美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
Google於2015年7月24日發布專利創客專案(Patent Starter Program),提供參加專案的新創公司免費授權使用兩項專利。此計畫是奠基於License on Transfer (LOT) Network專利授權聯盟的運作,該聯盟是2014年由Google、Dropbox、SAP、Canon、Asana及NewEgg等六家公司共同成立,目的透過聯盟成員間專利交叉授權協議,以對抗專利流氓(patent troll)的濫訴行為。 專利創客專案計畫開放50家於2014年收入介於50萬至20億美元間的新創公司得免繳會費參與LOT聯盟兩年,並依據新創公司業務範圍,提供3至5項專利清單,新創公司可從中選出兩項予以免費使用。另外,這些新創公司有機會瀏覽GOOGLE非專屬授權資料庫,找尋所需專利並詢問GOOGLE出售意願。需要注意的是,在專案期間內,參與成員對於透過專案獲授權之專利,僅得為防禦使用,違反時Google有權終止並予以處罰。同時參與成員亦必須於專案期間遵守聯盟專利交叉授權協議之規範。 整體來說,由於Google提供給新創公司的免費專利清單項目有限,新創公司未必能得到真正有需求的專利,但考量加入專案後,得受到LOT成員間專利交叉授權協議的保護,對於新創公司而言,仍可一定程度避免受到專利流氓危害,而具有正面意義。
全球四大晶片業者共同研發奈米蝕刻技術世界四大電腦晶片業者決定與紐約州合作,在今後五年內出資 5.8億美元,研究發展下一代電腦微晶片製造技術。紐約州預定出資1.8億美元,美國IBM、超微半導體(AMD)、美光科技(Micron)與德國英飛凌預定各出五千萬美元的現金與設備,另2億美元由多家提供物料與設備的廠商提供。惟世界最大晶片廠商英特爾(Intel)並未參與此計畫,英特爾目前在x86微處理器市場中,占有銷售量的80%、銷售額的90%。 此國際奈米蝕刻事業( International Venture for Nanolithography, INVENT)計畫的基地,預定設在奧伯尼紐約州立大學奈米科學與工程學院,預期共有500多位研究人員、工程師與其他人員,投入此計畫。 奈米科技是研究分子與原子級的科學,此一計畫研究重心是利用光線,蝕刻大約頭髮直徑十萬分之一大小的電路,讓參與公司及早取得與學習應用研究出來的蝕刻工具。由於近年半導體速度與複雜性快速提高,晶片業者製造更小、更快晶片的難度增加,研究發展成本飛躍上升,業界體認到必須合作,才能負擔。一具蝕刻工具成本可能高達 2500萬美元,蝕刻工具進步攸關晶片廠商繼續縮小晶片規模,使每個晶片具有更多運算與儲存能力。目前生產的最先進晶片運用90奈米科技,晶片廠商希望從2006或2007年起,生產65奈米晶片。
政府重申並未放寬輸往中國大陸半導體晶圓製程設備之出口管制由於國際出口管制組織「瓦聖那協議」( Wassenaar Arrangement,WA)於去年(93)底修訂半導體晶圓製程技術水準之出口管制規定,由0.35微米放寬為0.18微米;國貿局為配合「瓦聖那協議」之修訂,亦於今年9月公告半導體晶圓製程技術之出口管制修正為0.18微米。 然,我國半導體晶圓製造廠商申請赴中國大陸投資,主要依據經濟部之「在大陸地區投資晶圓廠審查及監督作業要點」辦理,其中第四點申請要件明顯規定「大陸投資事業製程技術限於0.25微米以上」。此外,在國貿局「限制輸出貨品總彙表」更有規範半導體晶圓製造等相關設備之輸出規定121:需要有國貿局簽發輸出許可證;輸出規定488:(一)輸往大陸地區者,應檢附經濟部投資審議委員會核准投資文件;輸往大陸以外地區者,應檢附保證絕不轉售大陸地區之切結書。(二)外貨復運出口者,另檢附原海關進口證明文件。(三)屬戰略性高科技貨品列管項目者,除應申請戰略性高科技貨品輸出許可證,並檢附上述文件外,應另依戰略性高科技貨品輸出入管理辦法規定,檢附下列文件:1、進口國核發之國際進口證明書、最終用途證明書或保證文件。2、外貨復運出口者,如原出口國政府規定需先經其同意者,應另檢附原出口國政府核准再出口證明文件;其於原進口時領有我國核發之國際進口證明書、最終用途證明書或保證文件者,應再檢附該等文件影本。 國際貿易局強調,我國目前開放半導體晶圓製程技術輸往中國大陸仍限為0.25微米以上,並未放寬輸往中國大陸之出口管制。
澳大利亞政府擬修正《支付系統管理法》將數位支付,如Apple Pay、Google Pay納入法律規範中澳大利亞國庫部(Department of the Treasury)於2023年10月11日發布《支付系統管理法》(Payment Systems(Regulation)Act 1998)修正草案,擬擴張法案適用主體,將Apple Pay、Google Pay等數位支付或提供此項支付服務事業納入規範,其目的在於提升企業的開放性及責任,並關注大型科技企業在其中扮演的角色。 本次修正案中,將修改現行支付系統的定義及適用主體,擴大至提供支付服務平臺企業,將被視為金融機構受到拘束,並授權澳大利亞準備銀行(the Reserve Bank of Australia,下稱RBA)監管數位支付平臺。修正草案內容整理如下: 1.重新定義「支付系統」。現行法定義為「透過任何形式或方式促進貨幣流通的系統」,草案則納入非貨幣(non-monetary,如數位貨幣)及提供便利支付服務的支付平臺系統。 2.擴大「參與者」定義。現行法規中參與者僅包含管理、運作支付系統的企業,草案則擴張至與支付價值鏈(payments value chain)具直接或非直接相關連之所有企業。 3.現行規範中,僅RBA在可能涉及使用者財務安全及公共利益(下述)考量時,有指定支付系統的職權,並有權監管該支付系統,包含決定新參與者的加入、訂定制度內參與者應遵守的標準及指引、對相關爭議問題進行仲裁等。修法後國庫部部長(Minister)將擁有相同權力。規範所稱之「公共利益」,指有助提升財務安全、高效率並具有競爭性,且不會導致金融體系風險增加。 4.提高法案中刑事處罰的罰金金額。現行法規授權RBA訂定支付制度之相關標準及指引,若制度內參與者未依標準或指引行事,RBA會提出要求企業為特定行為或不行為之指示,仍未依循可能會科處澳幣5,500元的罰金(約臺幣11萬3千元),修法後將提高至2倍,惟罰金之處罰權最終仍須法院審判決定。 我國針對電子支付產業有電子支付機構管理條例、金融消費者保護法規範,並要求第三方支付服務業者落實洗錢防制法規定,避免淪為洗錢或地下匯兌工具,未來可持續觀察澳大利亞及其他國家對於支付平臺議題之討論及發展趨勢,作為我國評估相應治理措施及手段參考基礎。