美國眾議院通過電信基礎設施安全四大法案,以防止採用構成國家安全風險的設備
美國眾議院(United States House of Representatives)於2021年10月20日通過安全設備法案(Secure Equipment Act)、通訊安全諮詢法案(Communications Security Advisory Act)、資通訊科技戰略法案(Information and Communication Technology Strategy Act)與國土安全部軟體供應鏈風險管理法案(DHS Software Supply Chain Risk Management Act),以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商,並促進產業供應鏈的經濟競爭力。美國總統拜登(Joseph Robinette Biden Jr.)於同年11月11日完成簽署《安全設備法》。
《安全設備法》旨在禁止聯邦通訊委員會(Federal Communications Commission, FCC)頒發設備許可予構成美國國家安全風險之公司,其目的係為防止美國的網路系統遭受中國大陸設備的監控,保護美國公民的隱私與安全。近年來,美國以國家安全與技術、隱私保護為由,逐步以政府禁令或動用政府影響力,防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令,至2021年10月20日美國眾議院通過電信設施基礎安全四大法案,並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定,各種限制手段展現美國保護國土安全之決心。
此外,《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性;資通訊技術供應鏈報告(例如:定義何謂「對美國經濟競爭力至關重要的資通訊技術」等)」;以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前,此三大法案皆於參議院二讀後提交至委員會,後續發展應密切關注。
本文為「經濟部產業技術司科技專案成果」
- H.R.3919 - Secure Equipment Act of 2021
- H.R.4067 - Communications Security, Reliability, and Interoperability Council Act
- H.R.4028 - Information and Communication Technology Strategy Act
- H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021
- Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items
- 美國總統簽署《安全可信通訊網路法》
- 美國國會《促進美國5G國際領導力法案》
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳祺潔
副法律研究員 編譯整理
United States Congress, H.R.3919 - Secure Equipment Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/3919/text (last visited Nov. 16, 2021).
United States Congress, H.R.4067 - Communications Security, Reliability, and Interoperability Council Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4067/text (last visited Nov. 16, 2021).
United States Congress, H.R.4028 - Information and Communication Technology Strategy Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4028/text?r=46&s=1 (last visited Nov. 16, 2021).
United States Congress, H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4611/text (last visited Nov. 16, 2021).
Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items (Oct. 21, 2021), https://www.federalregister.gov/documents/2021/10/21/2021-22774/information-security-controls-cybersecurity-items (last visited Nov. 10, 2021).
何穎欣,〈美國總統簽署《安全可信通訊網路法》〉,資策會科法所,2020年09月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8523(最後瀏覽日:2021/11/08)。
許祐寧,〈美國國會《促進美國5G國際領導力法案》〉,資策會科法所,2020年02月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8394(最後瀏覽日:2021/11/08)。
