英國政府制定監管計畫以應對科技巨頭帶來的問題

　　美國聯邦交易委員會指控 Sanford Wallace 氏及其所經營的 Smartbot.Net 公司，利用 IE 瀏覽器的安全漏洞散佈間諜軟體一案，日前新罕布夏州聯邦地方法院作成判決。 　　被告散佈之軟體會將受害者的光碟機托盤彈出，同時在螢幕顯示「最後警告」等字樣，附帶一則訊息告訴受害者，「如果您面臨光碟機托盤彈出的狀況，代表間諜軟體已經入侵您的電腦系統，安全已經出現漏洞，敬請立刻下載本公司出品，以資因應！」趁機推銷該公司出品，定價 30 美元之 Spy Wiper 跟 Spy Deleter 軟體，號稱足以因應間諜軟體相關問題。實際上，被告未經用戶同意逕予散佈植入的，性質上即係間諜軟體，不僅會偷偷更改用戶電腦的設定，持續不斷跳出廣告視窗，造成用戶之電腦運作不順或者當機，還可能洩漏電腦裡頭所儲存的資料。 　　日前新罕布夏州聯邦地方法院就本件作成判決，命被告必須償還不法取得的利益，共計 408 萬餘美元；不得繼續傳輸散佈間諜軟體至用戶之個人電腦；不得未經同意逕行傳輸任何軟體予用戶；不得將用戶之電腦導向彼等並未打算瀏覽或連結的網站或伺服器；不得更動用戶瀏覽器所預設的首頁；不得更動或調整搜尋引擎的功能或成果。

　　美國衛生及公共服務部（Department of Health and Human Services, HHS），於2020年6月16日提出「曲速行動（Operation Warp Speed）」，目標是在2021年1月前，提供3億劑具安全有效性的COVID-19疫苗，給所有美國人民使用。參與行動的政府夥伴，包括國家衛生研究院（National Institutes of Health, NIH）、食品藥品監督管理局（U.S. Food and Drug Administration, FDA）、疾病預防管制中心（Centers for Disease Control and Prevention）；與多家製藥公司包含嬌生、默克、輝瑞、Moderna、AstraZeneca等，簽訂研究製造及保證收購疫苗的競爭型補助協議，直接由政府需求主導疫苗藥劑的研發、生產與銷售，藉此滿足國家防疫的戰略需求。 　　曲速行動為政府部門及公私夥伴間的合作計畫，依據美國國會通過《新冠病毒援助、救濟和經濟安全法》（Coronavirus Aid, Relief, and Economic Security, CARES Act），計畫補助資金達100億美元，其中超過65億美元用於生物醫學高階研究和發展管理局（Biomedical Advanced Research and Development Authority, BARDA），30億美元用於NIH研究。公私夥伴合作項目包括：「加速研發新冠病毒藥物及疫苗計畫」（Accelerating COVID-19 Therapeutic Interventions and Vaccines, ACTIV）、「快速診斷技術計畫」（Rapid Acceleration of Diagnostics Tech program, RADx）等。 　　曲速行動從100多種疫苗中先行選出14種候選疫苗，由美國政府補助，進行早期臨床實驗，再分次篩選出最具潛力者，進行大規模檢測。透過公私夥伴合作，不僅成功帶動製藥廠商積極研發，也協助候選廠商間彼此競爭、提升製藥能力，進一步反饋研究經驗給最終產出的疫苗成果。

　　美國聯邦交易委員會（Federal Trade Commission，FTC）因應眾議院之要求，再次延展了紅旗規則（Red Flags Rule）之施行日，目前將由原先預定之2009年11月1日，延後至2010年6月1日施行。此規則最初預計於2008年11月1日施行，此次已是第四次延展。   　　所謂紅旗規則，原為「公平與正確信用交易法（Fair and Accurate Credit Transactions Act）」中之規定，依該法眾議院指示美國聯邦交易委員會及相關部門制定法規，用以規範金融機構及授信單位降低身分盜用之風險。基於此一指示，金融機構及授信單位必須研擬防止身分盜用的方案。詳言之，紅旗規則係要求凡管理使用包括性帳戶（covered account）者都應研擬並執行防止身分盜用之書面計劃。所謂的包括性帳戶係指：1.用於多次消費計算用途之帳戶，如信用卡帳戶、汽車貸款帳戶、手機帳戶、支票帳戶等；2.所有預期會產生身分盜用風險的帳戶，並不僅指於金融機構中所設立之帳戶。而前述應研擬之計畫將用以協助確認、偵測並解決身分盜用之行為。   　　由於只要用於支付計算，或有可能產生身分盜用風險之帳戶，均為包括性帳戶，而用於支付會計師款項之帳戶亦包含在內。惟美國會計師協會（American Institute of Certified Public Accountants, AICPA）要求FTC免除註冊會計師適用紅旗規則，該協會執行長Barry Melancon認為：「我們很在意紅旗規則的廣泛應用，因為我們並不認為當CPA之客戶付款時，會產生相當的身分冒用風險。」他指出該紅旗規則所帶來之負擔已超過其風險。AICPA並要求各州會計師協會去函對FTC表達排除適用之意見。而Melancon贊同FTC延後適用紅旗原則之決定，其並認為紅旗規則並無須廣泛運用於會計業，因為作為值得信賴的顧問，會計師對於其客戶應該都很熟悉，也會要求對身分資訊採取嚴格的隱私保護標準。   　　為了推動紅旗規則之適用，FTC已於紅旗規則之官方網站提供了該規則之適用綱領，並以座談會之方式對各團體進行運用之培訓。同時以出版企業之應用綱領，大量之文宣及宣導短片，對民眾提供諮詢服務等方式推廣紅旗規則。   　　而司法實務界對於此一規則之適用範圍亦開始表達其見解，在2009年10月30日，哥倫比亞地方法院判決律師業不適用紅旗規則。不過此次的延展施行公告並不會影響相關案件的進行及上訴流程，也不會影響其他聯邦部門對於金融機構及授信單位的監督。

　　美國能源部於今年（2012）6月28日發布一套新的網路安全自我評估調查工具（Cybersecurity Self-Evaluation Survey Tool），以強化保護公共事業的業者避免遭受網路安全的攻擊，這套工具也是能源部為施行其於5月31日公布的網路安全能力成熟度模型（Cybersecurity Capability Maturity Model）的一部分，同時此模型的發展也是為了支持白宮的電力網路安全風險管理成熟度倡議（ Electricity Subsector Cybersecurity Risk Management Maturity Initiative）。 　　網路安全成熟度模型的發展乃係由能源部與國土安全部共同領導，並且與業界、其他聯邦機構以及卡內基大學軟體工程研究所合作進行，該模型的四個目標在於：加強電力網路安全能力、使相關業者可以有效並持續設立網路安全能力的基準、分享知識、解決的方法與其他相關的參考資料、使業者得以排定對於改善網路安全的行動以及投資上的優先順序，以幫助業者發展並且評估他們的網路安全能力。 　　此次發佈的評估工具則是以問卷的方式，著重在情境式的認知與威脅及弱點的管理，而後能源部將針對自願提供評估結果的業者提供個案報告，幫助業者改善其網路安全能力，同時，能源部也建議業者，建立優先行動方案，以解決差距的問題，並且定期評估追蹤網路安全能力的改善進度，能源部也提醒業者注意網路威脅環境上與技術上的改變，以進行應變的評估。