英國電信管制機關Ofcom宣布,所有固網與行動電話業者將必須提供更為先進便利的「文字中繼服務(Text Relay Service)給所有聽力或語言障礙的民眾使用。文字中繼服務使聽力或語言障礙民眾能透過電話或文字電話(TextPhone)等設備而能與他人溝通,這項決定意味著所有的手機用戶將有機會獲得一個「下一代(next generation)」文字中繼服務,各種設備將能夠輔助身障者以更快、更流暢的交談速度與他人溝通。
Ofcom在經過文字中繼服務的審查研究後發現,目前的中繼系統以助理作為通話雙方的中介,進行語音與文字的轉換,反之亦然。然而研究發現,通話者對於對話速度的即時性與情感表達的完整性有提昇的需求,現在的系統通話的速度很慢,因為呼叫者只能輪流說話或輸入文字,無法即時快速如正常人一般的溝通。
因此Ofcom決定下一代文字中繼服務,在未來的18個月內將提供顯著的改進,包括:
語音雙向並行傳輸,透過網際網路的連接,允許通訊雙方可隨時插嘴,而無須等到一方的對話結束傳輸。如此將使交談雙方對話流動更快,有更自然的結果,新的服務也將支援更多種類的設備。為了達成這些改進,Ofcom將與產業、身障團體代表進行合作,探討當前和未來中繼服務所需語音辨識技術的精確度和速度的發展。Ofcom也將要求電信業者在未來提供視訊中繼服務,以確保身障者可以使用可靠的、先進的各種中繼服務,以幫助他們更容易溝通。
簡析自動駕駛巴士應用於我國上路營運所需面臨之法制預備方向 資訊工業策進會科技法律研究所 2021年05月25日 近年來,世界各國眾多業者積極投入開發自動駕駛車輛(Autonomous Vehicle,下稱自駕車,自動駕駛簡稱自駕)或自動駕駛系統(Automated Driving System,下稱自駕系統),相關應用情境刷新了未來智慧交通的想像。因應技術潮流,各國法規亦陸續針對自駕車應用所涉事物與環境進行系統性的規範與制度整備,以利其情境測試與未來實際應用。 除了前揭世界自駕車應用與法制趨勢潮流,為使我國自駕車相關應用得以順利發展,交通部早在2017年已先行修正道路交通安全規則(下稱道交規則)第20條,並同時新增附件21「自動駕駛車輛申請道路測試作業規定」,以利自駕車應用得進行道路測試;此外,為使自駕技術應用可進一步測試營運情境,故我國後於2018年12月19日公布無人載具科技創新實驗條例(下稱無人載具條例),而行政院於隔年(即2019年)6月1日核定施行該條例及其4項授權辦法,以利相關產業技術與創新服務發展[1],正式開啟了無人載具科技創新實驗沙盒(下稱無人載具沙盒),雖然前開條例之適用範圍不限於自駕車,尚包含航空器、船舶等載具[2],但其中自駕車之相關應用應屬焦點,其中又以自駕巴士應用為我國無人載具沙盒之多數[3],故本文即聚焦就自駕巴士應用上路營運所涉之相關法制進行討論並探究調適方向。 壹、事件摘要 我國無人載具沙盒較多為自駕巴士應用實例,為促使該等應用在沙盒試煉後得順利上路營運載客,以避免銜接實際提供服務落空,宜及早檢視我國法制有無調適必要。 緣自駕巴士似可理解為裝設自駕系統之大客車,則若欲使自駕巴士得於我國道路上進行正式載客服務(非沙盒之實驗),通盤地檢視我國公路法、運輸業管理規則(下稱運管規則)、道路交通管理處罰條例(下稱道交條例)、道交規則等相關規範則有其必要性;自駕巴士之應用亦可能因為自駕技術特徵,藉由系統設置之虛擬軌道,或於環境相對單純之情境下進行載運,而有類同大眾捷運法(下稱大捷法)所稱大眾捷運系統之特性,因此自駕巴士因應實際情境所需之法制,宜分別加以研析。 貳、重點說明 一、自駕巴士之特性與未來可能調適之相關法制 (一)各類自駕巴士應用之特性 我國迄今無人載具沙盒之實例,或得透過使用專用道路與否,歸納、分類自駕巴士未來應用模式,約略為專用道型(類捷運型)、公車型、混用型等三類。 專用道型自駕巴士係指藉特殊的路權設計、實體隔離設施、實際管制措施或其他可分離他種車輛的方式,使其行駛環境達到獨立(或接近獨立)的成效,且因其行駛路線固定並存有隔離其他道路載具之方式/措施,故行駛環境上較為單純而類似現行大眾捷運系統(不論為完全獨立[4] 或非完全獨立[5] ),而與其他巴士應用有別。 