美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
特定奈米科技經歷研發階段過後,所獲致的成熟技術產品,要邁向市場商業化階段,能否真正成功,取決於市場消費大眾能否具有信心願意採用。而奈米科技由於新興發展存有未知之不確定風險,所以有論者開始規劃研擬,引進責任保險機制,藉由責任風險分散之功能,期望解決面對不確定風險時,能夠足以妥適因應。 依據國際最具份量之瑞士再保公司(Swiss Re) 對於奈米科技之保險機制,2008年出版「奈米科技:微小物質,未知風險(Nanotechnology--Small Matter, Many Unknowns:The Insurers' Perspective)」研究報告 ,其中明文點出,保險業(Insurance Industry)之核心業務即為移轉風險(Transfer of Risk),由保險公司(Insurer)經過精算程序後收取一定費用,適時移轉相關風險,並產生填補功能。 然而,保險業對於可藉由保險機制所分散之風險,亦有其極限範圍,如果超過以下三原則者,則會被認為超出可承擔風險範圍,屬保險業無力去承擔者,所以保險機制之引進將不具可行性: (1)風險發生之可能機率與發生嚴重程度,現行實務沒有可行方式能加以評估者。 (2)當危害產生時,所造成之影響為同時擴及太多公司、太多產業領域、或太廣的地理區域者。 (3)有可能產生的巨大危害事件,已超過私領域保險業所能承受之範圍者。 此外,為確保未來得以永續經營,保險公司對於願意承保之可保險性(Insurability)端視對於以下各因素性質之評估: (1)可加以評估性(Accessibility):對於所產生之損害係屬可評估,並得以加以計量化、允許訂出價格者(be Quantifiable to Allow Pricing)。 (2)無可事先安排者(Randomness):對於保險事故之發生,必須是不可預測者,並且其所發生必須獨立於被保險者本身主觀意志(the Will of the Insured)之外。 (3)風險相互團體性(Mutuality):相關保險者必須基於同時參加並組成共同團體性,藉以達到分擔分散相關風險性。 (4)經濟上可行性(Economic Feasibility):必須使私人保險公司藉由收取適宜保費,便得以支付對等之賠償費用,可以確保業務經營得以永續持續下去。 綜上所述,可以明瞭並非所有風險,保險公司均願意承保而能達到分散風險者,對於風險必須是可預測性並有承保價值,保險公司本身具有商業機制,依據精算原則確定願意承保之費用,此才可謂實務上可行,對於奈米科技引進保險機制之衡量思考,也當是如此。
日本國土交通省公布最後一哩路自駕車系統指引為促進自駕車研發和推廣,日本國土交通省召集產官學研各界成立先進安全汽車(Advanced Safety Vehicle, ASV)推進檢討會,檢討設計自駕車時之注意事項,並於2020年7月17日公布「最後一哩路自駕車系統基本設計書」(ラストマイル自動運転車両システム基本設計書),希望能藉此達成確保地方交通運輸能量及加速自駕車落地之目標。 「最後一哩路自駕車系統基本設計書」將操作適用範圍(Operational Design Domain, ODD)定義為限定區域或駕駛環境條件,並提出所有自駕車應具備之共通ODD,包括(1)道路/地理條件︰目標道路、行駛道路;(2)環境條件︰時間、天氣;(3)行駛條件︰行駛速度;(4)行駛空間︰可支援自駕車行駛之基礎設施,以及可提醒用路人注意正在進行自駕車實驗之設施。此外,由於不同應用情境會影響ODD之設定,故本書以限定路線下往返之自駕車為代表,說明在個案中該如何進一步檢討ODD。以行駛速度為例,在共通ODD中,最後一哩路自駕車時速應為30公里,但在提供限定路線內往返之載客服務時,自駕車的時速應設定在12公里以下。最後,「最後一哩路自駕車系統基本設計書」內整理最後一哩路自駕車共通及特有之技術要件,以及設計時應留意和確認的問題。
美國聯邦通訊委員會發布公告重申自動簡訊發送適用電話消費者保護法聯邦通訊委員會(Federal Communication Commission, FCC)於2016年11月18日發布一項標題為Robotext Consumer Protection的執法諮詢文件。該文件就自動發送簡訊(Autodialed text messages,又稱robotexts)於電話消費者保護法(Telephone Consumer Protection Act of 1991, TCPA )內的適用予以釐清。 在該執法諮詢文件內,解釋TCPA法條中對於自動撥號系統定義為任何可以儲存或是產出號碼並自動撥打的設備。