美國聯邦貿易委員會插手企業資訊安全引起爭議
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。
根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。
不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。
本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。
美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
如何規範通聯紀錄的詐取及販售行為,成為美方關注的焦點美國第四大無線通訊業者T-Mobile於1月24日依據華盛頓州暴利罪法(criminal profiteering laws)向該州高等法院提出申請,要求法院對Data Find Solutions公司、1st Source Information Specialists公司及其他有關的公司與個人發出禁制令(injunction),以防止上述公司透過詐欺手段獲取及販售T-Mobile客戶的通聯紀錄(call records)。 目前包括了州議員、州檢察總長及聯邦通訊傳播委員會(Federal Communications Commission),均積極探求相關的法律規定,如果Data Find Solutions等公司非法獲取及販售通聯紀錄的情況屬實,將依法予以定罪。 無獨有偶,在一週之前伊利諾州檢察總長也對1st Source Information Specialists公司提出了訴訟,控告該公司非法取得及販售通聯紀錄。數位眾議員及參議員,已經公布了相關立法計畫,未來凡以欺詐的手段獲取及出售通聯紀錄都將被視為違法行為。參議院多數黨領袖Bill Frist議員即表示,「詐取客戶通聯紀錄並透過網路出售是一錯誤的行為,必須加以制止。」
巴西推動開源碼軟體取代微軟視窗目前,巴西正在展開一場外交攻勢,鼓勵人們使用 " 開放源碼 " 的軟體。替代視窗的 " 開放源碼 " 價格低廉,在有些情況下甚至免費。巴西希望通過推動這些軟件的使用消除分隔發達國家和發展中國家的所謂 " 數碼鴻溝 " 。 改用 ' 開放源碼 ' 軟件的首要原因是出於經濟考慮。目前巴西政府為每一個使用微軟視窗的工作站支付五百美元。相反,大多數 ' 開放源碼 ' 軟件是免費的。盧拉總統正在考慮下達政令,要求所有政府部門都使用 " 開放源碼 " 軟件。這是亞洲許多國家以及德國的公司和政府已經採取的步驟。但不同的是,盧拉總統把這看成是一個發展問題。 聯合國定於十一月份舉行信息技術高峰會議的時候,巴西正在把這場針對微軟的行動國際化。巴西外交官試圖說服高峰會議發表最後宣言,強調 " 開放源碼 " 軟體的重要性,特別是對發展中國家的重要性。
肯塔基州上訴法院認為,未經當事人同意即使用臉書上之tag功能標示出該當事人,並無違法美國肯塔基州上訴法院於月前駁回一名女子所提出的監護權認定案的上訴。該女子之上訴理由中提到:法院所據以決定監護權之證據之一,乃是未經她同意即被其他人標示出該女子姓名,並放在臉書(Facebook)上供人點閱、瀏覽的照片。但該州上訴法院並不同意這個看法,其在判決中指出:目前並無任何法律要求他人必須先取得該女子之同意後才能對之攝相,並上傳至臉書或其他網站;此外亦無任何法律規定其他人不得將該女子之姓名標示(tag)於這些照片上。 暫撇開其他法律不談,此一案件引人思考之與個人資料保護相關之處至少有二:首先,是關於法律適用的部分,亦即,如本案發生在日後個人資料保護法開始施行後的台灣,則該法第51條第1項(註1)之排除規定是否適用的問題;其二則是法律政策的部分,究竟在這個資訊數位化且易於搜尋的網路時代,為個人或家庭活動目的而毫無設限(例如本案之供不特定人瀏覽)的利用他人之個人資料是否確無為保護個人資料為著眼點之規範必要?(在肯塔基州這個案子裡,此一「無規範」的結果或許是正面的,但在其他的許多狀況,可能並非如此。) 註1:個人資料保護法第51條第1項:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」