美國網路安全相關法規與立法政策走向之概覽

美國網路安全相關法規與立法政策走向之概覽

科技法律研究所
法律研究員 沈怡伶
104年08月11日

  網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。

壹、美國聯邦政府相關網路安全規範、標準及措施

一、金融業相關管制規範

  對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]

  另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]

二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)

  該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]

三、醫療健康資訊相關管制規範

  「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]

貳、立法焦點新況:網路安全及網路威脅資訊共享

  美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]

  針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]

現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之:

一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。

二、能破解安全控制或利用安全漏洞的方法。

三、安全漏洞。包括能指出安全漏洞存在的異常活動。

四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。

五、惡意網路命令和控制。

六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。

七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。

八、任何結合上開措施之行動。

  防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。

  就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。

  美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。

參、小結

  網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]

  就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。

[2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversighthttp://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015).

[3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015).

[4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015).

[5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015).

[6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015).

[9] Sec.2(15).

[10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015).

[11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015).

[12] Sec.2(6).

[13] Sec.2(7).

[14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。

[15]Paul et al., supra note 2, at 2.

※ 美國網路安全相關法規與立法政策走向之概覽, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=6984 (最後瀏覽日:2024/02/28)
引註此篇文章
你可能還會想看
自動駕駛車輛之分級與責任

  所謂自動駕駛(autopilot),原來是指一個用來控制載具軌道而無需人工一直干預的系統,亦即無須人類持續干預,但人類仍須於關鍵時刻介入進行決定或作為,此時機器僅作為輔助。   而自動駕駛汽車或稱全自動駕駛,則只完全無須人類干預,由機器自動感應偵測,自動做成決策控制車輛行駛。故由人類的介入程度區別究竟是駕駛輔助或自動駕駛。美國國家公路交通安全管理局(NHTSA)於2016年已提出正式的分類系統,除手動駕駛(0級)外,區分弱駕駛輔助(1級)、部分自動駕駛(2級)、有條件全自動(3級)、高度/完全自動化(4級)不同程度的自動駕駛。其他國家如德國,在聯邦政府的「自動駕駛圓桌會議」也對自動駕駛有類似的四等級區分。   德國聯邦政府也在於2017年1月25日提出規範自動駕駛之法律草案,亦即道路交通法修正法(Änderung des Straßenverkehrsgesetzes),核心在於賦予電腦與人類駕駛者法律上同等地位。亦即,駕駛人的定義未來擴張延伸到「使用不同程度自動駕駛系統者」。根據草案將來在車輛行駛中,人類可以在特定時間與特定狀況下接管整個行駛。而最重要的修正:人類始終應該負使用電腦的最終責任。   故在行駛中駕駛人將會被輔助機器替代,更要求自駕系統應該具備“隨時可以由駕駛人接手操控或停俥”的功能。 分類中,駕駛人的角色只有到全自動駕駛實現時才退場,屆時才會發生無駕駛人只有乘客的狀況。   修法也重視自駕技術失敗並導致事故所生責任分擔的問題。對於責任的調查將採用如同飛航安全中之「黑盒子」的方式,該裝置會記錄行駛中的所有基本資料。這將有助於發生事故後澄清,查明究竟是技術上原因、製造商或駕駛員的過失,以確保駕駛人無法將責任全部推給自動化系統的故障。

日本通過包括違法著作物下載刑罰化在內的著作權修正規定

  包括違法下載刑罰化在內的著作權法修正草案在06月20日下午於日本參議院本會議中表決通過。違法下載刑罰化等的規定從10月01開始施行,而其它規定則從2013年01月01日開始施行。   日本政府最初於06月15日於眾議院文部科學委員會所提出的修正案為因應隨著數位化、網路化的發展而生之著作物利用態樣多元化及著作物違法利用及流通等的問題,包括 (1) 所謂「偶然入鏡」等未產生實害之著作物的非授權使用的放寬; (2) 國立國會圖書館的數化位資料自動公眾發送等的相關規定; (3) 依關於公文書等管理之法律而生的利用行為的相關規定; (4) 所謂「擷取違法化」等、關於技術面的保護手段之規定的整備等,在同委員會內獲得全員一致的表決通過。   此外,在同委員會也就自民黨、民主黨(提供兩點全名)兩黨所提出的針對「違法著作物的下載」導入刑事罰的修正案進行表決,獲得通過,並在其後的眾議院本會議中併同前述文部科學委員會所提出之修正案一併表決通過,復送交參議院進行表決。違法著作權的下載行為早在先前2009年的著作權修法時即已認為為違法化,惟一直以來並沒有罰則之規定。   在日本音樂相關權利人團體很早開始就提出了違法下載刑罰化的強烈要求,不過都沒有納入著作權法修正的相關審議會進行審議。不過,此次在權利人團體強力向以自公兩黨為首的政黨進行遊說的結果,最後通過了「兩年以下的有期徒期或20萬圓以下罰金」的修正內容,並於本次參議院本會議中表決通過成立。