公車型自駕巴士顧名思義,或可理解為裝設自駕系統而與其他載具共同行駛於道路之巴士,即便因應自駕技術特性而設計優先相關配套措施(如道路車輛宜禮讓自駕巴士先行等),其仍與現行人駕傳統巴士行駛環境同屬複雜情境,似較無差異。 混用型自駕巴士則指同時具備專用道型與公車型之特徵者,換言之,其行駛環境部分為僅行駛於自駕巴士專用道,另一部分則與其他道路載具共同行駛於道路上。 綜上,此等自駕巴士分類,係藉由陸上運輸載具行駛環境複雜度而劃分,申言之,行駛環境最為單純之大眾捷運系統車輛為光譜的一端,另一端則是公路法及道路交通相關規範之汽車,而各類自駕巴士則分散於光譜上(如下圖)。 資料來源:本計畫自行整理繪製 圖:各式自駕巴士可能對應之法規體系定位光譜 (二)因應自駕巴士類型而可能調適之相關法制 承上,自駕巴士因為不同的應用情境,而在行駛環境的光譜上有相對應的位置,而傳統巴士係依循公路法、運管規則、道交條例、道交規則及其他道路交通相關規範進行整體性的法制監管,或將因自駕技術引入而有不同。 公車型與混用型自駕巴士,有高度與一般道路載具共用道路的情境,行駛環境如傳統巴士般複雜,故對其等之監管、管理方向依循現有巴士(大客車)運輸體制似無不妥;不過,專用道型自駕巴士則有所不同,其行駛環境上可藉由相關措施,達到現行大捷法所示大眾捷運系統之單純行駛環境,甚有期許此類自駕巴士應用可跳脫傳統巴士制度框架,而往大捷法較為彈性之方向適用[6] 另外,除了以我國現行規範檢視專用道型自駕巴士未來可能適用之法制外,觀察國際上接近台灣整體環境,且在自駕車整體發展(法制、技術發展、基礎建設、公眾接受度綜合評比)較為突出的新加坡[7] ,其看待自駕車(包含自駕巴士)之適用法制途徑,係從陸路交通法(Road Traffic Act)第6C條、第6D條授權交通部長(Minister for Transport)訂定2017年陸路交通(自動駕駛機動車輛)規則(Road Traffic Act (Autonomous Motor Vehicle) Rules 2017),使陸路交通管理局(Land Traffic Authority)得就自駕車應用之相關使用、測試進行准駁及其他行政監管,即便為專用道型自駕巴士試驗,迄今似乎尚無依循該國類同我國大捷法之快速運輸系統法(Rapid Transit Systems Act)之趨勢。 綜上討論,或可推知不論何種類型之自駕巴士,依我國現行規範體系下,均宜從我國公路法及道路交通相關規範開展與適用,不過即便如此,仍不可忽視各類自駕巴士應用均有其特殊性,如同行駛環境複雜度的光譜上即有不同的結果,則在相關制度建置上宜分別檢視不同類型之需求而思考規範的未來方向,舉例來說,專用道型自駕巴士應用情境不一定均符合大捷法第3條第1項所示大眾捷運系統之要求─「導引之路線」、「使用專用動力車輛」、「密集班次」、「大量快速運輸」等,但未來仍可因行駛環境單純之特性,透過其他方式調適、參照(如設立專章規範、就特殊事項準用等)較為彈性之大捷法規範模式。 二、調適各類自駕巴士所涉法制可能之思考方向 接續前述有關自駕巴士於我國法制適用上的討論,下個將面臨的問題即是將調適哪些法制環節,方可使自駕巴士相關應用可於我國順利營運、提供服務,就此,或可先循以下三大面向進行思考。 (一)環境建置─路權與路側設施 1.路權 「路權」一詞是俗稱用來簡易表達車輛行經處之優先性。在理解上,參照大捷法第3條第2項、交通部之部頒規範─輕軌系統建設及車輛技術標準規範1.3名詞解釋(雖然該等規範係因應大眾捷運系統而為之解釋與分類),路權大致可分為專有、隔離與共用等三種路權形式。 考量自駕巴士之各式應用情境,仍有部分優先之路權規劃需求,以目前現行交通相關法制來說,似可參照市區道路條例第32條第1項及該條項授權訂定之市區道路及附屬工程設計標準第5條第4款、發展大眾運輸條例第5條及同條授權訂定之大眾運輸使用道路優先及專用辦法等規定,由地方政府視在地需求設置適切的巴士專用、優先等相關設施。不過特別宜予注意的是,對於專用道型自駕巴士而言,雖然此等規範似可使其在各地進行設置相應的設施,但實際上專用道型自駕巴士因其應用特性(達到行駛環境類同大眾捷運系統,並降低人力介入可能性),可能更需要全國統一性的設置標準與要求,以維乘客以及其他用路人之權益,故就此或可考量使此類自駕巴士得參考大捷法規範模式,另行建立並遵循其專屬之技術標準規範,並於其中明文有關專用道設置之相關事項。 