美國國家安全局發布「軟體記憶體安全須知」

  美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下:

  1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。

  2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。

  3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。

  搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。

相關連結
你可能會想參加
※ 美國國家安全局發布「軟體記憶體安全須知」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8956&no=64&tp=1 (最後瀏覽日:2026/07/09)
引註此篇文章
你可能還會想看
初探與省思我國法制下之侵權行為適用於非依軌道行駛之自動駕駛車輛之過失內涵

初探與省思我國法制下之侵權行為適用於非依軌道行駛之自動駕駛車輛之過失內涵 資訊工業策進會科技法律研究所 2019年03月15日 壹、事件摘要   於2018年03月18日晚間10時許,美國亞利桑那州(Arizona,下稱Arizona)一名49歲的婦人,遭到配備Uber自動駕駛系統之車輛[1],在運行自動領航模式(Autopilot)下撞擊,雖然該婦人立即送往醫院,但仍回天乏術而在醫院中去世。就在前開事故發生後,Arizona州長Doug Ducey因此下令其暫停測試。[2]   此外,同年12月11日晚間10時許,在我國有一輛配備自動輔助駕駛功能的Tesla,疑似駕駛人精神不濟因而未能及時注意車前狀況,導致車禍發生,雖然肇責是否牽涉Tesla之自動輔助駕駛功能或駕駛人本身有無疲勞駕駛等情事,有待進一步釐清。[3]   綜上,不論測試或道路駕駛,現今社會已不乏具有一定自動駕駛等級之車輛於路上行駛,然而在推廣、研發或應用自動駕駛車輛(下稱自駕車)的同時,若不幸發生類似前開新聞之(車禍)事故時,相關肇事責任究應如何釐清,隨著我國已於2018年12月19日公布無人載具科技創新實驗條例以積極推動自駕車相關應用,更愈顯重要,為解決前開肇事相關疑慮,本文擬針對民事上之「過失」本質,反思自駕車相關應用可能延伸的事故責任,是否因應科技發展而有不同的過失內涵。 貳、重點說明   承上,面對自駕車相關科技與應用的世界洪流,若發生車禍等交通事故時,當事人相關之損害賠償請求,仍大多以民法上之侵權行為作為基礎,雖事故肇因種類眾多,亦常見各類的肇因共同造成事故發生,但本文考量相關議題繁複,以下僅就非依軌道行駛之自駕車、駕駛人過失內涵等框架下依序進行初探與反思: 一、我國侵權行為損害賠償係以行為人有無具抽象輕過失為斷   車禍之發生,若涉及駕駛人之行為者,受有不論財產或人身損害之人而欲請求賠償者,無論係依據民法第184條以下何條侵權行為之規定(即民法第184條第1項前段、同條項後段或第191條之2等規定),請求駕駛自駕車之人賠償,前提均為駕駛人具有過失,差別僅在舉證責任是否由請求權人(受有損害之人)負擔。   承上,既然前開侵權行為之重要成立要件為過失,其具體內容為則為駕駛人之注意義務應至何種程度,然在我國民事過失責任之架構上,有不同程度上之區分,即分別為抽象輕過失、具體輕過失及重大過失三種。申言之,抽象輕過失為欠缺應盡善良管理人之注意者義務;具體輕過失者為欠缺應與處理自己事務為同一注意者;重大過失者為顯然欠缺普通人之注意者[4]。   對此,實務見解[5]以及學者[6]歷來均認侵權行為之過失標準,應以行為人是否克盡客觀化之過失標準─抽象輕過失,倘否,則應負擔過失之賠償責任,是以,就此脈絡推論,自駕車之駕駛人若有違善良管理人注意義務致車禍發生且使他人受損害,即應負損害賠償責任。 二、駕駛人注意義務與自駕車自動駕駛程度間之互動   根據引領世界自駕車標準的領銜者─國際汽車工程師學會(Society of Automotive Engineers International,下稱SAE)所分類之自動化駕駛等級,區分為等級0至等級5(共6個等級),而等級3後之自駕車即開始逐漸將環境監控的任務從駕駛人移轉至車輛本身,而駕駛人僅在特殊條件下,方須接管駕駛車輛,更甚在等級5時是由自駕車在任何狀況下均可自行駕駛,不過在等級2前之等級,環境監控之任務大多在駕駛人身上,自駕車至多僅係協助運行駕駛人之指令[7]。   