美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望

美國及其他參與國際反勒索軟體倡議(International Counter Ransomware Initiative, CRI)之50個成員(含國家及國際組織),於2023年10月31日至11月1日召開第三次大會,並且發布聲明表示:應積極建立對抗勒索軟體之集體韌性(collective resilience)、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。

CRI於2023年之關鍵成果主要可分以下三個面向:
一、加強資安管理能力
對CRI新成員提供指導及戰術培訓,例如由以色列督導約旦,以確保新成員之資通安全。此外,亦發起利用人工智慧打擊勒索軟體之計畫。
二、促進資訊共享
設立可即時更新之資訊共享平台,使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫(Malware Information Sharing Project, MISP)、以色列及阿拉伯聯合大公國之水晶球平台(Crystal Ball platforms)。
三、反制勒索軟體使用人
CRI發布前所未有之共同政策聲明,闡明成員不應支付贖金,且創設成員間共享之加密貨幣錢包黑名單(blacklist of wallets),以便揭露勒索軟體使用人之非法帳戶,並公開與犯罪組織之金流紀錄。另,CRI於2024年起將持續致力發展前述聲明提及之目標,並優先向潛在成員進行宣導,透過提供量身訂做之資安應變能力培訓,滿足潛在成員之需求。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=9114&no=57&tp=1 (最後瀏覽日:2026/07/14)
引註此篇文章
你可能還會想看
韓國政黨提出法案,建議修改「海關法」禁止營業秘密侵權商品之進出口

據韓國媒體於2024年2月13日報導指出,越來越多韓國企業面臨因為營業秘密的外洩而導致企業虧損的問題,鑒於目前的韓國海關扣留制度(Customs Retention System)僅適用於對外公開的智慧財產權(如商標與專利),多方呼籲應將侵害企業內部營業秘密之侵權商品納入海關法的管制中,甚至有政黨提出法案,建議擴大海關法的適用範圍,禁止侵害韓國企業營業秘密的商品進出口。 該篇報導藉一起正在調查中的營業秘密侵害案件為例,涉案之韓國槍械零件製造商,以「前員工在職時,透過個人電子郵件與客戶進行業務往來,取得企業營業秘密資訊(包括設計圖),並於離職後,創設一間A企業並涉嫌出口利用獲得之營業秘密生產的侵權商品」為由,於2023年向該名離職員工提起訴訟,該案後經政府機關調查,最終於2024年2月底進行首次聽證會。 針對上述案件,國防產業相關人士(Defense Industry Insiders)指出,因為韓國海關僅得依法禁止專利、商標之侵權商品進出口,營業秘密的侵權商品在爭議案件調查期間仍可持續進出口。對此,韓國政黨提出了一項法案(下稱系爭法案),旨在修改海關法,從而允許海關扣留「侵害營業秘密的商品」以及「侵害國家指定的先進工業和國防技術的商品」。 該篇報導也指出,雖韓國海關局對於修法基本上持贊成態度,但也有相關疑慮,如:可能會因為海關扣留範圍的擴大被濫用於壓制競爭行為;相較於容易識別的商標侵權案,營業秘密的範圍很廣,界線模糊,可能造成海關難以立即識別侵權。 綜上,即使系爭法案有利於營業秘密侵權救濟,但仍有上述疑慮有待解決,故本議題仍值得持續關注。而本文仍建議相較於事後救濟,企業可參考資策會科法所發布之「營業秘密保護管理規範」,透過PDCA循環建置系統性營業秘密規範,協助企業從事前防範營業秘密侵權風險,始為企業長久經營之計。 本文同步刊登於TIPS網(https://www.tips.org.tw)

