美國眾議院通過電信基礎設施安全四大法案,以防止採用構成國家安全風險的設備
美國眾議院(United States House of Representatives)於2021年10月20日通過安全設備法案(Secure Equipment Act)、通訊安全諮詢法案(Communications Security Advisory Act)、資通訊科技戰略法案(Information and Communication Technology Strategy Act)與國土安全部軟體供應鏈風險管理法案(DHS Software Supply Chain Risk Management Act),以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商,並促進產業供應鏈的經濟競爭力。美國總統拜登(Joseph Robinette Biden Jr.)於同年11月11日完成簽署《安全設備法》。
《安全設備法》旨在禁止聯邦通訊委員會(Federal Communications Commission, FCC)頒發設備許可予構成美國國家安全風險之公司,其目的係為防止美國的網路系統遭受中國大陸設備的監控,保護美國公民的隱私與安全。近年來,美國以國家安全與技術、隱私保護為由,逐步以政府禁令或動用政府影響力,防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令,至2021年10月20日美國眾議院通過電信設施基礎安全四大法案,並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定,各種限制手段展現美國保護國土安全之決心。
此外,《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性;資通訊技術供應鏈報告(例如:定義何謂「對美國經濟競爭力至關重要的資通訊技術」等)」;以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前,此三大法案皆於參議院二讀後提交至委員會,後續發展應密切關注。
本文為「經濟部產業技術司科技專案成果」
- H.R.3919 - Secure Equipment Act of 2021
- H.R.4067 - Communications Security, Reliability, and Interoperability Council Act
- H.R.4028 - Information and Communication Technology Strategy Act
- H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021
- Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items
- 美國總統簽署《安全可信通訊網路法》
- 美國國會《促進美國5G國際領導力法案》
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳祺潔
副法律研究員 編譯整理
United States Congress, H.R.3919 - Secure Equipment Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/3919/text (last visited Nov. 16, 2021).
United States Congress, H.R.4067 - Communications Security, Reliability, and Interoperability Council Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4067/text (last visited Nov. 16, 2021).
United States Congress, H.R.4028 - Information and Communication Technology Strategy Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4028/text?r=46&s=1 (last visited Nov. 16, 2021).
United States Congress, H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4611/text (last visited Nov. 16, 2021).
Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items (Oct. 21, 2021), https://www.federalregister.gov/documents/2021/10/21/2021-22774/information-security-controls-cybersecurity-items (last visited Nov. 10, 2021).
何穎欣,〈美國總統簽署《安全可信通訊網路法》〉,資策會科法所,2020年09月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8523(最後瀏覽日:2021/11/08)。
