美國眾議院通過電信基礎設施安全四大法案,以防止採用構成國家安全風險的設備
美國眾議院(United States House of Representatives)於2021年10月20日通過安全設備法案(Secure Equipment Act)、通訊安全諮詢法案(Communications Security Advisory Act)、資通訊科技戰略法案(Information and Communication Technology Strategy Act)與國土安全部軟體供應鏈風險管理法案(DHS Software Supply Chain Risk Management Act),以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商,並促進產業供應鏈的經濟競爭力。美國總統拜登(Joseph Robinette Biden Jr.)於同年11月11日完成簽署《安全設備法》。
《安全設備法》旨在禁止聯邦通訊委員會(Federal Communications Commission, FCC)頒發設備許可予構成美國國家安全風險之公司,其目的係為防止美國的網路系統遭受中國大陸設備的監控,保護美國公民的隱私與安全。近年來,美國以國家安全與技術、隱私保護為由,逐步以政府禁令或動用政府影響力,防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令,至2021年10月20日美國眾議院通過電信設施基礎安全四大法案,並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定,各種限制手段展現美國保護國土安全之決心。
此外,《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性;資通訊技術供應鏈報告(例如:定義何謂「對美國經濟競爭力至關重要的資通訊技術」等)」;以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前,此三大法案皆於參議院二讀後提交至委員會,後續發展應密切關注。
本文為「經濟部產業技術司科技專案成果」
- H.R.3919 - Secure Equipment Act of 2021
- H.R.4067 - Communications Security, Reliability, and Interoperability Council Act
- H.R.4028 - Information and Communication Technology Strategy Act
- H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021
- Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items
- 美國總統簽署《安全可信通訊網路法》
- 美國國會《促進美國5G國際領導力法案》
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
陳祺潔
副法律研究員 編譯整理
United States Congress, H.R.3919 - Secure Equipment Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/3919/text (last visited Nov. 16, 2021).
United States Congress, H.R.4067 - Communications Security, Reliability, and Interoperability Council Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4067/text (last visited Nov. 16, 2021).
United States Congress, H.R.4028 - Information and Communication Technology Strategy Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4028/text?r=46&s=1 (last visited Nov. 16, 2021).
United States Congress, H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4611/text (last visited Nov. 16, 2021).
Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items (Oct. 21, 2021), https://www.federalregister.gov/documents/2021/10/21/2021-22774/information-security-controls-cybersecurity-items (last visited Nov. 10, 2021).
何穎欣,〈美國總統簽署《安全可信通訊網路法》〉,資策會科法所,2020年09月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8523(最後瀏覽日:2021/11/08)。
許祐寧,〈美國國會《促進美國5G國際領導力法案》〉,資策會科法所,2020年02月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8394(最後瀏覽日:2021/11/08)。