歐盟理事會通過爭議不斷的歐盟數位單一市場著作權指令

  為了使歐洲的著作權法規更符合數位時代及單一市場所需,歐盟執委會(European Commission)於2016年9月所提出的「數位單一市場著作權指令」(The Directive on Copyright in the Digital Single Market)提案,於今年2月13日由歐洲議會(European Parliament)與歐盟理事會(Council of the EU)、歐盟執委會達成最終協議,歐洲議會與歐盟理事會並分別於3月26日及4月15日通過提案,歐盟理事會於4月17日簽署正式指令。新指令的重點內容包含: 文字與資料探勘(Text and data mining):第3條規定,研究組織為了科學研究而需對文字與資料探勘時,得例外對著作進行重製、擷取(extraction)。 強化著作人和表演者在數位環境中的地位:第14條規定,當著作人和表演者將著作權讓與或授權給出版商後,出版商必須定期向著作人和表演者告知這些著作的利用情形。另外,第15條規定,如果著作人和表演者覺得先前約定的報酬太低時,可以要求與出版商重新磋商更公平且適當的報酬。 賦予新聞內容重製權及向公眾傳播權:規定於第11條,使用新聞的內容(尤其網路新聞)時,須向新聞出版者取得重製權及向公眾傳播權的授權。另外,本次通過的正式指令,已無之前提案中具有爭議的「須得到新聞出版者同意才能使用新聞頁面超連結」條文內容,而無先前的超連結稅(Link Tax)爭議。 網路服務提供者義務:第13條規定,網路服務提供者如Instagram、YouTube等,有義務透過有效的機制,迅速刪除未經著作權人授權許可的內容,並防止這些未經授權的內容重新上架,以保護著作權人的利益。   不過,從歐盟執委會提案之後,第13條就引起了德國民眾的強烈反彈,從今年2月最後一個禮拜開始,德國各大城市展開了一連串名為「反對歐盟著作權改革法案」(gegen EU-Urheberrechtsreform)的抗議活動,包含線上連署及上街遊行,並已擴散至其他歐盟會員國。抗議訴求認為,使用所謂的「上傳過濾器」(Upload-Filter)會對網路的言論自由和多樣性產生巨大影響,由於在實際操作上,網路服務提供者只會依據著作權人所提供的著作授權清單,利用上傳過濾器自動過濾未得到授權的內容,因此經合法使用其他著作後所創作的新著作(例如文章內含有合法引用的內容),可能會成為被過濾、刪除的對象,因為上傳過濾器可能無法判別法定例外的合法使用。所以上傳過濾器被認為是有爭議的審查手段。   雖屢有爭議,但本次通過數位單一市場著作權指令,使歐盟的著作權法規更能適應當今數位世界,在音樂串流服務、影音點播平台、新聞彙整平台、以及各種社群平台已成為人們接觸著作和新聞的主要門戶時,加強網路使用者享有的自由和權利,創作者也將獲得更好的保護和報酬,以創造更繁榮的網路經濟。

香港電訊管理局放寬對互連費的管制

  香港電訊管理局(OFTA)於2009年04月27日廢止了廿五年前制定的「流動網絡(即我國的行動電話/信網路)付費」規管指引。此管制規定即是明定了行動網路業者(MNO)固網業者(FNO)間的互連費收取(FMIC)模式。今後互連費的結算將以商業協議取代事前的管制性介入。   以往固網與行動網路業者互連費計算乃基於「流動網絡付費」為之,亦即行動網路業者須繳付流動網絡與固網之間所有的通話互連費用(MPNP),顯有不對稱之狀況,不利於電訊服務在匯流大環境下的公平競爭和發展。職是,電訊管理局於2007年決議將廢除該規定並設定兩年的過渡期間,讓相關業者進行調整;多數業者也在過渡期間內達成協議或共識。業者間均同意原則上採取「毋須拆帳」(Bill and Keep, BAK)的結算模式,因此也不會產生將費用轉嫁到其他電訊服務商或是終端消費者的問題。此顯示去管制化並交由市場機制決定互連費用之作法實屬可行。   以市場取代管制,短期內雖會有不確定因素可能導致爭議,惟電訊管理局也強調業者間的協議(含協商不成)不得危及公眾利益與一定的服務品質,必要時將依法介入業者間的協商程序。該局也將持續關注互連費問題之發展。

TOP