許祐寧,〈美國國會《促進美國5G國際領導力法案》〉,資策會科法所,2020年02月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8394(最後瀏覽日:2021/11/08)。
美國聯邦第9巡迴上訴法院日前針對一項於2005年制定之加州法律進行罕見的聽審程序,以便決定此一州法是否因違反聯邦憲法第一修正案而無效。 此一法律之內容係禁止販售或出租暴力電玩予任何未滿十八歲之人,且要求此種電玩均須加以明確標誌。而電玩廠商則宣稱此一法律已侵犯了未成年人受憲法第一修正案所保護之言論自由。而值得注意者為,除去年下級法院已對此一案件做出電玩廠商勝訴之判決外,其他的州法院也紛紛做出具有類似限制內容之法律為違憲無效之判決。 然而,儘管如此,加州檢察總長Zackery Morazzini依然表示:州政府本即有權協助家長使未成年人遠離暴力電玩的不良影響。且美國聯邦最高法院亦已肯認禁止未成年人接觸明顯「性資訊」之法律為合憲。與此相同,暴力電玩可說亦同樣具有「猥褻」之特性。 而電玩廠商於訴訟中則表示:倘若此一法律得以合憲,則勢必會產生滑坡效應,即州政府勢必將會以保護兒童為藉口,而對於其它資訊,諸如同性戀、性教育、生育控制等等之提供作出更多的限制。而此種滑坡效應,顯然亦是第9巡迴上訴法院所關切的重點之一:如Alex Kozinski及Sidney Thomas兩位法官,均在聽審程序中特別表達對於此一效應的關注。 無論如何,上訴法院亦將於未來幾個月內對於此案做出判決。然而,顯而易見的是,無論上訴法院會如何裁判,本案最終仍須經聯邦最高法院裁決後方能有最終決定。
英國上議院正逐條審議資料保護和數位資訊法案,期展現脫歐新格局英國科學、創新和技術部(Department for Science, Innovation & Technology)提出之《資料保護和數位資訊法案》(The Data Protection and Digital Information Bill,以下稱DPDI法案)於2023年11月經下議院三讀後移交上議院,並於2024年3月20日起逐條審議。DPDI法案旨在調整由英國《一般資料保護規則》(UK General Data Protection Regulation, 下稱UK GDPR)、《資料保護法》(Data Protection Act, DPA 2018)與《隱私與電子通訊規則》(Privacy and Electronic Communications (EC Directive) Regulations 2003)建構之資料保護框架,形塑有別於歐盟典範的資料保護制度。 下議院三讀通過之DPDI法案包含:個人資料保護、數位核驗服務、消費者與商業等各類數據使用以及監管制度等,期能增加資料使用彈性、衡平保護與運用之衝突。該法案將釐清與重新定義資料保護之一般性通則,以下就部分變革與爭議簡要說明: 一、資料使用限制放寬:藉擴大正當利益(legitimate interest)意涵與科學研究範圍,擴大個人資料使用的正當性基礎,如國安、犯罪預防、公共衛生及商業與非商業性科學研究。 二、組織資料治理層級轉變:取消資料保護長設置,改為指派高階管理層之一人專任或多人兼任高階負責人。 三、監管機構變換:將現行資訊專員辦公室(Information Commissioner’s Office, ICO)獨立機構監管模式,轉換為政府任命之委員會。 四、資料傳輸規範可能不足:英國脫歐後,其與歐盟間的資料傳輸經認可而獲維繫。若DPDI法案通過並調整且簡化資料傳輸規範,英國可能需證明新程序及規範持續具有保護適足性。 就DPDI法案內容觀之,該法案主要建構於UK GDPR及相關規範之刪修,象徵英國政府對脫歐前資料保護制度之檢討,並期藉改革減輕企業合規成本。然,部分團體認為資料使用放寬與保護制度之變革,可能導致演算法歧視以及英國與歐盟間資料流動困難。雖DPDI法案尚在上議院委員會討論階段,可能因各方磋商而修改條文內容,但仍可見英國政府積極重新伸張國家主權之作為。
英國建置著作數位著作授權平台(Copyright Hub),為數位時代增添授權管道英國建置著作數位著作授權平台(Copyright Hub),為數位時代增添授權管道 科技法律研究所 2013年06月28日 壹、背景說明 英國智慧局於今年(2013)3月底時宣布投入15萬英鎊(約683萬元台幣)啟動一項名為數位著作授權平台(Copyright Hub)的建置計畫[1]。所謂的數位著作授權平台的概念,係來自於2012年英國卡迪夫大學(Cardiff University)經濟系教授Hargreaves在2011年5月發表的一篇研究報告[2],報告內容指出英國目前在多樣化的數位著作授權市場中,已經跟不上數位時代腳步。包括授權費用過高(授權過程繁複)、利用人不易取得作品之著作權、數位著作權交易不夠透明等,導致數位著作授權市場過小,並阻礙創意產業新的數位商業模式發展等,該文並指出若解決上開問題,在2020年後英國每年將可增加220萬英鎊的收入(約1億新台幣)。 