美國參議員提案規範物聯網設備之資安漏洞
美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。
由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。
2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。
Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注:
- 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。
- 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。
- 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。
- 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。
- 要求所有執行機構清點所有連結物聯網的設備。
- Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device
- Steve Daines, U.S. Senators to Introduce Bill to Secure
- Internet of Things Cybersecurity Improvement Act of 2017
- Dustin Volz, U.S. senators to introduce bill to secure
- Rob Price, US lawmakers are trying to fix the security nightmare that is the
黃上川
法律研究員 編譯整理
Mark R. Warner, Senators to Introduce Bipartisan Legislation to Improve Cybersecurity of“Internet of Things”(IOT) Device, https://www.warner.senate.gov/public/index.cfm/pressreleases?ID=06A5E941-FBC3-4A63-B9B4-523E18DADB36 (last visited Aug. 4, 2017)
Steve Daines, U.S. Senators to Introduce Bill to Secure 'Internet of Things', https://www.daines.senate.gov/news/in-the-news/us-senators-to-introduce-bill-to-secure-internet-of-things (last visited Aug. 4, 2017)
Internet of Things Cybersecurity Improvement Act of 2017, https://zh.scribd.com/document/355269230/Internet-of-Things-Cybersecurity-Improvement-Act-of-2017 (last visited Aug. 4, 2017)
Dustin Volz, U.S. senators to introduce bill to secure 'internet of things', Reuters, http://www.reuters.com/article/us-usa-cyber-congress-idUSKBN1AH474 (last visited Aug. 4, 2017)
Rob Price, US lawmakers are trying to fix the security nightmare that is the 'internet of things', Business Insider, http://www.businessinsider.com/r-us-senators-to-introduce-bill-to-secure-internet-of-things-2017-8 (last visited Aug. 4, 2017)
今年年初德國聯邦政府向參議會提出「衛星資料保護法(SatDSiG)草案」,為國家以外的衛星資料利用,制定明確的規範。該草案將是歐洲第一個針對此議題所提出的草案。 該草案指出,利用「地表遙感偵查系統(Erdfernerkundungssystem)」所得資料或其所衍生的產品,不僅對國家軍事、外交安全帶來威脅,也可能造成個人隱私權的侵害。 該草案其他內容包括,所有「地表遙感偵查系統」的經營均須經過政府許可且受公權力監督。業者在接受客戶委託時,須特別注意是否有任何危害到德國國家安全的可能。其中判斷的標準如,所得資料涉及的內容、委託者身分、受委託偵測的地區、受委託的時間。如經衡量有涉及國家安全,則該資料的散佈須得政府的同意。 草案所稱衛星資料衍生產品例如照片、雷達資料以及其他經數位化商品如手機定位系統服務。違反者將面臨最高5年徒刑或50萬歐元罰金。 德國國會經濟委員會在9月10日針對該草案舉辦公聽會。會中隱私權保護團體也表達支持制定該法,各界亦贊同以專法約束具商業性的衛星資料取得利用,以保護個人隱私權。隱私權團體進一步表示,所有的衛星資料都涉及到地理資料,當衛星地理資料與其他可供識別個人身分的資料結合,則威脅到個人隱私權,而這些資料不當使用對於公眾人物格外敏感。 Google則表示,該草案適用客體應明確排除如搜索引擎等服務,且Google針對搜尋結果的圖片上網前,均會檢查其內容是否不當或違法。
從「數位休閒娛樂產業」之法制需求談我國娛樂業法制規範之可能性 美國紐約州通過「防止非法侵入與加強電子資料安全法案」2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。 當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。
歐盟執委會公布「行動健康醫療(mHealth)綠皮書徵詢意見書」為強化推動歐盟行動健康醫療之發展,歐盟執委會於2014年4月10日以綠皮書之形式,向大眾(包括產業、國家與地方機關、專業醫療機構、研究機構、非政府組織、病患協會等)提出mHealth行動健康醫療徵詢意見,在2015年1月12日時公布「行動健康醫療(mHealth)綠皮書徵詢意見書」(摘要版)(Summary report on the public consultation on the green paper on mobile health)。 此份徵詢意見書有十個主題,包含:資料保護、法制架構、病人安全與資訊透明、行動健康在醫療體系中之定位及平等接取、互操作性(interoperability)、給付模式(reimbursement models)責任、研發與創新 、國際合作和網路業者參與市場。從報告顯示,大多數的人認為資料保護是最重要的,特別是建立用戶信任的保護隱私與安全之工具(例如資料加密(data encryption)與認證機制(authentication mechanisms)),並且認為強化資料保護法制。 再者,有將近一半的被徵詢人要求透過認證方案或資格標籤等方法做更進一步的病人保護與資料透明。第三,行動醫療主要是透過網路進行,然而有網路業者表示,因為目前仍缺少明確的管制架構、互操作性以及共通品質標準,所以對業者而言是難以進入市場的。第四,也有許多被徵詢人認為行動醫療的性能和安全要求,應透過立法、指導原則或自我管制(self-regulation)管理。另外也有提出應確保行動醫療與電子健康病歷(Electronic Health Records , EHRs)之互操作性,以便於照護延續性與用於研究目的上。 經過此次徵詢,歐盟執委會對於推動行動健康醫療發展,規劃將在2015年間將會與相關業者討論政策措施,包括立法、自我或共同管制(self- or co-regulation)、政策指導原則等。