美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
英國2011年3月由寬頻政策顧問小組(Broadband Stakeholder Group, BSG)公布促進流量管理政策透明化守則,2012年並依該流量管理政策守則公布「開放網路守則」,此即英國之網路中立性規範,ISP業者必須遵守流量管理規定且不得阻礙服務競爭。2016年6月,BSG公布新修訂之開放網路守則(Open Internet Code of Practice),支持業者以開放網路做為原則,網路使用者得於網路上取得合法內容,並確保ISP業者依據網路中立性原則提供管理或其他服務。在對於流量管理的分配調整方面,ISP業者必須依據開放網路原則提供相關服務,而不得因商業競爭的考量影響使用者權益與服務品質。在使用者權益保障方面,流量管理資訊必須透明化,ISP業者同意依合理方式提供清楚正確之流量管理原則,且該原則必須具有適當性且不得歧視。此外,透過定期公布關鍵事實指標(Key Facts Indicator, KFI),ISP業者應讓消費者瞭解流量使用與管理情形。在我國,目前僅於電信法第21條訂有網路中立性之宣示性規範。通訊傳播委員將提出之新匯流五法中的電信法與數位通訊傳播法當中,不論是否訂有網路中立性之具體規範,在此之前亦得參考英國之自律管理模式,以建構平等開放之網路環境。
何謂「介入權」?美國拜杜法雖下放政府補助研發成果給予執行單位,但基於針對受補助者行使研發成果時若未能妥適授權運用,政府得行使「介入權」(march-in rights)。所謂的介入權,是指補助機關事後可以因為執行單位授權或運用不當,而選擇強制介入調整其授權內容。但補助機關採用介入權是有前提要件的,35 U.S.C. § 203規定:「受補助者在適當的合理期間內,未能採取有效的措施以達到該創新的實際應用或使用…」或者強制授權是「其他聯邦法律規定的保護公共健康、安全需要或公共使用」所必要者。相對我國則有經濟部於「經濟部科學技術研究發展成果歸屬及運用辦法」第21條規定政府介入權發動之要件,其與美國法制有異曲同工之妙。
英國技術移轉政府辦公室發布2023至2024年之年度施政報告英國技術移轉政府辦公室(Government Office for Technology Transfer, GOTT)於2022年4月成立,主要解決公部門研發成果,即「知識資產」(knowledge assets, KA),因面臨運用不足及管理等困境,並積極推動公部門衍生新創政策,促進KA產業化。 GOTT會依研發法人的需求及經驗程度,提供個別支援性服務,如協助較無KA運用經驗之法人設置KA運用工作規則及管理方式等直接技術性指導,亦提供較有KA運用經驗之法人額外投資資金及其他資源挹注。 GOTT於2024年7月5日發布過去一年(2023年4月1日至2024年3月31日)之施政報告,主要重點簡述如下: (1)對「玫瑰書」(the Rose Book),即政府KA管理指引,提出細部操作指引,如:「PSB內KA管理負責人角色任命指引」、「協助PSB制定KA管理策略指引」、「智慧財產權及其機密性指引」、「附件A–知識資產類別與類型」、「附件B–KA評估工具」、「附件C–商業化路線」、「附件D–獲取KA指引」、「附件E–人才流動指引」以及「申請KA補助基金指引」等。 (2)推出首個政府對公部門創新研發之市場驗證加速器計劃,稱為「公共研究創新和市場加速器」(the Public Research Innovation and Market Accelerator, PRIMA),協助公部門創新者測試其研發構想、產品及服務是否有市場發展潛力。 (3)發布「公部門衍生新創公司研究」(Public Sector Spinouts Study),為英國政府首次對公部門推動衍生新創政策及制度進行審查,顯示英國推動上遇有許多推動障礙,研究最後對英國政府及GOTT提供多項施政建議。
「歐盟網實整合藍圖與政策」歐盟在歐盟執委會的支持之下,致力於網實整合的發展,2015年6月歐盟提出以五項關鍵領域作為發展方向,包含交通、能源、健康、生產、以及基礎設施等。其中在智慧製造部分,主要為從大量生產到彈性、個別客製化生產,以及在生產以及產線自動化之下,增加市場競爭力。但針對此等發展,歐盟也提出未來將面臨幾點挑戰: 1.科學:網實整合系統應特別考量社會技術層面、使不同學科整合、結合相關系統理論,以及建構複式領域模型等 2.技術:由於不同的技術方法,因此應建立互通性平台系統、使自動化設計與執行更加成熟、減少資料隱私問題、整合安全性、建立系統方式處理無法確定之資訊等。 3.經濟:透過網實整合,從產品到服務,可建立新的商業模式。 4.教育:網實整合之應用需具備充分的條件,因此,可透過教育及訓練體制來增加對相關應用的認識。 5.法律:減少網實整合系統建立產生的障礙,消除法規解釋不清楚之部分,並且改善以確認整合系統應用正確性。 6.社會:網實整合應用對公共、產業以及政治等層面產生之改變與風險管理。 網實整合在生產力4.0的發展當中,屬於最為核心之部分,目前歐盟所舉出可能產生的面向與問題,值得作為未來政策法制方向之參考。