美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望
美國及其他參與國際反勒索軟體倡議(International Counter Ransomware Initiative, CRI)之50個成員(含國家及國際組織),於2023年10月31日至11月1日召開第三次大會,並且發布聲明表示:應積極建立對抗勒索軟體之集體韌性(collective resilience)、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。
CRI於2023年之關鍵成果主要可分以下三個面向:
一、加強資安管理能力
對CRI新成員提供指導及戰術培訓,例如由以色列督導約旦,以確保新成員之資通安全。此外,亦發起利用人工智慧打擊勒索軟體之計畫。
二、促進資訊共享
設立可即時更新之資訊共享平台,使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫(Malware Information Sharing Project, MISP)、以色列及阿拉伯聯合大公國之水晶球平台(Crystal Ball platforms)。
三、反制勒索軟體使用人
CRI發布前所未有之共同政策聲明,闡明成員不應支付贖金,且創設成員間共享之加密貨幣錢包黑名單(blacklist of wallets),以便揭露勒索軟體使用人之非法帳戶,並公開與犯罪組織之金流紀錄。另,CRI於2024年起將持續致力發展前述聲明提及之目標,並優先向潛在成員進行宣導,透過提供量身訂做之資安應變能力培訓,滿足潛在成員之需求。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
鄒雅蓓
副法律研究員 編譯整理
International Counter Ransomware Initiative 2023 Joint Statement, THE WHITE HOUSE, https://www.whitehouse.gov/briefing-room/statements-releases/2023/11/01/international-counter-ransomware-initiative-2023-joint-statement/ (last visited Dec. 20, 2023).
陳政陽,〈G7發布金融機關因應勒索軟體危脅之基礎要點〉,資訊工業策進會科技法律研究所,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8949&no=64(最後瀏覽日:2023/11/10)
歐盟法院裁定連結未授權影音串流網站之多媒體播放器違反著作權指令 歐盟法院於2017年4月26日就Stichting Brein v Wullems案作出裁定,依據2001年的「歐洲議會與執委會關於資訊社會中著作權及著作鄰接權調和指令(Directive No. 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society)」,認定販售多媒體播放器,其上安裝附加軟體使用戶可透過建立好的選單,連結到含有未獲著作權人同意影音授權的第三方串流網站之行為,符合著作權指令中「對公眾傳輸(communication to the public)」的定義。歐盟著作權指令第3條第1項並規定,會員國應提供著作權人授權或禁止任何對「公眾傳輸」其作品的權利,包含使用有線或無線的途徑使公眾可以任意地在任何時間地點接觸這些著作。 歐盟法院指出「公眾傳輸」的概念應包含兩個部分:「傳輸行為」以及「公眾。「傳輸行為」包含了各種形式的傳輸或再次傳輸,不管是透過有線或是無線;並且只要是讓公眾可得接觸作品的行為,即構成「傳輸行為」。至於「公眾」的意義為不特定的多數人,並應考慮潛在接觸用戶的可能性,且不僅是從單一時點接觸用戶多寡評斷,而是應觀察連續性累積的情況。 歐盟法院認定此販售多媒體撥放器之行為,考量該行為對於該著作一般利用的影響,對著作人合法權益產生不合理的侵害因而不符合該指令的重製權例外,故對著作權產生侵害。
法國通過具爭議性的iTune法法國眾議院與參議院於 2006 年 06 月 30 日 通過倍受爭議的 iTune 法,其主要理念在闡述著作權法的設計應該要防止將音樂著作消費者侷限在僅能利用特定設備聽取音樂的藩籬中,而目前 iTunes 提供的音樂格式僅可利用 iPod 設備播放,明顯違反此一理念。 眾議院原先通過之條文要求歌曲必須可以在任何設備上播放,但此一規範受到蘋果公司反對,認為如此規定將降低音樂檔案的安全性,而造成「鼓勵盜版」的結果。參議院為此修改規範內容,於規定中設計小部分空間賦予廠商可以運用 DRM 技術限制音樂於特定設備播放之音調;且若廠商獲得著作權人 ( 唱片公司及著作人 ) 之同意,仍得限制特定音樂格式僅得於特定設備中播放 ( 如: iTunes 的情況 ) 。 社會主義與綠黨之國會議員目前正針對此一規範提出違憲主張,若該主張無法成立,法國將成為歐洲訂定此一規範之先驅,預料其他歐洲國家將可能跟隨法國之腳步進行規範,如此情勢可以從挪威消費者保護官晚近作出之決議,認為 DRM 技術已破壞競爭法則,必須加以修正,以及其他國家包括丹麥、瑞典之類似決議窺知一二。
美國眾議院通過爭議性的GMO產品標示草案美國聯邦眾議院在7月23日時通過極富爭議性的《2015安全與精準食物標示法》(Safe and Accurate Food Labeling Act of 2015)草案,目前該案已經交由美國聯邦參議院審理,並完成參議院二讀程序,交由參議院農業、營養與森林委員會(Committee on Agriculture, Nutrition, and Forestry)審理。本案主要目的在於替自願性基因改造與非基因改造標示建立一套統一的聯邦標準。引發爭議的是本案第203條b項的規定,該條款規定禁止各州建立強制性基因改造產品標示制度。 該案由堪薩斯州選出的共和黨籍聯邦眾議員Mike Pompeo提出。根據他及本案最主要的遊說團體美國雜貨製造商協會(Grocery Manufacturers Association)的說法,之所以要禁止各州建立強制性的GMO產品標示制度,目的有二:一是透過建立全國性的標準,避免各州標準不同的紊亂。一是他們認為「基改產品跟非基改產品一樣好」,如果強制標示可能會誤導消費者,使其認為基改產品可能是有問題或風險的。同時,他們也擔心強制標示可能將導致產品的價格上升。這樣的主張確實獲得了許多眾議院議員的支持。該案在眾議院通過時獲得了275張支持票,其中有45票是民主黨籍眾議員投下的。分析這些投下贊成票的民主黨籍眾議員,大部分是來自對食物價格較為敏感的選區,或是在競選期間就已經收到來自農業部門的巨額捐款。 至於反對者則認為,由於本案將使各州及聯邦食藥署無法建立強制性的標示規定,侵害人民對於基改產品知的權利,而將此案稱為「黑暗法」(DARK Act)。他們認為在科學界對基因改造產品安全仍無絕對的共識、人民又對基改作物存有疑慮的情況下推動這項法案完全不合理。而這樣的爭論隨著今年三月世界衛生組織所屬的研究機構──國際癌症研究機構宣布將廣泛用於GMO穀物的除草劑草甘膦(或稱嘉磷塞,Glyphosate)歸類為2A類致癌物 (對人類很可能有致癌性,probable human carcinogen)後,變得更為激烈。許多反對者因此對基因改造產品的安全性有更高的疑慮。 一般預料,美國聯邦參議院將開始處理本案,支持與反對本案雙方的競爭也越趨白熱化,目前也有幾個修正的提案正在醞釀。當前美國國內已有康乃狄克州及緬因州等少數州別通過了強制的基改食品標示法案,此外還有66個法律案正在27個不同的州審議中。本案如果通過將大幅改變美國在此領域的管制情形。而由於美國是全球重要的基改產品生產國,本案的最終結果預料也經影響未來國際上對基改產品標示的管制。