然而,自駕車駕駛人因車禍所生之侵權行為責任,誠如前述,係以駕駛人存有抽象輕過失作為前提,而過失之本質,則係雖非故意,但按其情節,(1)行為人(駕駛自駕車之人)應或能注意,卻不注意,或(2)雖可預見侵權行為(車禍肇事)之事實發生,但確信不發生[8],就此,在SAE分類等級2以前之自駕車,因監控環境之任務仍由駕駛人負擔,則該類等級自駕車之駕駛人應與一般車輛之駕駛人,負擔相同侵權行為之注意義務內容(或程度),但等級3至等級5自駕車之各式應用情境,車輛行駛環境之相關監控資訊已轉由車輛本身處理、控管,則駕駛人是否對於自駕車之車禍發生,仍具有可預見性,或得注意並防免之,則不無疑慮。 參、事件評析   綜上,本文所提不同等級自駕車,是否當然得以繼續適用傳統民事侵權行為之過失標準判斷駕駛人有無過失,實有相當程度上之衝突,蓋若自駕車之駕駛人對於行車環境資訊已不如駕駛一般車輛時,實難期待駕駛人對於車禍之發生有何預見可能,或在遇見後積極防免結果發生,倘若一概遵循傳統對車禍侵權行為之高注意義務要求─抽象輕過失責任,或將產生使不明瞭或難以預見該事故原因發生之人,卻必須就非因己誤之結果負責,某程度上似有違過失責任之本質,而質變成為無過失之擔保責任。   據此,本文認為,若要解決前開損害發生須有補償或賠償之問題,或可(1)透過保險、基金等方式填補損害,或(2)具體化等級3至等級5自駕車之駕駛人應負何等注意義務,如駕駛人須隨時處於得以接管車輛操作之狀態,使等級3以上之自駕車所應盡之注意義務與傳統侵權行為之注意義務脫鉤處理(3)與商品責任間進行相關的調和等,然而無論如何,對於此等問題或疑慮,究竟應採何方向或多方進行,甚或以其他方式解決,則有待後續更進一步的討論與分析。 [1] Uber於該州進行自動駕駛車輛之測試。 [2] ADOT director's letter to Uber halting autonomous vehicle tests, ADOT, https://www.azdot.gov/media/News/news-release/2018/03/27/adot-director's-letter-to-uber-halting-autonomous-vehicle-tests (last visited Mar. 21, 2019); Ryan Randazzo, Arizona Gov. Doug Ducey suspends testing of Uber selfdriving cars, azcentral, Mar. 26, 2018, https://www.azcentral.com/story/news/local/tempe-breaking/2018/03/26/doug-ducey-uber-self-driving-cars-program-suspended-arizona/460915002/ (last visited Mar. 21, 2019); Ryan Randazzo, Bree Burkitt & Uriel J. Garcia, Self-driving Uber vehicle strikes, kills 49-year-old woman in Tempe, azcentral, Mar. 19, 2018, https://www.azcentral.com/story/news/local/tempe-breaking/2018/03/19/woman-dies-fatal-hit-strikes-self-driving-uber-crossing-road-tempe/438256002/ (last visited Mar. 21, 2019). [3] 蘋果日報,〈台灣首例!特斯拉自動駕駛闖禍 國道上撞毀警車〉,2018/12/12,https://tw.appledaily.com/new/realtime/20181212/1482416/ (最後瀏覽日:2019/03/21)。 [4] 96年台上字第1649號判決。 [5] 19年上字第2476號判例。 [6] 王澤鑑,《侵權行為法》,自版,頁308-309(2011)。 [7] SAE International Releases Updated Visual Chart for Its “Levels of Driving Automation” Standard for Self-Driving Vehicles, SAE International, https://www.sae.org/news/press-room/2018/12/sae-international-releases-updated-visual-chart-for-its-%E2%80%9Clevels-of-driving-automation%E2%80%9D-standard-for-self-driving-vehicles (last visited Mar. 22, 2019). [8] 97年度台上字第864號判決。

