美國眾議院通過電信基礎設施安全四大法案,以防止採用構成國家安全風險的設備
美國眾議院(United States House of Representatives)於2021年10月20日通過安全設備法案(Secure Equipment Act)、通訊安全諮詢法案(Communications Security Advisory Act)、資通訊科技戰略法案(Information and Communication Technology Strategy Act)與國土安全部軟體供應鏈風險管理法案(DHS Software Supply Chain Risk Management Act),以提高網路之可信任度、防止採用構成國家安全風險的設備、支持小型通訊網路供應商,並促進產業供應鏈的經濟競爭力。美國總統拜登(Joseph Robinette Biden Jr.)於同年11月11日完成簽署《安全設備法》。
《安全設備法》旨在禁止聯邦通訊委員會(Federal Communications Commission, FCC)頒發設備許可予構成美國國家安全風險之公司,其目的係為防止美國的網路系統遭受中國大陸設備的監控,保護美國公民的隱私與安全。近年來,美國以國家安全與技術、隱私保護為由,逐步以政府禁令或動用政府影響力,防堵華為、中興等其認為與中國政府關係密切之中國通訊設備業者。自2019年5月15日美國白宮頒布之第13873號行政命令,至2021年10月20日美國眾議院通過電信設施基礎安全四大法案,並美國商務部於隔日即發布「禁止出售、出口駭客監視工具予曾有侵犯人權紀錄的專制政府及地緣政治之敵人」等規定,各種限制手段展現美國保護國土安全之決心。
此外,《通訊安全諮詢法案》、《資通訊科技戰略法案》與《國土安全部軟體供應鏈風險管理法案》分別就通訊網路的安全性、可靠性與操作性;資通訊技術供應鏈報告(例如:定義何謂「對美國經濟競爭力至關重要的資通訊技術」等)」;以及資通訊技術或服務合約之指導方針如何改善國家網路安全等相關事項予以規範。目前,此三大法案皆於參議院二讀後提交至委員會,後續發展應密切關注。
本文為「經濟部產業技術司科技專案成果」
- H.R.3919 - Secure Equipment Act of 2021
- H.R.4067 - Communications Security, Reliability, and Interoperability Council Act
- H.R.4028 - Information and Communication Technology Strategy Act
- H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021
- Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items
- 美國總統簽署《安全可信通訊網路法》
- 美國國會《促進美國5G國際領導力法案》
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
陳祺潔
副法律研究員 編譯整理
United States Congress, H.R.3919 - Secure Equipment Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/3919/text (last visited Nov. 16, 2021).
United States Congress, H.R.4067 - Communications Security, Reliability, and Interoperability Council Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4067/text (last visited Nov. 16, 2021).
United States Congress, H.R.4028 - Information and Communication Technology Strategy Act (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4028/text?r=46&s=1 (last visited Nov. 16, 2021).
United States Congress, H.R.4611 - DHS Software Supply Chain Risk Management Act of 2021 (Oct. 20, 2021), https://www.congress.gov/bill/117th-congress/house-bill/4611/text (last visited Nov. 16, 2021).
Department of Commerce Bureau of Industry and Security, Information Security Controls: Cybersecurity Items (Oct. 21, 2021), https://www.federalregister.gov/documents/2021/10/21/2021-22774/information-security-controls-cybersecurity-items (last visited Nov. 10, 2021).