2.路側設施─以攝錄影、感測器等設備為例 為使自駕技術應用於巴士旅客運輸可更為安全,作為輔助自駕系統作動之相關路側設施似有其必要性,其中又以攝錄影與感測器等設備為首要。 以攝錄影設備而言,在我國現行法制上,或許可以藉由公路法第79條第1項授權訂定之公路用地使用規則第15條予以規範,其中雖未明文攝錄影設備,但以架設之便利與普遍性而言,似可透過路燈桿柱建置比擬,並由中央或各地方政府[8]衡酌在地需求設置必要之自駕巴士應用所需之攝錄影設備,但仍須注意該等設備所蒐集、處理或利用之影像與民眾隱私權之平衡,除非有具體明確的應用目的與其他法律授權,否則不宜將該等影像用於自駕巴士以外之應用。 至於自駕巴士應用可能涉及之感測器設置,由於其與道路號誌變化息息相關,如以現行較為接近之法令,似可參照道交條例第4條及同條授權訂定之道路交通標誌標線號誌設置規則(下稱設置規則)、市區道路條例第32條第1項及同條項授權訂定之市區道路及附屬工程設計標準第26條等規定,將之解為道路號誌其他相關設施。不過,感測器應用不僅止於影響道路號誌者,未來更可能與整體(自駕巴士)車聯網介接而互動,故如要完善整體感測器設置,似有調適前揭規範或另行補足之空間。 然而,前述討論均係奠基各類自駕巴士依循公路法及道路交通相關規範之視野,但誠如前述,專用道型自駕巴士若可參照大捷法之規範模式,則可依循另行建立專屬之技術標準規範,並於其中明文整體專用道型自駕巴士可能涉及之路側設施要求與設置基準。 (二)車輛與自駕系統之於道路上運行之要求與規範 按公路法第63條之規定,汽車應符合交通部之安全檢驗標準,並經車輛型式安全檢測及審驗合格,取得該證明書方可登記、檢驗及領照,而各類自駕巴士依我國現行法制而言,尙屬大客車之範疇,自應循前述規範檢驗合格,方可登記、領照上路,否則可能有道交條例第12條之責任,更可能導致車輛因此遭沒入。據此,未來如欲使各類自駕巴士於我國正式上路運行,宜將自駕系統相關功能、特徵等新增至車輛安全檢測基準[9],以利自駕巴士上路提供運輸服務。 此外,除了前述關於車輛、自駕系統的認證外,自駕車(或自駕系統)是否得在道路上運行其自駕功能,以現行公路法及道路交通相關規範等法制係以人力駕駛車輛作為前提,似乎有所扞格,因此,如要解決此等困境,或宜通盤性檢視整體法制有何須因應自駕系統可能於道路上運作而調適之規範,如:駕駛人雙手離開方向盤可能構成到交條例第43條第1項第1款所稱之其他危險方式駕車,以利自駕車(包含自駕巴士)未來可順利上路。 不過,由於專用道型自駕巴士相較其他二類,行駛環境單純許多,似可想像突發狀況產生而帶來的風險較低,故相關車輛要求或可參照相對較有彈性之大捷法規範模式,依循另行建立專屬之技術標準規範,並於其中明文專用道型自駕巴士之車輛相關安全、功能、技術基準。 (三)駕駛(操作)人員之資格、行政監管 依現行道交條例第21條至第22條,以及同法第92條第1項授權訂定之道交規則等規定,取得相對應或適切之駕駛執照(下稱駕照)者方得駕駛該類別之車輛,否則可能須負擔相應之行政罰責任[10],且駕照之考取有相對應之年齡、經歷、體格、體能、筆試、路考或其他不得具備之條件等要求[11]。各類自駕巴士之駕駛(操作)人員操控此類大客車,原則上仍須適用我國現行法制,甚至在車輛得完全自主運作行駛前,此等人員似宜具備一定操縱車輛之能力與資格,以利乘客與整體交通等安全維護;不過,未來自駕技術如能發展至可在任何情況下均可安全操控車輛,則前揭相關人員的條件、要求或有調整、放寬的可能及必要性。除此之外,自駕技術之引入,可能相當程度上降低人力操控車輛的負擔,故自駕巴士之駕駛(操作)人員有關執行勤務的要求(此為勞動基準法以外之特別規定)[12]、高齡對勤務的影響[13]等,亦似有檢討而放寬的可能性。最後,公路法及道路交通相關規範之體制,對於車輛操作與駕駛,目前仍是以「人力駕駛」作為規範、監管主體,未來自駕車(包含自駕巴士)正式於我國上路提供服務時,宜通盤性檢視與思考相關行政監管要求,如何因應人力駕駛逐漸轉為自駕系統操控車輛。 