美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效

隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面: 一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且: 1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。 2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。 二、 資料蒐集企業與資料當事人權利義務: 1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。 2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。 3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。 5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。 《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。

歐洲央行發表「虛擬貨幣架構」報告,法國比特幣交易平台取得PSP資格。

  歐洲央行(European Central Bank,簡稱ECB)於2012年10月29日提出「虛擬貨幣架構(Virtual Currency Schemes)」報告(全文可至歐洲央行網站下載,下載網址: http://www.ecb.int/pub/pdf/other/virtualcurrencyschemes201210en.pdf),Bitcoin(中譯「比特幣」)為該報告的研究重點。該報告將虛擬貨幣架構分為三類:1. 封閉性虛擬貨幣架構,與實體經濟幾乎無連結,通常用於遊戲中,例如暴雪娛樂(Blizzard Entertainment)的魔獸金幣(World of Warcraft Gold, WoW Gold);2.單向貨幣流(通常是流入) 的虛擬貨幣架構,可以現金依照匯率兌為虛擬貨幣後用於購買虛擬商品或服務,少數例外可使用於購買實體商品或服務,這類型代表如臉書的FB幣;3. 雙向貨幣流的虛擬貨幣架構,類如其他一般貨幣,具有買進賣出匯率,可支應虛擬以及實體商品、服務的買賣,如比特幣。基於本身特性,比特幣並非歐盟電子貨幣指令(Electronic Money Directive, 2009/110/EC)以及歐盟支付服務指令(Payment Service Directive,簡稱PSD,Directive 2007/64/EC)的適用範圍。目前虛擬貨幣欠缺與實體經濟的聯結,交易量小且欠缺廣泛的使用接受度,因此對於金融以及物價的穩定影響有限;另外,虛擬貨幣欠缺妥適的法規管制,可能被用於不法活動,如犯罪、洗錢、詐欺等等;綜上,若任由虛擬貨幣持續發展而不管制,將被視為是中央銀行的失職而影響其聲譽。然而,報告指出,基於下述原因,虛擬貨幣將有可能繼續蓬勃發展:1. 網路以及虛擬社群使用人的持續增加;2. 電子商務以及特定數位產品的發展,提供虛擬貨幣架構良好的發展平台;3. 相較於其它電子支付產品,虛擬貨幣具備較佳匿名性;4. 相較於傳統支付工具,虛擬貨幣具備較低交易成本;5. 提供虛擬社群所需要的較直接以及快速的交易清算特性。   比特幣出現於2009年,透過數理運算的「挖礦(mining)」技術產生,無發行人,屬於點對點(peer to peer)虛擬貨幣,可匿名持有交易。目前一枚比特幣約當13塊美金,大約新台幣390元,可用於國際部落格平台Word Press,美國紐約、舊金山的部份實體商店也接受比特幣付費。基於比特幣本身的設計,比特幣的流通數量有限,市面上目前流通的比特幣約有1050萬個,預估至2014年將可全數開鑿完畢。全世界最大的比特幣交易所為東京的Mt.Gox,市占率超過80%,支援美金、英鎊、歐元、加幣、澳幣、日圓以及波蘭幣。2011年時,法國法院在Macaraja v. CIC Bank一案指出,點對點比特幣交換為支付服務,在法國應取得PSP執照。    由法國軟體公司Paymium所建置的比特幣交易平台Bitcoin-Central,於2012年12月與取得PSD支付服務提供者(Payment Service Provider,簡稱PSP)執照的法國業者Aqoba結盟,因而取得PSP資格。依照PSD附件說明,所謂的支付服務,包含存款、提款、轉帳、匯款以及第三方支付服務。透過PSP,Bitcoin-Central在歐盟法制架構下取得與Paypal相同的地位,與銀行業者的重大差別只在於Bitcoin-Central無法提供貸款服務。    Bitcoin-Central提供簡易的比特幣交易界面服務,甚至還有手機錢包(mobile wallet),消費者只消在Bitcoin-Central註冊就可以儲值、購買、交易比特幣並將比特幣轉換為現金,也可以當成薪資帳戶直接存入薪資,未來Bitcoin-Central可發行Debit-Card提供刷卡消費的功能。目前Bitcoin-Central只支援比特幣與歐元的轉換服務,而不提供其他幣別的轉換服務。Bitcoin-Central透過PSP業者Aqoba持有服務使用人儲值之歐元款項,款項存放於法國銀行Credit Mutuel,與Paymium的自有款項切割管理。上述歐元款項受有與一般銀行存款相同的法國中央存款保險"Garantine des dépôts”保障,但是比特幣款項由於並不存放於銀行,因此並不受存款保險保障。   比特幣最常被詬病之處在於其常被用於洗錢以及毒品買賣等等犯罪活動,但是支持者指出,現金不也是有相同問題嗎? 現金的洗錢防制透過金融監理的銀行監管進行,虛擬貨幣之交易平台未來也將是法規管制重點。縱使有部分比特幣支持者反對將比特幣納入法制管理,認為比特幣應該依照其原始設計理念運行,Bitcon-Central與PSP業者Aqoba合作可視為對於ECB之正面回應,為虛擬貨幣法制管理之重要進展。 資料來源:European Central Bank, Virtual Currency Schemes, 15 (2012)

