美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
澳洲政府2017年07月14日宣布提案立法新資安法規,強制要求跨國科技公司如社群網站Facebook與設備製造廠商Apple等,需配合法院命令,協助解鎖通訊APP的加密訊息,利於政府監控攔截犯罪嫌疑人的加密訊息。澳洲政府同時宣布會在2017年11月前提案,預期在幾個月內通過。 澳洲總理Turnbull表示相關提供加密語音及訊息的APP已在日常生活中使用,根據法案,前述相關網路科技公司,將與電信公司負有相同義務協助執法單位解讀加密訊息。Turnbull表示,儘管政府已成功阻止部分激進份子案例,但由於訊息加密技術日益發展,執法機構愈來愈難取得諸如恐怖分子、販毒者與戀童癖的聯絡訊息,執法單位需要更多支援,以確保網路不會成為犯罪溫床。 澳洲預期成為首個立法監管網路加密語音及訊息APP的國家,目前英國與法國皆在研擬監管加密語音及訊息的法規,同時美國、英國、加拿大、澳洲與紐西蘭組成的「Five Eyes」情報共享聯盟,也在2017年07月將相關議題列入討論。 Facebook表示將抵制Turnbull政府的反加密立法,認為現行已有與安全部門共同合作機制,該法案並無實際用途,在無配套措施的情況,該法也無法實施。Apple執行長Tim Cook 則堅定回應,排除任何可能損及產品安全性的政府合作關係。
歐盟執委會公佈GMOs法制之評估報告歐盟執行委員會(European Commission)於2011年10月28日公佈兩份針對歐盟基因改造作物(Genetically Modified Organisms, GMOs)之評估報告,這兩份報告係由執委會委託兩個獨立顧問機構所完成,評估時間自2009年至2011年。第一份報告係針對GMOs食品與飼料規範(EU's legislative framework in the field of GM food and feed)之評估報告;第二份報告係針對GMOs耕作規範(legislative framework in the area of GMOs cultivation)之評估報告。此兩份報告之重要性在於,其收集來自官方及民間對於GMOs法制之事實陳述與意見,如健康與環境的保護、國內市場的產物規範等議題,可作為未來改善歐盟GMOs法制的基礎。 評估指出,歐盟的GMOs法制就健康與環境保護之規範並無偏誤;但在效率及透明度上,尚有改善之空間。此外越來越多含有基因改造的農作物輸入歐盟造成健康及環境之威脅,而須進一步改善風險評估之作法以及調整相關法制。 在過去一年中,執委會已採納報告中之部分建議,著手針對現存法制作出微調及改善,包括: 1.在GMOs耕作上需要更多的彈性。 2.低度殘留(Low Level Presence, LLP)的解決方案。 3.收集關於GMOs耕作的社會經濟層面之技術資訊。 4.新作物播種技術之評估。 5.監控活動的加強。 6.針對成員國批准風險評估的指導方針(Guideline)法制化之檢討與改革。 7.對於GMOs重要議題的溝通活動之改善。 除上述之改善工作持續進行,在接下來幾週,執委會將針對農產品輸入許可制度提出改善方案,以建立更嚴謹的許可要求。由這兩份報告的公佈,可以預見未來歐盟將持續完善現存法制,而此兩份評估報告將如何影響歐盟的GMOs規範,值得持續觀察。
日本經產省公布產業版資料契約指引和資安手冊日本經濟產業省於2017年起提倡「Connected Industries」,其中一項重點任務為「平台、基礎設施安全」。為達成上述任務,經產省召開「平台資料活用促進會議」(プラントデータ活用促進会議),於2018年4月26日制定公布「資料契約指引產業保安版」(データの利用に関する契約ガイドライン産業保安版)及「物聯網安全對應手冊產業保安版」(IoTセキュリティ対応マニュアル産業保安版),以因應資料經濟時代資訊外洩及網路攻擊等風險。 日本經產省為促進業界資料流通與利用,已陸續於2015年、2017年和2018年制定「推動現有資料交易為目的之契約指引」(既存のデータに関する取引の推進を目的とした契約ガイドライン)、「資料利用權限契約指引」(データ利用権限に関するガイドラインVer.1.0)。本次「資料契約指引產業保安版」則進一步整理資料權利歸屬判斷方式,提供模範條款及說明各條款內容,並羅列作為資料提供者可能具備之優點。此外,隨著物聯網等資訊科技發展,資安風險逐漸受到重視,為提升物聯網產品安全防護,經產省亦以平台管理者為對象,制定「物聯網安全對應手冊產業保安版」,提供適當安全對策及案例。
何謂「Regtech」?有別於金融科技(Fintech)著重於運用科技手段使金融服務變得更有效率,因而形成促進金融產業發展的一種經濟產業。在美國源於對2008年金融風暴的恐懼,更傾向在金融科技提升金融服務便利與效率的同時,倡議如何使行政機關在監理過程中更能夠兼顧公平、安全及消費者保護。消費者保障與洗錢防制是行政機關進行金融監理的兩大核心目標,而金融科技服務下的客戶身分核實、信用紀錄與償債能力查核等風險控管措施,在全球發展金融科技方興未艾之際,美國則積極發展監理科技「Regtech」。意指行政機關嘗試透過科技手段有效監理業者的營運動態,如區塊鏈技術(Block-Chain)改變銀行現行運作模式,不僅降低業者營運成本外,更透過科技監理的方式協助業者即時達成法令遵循的目標,縮短法令遵循改善的過渡期間,減輕風險產生的可能。同時,也讓行政機關得以即時預防,並因應任何類似2008年金融風暴之情事的發生。