Hargreaves教授認為要解決當前的困境,可以成立一個具有自動的電子商務媒合網站(automated e-commerce website),或是網絡系統(network of websites)的單一平台,來解決權利人、利用人、以及市場等關於著作權的授權事宜,此平台稱為數位著作權交易中心(Digital Copyright Exchange),此概念隨後再經英國智慧局委託Richard Hooper教授進行評估研究,正式將該平台命名為「數位著作授權平台」(Copyright Hub),並於今年3月底正式啟動建置計畫。 貳、數位著作授權平台(Copyright Hub)初步構想 Hooper教授受託針對數位著作權交易中心(Digital Copyright Exchange)的可行性進行研究[3],原則上贊同此種平台的概念,但其另外強調該平台的性質應是一個由產業界主導的非營利組織(industry-led and non-profit),並應搭配以下措施: 一、數位內容作品識別認證 建立數位內容物件識別認證機制,釐清數位內容之權利人與利用人(被授權者)之關係,以加速數位著作之流通以及侵權之防止。例如,以數位圖像而言,其互通的內容識別碼、以及作為數位圖像內容識別碼的後設資料(metadata)[4]容易被移除或變更,以至於無法辨識該圖像的權利人與被授權者為何,同時真正權利人無法收取著作利用的權利金,進而阻礙圖像授權產業的發展。又如以數位音樂為例,目前採行的國際標準碼(ISAN或EIDR),可由業者自行決定,而不同的國際標準碼也應該能夠互相轉換或辨識。 二、降低孤兒著作之利用成本 有關孤兒著作之運用,利用人通常要證明已盡一切努力之辛勤搜尋(diligent search),方能進行該孤兒著作的加值利用。Hooper教授於該研究報告中建議,當利用人透過此數位著作交易平台蒐尋著作權人未果時,便符合已盡一切努力之辛勤搜尋[5],以符合數位時代的搜尋態樣,降低利用人搜尋的成本。 三、減低數位作品合法取得之落差 目前在數位世界中,權利人與利用人間,就合法取得著作之可能性存在高度落差(Repertoire Imbalance )[6]。舉例而言,在現實世界中如欲購得知名畫作,對於消費者來說,通常可預期相關交易資訊,包括購得管道、價格等。但在網路世界中,目前不但未發展出明確之交易管道,同時亦有為數不少的非法著作在網路上流竄。因而對於消費者來說,其自然而然以非法著作為其消費標的。從而對著作權利人而言,自然對於數位化的環境保有保障不夠充分之印象。進而降低著作權利人投入資源將著作予以數位化的意願;或縱使數位化後,對於投入數位交易市場,進行授權或銷售亦有所顧忌。因此Richard Hooper認為「數位著作交易平台(Digital Copyright Exchange, DCE)」的概念,除提供線上交易管道外,也須搭配其他技術、措施,以降低非法著作物的複製、流通。 參、由官方成立團隊協助建置數位著作授權平台(Copyright Hub) 英國智慧局聽從Hooper報告之建議,於當年(2012)11月成立「授權推進團隊」(Copyright Licensing Steering Group),由前英國國家廣播公司(British Broadcast Company, BBC)商務授權部主任James Lancaster擔任計畫主持人,下設六個工作小組,以針對Hooper報告所提出的各項主題進行研議,並找出可行之解決方案[7]。六個工作小組分別為: 1.數位著作授權平台籌設小組(Copyright Hub Launch Group) 2.數據轉換小組(Data Building Blocks) 3.數位授權解決方案小組(Digital Licensing Solutions) 4.圖像與後設資料小組(Images and Metadata) 5.教育推廣小組(Education Licensing) 6.音樂聯合授權小組(Joint Music Licensing) 從以上各工作小組定位觀察,不難發現「數位著作授權平台籌設小組」係整個授權推薦團隊的主要核心,其他小組的角色為配合研擬該平台的授權業務相關措施。 圖1:授權推進團隊組織圖 資料來源:http://www.clsg.info/uploads/CLSG_Organisation_Chart.pptx 肆、數位著作授權平台(Copyright Hub)之基本定位與功能 至於數位著作授權平台的定位為何,,根據該平台籌設小組所提出的營運方針[8],初步觀察該平台的定位與功能可歸納出三項特點: 一、平台定位為連結利用端與權利端之入口門戶(Portal)[9] 該匯轉平台的定位為連結(connect)利用端與權利端的入口門戶,屬於一種著作權資訊匯集中心;另外該平台之建置應由產業界所主導的非營利的組織並採自願加入的性質。只要涉及著作權以及著作臨接權相關的內容作品,都可以加入此平台,不限於數位形式的內容作品。平台並非要取代現有的市場機制,而係在促進現有的集體管理團體、作品登記單位(Registry)以及跨領域之間有關著作權之交流。 二、平台的主要功能在於媒合權利端與利用端[10] 平台主要提供的服務內容為協助利用端找尋合適的內容以及權利資訊,降低其在海量的數位世界裡搜尋的成本。此外,該平台也具備媒合功能,即利用人也可以透過該平台向權利人提出授權申請,或是由權利人向不特定或潛在的利用者提出授權的邀約,平台僅作為第三方的媒合者,協助兩端進行相關授權事務。另外,透過平台的資訊彙整機制,也可降低授權的爭議,例如專屬授權的重疊,以及授權範圍的疑義等等。 