該法對於自動撥號系統之限制,包含通話(call)、預錄語音(prerecorded calls)及簡訊(texts),除非已取得接收方的明示同意(prior express consent),或符合下列狀況之一,方得以自動撥號系統為之: (1) 基於緊急狀況, (2) 在依循消費者隱私保護的情況下,對終端使用者為免費且獲得FCC的豁免, (3) 單純為回收對聯邦所負擔的債務、或其所保證的債務。 值得注意的是,聯邦通訊委員會針對當下網路科技發展出的訊息傳送模式做出解釋,簡訊apps、以及任何符合TCPA自動撥號定義的「網路至電話之簡訊傳送」(Internet-to-phone text messaging)等兩種情況亦納入TCPA的適用。因此,發送方主張對方已為事前同意者,應負擔舉證責任,並使消費者透過合理方式隨時取消其同意;於其主張不想再收到任何自動發送簡訊後,該發送方應立即發送一封簡訊以確認接收者的「選擇退出」要求(opt-out request)。 再者,對於已移轉的門號進行自動簡訊之發送,不論發送方是否有認知該門號換人持有,在未經該門號持有人同意的情況下,發送方至多只能對該號碼自動發送一封簡訊;如之後再度自動發送簡訊,即判定違反TCPA規範。 FCC此份文件雖從保護消費者的立場出發,但所設條件明顯苛刻,因此引發諸多爭議。此外引人注意的是,此文件發布前的一個月,ACA International v. FCC一案才於10月19日結束言詞答辯,該案爭點主要為FCC是否不當擴張適用TCPA,此案後續可用以追蹤該案聯邦法院是否肯認FCC對於TCPA的適用觀點。
美國FDA擬修法調整臨床實驗知情同意義務之豁免標準美國FDA擬修法調整臨床實驗知情同意義務之豁免標準 資訊工業策進會科技法律研究所 蔡宜臻法律研究員 2018年11月27日 壹、事件摘要 知情同意(informed consent)是人體試驗受試者保護重要的一環,同時也是生物醫學長期以來的研究傳統,然其規範內容卻會因科技與研究方式的改變而略有調整。美國食品藥物管理局(Food and Drug Administration, FDA)於2018年11月15日發布一份法規提案(proposed rule),公開徵求意見評論。該提案目的在於調整FDA知情同意的相關規定,未來FDA希望允許人體試驗倫理委員會(Institutional Review Boards, IRB)在試驗僅有最小風險(minimal risk)的情況下,得以裁決一臨床實驗案可豁免知情同意的責任,或更改某些「告知要項」[1]。本次法規提案徵詢終止日為2019年1月14日,FDA並規劃於本法規命令正式公告施行後,廢止其於2017年7月所發佈之《IRB豁免或變更臨床實驗之知情同意指南》(IRB Waiver or Alteration of Informed Consent for Clinical Investigations Involving No More Than Minimal Risk to Human Subjects)[2] 貳、重點說明 目前FDA僅允許在危及生命[3]或緊急研究(emergency research)[4]的情況下,得以例外不必符合知情同意的一般要求(general requirements)[5]。而根據FDA於2018年11月15日發布於聯邦公報(Federal Register)的法規提案內容,FDA打算新增「試驗僅有最小風險」(The research involves no more than minimal risk to subjects)做為豁免或變更知情同意項目的甄別標準之一。如此一來若是修法通過,FDA對於知情同意豁免與否的認定標準就會跟1991年制訂的《美國聯邦受試者保護通則》(Federal Policy for the Protection of Human Subjects,簡稱the Common Rule)[6]更加接近。換言之,未來修法通過後,由FDA管理的人體臨床實驗將有三種情形得以豁免或變更知情同意義務:危及生命、緊急研究與僅具有最小風險的研究。 所謂最小風險,係指「研究中預期的傷害或不適的概率和程度,不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[7],比如:不需新藥研究申請(investigational new drug application, IND)的新藥研究;醫療器材臨床試驗豁免(investigational device exemption, IDE)之醫療器材研究;檢體之取得為無創(受試者之頭髮或指甲)的臨床研究;為研究目的而蒐集聲音、影片、數據或圖像紀錄;研究個體或群體的特徵或行為;個人或焦點團體訪談等質性研究[8]。FDA指出本次法規提案當中所指的最小風險定義與其附隨條件將與《美國聯邦受試者保護通則》自1991年施行以來之規定一致,即該研究只要同時符合以下四點便可望由IRB審查豁免或變更知情同意義務[9]: 僅有最小風險的研究[10]。 