然而,由於專用道型自駕巴士與其他二類型態相比,行駛環境單純而突發狀況較為稀少,對於人員的資格、培訓與監管等要求似彈性化的可能,據此,或可使此類自駕巴士參酌大捷法較具彈性之原則性規定(如:該法第30條、第42條、第53條)以及相關子法規範,由直轄市或縣(市)政府對行車人員[14]進行有效之訓練與管理,並對其技能、體格與精神狀況進行定期或臨時檢查並記錄,且可派員查核或對行車人員進行臨時檢查[15],如有不合標準者,則應暫停或調整職務,更須於辦理訓練前將計畫報請直轄市或縣(市)政府核備,事後再將成果報請備查[16]。 參、事件評析 隨著無人載具沙盒實驗的進展,自駕巴士於我國上路載客營運之應用情境與景象愈發清晰,自駕巴士運輸或係自駕車載人應用模式最有可能優先實現的樣態。為避免我國相關法制與技術、產業等進展速度無法契合,故自駕巴士上路所涉相關法制預備有其必要性。 如依循自駕巴士行駛環境之複雜度進行區分,並由單純至複雜排列,或可將其等劃分為專用道型、混用型、公車型等自駕巴士,各類情境均有其特殊性,不過仍可大致分成環境建置、車輛要求、人員(資格)監管等面向,思考如何因應自駕技術導入後的影響,循前述我國現行道交條例等既有規範架構及有關規定,預作法制調適。不過,專用道型自駕巴士較類同大眾捷運系統,行駛環境較為單純,除了自駕技術可能帶來的放寬或彈性規定外,更有可能參酌大捷法相關較為彈性、靈活的規範方式。 [1]〈無人載具科技創新沙盒─緣起〉,無人載具科技創新沙盒,https://www.uvtep.org.tw/plan(最後瀏覽日:2021/05/05)。 [2]無人載具科技創新實驗條例第3條第1款。 [3]〈無人載具科技創新沙盒─資訊揭露〉,無人載具科技創新沙盒,https://www.uvtep.org.tw/approved(最後瀏覽日:2021/05/05)。 [4]相關應用情境,可參:蔡文居,〈台南捷運系統重大變革 高架自駕系統後來居上〉,自由時報,2020/05/21,https://news.ltn.com.tw/news/Tainan/breakingnews/3173006(最後瀏覽日:2021/02/27);蔡文居,〈捷運系統擬推高架自駕 採虛擬軌道〉,自由時報,2020/05/22,https://news.ltn.com.tw/news/Tainan/paper/1374364(最後瀏覽日:2021/05/07)。 [5]相關應用情境,可參:〈台北市信義路公車專用道自駕巴士創新實驗計畫〉,TURNING,https://turing-drive.com/%E5%8F%B0%E5%8C%97%E5%B8%82%E4%BF%A1%E7%BE%A9%E8%B7%AF%E5%85%AC%E8%BB%8A%E5%B0%88%E7%94%A8%E9%81%93%E8%87%AA%E9%A7%95%E5%B7%B4%E5%A3%AB%E5%89%B5%E6%96%B0%E5%AF%A6%E9%A9%97%E8%A8%88%E7%95%AB/(最後瀏覽日:2021/05/07)。 [6]蔡文居,前揭註4。 [7]KPMG, 2020 Autonomous Vehicles Readiness Index (2020), https://assets.kpmg/content/dam/kpmg/xx/pdf/2020/07/2020-autonomous-vehicles-readiness-index.pdf (last visited May 10, 2021). [8]參公路用地使用規則第4條所示各公路主管機關之權責。 [9]未來調適之方向與內容,或可參聯合國歐洲經濟委員會(United Nations Economic Commission For Europe, UNECE)世界車輛法規調和論壇(World Forum for Harmonization of Vehicle Regulations,簡稱WP. 29)、美國國家交通安全管理局(National Highway Traffic Safety Administration,即NHTSA)訂定之相關車輛安全標準、自駕系統功能以及其他車輛要求等內容,以利我國車輛型式安全檢測及審驗得與時俱進。 [10]道路交通管理處罰條例第21條、道路交通安全規則第50條第1項、第61條、第61條之1。 [11]參道路交通安全規則第52條至第70條。 [12]汽車運輸業管理規則第19條之2。 [13]汽車運輸業管理規則第19條之7。 [14]如臺北市大眾捷運系統行車人員技能體格檢查規則第3條、高雄市大眾捷運系統行車人員技能體格檢查規則第3條、新北市大眾捷運系統行車人員技能體格檢查規則第4條,行車人員包含運務人員以及維修人員。 [15]大眾捷運系統經營維護與安全監督實施辦法第14條。 [16]大眾捷運系統經營維護與安全監督實施辦法第11條。
