美國聯邦商務部修訂出口管制規則,對可用於惡意網路活動之項目出口、再出口與移轉進行管制
美國聯邦商務部(Department of Commerce, DOC)下之工業及安全局(Bureau of Industry and Security, BIS)於2021年10月20日公布一暫行最終規則(interim final rule),對出口管制規則(Export Administration Regulation, EAR)進行修訂,其於商品管制清單(Commerce Control List)中增訂「可用於監視、間諜活動或其他破壞、拒絕、降低網路及其設備性能之工具」相關之出口管制分類編碼(Export Control Classification Number, ECCN)項目及說明文字,並增訂「授權網路安全出口(Authorized Cybersecurity Exports, ACE)」的例外許可規定(15 CFR §740.22),該暫行最終規則將於2022年1月19日生效。
被列入商品管制清單內的項目,原則上即不允許出口(或再出口、於國內移轉,以下同),惟透過ACE之例外許可,使前述項目可出口至大多數國家,僅在下列「再例外」情況需申請出口許可:
- 出口地為反恐目的地:出口目的地為15 CFR §740補充文件一所列類別E:1和E:2之國家時,須申請出口許可。
- 出口對象為國家類別D之政府終端使用者(Government end user):政府終端使用者係指能提供政府功能或服務之國家、區域或地方之部門、機關或實體,當政府終端使用者歸屬於國家類別D時,須申請出口許可。惟若類別D之國家同時被歸類於類別A:6(如賽普勒斯、以色列及台灣),在特定情況下,如為弱點揭露、犯罪調查等目的,出口予該國之電腦安全事件回應小組;為犯罪調查、訴訟等目的,出口可展現資訊系統上與使用者相關、對系統造成危害或其他影響活動之數位製品(digital artifacts)予警察或司法機關;或出口數位製品予前述政府,而該數位製品涉及由美國公司之子公司、金融服務者、民間健康和醫療機構等優惠待遇網路安全終端使用者(favorable treatment cybersecurity end user)擁有或操作資訊系統相關之網路安全事件時,不適用ACE之再例外規定,而不須申請出口許可。
- 終端使用者為國家類別D:1、D:5之非政府單位:結合上述第二點之說明,不論出口至國家類別D:1、D:5之政府或非政府單位,皆受ACE之「再例外」拘束,而須申請出口許可。僅當出口特定之ECCN網路安全項目予優惠待遇網路安全終端使用者、基於弱點揭露或網路事件回應之目的出口予非政府單位,或對非政府單位的視同出口(deemed export)行為,方不適用再例外規定,而不須申請出口許可。
- 終端使用者限制:已知或可得而知該物品將在未獲授權之情況下,被用於影響資訊系統或資訊之機密性、完整性或可用性時,須申請出口許可。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
羅文妗
專案經理 編譯整理
Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities, U.S. DEPARTMENT OF COMMERCE, Oct. 20, 2021, https://www.commerce.gov/news/press-releases/2021/10/commerce-tightens-export-controls-items-used-surveillance-private (last visited Dec. 5, 2021).
Information Security Controls: Cybersecurity Items, 86 Fed. Reg. 58,205,58,216 (Oct. 21, 2021) (to be codified at 15 CFR Parts 740, 772 and 774).
許祐寧,〈美國商務部修改《出口管制規則》限制華為取得由美國技術及軟體設計製造的半導體產品〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8495&no=64(最後瀏覽日:2021/12/05)。
許祐寧,〈美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&i=180&d=8502&no=64(最後瀏覽日:2021/12/05)。
范晏儒,〈中國大陸商務部《不可靠實體清單規定》〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8548&no=64(最後瀏覽日:2021/12/05)。
日本電信事業個人資料保護指針(電気通信事業における個人情報保護に関するガイドライン)自2011年修訂後至今即未有任何改變。然而,隨著現代行動通信軟硬設備技術的進步,智慧型手機中已有許多應用程式可透過GPS衛星定位功能準確獲取使用者之位置資訊,倘若司法機關也能於搜查辦案過程即時取得此定位資訊,將可提高偵查效率並縮短破案時程。 為此,日本總務省擬將原先須事先通知行動設備使用人與獲得法院令狀後,方得利用GPS衛星定位獲取位置資訊之電信事業個人資料保護指針第26條修訂為司法機關取得法院令狀後,即可利用GPS衛星定位獲取行動設備使用人位置訊息。 然此項修訂除將可能造成行動通訊業者營運上的額外負擔之外,亦有侵害設備使用者之個人隱私與個人資料疑慮。因此,為了抑止濫為偵查,法院令狀之發出須有其必要性,搜查機關亦必須向行動通訊業者為必要性之說明。 再者,此項利用GPS衛星定位獲取位置訊息之方式也僅限於使用Android系統設備且將定位功能開啟之使用者,對於使用Apple iOS系統設備之使用者則不但須使用者開啟定位功能,還須經過美商蘋果公司同意方能取得亦是一項難題。 日本總務省已於2015年4月17日發布此項法令修訂訊息並徵詢公眾意見,預計於6月完成修法並公布之。
