給CISAC的信件中,執委會表示CISCA拒絕跨國授權的行為,已構成違反歐盟競爭法第81條。此外,執委會也表示,CISCA要求只有個別國員內的權利金收費社團可為會員收取權利金的約款,將迫使創作者無其他選擇,必須將其權利移轉給其國內之權利金收費社團,此種限制性約款亦為歐盟競爭法所不許。蓋CISCA本即擁有事實上之獨佔地位,此等約款將使其他潛在競爭者難以進入市場,故有限制競爭之疑慮。 2月21日,在與內部市場委員(Internal markets Commissioner)Charlie McCreevy的會面中,音樂作曲家代表對歐盟競爭總署近來的大動作,將可能危及文化多樣性(cultural diversity),扼殺廣大文化創作者的創意,毀掉歐盟在此一領域之利基,表達出高度疑慮。McCreevy 向作曲家保證,執委會的目的不在限制或詆毀創作者既有之權利,而是希冀能建立一個合法的數位環境,活絡歐盟地區的線上音樂服務。 目前,歐盟地區的跨國廣播公司如要播放音樂,必須在個別播放國家分別取得其權利金收費團體的授權。如果歐盟可藉由此次限制競爭的調查,迫使CISAC提供泛歐洲授權契約的服務,將使線上廣播公司受惠。
英國發布「人工智慧:機會與未來決策影響」政策報告,並聚焦人工智慧運用及管理英國科學辦公室於2016年11月9日,發布一份政策報告:「人工智慧:機會與未來決策影響(Artificial intelligence: opportunities and implications for the future of decision making)」,介紹人工智慧對於社會及政府的機會和影響,此份政策報告並提出以下各項重要建議: (一)關於人工智慧及應用界定與發展 人工智慧是指由人工製造系統所表現出來的智慧。不僅是將現有的流程自動化,還包含制定目標,並利用電腦程式實現這些目標,常見案例包括線上翻譯、語音辨識、搜尋引擎篩選排序、垃圾郵件過濾、透過用戶回饋改善線上服務、預測交通流量、環境或社會經濟趨勢發展觀察等。 (二)未來對社會及政府利益及衝擊 人工智慧針對提高生產力有巨大的潛力,最明顯的就是幫助企業或個人更有效地運用資源,並簡化大量資料的處理,例如Ocado 及 Amazon這樣的公司正充份利用人工智慧改善倉儲及銷售網路系統,使得客戶可便利快速購得網購商品。 目前,政府也日益增加相關技術的運用,以提高公共服務效率,使資源達到最佳化分配;減少決策者被誤導的可能;使政府決策透明化;確保各部門更了解人民的意見。然政府在利用人工智慧及巨量資料時,應遵守倫理使用指南,並遵守英國資料保護法及歐盟一般資料保護規則等相關法規。 在巨量資料、機器人、自動系統對於勞動市場的衝擊一直都是關注的議題,對於面臨未來工作結構的轉型及相關技術人員的進修及培養,應及早規劃,以適應未來的轉變。 (三)關於相關道德及法律風險管理課題 人工智慧可能潛在相關道德倫理問題。許多專家認為政府應積極管理並降低風險發生可能性,可從以下兩個面向思考: (1)研究機器學習與個人資料運用結合時,對個人自由、隱私和同意等概念的影響。 (2)調適由人工智慧作決策行為時的歸責概念和機制。 有關實際案例之研究,則包括,執法單位在應用預測技術時,應避免以種族、國籍、地址作為標準,並嚴守無罪推定原則,以防止民眾受到歧視或不公平的指控;透過人工智慧可從公開資料推測出某些私人訊息或其親朋好友的消息,此訊息即可能超出原先個人同意披露的內容;原先匿名化及去識別化的訊息,因人工智慧功能加強,導至可能被重新識別,故須定期檢視該保護措施是否足夠。另外,人工智慧的演算偏差可能導致偏見的風險,為了降低這種風險,技術人員應採取對應措施。 針對責任及疏失的判斷,目前尚無太多的實務案例,但為保持對使用人工智慧的信任,仍需有明確的歸責制,可能有必要讓首席執行長或高級主管對人工智慧做出的決策負最終責任。許多專家也建議,部分技術內容須保持透明度,以確定技術使用時是否有盡到相關注意義務。 人工智慧已成為未來發展趨勢之一,對於社會整體層面影響將越來越深,新的技術除了可提升生產力,帶來便利的生活,同樣也會帶來衝擊。為促進相關產業發展及推展新技術的使用,應打造技術發展友善環境,並對於公眾安全進行相關風險評估,如果風險屬於現有監管制度範圍,應評估是否可充分解決風險,或是須要做相對應的調適。另外,在人工智慧融入現實世界同時,相關業者應注意相關產品安全性、隱私權保護和從業人員的倫理教育,以提高大眾對新技術的接受及信賴,並確保對於未來挑戰及轉變已做好萬全準備。