經過深入的調查後,歐盟執委會以違反歐洲聯盟運作條例(TFEU)第102條之禁止濫用獨占地位課處斯洛伐克電信(Slovak Telekom a.s.)及其母公司德意志電信(Deutsche Telekom AG)總計38,838,000歐元之罰金。 斯洛伐克電信以超過五年之濫用獨占地位之策略,阻擋其他來自斯洛伐克市場之競爭者提供寬頻服務,因而違反歐盟反托拉斯法。尤其,執委會認為其拒絕提供開放之用戶迴路(unbundled access to its local loops)予其競爭者,因而導致其他經營者之利潤擠壓。其母公司德意志電信對於其子公司之行為有責;因此,應連帶負擔斯洛伐克電信之罰款。此外,德意志電信於2003年已經因為在德國寬頻市場的利潤擠壓而被罰款,該公司亦被課處額外之罰款共31,070,000歐元,以確保嚇阻及制裁其反覆的濫用行為。 2005年8月,斯洛伐克電信公布在某些條件下,允許其他經營者使用其開放用戶迴路(ULL)。此外,斯洛伐克電信亦不正當地阻擋用戶迴路開放的必要網路資訊;單方面地減少規範中所要求其開放迴路之義務的範圍,以及,在每一個取得開放用戶迴路所需之步驟上,設定不公平的條款和條件(例如搭配、資格、和銀行擔保)。因而延後或阻止其他經營者進入斯洛伐克零售寬頻服務市場。 此外,當其他競爭者以斯洛伐克電信訂定之零售價格販賣寬頻服務予零售消費者時,將產生利潤擠壓而導致虧損;在此種情況下,其他經營者將無法進入斯洛伐克市場。
美國放棄建立全國性免費無線寬頻網路計畫四年前,由M2Z網路公司(m2znetworks)向FCC建議,以AWS頻段(1.9GHz~2.1GHz建立)建立高速寬頻網路,並將運用其中一部份,建立速率達768Kbps的網路服務,在十年的期間內,免費提供公眾使用。M2Z計畫與美國各地申請BTOP(Broadband Technology Opportunities Program,寬頻技術機會計畫)補助的地方政府合作,建立免費無線寬頻服務。後續營運的支出將以廣告、與合作伙伴的收益及自有資金支應,並將支付收益的5%給美國財政部。 在經歷諸多考量後,2010年9月,FCC認為這並非一個好的政策措施,並向M2Z公司表示,將不支持這項計畫,而將繼續透過全國寬頻計畫以及普及服務基金的運作,促使寬頻網路普及化。 當M2Z提出這項計畫時,引起非常多的爭論,因其計畫初期提出將建立過濾色情內容的機制,使其成為家庭友善的服務。之後,包括頻譜使用的干擾以及768Kbps的免費網路是否符合需求,也引起其他網路服務商的反對,。而FCC所公布之國家寬頻計畫,其基礎目標是4Mbps之寬頻接取,因此M2Z的計畫顯然已經不合乎FCC的整體規劃。 消息公開之後,許多無線產業紛紛認同FCC的看法,如反對本項計畫最力的CITA無線協會即發表聲明表示,FCC放棄這項構想是正確的決定,因為M2Z的計畫將不能充分發揮AWS頻段的價值,同時提供的服務速度也太緩慢不符合公眾利益。FCC應回歸國家寬頻計畫,合理的規劃整體頻譜資源,釋出更多頻譜提供無線寬頻市場新的機會。
西班牙隱私保護專責機構對Google發動刑事制裁程序西班牙隱私保護專責機構「資料保護專員」(Data Protection Commissioner;一般多以其西班牙文縮寫AEPD簡稱之 ),針對Google街景服務(Street View)攝影過程中不當蒐集網路用戶資訊一事,於2010年10月18日對Google發動刑事制裁程序(criminal sanction procedure)。AEPD於其網站上發表聲明,其已經掌握Google涉及五項犯罪活動的證據,其中包括蒐集Wi-Fi用戶資訊並將相關資料傳送回美國等,AEPD已將相關證據資料提交馬德里法院。 Google街景服務提供全球諸多地區的地理圖片,但此一服務也引發人們對於侵犯個人隱私之擔憂。儘管Google先前已多次針對街景攝影車攫取Wi-Fi用戶未經加密訊息之行為進行道歉,但仍有諸多國家對於Google是否違反內國隱私保護法規展開調查。 此次AEPD採取法律行動前,事實上西班牙網路用戶權利協會已就相同問題Google提起訴訟,而西班牙法院亦於今年8月展開調查。AEPD對外表示,一旦法院認定Google犯罪情事屬實,各個犯罪行為將可處以6萬至60萬歐元之罰金。無獨有偶,加拿大政府亦於10月19日認定Google收集Wi-Fi用戶資料之舉動,屬於違法行為。
加州通過學生線上個人資料保護法案(the Student Online Personal Information Protection Act)隨著越來越多學校使用線上教育技術產品發展教學課程,並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊,資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日,加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案,其中最引人關注的便是編號SB1177號法案,又稱學生線上個人資料保護法案(the Student Online Personal Information Protection Act,簡稱SOPIPA)。 SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為,包括:(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的,運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定,禁止披露涵蓋資訊(covered information)。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information),或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。 此外,SOPIPA線上教育服務經營者應採取適當安全的維護措施,以確保持有之涵蓋資訊的安全。同時,線上教育服務經營者應在有關教育機構的要求下,刪除學生之涵蓋資訊。 SOPIPA預計於2016年1月1日生效,將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者,同時也將適用於未與K-12學校簽署契約,但為該學校所使用之小型K-12技術網站、服務或APP等等。