美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制
美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。
被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可:
- 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。
- 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。
- 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。
- 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
羅文妗
專案經理 編譯整理
Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities, U.S. DEPARTMENT OF COMMERCE, Oct. 20, 2021, https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private (last visited Dec. 5, 2021).
Information Security Controls: Cybersecurity Items, 86 Fed. Reg. 58,205,58,216 (Oct. 21, 2021) (to be codified at 15 CFR Parts 740, 772 and 774).
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8495&no=64(最後瀏覽日:2021/12/05)。
許祐寧,〈美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8502&no=64(最後瀏覽日:2021/12/05)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8548&no=64(最後瀏覽日:2021/12/05)。
美國眾議員Anna Eschoo提出了新的「下世代無線揭露法案(Next Generation Wireless Disclosure Act)」,要求行動網路營運商必須在提供4G服務時,向既有及潛在客戶揭露最低保障資料傳輸速度,以及網路運作的平均表現統計資訊。 根據該眾議員提出之法案內容,該法案旨在確保消費者在有關4G網路服務傳輸速度以及營運商所承諾之最低保障傳輸速度等事項上,擁有有完整和準確的資訊。該法案還可以幫助消費者了解業者網路運作的可靠性、服務覆蓋區域和價格資訊。 Eshoo眾議員表示:「當消費者申請了一個4G傳輸服務方案時,消費者有權知道他們所支付的金錢與所得到的實質服務內容。當無線服務產業投資數十億美元,用以改善服務覆蓋範圍、增進網路可靠性以及提供更高的傳輸速度,而同時消費者對於4G服務的需求也如期望的出現大幅成長。在這樣的情況下,消費者需要知道他們由營運商實際得到的服務速度。」 該法案期望建立準則,使消費者正確理解4G服務資訊(例如該速度是指平均速度或尖峰速度、在什麼情況下速度可能下降等),確保消費者在申請服務之潛能獲得足夠的資訊。 舉例而言,該法案要求營運商說明服務之內容包含: - 保證最低資料傳輸速度; - 網路的可靠性; - 提供服務以及訊號之覆蓋範圍; - 定價; - 業者用於提供4G服務之技術(WiMax or LTE)
歐盟執委會發布「歐洲風電行動計畫」,支持歐洲風電相關產業之發展歐盟執委會於2023年10月24日發布「歐洲風電行動計畫(European Wind Power Action Plan)」,以支持歐洲風電相關產業發展並強化其競爭力,同時確保該產業能在綠色轉型的過程中持續扮演關鍵角色,並以此提高整體風電的裝置容量。該計畫要求委員會、成員國和產業應立即採取以下6個方向的行動措施: (1)透過可預測且快速的許可程序,加速風電的建置 執委會與成員國將共同發布「Accele-RES」倡議,推動許可流程的數位化、許可機關的職員訓練及建立政策指引文件,以及提高許可相關議題之討論層級;並且,鼓勵成員國透過風電承諾(Wind Pledges)、透明的競標時程表和長期的規劃來提高開發專案進度的透明度。 (2)改善風電競標機制的設計 在《淨零產業法(Net-Zero Industry Act)》草案和電力市場設計改革的基礎上,建立更客觀、非歧視性且透明化的風電競標標準,並將目標入法使相關策略具法律約束力。 (3)促進資金的取得 為了擴大對於歐洲風能產業的投融資,歐盟執委會將透過創新基金、歐洲投資銀行(EIB)提供歐盟風電相關產業的資金,以及融資擔保;並利用國家援助(State Aid)規範對歐盟風電供應鏈提供補助。 (4)建立公平且具競爭性的國際環境 為確保風電產業能在公平競爭的環境中順利營運,歐盟執委會將密集監管可能有利於外國業者的不公平貿易行為,並將持續利用貿易協定促進歐盟業者進入外國市場,同時推動風電產業的規格標準化。 (5)培育產業技能 建立「大規模技能合作夥伴關係(Large scale skills partnerships)」以及透過《淨零產業法》推動「淨零產業技能學院」,培訓風電產業技術人才,包含針對青年、婦女與長者的職能培育計畫,以及勞工技能提升與再培訓計畫,因應積極的氣候目標以及市場規模快速擴張所創造之人力需求。 (6)鼓勵產業投入與成員國的承諾 歐盟執委會將與成員國和風電產業共同制定歐盟風能憲章(EU Wind Charter),促進更多風電利害關係人參與締約,擴大憲章適用對象,以建立歐洲風電產業能保持競爭力的優良環境。
美國加州「對話機器人揭露法案」美國加州議會於2018年9月28日通過加州參議院之對話機器人揭露法案(Bots Disclosure Act, Senate Bill No. 1001)。此一法案於美國加州商業及專門職業法規(Business and Professions Code)第七部(Division)第三篇(Part)下增訂了第六章(Part)「機器人」乙章,擬防範「利用對話機器人誤導消費者其為真人同時並誤導消費者進行不公平交易」之商業模式,本法案將於2019年7月1日正式生效。依此法案,企業如有使用對話機器人,則應揭露此一事實,讓消費者知悉自己是在與對話機器人溝通。 美國加州對話機器人揭露法案對於「機器人」之定義為全自動化之線上帳戶,其所包含之貼文、活動實質上並非人類所形成。對於「線上」之定義為,任何公眾所可連結上之線上網站、網路應用軟體、數位軟體。對於「人類」之定義為自然人、有限公司、合夥、政府、團體等其他法律上組織或擬制人格。如業者使用對話機器人進行行銷、推銷時,有揭露其為對話機器人之事實,將不被認定違反對話機器人揭露法案,但揭露之手段必須明確、無含糊且合理可讓消費者知悉其所對話之對象為非人類之機器人。值得注意者為,美國加州對話機器人揭露法案,針對「美國本土造訪用戶群在過去12月間經常性達到每月10,000,000人」之網站,可排除此規定之限制。 本法案僅課予業者揭露義務,至於業者違反本法之法律效果,依本法案第17941條,需參照其他相關法規予以決定。例如違反本法案者,即可能被視為是違反美國加州民法揭露資訊之義務者而需擔負相關民事賠償責任。最後值得注意者為,本法案於第17941條針對「利用對話機器人誤導公民其為真人同時影響公民投票決定」之行為,亦納入規範,亦即選舉人如有利用對話機器人影響選舉結果而未揭露其利用對話機器人之事實時,依本條將被視為違法。