聯合國討論網路身份管理計畫
聯合國國家安全組織(U.N. National Security Agency)計畫於一項名為Q6/17之「網路使用者身份管理計畫」提案中,討論如何以修改網路架構之方式,確保網路通訊來源之真實性與可追溯性。此項計畫被認為可能對網路匿名性產生極大衝擊。
目前網路所賴以溝通訊息之TCP/IP通訊架構,仍允許使用者於一定範圍內保有於網路上匿名發言或活動之可能,例如Tor線上匿名軟體(Tor: anonymity online)之運作即是。然而,此種匿名式的運作架構,被抨擊可能威脅網路安全,例如駭客可利用大量偽造來源地址(spoofed source IP addresses),發動分散式阻斷服務(DDoS)攻擊。
有鑑於此,Q6/17提案乃嘗試藉由網路連線技術架構的調整,確保未來任何網路上之活動皆可追蹤出原始網路通訊來源(“IP Trackback”)。然而,此種作法被批評為將摧毀網路匿名特性,並對個人隱私造成侵害,或成為各國政府打擊政治異議人士的工具。發表匿名言論權利曾受許多國家憲法或國際條約的肯認,例如1995年美國最高法院於McIntyre v. Ohio Elections Commission一案,做出「匿名發表權乃受憲法保護之人民基本權」見解,歐盟亦有「網路通訊自由宣言(Declaration on Freedom of Communication on the Internet)」。故Q6/17嘗試消弭發表網路匿名言論之技術突破,是否能通過世界各國憲法之嚴格檢驗,仍值得後續關注研究。
本文為「經濟部產業技術司科技專案成果」
日本經濟產業省與獨立行政法人資訊處理推進機構(IPA)於2017年11月16日修正並公佈「網路安全經營指引」(サイバーセキュリティ経営ガイドライン)。經產省與獨立行政法人資訊處理推進機構為推動網路安全對策,以經營者為對象於2015年12月制定「網路安全經營指引」。惟因近年來網路攻擊越發頻繁,且攻擊方式亦越來越多樣化,僅透過事前對策無法妥善因應網路攻擊問題,故日本經產省與獨立行政法人資訊處理推進機構合作,參考歐美等國網路安全對策修正方向,擬加強企業事後檢測、應對和復原措施,並舉辦「網路安全經營指引修正研究會」,修訂「網路安全經營指引」。 本次修正未更改經營者應認識之三大原則︰(1)經營者應對網路安全有所認知,並作為領者者採取對策;(2)商業夥伴和委託者在內之供應鍊安全對策;(3)不論平時或緊急時,網路安全相關資訊之公開應與關係者進行適當溝通,而是修正10大經營重要項目中第5項、第8項和第9項,分別為︰(1)「建構網路安全風險應對措施」加入包含「攻擊檢測」在內之風險應對措施;(2)「事件被害復原體制之整備」加入「遭受網路攻擊時復原之準備」;(3)「包含商業夥伴和委託者在內之全體供應鍊對策及狀況掌握」加入「供應鍊對策強化」等記載。 日本政府希望透過上開指引之修正,建構安全之網路經營環境。
美國寬頻進步報告:寬頻部署有顯著改善但數位落差持續存在根據美國聯邦通訊傳播委員會(Federal Communications Commission, FCC)於2016年之寬頻進步報告,美國現行之標準為業者必須提供下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務,相較於2010年所設立之標準─下載速度至少達4Mbps與上傳速度至少達1Mbps的寬頻服務,顯示出美國在寬頻部署上有明顯的進步。然而,目前仍有3400萬美國人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。 這份報告亦顯示,持續之數位落差(digital divide)導致40%生活在鄉村以及部落地區之人民所使用之寬頻服務並未達到上述FCC所設立之標準(25Mbps/3Mbps)。此外,E-rate計畫方案之持續推行,雖使許多學校之網路連線已有顯著改善,但仍有41%之學校未能符合FCC之短期目標,亦即這些學校之寬頻連線仍無法供應數位學習之應用。基於以上理由,2016年之寬頻進步報告總結:寬頻部署並未被適時並合理的(timely and reasonable)適用於全體美國人。 該份報告亦認為當今的通訊服務應以固網及行動寬頻服務(fixed and mobile broadband service)之方式提供,彼此的功能不同並能互補。然而,FCC尚未建立行動寬頻服務標準,因此,行動寬頻之部署尚未能反映在目前之評估。 依據1996年電信法第706條之規定,FCC必須每年報告先進通訊能力之部署,是否讓每位美國人民都能適時且合理的使用。國會所定義之「先進通訊能力」(advanced telecommunications capability)必須具高品質之能力,可讓使用者傳輸以及接收高品質之聲音、數據資料、照片以及影像服務。 此份報告重點總結如下: ●全面部署: 目前仍有3400萬美國人(約10%人口)無法接取固網下載速度至少達25Mbps與上傳速度至少達3Mbps之寬頻服務。然而,相較於去年之5500萬美國人(約17%人口)未能接取該寬頻服務,今年已有顯著的改善。 ●鄉村與城市間之數位落差仍待改善: 仍有39%之鄉村人口(2340萬人)以及41%之部落人口(160萬人)無法接取該寬頻服務(25Mbps/3Mbps)。相較於都市僅有4%之人無法接取該寬頻服務,發展上仍不平等。但相較於去年報告所示,有高達53%鄉村人口以及63%部落人口無法接取寬頻服務,城鄉發展不均之程度已有改善。 ●學校之寬頻速度: 全國僅有59%之學校達到FCC所設立之短期目標,亦即100Mbps可以供1000位學生使用,並有極少數之學校達到長程目標,即1Gbps可供1000位學生使用。 這份報告首次將衛星寬頻服務列入評估,FCC對於衛星寬頻服務適用與固網寬頻服務採用同樣之標準(25Mbps/3Mbps)。然而,在評估過程中,尚未有任合衛星寬頻服務符合FCC所採行之寬頻標準。
美眾議院擬立法要求ISP業者留存用戶資訊八位美國眾議員於2007年2月6日連署提出新法案,擬賦予司法部門首長更大的權限要求網路服務提供者(ISP)記錄用戶的網路活動並留存特定的用戶資訊。草案提交眾議院審議後,隱私保護機構紛紛表達反對立場。 此次由德州眾議員Lamar Smith主導的新法案「the Internet Stopping Adults Facilitating the Exploitation of Today's Youth Act of 2007(簡稱SAFETY Act)」中,ISP業者必須保留的用戶資料,最低限度需包括用戶姓名、地址、電話及IP位址;至於用戶資料的留存期間,則將交由美國司法部決定。以現況而言,多數ISP業者所保存的用戶資訊均在半年以下;然而美國司法部部長Alberto Gonzales曾於2006年9月公開倡議ISP業者資料留存期間,應以兩年為宜。 此外,草案亦要求ISP業者發現其所提供的服務存在兒童色情情事時,應主動通報主管機關,否將面臨15至30萬美元的罰金;若其有意地助長兒童色情的流傳,更可能面臨最高10年的徒刑。 批評者如「民主及科技中心」(Center for Democracy and Technology;CDT)表示,此法案不啻為對憲法修正條文第一條的威脅,毫無限制的授權更可能肇致用戶資料的留存期間成為司法首長個人得以專擅決策之事項。
資通安全法律案例宣導彙編 第3輯