若不豁免或變更知情同意義務,則研究無法順利進行[11]。 不造成受試者權利跟福祉之負面影響[12]。 受試者將在適當時機獲悉進一步研究資訊[13]。 此次提案的法源依據是2016年通過的《21世紀治癒法》(21st Century Cures Act)第3024節所修正之《聯邦食品藥物化妝品法》(Federal Food, Drug, and Cosmetic Act)第505(i)(4)、520(g)(3)節。《21世紀治癒法》第3024節賦予FDA權力放寬臨床實驗的知情同意義務,其立法背景是由於目前FDA相關規範對知情同意要求相對嚴格,當研究者無法滿足現有法規對於知情同意的要求,便可能使潛在的有價值的研究被迫停止[14];又或在某些情形下,要求研究者在進行臨床實驗時取得研究對象的知情同意並不切實際[15]。《21世紀治癒法》通過後,FDA隨即於2017年7月發布《IRB豁免或變更臨床實驗之知情同意指南》,當中指出FDA並不打算在僅有最小風險的臨床研究中,反對IRB做出豁免或變更知情同意項目的判定,若本次法規提案後續正式生效,FDA便會廢止此指南,使其轉為FDA規則(regulation)。 參、事件評析 知情同意是生物醫學研究的學術傳統,包含兩大重點,一是令研究對象充分知悉其所參與的研究,包含其研究目的、內容、風險與預期利益;二是確保研究對象在做出同意或不同意之意思表示時,其意思表示之真實性,由此保障受試者的自主權[16]。 知情同意之概念最早源自1947年的紐倫堡法典(Nuremburg Code),其規範內涵在過去數十年間因為生物醫學的研究方法與進行模式的變革而產生變化。早年的臨床研究主要由政府資助、在單一的機構進行,涉及的受試者人數相對有限;而近三、四十年,醫學研究漸漸發展成多機構、多中心甚至跨國的研究案,受試者可能高達數萬甚至數十萬,同時也逐漸形成跨領域的研究轉型,涉及如社會學、心理學、教育、環境、氣候等學科。在此情形下,研究方法與資料取得勢必與過去截然不同,傳統的知情同意的制度漸漸無法滿足現代醫學研究的需要。1978年貝爾蒙特報告(Belmont Report)便強調應評估臨床研究的風險是否超過日常可接受範圍[17],1981年美國據此制定《美國衛生及公共服務部人體研究保護政策最終規則》(Final regulations amending basic HHS policy for the protection of human research subjects)[18]便首次將「不超過日常風險的臨床實驗」[19]納為知情同意之豁免或變更之標準;1991年制定的《美國聯邦受試者保護通則》亦延續此概念並進一步做出更明確定義(見前述),惟當時FDA基於其業務為確保藥品、生物製劑以及醫療器材安全與執照核發,與《美國聯邦受試者保護通則》作為拘束十六個聯邦機關的一般性規範不同,因此未將「僅有最小風險的臨床實驗」納為豁免或變更知情同意義務的標準[20]。 時序進展至今,資通訊技術的進步所累積的巨量資料逐漸成為生醫研究的重要研究資源,面對這項轉變與研究者對於倫理審查委員會專業性的質疑,美國近年再度嘗試調整修法。2016年通過之《21世紀治癒法》便要求FDA將「僅有最小風險的臨床實驗」納為得豁免或變更免除知情同意的標準之一,可被視為是期望FDA向更為寬鬆的《美國聯邦受試者保護通則》靠攏;另方面,2017年修訂《美國聯邦受試者保護通則》之最終規則(final rule,將於2019年1月生效),也新增「若是研究涉及取得可識別的個人資料或可識別的生物標本,需要證明若無這些資料研究將無法進行」[21],作為豁免或變更知情同意義務的要件,許是為避免個人資料因知情同意的放寬而有遭受濫用之虞。不過這項要件在本次FDA法規提案並未提及。 綜上述,本文整理兩大爭點: 一、最小風險判定標準之不確定性。 最小風險之定義雖明確指「研究中預期的傷害或不適的概率和程度,不大於在日常生活中或在進行常規身體或心理檢查時通常遇到的傷害或不適」[22],惟最小風險之判定仍存在不確定空間。FDA雖強調將承繼《美國聯邦受試者保護通則》自1991年施行以來個案累積之最小風險判定標準,但此一不確定性直接影響的是受試者的自主權,侵害美國憲法所保障的人權精神;此外,也有批評指出FDA所援引的《美國聯邦受試者保護通則》對於最小風險的定義文字過於模糊,容易造成誤解或誤判[23][24][25]。 二、本次法規提案並未新增《美國聯邦受試者保護通則》即將於2019年1月生效的項目,或再度造成FDA規定與其他聯邦機構未能一致的情形。 FDA本次法規提案新增「最小風險」的其中一個原因便是希望盡可能與《美國聯邦受試者保護通則》標準一致。