美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制
美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。
被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可:
- 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。
- 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。
- 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。
- 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities, U.S. DEPARTMENT OF COMMERCE, Oct. 20, 2021, https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private (last visited Dec. 5, 2021).
Information Security Controls: Cybersecurity Items, 86 Fed. Reg. 58,205,58,216 (Oct. 21, 2021) (to be codified at 15 CFR Parts 740, 772 and 774).
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8495&no=64(最後瀏覽日:2021/12/05)。
許祐寧,〈美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8502&no=64(最後瀏覽日:2021/12/05)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8548&no=64(最後瀏覽日:2021/12/05)。
美國聯邦通訊委員會(Federal Communication Commission, FCC)於2021年1月19日通過「數位機會資料蒐集計畫」附加規則(Digital Opportunity Data Collection additional rules),將幫助FCC蒐集更精確與準確的網路寬頻布建資訊(broadband deployment data),以完成美國境內寬頻網路布建差距之辨識任務。該規則規範了需向主管機關報告關於網路近用性和/或網路覆蓋率相關資訊的報告主體,使需要報告的固網和行動寬頻服務供應商範圍更加明確。另外該規則亦有針對網路服務供應商提出關於固網速度與網路延遲相關報告時,所應遵守事項作規範。 該規則亦針對蒐集各州、地方與部落網路寬頻布建資訊的對應實體(mapping entities)、聯邦政府機構,與第三方單位,制定此三方進行辨識寬頻網路布建差距作業時所應遵守之注意事項,並為網路服務供應商提交固網和行動寬頻覆蓋率地圖資料時,設置其提交流程所應遵守之相關規範。該規則要求行動式網路服務供應商提交依據實際情況的相關基礎設施資訊或現場測試資料,作為FCC對行動式網路覆蓋範圍調查和驗證的資料,這些資料還將應用於擴大某些特定區域行動式網路寬頻覆蓋範圍的相關作業上,以增加該區域居民的使用數位機會。 「數位機會資料蒐集計畫」附加規則將使FCC確切知道寬頻網的可近用服務位置和不可近用服務位置,以及更了解美國的寬頻網路需求,以確保將來每位美國公民都能使使用高速網路服務,這同時也是「數位機會資料蒐集計畫」的目的。
歐盟提出雲端服務層級標準化指導原則2014年6月26日歐盟執委會提出電信網路層級服務協議標準化指導原則(Cloud Service Level Agreement Standardisation Guidelines)。網路服務提供業者通常會與消費者簽訂契約,內容約定有服務之等級,稱之為電信服務層級契約(SLAs),在雲端運算服務中,通常橫跨不同的管轄領域,適用的法律要件亦產生變化,而在雲端部分所儲存的個人資料保護部分尤其重要。不同的雲端服務與模式所需要的協議約定亦不同,這些都增加訂定的複雜性。 指導原則之提出將幫助專業的雲端服務業者在契約訂定時應該注意的內容,其中主要相關項目包括: 1.雲端服務的可利用性與真實性 2.從雲端服務提供業者中可取得服務的品質 3.安全層級 4.在雲端中如何妥善管理資料 指導原則首先明定原則,以做為雲端運算服務契約之參考。並同時針對不同的名詞定義解是,亦針對不同的契約與法律議題說明,包括業者在依據所訂定的契約中處理個人資料時,應符合歐盟資料保護之規範。 在指導原則提出之後,執委會將與雲端使用者,特別是一些小型企業進行檢視,後續並朝向通過國際ISO之認證。
美國聯邦通訊傳播委員會決議將進行網路中立立法美國聯邦通訊傳播委員會(Federal Communications Commission, FCC )在2009年10月22日表決,一致同意開始進行對「網路開放」(Open internet)相關之規範。除了2005年所提出之前四項提議原則外版本外,FCC新提出兩項提議原則,尋求意見,共包含: 1. 確保網路使用人均可選擇網路服務及內容之自由; 2. 保護對合法網路應用和合法服務使用之權利; 3. 選擇於網際網路上使用設施(devices)之自由; 4. 網路提供業者(network providers)、應用提供業者(application providers)、服務業者(service providers)、和內容提供業者(content providers)者間之競爭關係; 5. 網路提供業者之管理措施,不得基於網路流量(traffic)而對之歧視(discriminate),但得基於顧客之利益采取相關管理措施; 6. 寬頻提供業者,需揭露網路管理措施之方案資訊,以及管理措施對使用者所造成之影響。 參議員John McCain 則表示,網路中立(Net neutrality)的原則,將會扼殺創意和傷害就業市場,該議員並提出網路自由法案(Internet Freedom Act of 2009),認為該法案使避免網路受到政府管控,並且允許持續的創新和創造更多高價值之就業機會。維持網路事業的自由,免於沉重的規範,將是對經濟最佳之刺激方式。 同時也有人質疑,FCC並非授權管理網路之機構,且其所訂定之原則,並未具有法規效力,無法強制執行,而FCC制定該原則之意義為何?但FCC則表示,已獲得政策原則執行之授權。
美國衛生及公共服務部提出策略草案,以緩解健康資訊科技對醫護人員所造成的負擔美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)依21世紀醫療法(21st Century Cures Act)於2018年11月28日公布由國家健康資訊技術協調辦公室(Office of the National Coordinator for Health Information Technology, ONC)與美國聯邦醫療保險和補助服務中心(Centers for Medicare & Medicaid Services, CMS)共同起草的「減輕使用健康資訊科技及電子健康紀錄所造成的管制與行政負擔之策略(Strategy on Reducing Regulatory and Administrative Burden Relating to the Use of Health IT and EHRs)」草案,以緩解健康資訊科技(Health Information Technology)於臨床使用的負擔。 雖然資通訊科技的進步促進許多產業的發展,卻在醫療產業造成應用上的問題,如臨床醫師會花費更多的時間、人力成本於登載電子健康紀錄,而壓縮與患者溝通的時間。為改善這些問題,此草案針對臨床紀錄建檔(Clinical Documentation)、健康資訊科技的可用性與使用者經驗(Health IT Usability and the User Experience)、電子健康紀錄報告(EHR Reporting)、及公共衛生報告(Public Health Reporting)四大議題提出相對應的策略及建議採用的措施。並以三個主要方向為討論主軸:降低臨床醫師紀錄患者健康資訊所耗費的人力時間成本、降低臨床醫師、醫院與健康照護機構(health care organizations)為達到報告規範標準而耗費的人力時間成本、及促進電子健康紀錄在使用上的功能性與直覺性(functionality and intuitiveness),以期能促進醫病溝通,並進一步完善健康照護環境。此草案在2019年1月28日前開放公眾提出建議,並預計於2019年年底公布最終版本。