歐盟發布《個資侵害通知範例指引》說明個資侵害案例解析以利個資事故因應

  歐洲資料保護委員會(European Data Protection Board, EDPB)於2021年1月18日發布《個資侵害通知範例指引》(Guidelines 01/2021 on Examples regarding Data Breach Notification)草案,並進行為期六週之公眾諮詢。該指引針對2017年10月所發布之《個資侵害通知指引》(Guidelines on Personal data breach notification under Regulation 2016/679)透過案例分析進行補充說明,對於資料控制者如何識別侵害類別以及評估風險提出更詳細的實務建議,協助資料控制者處理資料外洩及風險評估考量因素之認定。   個資侵害係指違反安全性規定而導致傳輸、儲存或以其他方式處理之個資,遭意外或非法破壞、遺失、變更、未獲授權之揭露或近用之情形,由於個資事故將對資料主體可能造成重大不利影響,該指引首先要求資料控制者進行侵害類別之辨識,依據2017年指引將個資侵害分為機密性侵害(confidentiality breach)、完整性侵害(integrity breach)以及可用性侵害(availability breach)。而資料控制者最重要的義務在於主動識別系統漏洞,評估侵害對資料主體權利所產生之風險,制定適當計畫及程序採取適當因應措施,確定侵害事件之問題根因及安全漏洞,加強員工認知培訓及制定操作手冊,並確實記錄各項侵害行為,以提升個資事故因應效率及降低時間延誤。   此外,該指引彙整自GDPR實施以來個資侵害通知具體案例,分為勒索軟體攻擊、資料外洩攻擊、內部人為風險、硬體設備或紙本檔案失竊、誤發郵件以及電子郵件內容外洩,共六大主題十八件案例,針對不同程度風險提供最典型的正確及錯誤作法,並提出資料控制者有關預防潛在攻擊及減輕影響之措施建議。

歐洲自律聯盟成立以塑造對兒童更好的網路環境

  如何確保兒童上網安全,為歐盟數位議程(Digital Agenda)的七大目標之一。而近年來網路內容蓬勃與快速發展,更大幅加速了兒童上網的趨勢。據歐盟執委會於2011年12月的公開資料顯示(IP/11/1485),歐洲兒童平均7歲即開始接觸網路。目前有超過38%的9-12歲兒童在社交網站上有個人資訊,有30%以上的兒童是藉由行動裝置上網。如此高的上網比率,讓各業者有共識以提供兒童更好的上網環境。由蘋果、微軟、Google等跨國企業為首的二十餘家業者組成了自律組織,以提供歐盟地區的兒童更好網路內容環境而努力。   該自律聯盟於2011年12月正式成立,並以五個面向採取相關行動:簡單且強大的工具-能夠搜尋於任何裝置上可能對孩童有害的內容;分齡隱私設定-使用者可限定公布資訊予特定族群;更廣泛的內容分級:提供家長易於理解的年齡內容分級;更廣泛的家長控制工具-積極推動使用者有善的工具;兒童色情內容有效移除-與執法單位與保護熱線等積極合作,將兒童色情內容快速下架。   各業者承諾就其營業項目、產品、服務內容等皆須符合此自律規範,並成立工作小組以協助歐盟執委會處理相關議題。