何穎欣,〈美國總統簽署《安全可信通訊網路法》〉,資策會科法所,2020年09月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8523(最後瀏覽日:2021/11/08)。
許祐寧,〈美國國會《促進美國5G國際領導力法案》〉,資策會科法所,2020年02月,https://stli.iii.org.tw/article-detail.aspx?no=67&tp=5&d=8394(最後瀏覽日:2021/11/08)。
防制洗錢金融行動工作組織(Financial Action Task Force on Money Laundering, FATF)為因應虛擬資產(Virtual Assets)對於打擊洗錢與資恐主義措施所帶來的衝擊,協助各國建立可供遵循的一致性標準,於2018年10月修改FATF建議書(The FATF Recommendations),定義「虛擬資產」與「虛擬資產服務提供業者」(Virtual Asset Service Providers, VASPs),將其納入國際洗錢防制之範疇。 為使各國監管機關依據FATF相關建議,正確評估與降低虛擬資產與VASPs所可能涉及的洗錢與資恐風險,有效進行管理並建立公平競爭的虛擬資產產業體系,FATF於2019年6月21日,針對建議書中第15點-新科技所可能隱藏的洗錢隱憂,加入解釋性說明,列出FATF對於虛擬資產和VASPs的應用標準,包含建議監管機關採取註冊或許可制度,以利進行監督與審查,而非透過自律組織方式進行督導,並與他國進行國際合作。以及為防止不法份子與其同夥擁有對VASPs的控股權(controlling interest)或管理職能(management function),各國主管機關須採取必要的法律或監管措施。另監管機構應有足夠權力監督並確保VASP遵守打擊洗錢和恐怖主義融資的要求,包括進行檢查,強制公開資訊和實施金融制裁。 FATF同時公布「虛擬資產與虛擬資產服務商之風險基礎指引」(Guidance for a Risk-Based Approach to Virtual Assets and Virtual Asset Service Providers),指導各司法管轄區如何應用風險基礎方法,針對虛擬資產相關活動與服務商,進行洗錢與資恐防制。相關主管機構在進行風險評估時,應考量特定的虛擬資產類型或VASP活動,了解其具體架構與運作在金融體系和國家經濟的作用,以及對洗錢與資恐防制的影響,將類似風險的產品或服務應用類似的監理原則處理,並針對虛擬資產的匿名性加強客戶識別機制。隨著VASP活動發展,主管機關亦應審視其他監管措施(如消費者保護、資訊安全、稅務等)與洗錢與資恐防制之間的關聯,進行短期與長期的政策擬定,以制定全面性的監管框架。 FATF預計於2020年6月開始啟動上述新審查機制,為期12個月,檢視各國對於前述具體要求之落實情況。以及持續與民間企業合作,共同探討虛擬資產的基礎技術、使用類型、相關業務模式。
中國電子簽名法將於四月一日正式生效去年八月甫通過的中國電子簽名法在今年四月一日正式生效,而中國首家對外提供電子簽章服務的憑證機構(電子印章中心)在三月三十日成立。 中國電子簽名法對於電子簽名的定義指出,電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身分並表明簽名人認可其中內容的數據。而電子簽名的適用範圍,除了在涉及婚姻、收養、繼承等人身關係、土地房屋等不動產權益轉讓、停止供水、供熱、供氣、供電等公用事業服務或法律、行政法規規定不適用電子文書的其他情形外,均可使用電子簽名。
美國聯邦上訴法院判決,加州政府禁止販賣暴力電玩予未成年人之法案,係屬違憲美國聯邦第九區巡迴上訴法院,於2009年2月20日判決中維持下級審見解,認定『禁止暴力電玩法案』係違反憲法所保護的言論自由。系爭法案於2005年由加州國會通過,並由州長Arnold Schwarzenegger所簽署批准。根據該法案規定,禁止販售或出租所謂『特別殘酷、極端邪惡或道德敗壞(especially heinous, cruel or depraved)』的暴力電玩給未滿18歲的未成年人;符合法條所描述之暴力電玩並應該在包裝盒上加註除現行ESRB分級標誌以外的特別標示(18禁);且賦予零售商於販賣暴力電玩時,有檢查顧客年齡之義務,違者將可處1000美元罰款。 聯邦法院法官認為,被告(加州政府)無法證明『暴力電玩』會影響青少年心理及精神方面的健康,或者出現反社會或激進的行為舉止;被告也無法證明透過立法禁止的手段,能有效達到法案所宣稱保護未成年人的立法目的;法院也認為,系爭條文規定過於模糊,並未能說明暴力電玩之判斷標準。 原告Video Software Dealers Association 和Entertainment Software Association表示,要達到加州政府所宣稱的保護未成年人的立法目的,應從加強既有ESRB分級制度的教育宣導、落實零售商遵守分級制度以及透過父母的管教監督等方式著手,而非增加不適當的內容審查機制。然而,支持該法案者則主張,禁止暴力電玩如同禁止對未成年人散佈色情內容一樣(最高法院認為政府禁止對未成年人散佈色情內容並未違憲),本案被告加州州長Schwarzenegger也表示將上訴到底。 日前在德國也出現修正刑法,將販賣或散佈暴力電玩入罪之提議,在暴力電玩分級制度所引起的爭議日益擴大之際,各國相關作法及其所引起之爭議,或許值得我國主管機關重新檢討「電腦軟體分級辦法」之借鏡參考。
美國資訊安全分析新挑戰:巨量資料(Big Data)之應用在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。 資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。 不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。 由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。 美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。 不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。