然令人困惑的是,其並未新增《美國聯邦受試者保護通則》即將於2019年1月實施的豁免或變更知情同意義務的要件:「若是研究涉及取得可識別的個人資料或可識別的生物標本,需要證明若無這些資料研究將無法進行」[26]。換言之,即便此次修法提案通過,依舊與會與《美國聯邦受試者保護通則》有落差。更甚者,《美國聯邦受試者保護通則》所新增的要件,實意在保障個人資料不會因知情同意的豁免範圍改變而遭到恣意使用或揭露,有助於保護個人隱私與資料自主,而FDA並未將其納入法規提案內容,或可能造成個資保護之漏洞。此項缺失FDA於法規提案當中亦有提及,或可期待後續修正[27]。 肆、結語 FDA原有關於豁免或變更知情同意的規定與《美國聯邦受試者保護通則》存有寬嚴程度落差,FDA此前僅限定在有生命危險與緊急研究的情形方可為之;而《美國聯邦受試者保護通則》由於是一種一般性規範,所以保障程度較為寬鬆。FDA本次修法將使部分僅有最小風險的臨床實驗可以更為順利進行,同時也使FDA知情同意的規範更加接近當前《美國聯邦受試者保護通則》的規定。惟最小風險的認定存在不確定性,其所可能侵害的是受試者自主權,不可不慎。又,《美國聯邦受試者保護通則》即將在2019年1月規定研究蒐集之個人資料必須對研究有絕對必要方可,而本次FDA的法規提案未見跟進此一新增要件。由於本提案仍在意見評論階段,是以FDA後續是否再度更新提案內容,值得後續關注。 [1] Institutional Review Board Waiver or Alteration of Informed Consent for Minimal Risk Clinical Investigation, 83 Fed. Reg. 57378-57386(Nov. 15, 2018) https://www.federalregister.gov/documents/2018/11/15/2018-24822/institutional-review-board-waiver-or-alteration-of-informed-consent-for-minimal-risk-clinical (last visited Nov. 26, 2018) [2] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [3] 21 CFR 50.23 [4] 21 CFR 50.24 [5] 有關更多FDA豁免告知同意之項目類別與細部說明,可參考https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.23; https://www.accessdata.fda.gov/scripts/cdrh/cfdocs/cfcfr/CFRSearch.cfm?fr=50.24 (last visited Jan. 8, 2019) [6] 45 CFR 46, subpart A. [7]“the probability and magnitude of harm or discomfort anticipated in the research are not greater in and of themselves than those ordinarily encountered in daily life or during the performance of routine physical or psychological examinations or tests.” (46 CFR 102(i); 21 CFR 50.3(k); 21 CFR 56.102(i)). [8] U.S. DEPARTMENY OF HEALTH & HUMAN SERVICES [HHS], OHRP Expedited Review Categories.(1998) https://www.hhs.gov/ohrp/regulations-and-policy/guidance/categories-of-research-expedited-review-procedure-1998/index.html (last visited Nov. 26, 2018) [9] 45 CFR 46.116 [10] “The research involves no more than minimal risk to subjects” [11] “The research could not be carried out practicably without the waiver or alteration” [12] “The waiver or alteration will not adversely affect the rights and welfare of the subjects” [13] “Where appropriate, the subjects will be provided with additional information about their participation” [14] FOOD AND DRUG ADMINISTRATION[FDA], FDA In Brief: FDA takes steps to allow greater flexibility for clinical investigators about informed consent in minimal risk situations.