美國《保護美國人免受外國對手應用程式侵害法案》生效,延長受規範主體出售持股之期限

早在今年(2024年) 3月13日,美國眾議院曾正式表決通過《保護美國人免受外國對手應用程式侵害法案》(Protecting Americans from Foreign Adversary Controlled Applications Act),所有由「外國敵對勢力控制的應用程式」若對國內造成國安威脅,則必須在法案生效後的6個月內拆分在美國之業務及出售持股,且收購公司或新成立公司的營運必須完全獨立自主,不得與原事業有任何往來或合作關係,包括演算法或資料分享等。而相關收購案也須經過主管機關審查,確認其出售之後已完全脫離外國敵對勢力的控制,直到分拆業務為止,美國的虛擬主機服務提供者,始得為其架設網站;若超過期限而未出售,其將從應用程式商店和基於網路的託管服務中被關閉,永久被排除在美國的Google Play、Apple App Store等軟體商店之外。 攤開美國商務部所列的外國敵對勢力清單,中國大陸和香港、古巴、伊朗、北韓、俄國都在名單之列。然而,擁有1.7億美國使用者的短影音平臺TikTok在美國極為盛行,且盛傳TikTok似將所蒐集的美國使用者個人資料提供中國大陸北京政府,因而成為該法案首當其衝的頭號目標。故法案當中即點名TikTok,甚至強調其母公司字節跳動(ByteDance)未來推出的應用程式亦在禁止之列,故該法案又俗稱TikTok禁令。 於審議2024年度的國安補充撥款法案時遂提出將援外法案裂解成獨立法案的發想,而TikToK禁令則屬其他國安需求之類別而包裹在另外一個法案中進行單獨的審議及表決,為兩黨創造更多妥協空間,以便在個別議題上尋求最大公約數。4月20日下午,眾議院以360票贊成58票反對通過《透過力量實現21世紀和平法案》(21st Century Peace through Strength Act),爾後以四案合一的包裹方式送交參議院審議表決,於當地時間23日晚間美國參議院通過該單一修正案,24日再經美國總統拜登(Joe Biden)簽署後正式生效。該HR8038法案包含對以色列、烏克蘭、印太區域安全的3項援助法案,至於強制TikTok脫離中國大陸母公司字節跳動的措施則位在法案的D章節,此部分名為「保護美國人免受外國對手控制應用程式侵害」,實質上乃與眾議院上月通過的法案類同,僅在出售期限上與眾議院上月通過的版本不同,其理由在強調該法案首在以「撤資」為核心,故從原先6個月之限期展延至1年,而此1年期限包含法案生效後270天內讓受規範者脫售持有股份,如於出售期限屆期之際,倘在任何收購階段已取得進展或近乎完成撤資之目標,總統基於職權可額外授權給予90天寛限期以便完成交易程序。從而當前受第一波影響的TikTok得暫時在美國市場續命,惟若終局倘未能出售其在美資產及持股而達完全剝離母公司控制之進程,仍舊得面臨業務全面下架並禁止在美國境內運營的結果。 從HR8038法案的通過可透析兩個重要資訊: 1.為美方體認到社群媒體強大的認知影響力:此前有關數位平臺演算法如何推薦特定內容的曝光不易由法律監管,任何措施皆須在美國憲法第一修正案的框架下進行,避免任何人對言論自由和獲取資訊施加限制,因而法案改以不公平競爭之角度為外衣,迫使敵國之外國企業出售技術和資產,防免其透過不透明的演算法操縱美國人民的行為判斷。 2.從法案的性質上綱到國家安全層次觀察:可探知該法案為美中在科技領域角力下之產物,阻止中國大陸將數據資料武器化,由於中國從2017年起,陸續通過《國家情報法》、《網絡安全法》和《數據安全法》等國安法規,明文規定如為維護國家安全或調查犯罪,有關單位可以調取數據,而握有數據的私人企業或個人只能依法配合,同時中國大陸北京政府也大力整頓網路科技業者,目的之一就是提高國家對企業蒐集資料的控制,產生干預美國內政之風險。 惟TikToK借鑒在蒙大拿州之經驗,表示將同樣基於違反美國憲法第一修正案所保障之言論自由採取法律行動,擬透過司法救濟途徑爭取其在市場上繼續運營的空間。若期間法院未作成任何決定,自法案生效日(2024年4月24日)起算270天,正值落在下一任總統就職前一天,即2025年1月19日之前,字節跳動公司必須出售TikTok在美之業務及資產,屆期未出售則將從Apple App Store或Google Play等應用程式商店全面下架TikTok及其更新版,否則應用程式商店將面臨依使用者數量計算的等比例罰款,另外其他網路服務供應商也將封鎖TikTok進行網路存取。

TOP