日本內閣網路安全中心發布網路安全協議會營運報告日本內閣網路安全中心(内閣サイバーセキュリティセンター)依據於2018年底新修正之網路安全基本法(サイバーセキュリティ基本法,以下稱基本法),於今年1月30日發布網路安全協議會的營運報告(以下稱營運報告)。 基本法修法原因在於網路攻擊日趨複雜,若組織受到網路攻擊,並非每個組織都有能力因應,如此將導致組織運作受到衝擊。因此於基本法第17條新增設立「網路安全協議會」(サイバーセキュリティ協議会,以下稱協議會)。日本內閣網路安全中心於前揭發布之營運報告中說明協議會之運作模式及招募成員情形。 運作模式上,協議會設有秘書處、營運委員會及總會,秘書處由內閣網路安全中心擔任,營運委員會由各機關首長組成,總會則由所有協議會成員組成並且定期召開會議;協議會將成員分成第一類成員、第二類成員及一般成員。第一類成員與第二類成員組成特別工作小組(タスクフォース),小組成員間會交換不對外公開且尚未確認的機密資訊,一般成員則依循特別工作小組提供的資訊及因應對策,加以實際運用。經營運報告統計,自協議會成立(2019年4月1日)至同年年底,一共發生33起網路攻擊事件,皆透過協議會促使各政府機關、私人組織迅速掌握網路攻擊資訊。 招募成員方面,協議會於去年5月加入第一期91名成員;同年10月,再加入64名第二期成員,目前為止共計155名;第三期成員已於今年三月開放申請加入,預計五月確定第三期成員。此外,營運報告中列有協議會成員名簿,成員包含內閣官房首長、資訊處理推進機構(情報処理推進機構)、宮城縣網路安全協議會、NTT DOCOMO電信公司、成田國際機場公司、石油化學工業協會、富士通、三菱電機等產、官、公協會組織單位。日本藉由設立協議會,期許透過政府與民間協力合作,共同維護政府公部門及產業之基礎網路安全。
世界五大專利局針對新興科技與AI技術組成聯合工作組以提高專利審查效率由世界五大專利局,韓國智慧財產局(KIPO)、美國專利商標局(USPTO)、歐洲專利局(EPO)、中國國家知識產權局(SIPO)與日本專利局(JPO)所組成的IP5組織於2019年6月13日在韓國仁川召開會議。 IP5的五個專利局涵蓋了全球85%的專利申請量,各國代表在會議中同意將持續透過相互調和專利審查程序以達到更有效率的全球專利系統,其中包括:新興科技的專利分類、全球專利檔案(Global Dossier)服務的持續改善、加強五大專利局間的工作分享以及調和專利審查實務與程序。在專利審查實務與程序的調和上,IP5同意針對以下項目進行調和:發明專利的統一性、引證的先前技術、專利說明書是否充分揭露的判斷,這些項目的調和目的在於減輕申請人的負擔並增加專利審查工作效率。 會議中五大專利局也同意成立新興科技與AI技術的聯合工作組以因應全球技術的發展,透過聯合工作組協調對於AI專利的審查標準,以及如何將AI技術運用於專利管理事務中。 預期透過IP5的五大專利局相互調和,將可使專利審查更有效率、審查標準趨於一致且專利資訊和數據可更容易獲取,有助於企業組織在國外的專利申請布局。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
美國網路安全相關法規與立法政策走向之概覽美國網路安全相關法規與立法政策走向之概覽 科技法律研究所 法律研究員 沈怡伶 104年08月11日 網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。 壹、美國聯邦政府相關網路安全規範、標準及措施 一、金融業相關管制規範 對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。 另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]。 二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS) 該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]。 三、醫療健康資訊相關管制規範 「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]。 貳、立法焦點新況:網路安全及網路威脅資訊共享 美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]。 針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。 現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之: 一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。 二、能破解安全控制或利用安全漏洞的方法。 三、安全漏洞。包括能指出安全漏洞存在的異常活動。 四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。 五、惡意網路命令和控制。 六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。 七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。 八、任何結合上開措施之行動。 防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。 就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。 美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。 參、小結 網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]。 就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。 [1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015). [2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015). [3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015). [4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015). [5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015). [6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015). [7] https://www.congress.gov/bill/114th-congress/senate-bill/754 [8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015). [9] Sec.2(15). [10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015). [11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015). [12] Sec.2(6). [13] Sec.2(7). [14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。 [15]Paul et al., supra note 2, at 2.