(2018/11/13) https://www.fda.gov/NewsEvents/Newsroom/FDAInBrief/ucm625747.htm (last visited Nov. 26, 2018) [15] id. [16] 陳子平,〈醫療上「充分說明與同意」之法理在刑法上的效應(上)〉,《月旦法學雜誌》,第278期,頁224(2010)。 [17] THE NATIONAL COMMISSION FOR THE PROTECTION OF HUMAN SUBJECTS OF BIOMEDICAL AND BEHAVIORAL RESEARCH, The Belmont Report—Ethical Principles and Guidance for the Protection of Human Subjects of Research(1978), https://videocast.nih.gov/pdf/ohrp_appendix_belmont_report_vol_2.pdf (last visited Jan. 9, 2019) [18] Final regulations amending basic HHS policy for the protection of human research subjects. 46(16) Fed. Reg. 8366–8391 (Jan. 26, 1981) [19] “those risks encountered in the daily lives of the subjects of the research” (46(16) FR 8373) [20] NATIONAL CENTER FOR BIOTECHNOLOGY INFORMATION[NCBI], Determining Minimal Risk in Social and Behavioral Research(2014), https://www.ncbi.nlm.nih.gov/books/NBK217976/ (last visited Jan. 9, 2019) [21]“if the research involves using identifiable private information or identifiable biospecimens, the research could not practicably be carried out without using such information or biospecimens in an identifiable format” (45 CFR 46.116(f)(3)(iii)) [22] 21 CFR 50.3(k), 56.102(i) [23] Regulations.gov, https://www.regulations.gov/document?D=FDA-2018-N-2727-0010 (last visited Dec. 20, 2018) [24] Shah S, Whittle A, Wilfond B, Gensler G & Wendler D., How do institutional review boards apply the federal risk and benefit standards for pediatric research, JOURNAL OF THE AMERICAN MEDICAL ASSOCIATION, 291(4), 476–482(2004). [25] Lidz C & Garverich S., What the ANPRM missed: Additional needs for IRB reform. JOURNAL OF LAW, MEDICINE AND ETHICS, 41(2), 390–396(2013). [26] 45 CFR 46.116(f)(3)(iii) [27] Supra note No. 1