英國資料倫理與創新中心提出「議題速覽-深度偽造與視聽假訊息」報告

  英國資料倫理與創新中心(Centre for Data Ethics and Innovation, CDEI)於2019年10月發布「議題速覽-深度偽造與視聽假訊息」報告(Snapshot Paper - Deepfakes and Audiovisual Disinformation),指出深度偽造可被定義為透過先進軟體捏造特定人、主題或環境樣貌之影片或聲音等內容。除取代特定主體之臉部外,其亦具備臉部特徵重塑、臉部生成與聲音生成之功能。而隨相關技術逐漸成熟將難辨網路視聽影像之真偽,故CDEI指出有必要採取相關因應措施,包含: 一. 立法 許多國家開始討論是否透過訂立專法因應深度偽造,例如紐約州眾議院議員提出法案禁止特定能取代個人臉部數位技術之應用,美國國會亦有相關審議中草案。然而,縱有法律規範,政府仍無法輕易的辨識影片製造者,且相關立法可能抑制該技術於正當目的上之應用,並導致言論自由之侵害,故未來英國制定相關制度之制定將審慎為之。 二. 偵測 媒體鑑識方法於刑事鑑識領域已實行多年,其也可以運用於辨識深度偽造。媒體鑑識方法之一為檢查個體是否有物理上不一致之現象,以認定特定證物是否經竄改,包括拍攝過程中被拍攝對象是否眨眼,或皮膚上顏色或陰影是否閃爍。雖目前英國相關鑑識專家對於媒體鑑識方法是否可辨識深度偽造仍有疑義,惟相關單位已經著手發展相關技術。 三. 教育 教育亦為有效因應深度偽造之方法。目前許多主流媒體均開始喚起大眾對於深度偽造之意識,例如Buzzfeed於去年即點出5個方法以辨認有問題之影片。科技公司也開始投入公眾教育,提高成人網路使用者對於假訊息與深度偽造之辨識,然而報告指出其成效仍有待觀察。

TOP