阿爾卡特朗訊上訴要求微軟支付15億美元的損害賠償對於微軟的Windows Media player侵害MP3科技的兩項專利,阿爾卡特朗訊公司7月7日向美國巡迴上訴法院提起訴訟,要求回復對微軟的專利侵權懲罰。 聖地牙哥陪審團在去年2月裁定微軟應就侵害兩項專利權支付15億美元賠償金。微軟爭執這項裁定沒有任何法律或事實上的依據,對此,美國地方法院法官Brewster同意微軟的主張,認為兩項專利侵權的標的中,微軟並未侵害其中一項,而另一項專利,微軟擁有德國Fraunhofer公司的授權,因此法官判定陪審團的裁定並無充足的證據支持,微軟無須支付15億美元的損害賠償。 阿爾卡特朗訊公司宣稱MP3的專利在1989年由AT&T的研發部門貝爾實驗室與Fraunhofer公司共同研發,但朗訊科技在1996年脫離AT&T成為一家獨立的公司,並保留貝爾實驗室的多項專利資產。2006年阿爾卡特與朗訊合併為阿爾卡特朗訊公司,所以該項專利係屬阿爾卡特朗訊公司所有。 微軟發言人表示,Brewster法官的判決是正確的。其中一項專利是微軟向Fraunhofer支付一千六百萬美元授權金而獲得的授權。 阿爾卡特朗訊和微軟對於這場專利爭訟都十分堅持自己的立場,目前尚未有任何跡象顯示未來雙方有和解的可能,看來這場專利戰爭還會持續很久。
美國FCC廢除網路中立法規2017年12月14日美國聯邦通信委員會(Federal Communications Commission, FCC)以3票對2票表決通過,廢止自2015年來所採取網路寬頻服務的高壓監管規定,並恢復了原來所採取低管制監管框架。支持者與反對者分別來自兩個不同的黨派。 經過詳細的分析以及對消費者和利益相關者的評論廣泛審查後,委員會認為自2015年來對網路寬頻服務採取的高壓規定,對整個網路生態系統施加了巨大的成本。為了取代這個嚴格的框架,FCC重新採用2015年之前的傳統低管制監管框架。 FCC 特別要求行動寬頻服務業者應公開揭露其網路管理政策例如:如何處理網路安全與壅塞問題、服務內容與商業條款等,以利於消費者與業者進行有效選擇,並促進政府對寬頻業者的行為進行有效的監督。此外 ,FCC恢復了聯邦貿易委員會(Federal Trade Commission, FTC)的管轄權,以便在寬頻業者從事反競爭、不公平或欺騙行為時採取行動。 在對消費者的影響方面,自由市場的支持者認為,付費優先的作法,意味在寬頻基礎建設上會有更多投資,使得上網和整體資料傳輸速度大為增加。 為達上述目標,委員會所採取之具體措施如下: 將寬頻接取服務(包括固定與行動寬頻服務)重新歸類為資訊服務。 將行動寬頻接取服務恢復歸類為私人行動服務。 將網路服務提供者有關隱私保護、不公平、詐欺和反競爭行為之管轄權回歸由聯邦貿易委員會負責。 要求網路服務提供者向消費者、企業和委員會揭露有關其做法的訊息,包括阻止,限制,支付優先次序或附屬優先次序。 此外FCC又禁止各州限制擴建寬頻網路服務的法律。據FCC統計,大約20個州有限制社區寬頻網路服務活動的法律,這些州的法律不公平地限制政府部門與有線電視和電信寬頻服務提供商的競爭。 FCC通過該案後引發不少如Google、Facebook及Netflix等科技公司,與消費者保護環體齊力撻伐,認為ISP業者在FCC力挺下,將可隨意限制民眾上網瀏覽的內容,大企業因此具優先權,不利新創網路公司生存發展,且投下反對票的政黨表示,將率領各州對聯邦傳播委員會這項決定提出法律挑戰,透過訴訟尋求翻盤機會。
日本經產省修正〈電子商務交易及資訊商品交易等準則〉日本經濟產業省於2018年12月19日修正「電子商務交易及資訊商品交易等準則」(電子商取引及び情報財取引等に関する準則,以下稱「本準則」),主要係因應2018年《不正競爭防止法》在促進資料利用之環境整備方面,以及《著作權法》在應取得著作權人同意之行為範圍部分之修正。 本準則首次公布於2002年3月,係經產省透過學界、產業界及金融界專家、相關主管機關、消費者等各方合作,整理民法等各相關法規釋疑而成,因此,須隨著法規修正更新本準則中的法規適用、爭點、說明等內容。經產省期能透過本準則提高交易當事人對電子商務交易及資訊商品交易相關市場的可預見性(foreseeability),並促進交易。 本準則此次修正相關重點如下: 於網站上販售或公布用以安裝程式或存取、複製數位內容(digital content)及程式之帳號及密碼者,應負相關衍生之法律責任。 針對透過網路蒐集、輸出、於內部網路登載、投影他人著作物等利用行為者,加以限制規範。 若學校授課、企業培訓係使用網路進行遠距教學,或遠距教學服務之供應商有償向學校、企業提供課程而違法利用他人著作物者,則學校、企業、服務供應商須依著作權法負相關法律責任。 使用者(被授權人)基於契約取得供應商(授權人)之同意得以使用資訊商品,縱使該資訊商品之智慧財產權(著作權、特許權)受讓予他人,使用者仍得繼續使用該資訊商品。 因體驗版之手機應用程式、軟體、共享軟體,對使用功能或使用期間有所限制,若行為人違法散布解除限制方法於網路者,則行為人應負之法律責任。 向第三人提供全部或部份有償之資料集(dataset)等行為者,加以限制規範。 針對使用P2P共享軟體將檔案上傳至網路、自網路上下載以及提供P2P共享軟體等行為,就是否違反著作權法進行討論。 拍攝到第三人著作物之合理使用。