三、平台須借重數位權利資訊管理工具以達成目的[11] 目前數位作品透過數位權利管理資訊系統(Copyright Management System)已蔚為趨勢,因此該平台希望藉由多媒體識別網絡(Multimedia Identifier Network),在每一個數位作品加入一個管理碼,用以管理作品的權利資訊(包括授權內容等訊息)。此外,平台未來也會建立識別不同國際標準碼的機制,讓使用不同國際標準碼之作品在此平台上都能夠互相轉換或辨識。 伍、事件評析 從英國智慧局啟動成立數位著作授權平台的計畫,可以看出英國政府有意希望透過一個入口的網站來提供作品權利資訊,亦即由一個「節點」(Hub)[12]連結到各個相關著作權資訊的資料庫或管理團體,目前主要先進國家對於數位著作權彙集管理似乎有此種趨勢,例如日本的著作權資訊集中處理機構(著作権情報集中処理機構)[13]也是採用此種著作權彙集管理方式,不過其定位僅在於資訊提供。成立這些機構的國家,實際上都有良善且歷史悠久的著作權集體管理團體,同時也建立了相當數量的著作權相關數據,因此當要建置此類平台或入口網站時,馬上可擁有相當規模的平台資料庫。 我們也不難觀察到,該平台不斷強調其性質應該是非營利的組織,同時不會涉及相關的授權與交易(但提供協助),也不干預市場既有的商業機制,亦即政府只要擔任輔導或是初期研究建置的角色即可,所有的授權、交易都應該由民間自行運作,也不應該強迫其他產業加入,應由產業自行決定。儘管該平台的理想模式是如此,但該平台實際上尚未運作,是否可能達成每年增加一億台幣的產值也有待觀察。 不過從英國智慧局投入資金啟動數位著作授權平台此一動作,不難發現英國政府的企圖心,欲透過此一平台媒介進一步將英國的音樂、圖像、影音透網絡推廣到世界。從文化層面來說,係希冀透過該媒介再傳遞或散布英倫三島的文化,進而透過間接或直接產生經濟上的價值反饋。至於英國的作法於我國是否有可參考之處?實際上本文認為,由於我國的民主自由開放,所孕育出來文化能量,足以堪稱華語世界之翹首,富有蓬勃發展的音樂產業、出版產業、以及近來興起的影音產業,在華語世界或是亞洲等,競爭力不亞於其他國家,甚至近來流行文化已經深入擴散到鄰近國家當中[14],我們如何透過科技媒介整合文創產業,進而增加經濟上的產值,英國的此種思維脈絡足堪借鏡。 [1] Government gives £150,000 funding to kick-start Copyright Hub(2013.03.25), http://www.ipo.gov.uk/about/press/press-release/press-release-2013/press-release-20130325.htm [2] Digital Opportunity - A review of Intellectual Property and Growth, http://www.ipo.gov.uk/ipreview-finalreport.pdf [3] Copyright Works: streamlining copyright licensing for the digital age, http://www.ipo.gov.uk/dce-report-phase2.pdf. [4] 後設數據(Metadata),又稱元數據、中介資料,為描述數據的數據(data about data),主要是描述數據屬性(property)的資訊,用來支援如指示儲存位置、歷史資料、資源尋找、檔案紀錄等功能。元數據算是一種電子式目錄,為了達到編製目錄的目的,必須在描述並收藏數據的內容或特色,進而達成協助數據檢索的目的。See Kai M. Hüner, Boris Otto, Hubert Österle, Collaborative management of business metadata, International Journal of Information Management, 31(4), 305, 305-308 (2011). [5] Hooper & Lynch, supra note 115, at 31. [6] 參考Hooper & Lynch, supra note 115, at 34. [7] Creative Industries Drive Momentum to Streamline Copyright Licensing in the Digital Age, http://www.clsg.info/uploads/Copyright_Hub__Press_Release.pdf [8] The Copyright Hub: Operating Policies, Version 1.0, November 21 2012, available at http://www.copyrighthub.co.uk/uploads/Copyright_Hub_Operating_Policies_-_Version_1.0_Nov_2012.doc [9] Ibid, P.2 [10] Ibid , P.3-4 [11] Ibid , P.5-6 [12] 此處的hub根據上下語義翻為節點為宜。 [13] 著作権情報集中処理機構,http://www.cdc.or.jp/ [14] 邱莉玲,〈台味指數 8成日本人哈台〉,工商時報,2013-03-08,http://money.chinatimes.com/express/express-content.aspx?id=14435&cid=7