為因應歐盟一般資料保護規則(General Data Protection Regulation,簡稱歐盟GDPR)於2018年5月正式施行,英國資訊委員辦公室(Information Commissioner’s Office, 簡稱ICO)於2017年11月21日發布一般資料保護規則指引(guide to general data protection regulation)(簡稱一般資料保護規則指引)。 ICO所發布的一般資料保護規則指引,係用於解釋歐盟GDPR的各條規定,協助企業符合歐盟GDPR的各項要求,適用於企業中擔負資料保護義務責任者。ICO說明本指引文件致力於擴展與歐盟GDPR、ICO所制定公告之其他指引文件、歐盟第29條工作小組制定公告之相關指導文件的聯結。歐盟第29條工作小組係由歐盟各會員國的資料保護機構代表組成,而ICO即為英國派任於該工作小組之資料保護機構代表。 ICO發布的一般資料保護規則指引,內容簡述如下:本指引文件係在建構歐盟GDPR法規的架構,將反映歐盟GDPR未來的導引與如何呈現,本指引內容有歐盟GDPR的重要定義(如歐盟GDPR適用對象、歐盟GDPR所欲保謢之資料種類)、歐盟GDPR原則、個人資料處理、當事人同意、當事人權利介紹、資料保護、資料洩漏處理、未成年人保護等議題之參考要點;並針對部分議題,設計有簡易清單,供參閱者勾選確認。 英國ICO除採取對外發布一般資料保護規則指引外,另有制定數個線上工具,協助企業依其身分別(如資料管理者或資料處理者),選擇線上工具進行自我檢視是否符合歐盟GDPR要求,期以協助英國業者為今(2018)年5月GDPR正式施行,能作更充分的準備。
Google被遺忘權近期歐洲法院判決趨勢德國聯邦最高法院(Bundesgerichtshof, BGH)於今(2020)年7月「VI ZR 405/18」」案中拒絕當事人請求Google刪除有關其健康個資之主張,為2018年歐盟通過一般資料保護規則(General Data Protection Regulation, GDPR)後,德國聯邦最高法院第一件與被遺忘權相關之判決。本案當事人曾為德國一慈善團體之負責人,該團體於2011年陷入財務危機,而當時有報導指稱當事人作為團體負責人,竟稱病不回應媒體訪談。當事人認為上述報導資料有損其名譽,請求Google刪除與其健康個資相關之搜尋結果。德國聯邦最高法院於判決中強調,網路搜尋結果是否須被移除,應衡量相關之基本權利,個案分別認定。本案中大眾知的權利(right to information)優於當事人被遺忘權,故駁回原告之請求,判決Google勝訴。 被遺忘權首見於2014年歐盟判決(Google Spain v. AEPD and Mario Costeja Conzalez),賦予人民要求搜尋引擎移除對自身造成負面影響資訊之權利。GDPR進一步於第17條明文化此一權利之內涵,於個資依原本蒐集之目的已不具必要性、當事人撤回同意、當事人反對個資自動化處理、當事人個資遭不法侵害、依照法律規定應刪除個資及青少年與兒童個資等六種情形,當事人得請求資料控制者刪除個資。 法國近期亦有被遺忘權相關法院判決。法國最高行政法院(Conseil d’État)於今(2020)年3月撤銷法國國家資訊自由委員會(Commission nationale de l’informatique et des libertés, CNIL)於2016年3月對Google作出十萬歐元之裁罰,因其僅刪除存在於法國網域內之當事人個資,而未及於全球網域。法國最高行政法院於本判決重申2019年歐盟法院(European Court of Justice)於Google v. CNIL之立場,認定Google履行被遺忘權之網域範圍僅適用於歐盟地區,而不及於全球,撤銷CNIL於2016年對Google作出之裁罰。
美國眾議院一致通過電子郵件保護法案美國眾議院於2016年4月27日一致同意通過支持電子郵件保護及雲端隱私法案(Email Privacy Act, EPA),本法案之後將會要求執法部門於搜查電子郵件或儲存於雲端設備的資料時,必須向法院取得搜查令,才能取得超過180天以上的資料。 本法案係針對1986年推出的《電子通信隱私法(Electronic Communication Privacy Act, ECPA》進行補強,因為目前科技的進步,早已遠超過ECPA是在網路興起前所得規制的範圍,在當初ECPA法案訂定之初,人民仍有定期刪除E-mail以保持硬碟空間的習慣,但相較於現在多數人都已使用雲端信箱的習慣下,如仍能讓警方等恣意調查任何人的信箱,往往可取得巨量的消息,因此本次的修正可預期將更能使相關規範符合時宜需求。 本次修正重點如下: 1.過往之ECPA規定要求聯邦機構在調查超過180天的電子郵件時只需要取得傳票即可,現在則是需要取得搜查令。 2.要求政府機構必須先取得法院的搜查令,才可以要求供應者揭露其保有之資訊。 3.要求執法部門應於取得資料的10天內向資料被揭露者提供相關證明,如涉及政府單位者則縮短至3天。 雖然EPA在眾議院內獲得美國兩黨的一致通過,但仍須經參議院下一波的投票表決,才能決定本案是否得順利通過。
2016年生物支付技術將可能取代傳統支付型態根據美國公共電視台在2016年1月6日的新聞,指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵,諸如:指紋、虹膜等進行支付。採用生物支付技術,未來將無須使用信用卡或行動裝置,僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利,但同時,生物支付的安全性卻也不無疑義。 即便生物辨識屬於高層級的資訊安全保護機制,但水能載舟,亦能覆舟。生物辨識利用生物不可變之特性進行身分識別,涉及高度個人隱私,為妥善保護個人資訊安全,需訂立生物辨識相關規範加以管制,否則將衍生許多法律問題。 例如:在2015年6月,美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者,也從未同意其生物辨識資訊被該公司蒐集,但其面紋(Face print)卻被上傳至該公司網站,並標註姓名,儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範: 1.第10條: 生物辨識之態樣,包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描,但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a): 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱,並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1): 蒐集生物辨識資訊應告知當事人。 Shutterfly公司提出要求法院不受理之抗辯,主張BIPA規定之臉部外觀,其文意解釋應為物理上個人親自接受掃描所得之資訊,並非原告所主張以照片辨識之臉部外觀,但法院認為Shutterfly之主張並不合理,因此同意受理此案。 觀察該案可發現,儘管生物辨識提高資訊安全之保護,但相關法規範解釋仍待實務完備。另一方面,生物特徵資訊極易被他人蒐集,因此,如何建置蒐集個人辨識資訊及完善相關措施,也是推行生物支付措施所需突破的關口。