研究成果

熱門瀏覽
新增至稍後閱讀 美國涉密聯邦政府員工之機密資訊維護-保密協議(Non-disclosure Agreement, NDA)之使用

美國涉密聯邦政府員工之機密資訊維護-保密協議(Non-disclosure Agreement, NDA)之使用 科技法律研究所 2013年12月06日 壹、事件摘要   前美國海軍海豹部隊(SEAL)隊員Matt Bisonnette以化名Mark Owen出版 No Easy Day一書,內容主要描述狙殺Osama Bin Laden的規劃與執行,並蟬聯最佳暢銷書籍。美國國防部對Matt Bisonnette提出洩露國家機密之訴訟,及違反保密協議的規定。以下簡介美國對於聯邦政府官員的機密維護規範及措施,包括保密協議之使用、違反保密協議時對於該聯邦政府員工的追訴以及對於未經授權被揭露之機密資訊的防護;更進一步,聚焦探討美國以「保密協議」規範聯邦政府員工的方式,提供我國參考。 貳、重點說明 一、總統行政命令與機密資訊維護   傳統上,美國對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。總統第8381號行政命令,授權政府官員保護軍事與海軍基地;爾後,歷任總統便以發布行政命令的方式,建置聯邦政府的機密分級標準,以及各項為維護國家安全的各項法令規定與措施。不過,羅斯福總統係以經特定法規授權為由而發佈總統行政命令,羅斯福以後的總統則是基於一般法律與憲法授權[1],為維護國家安全之憲法上的責任而發佈總統行政命令;於此,國會則不停的以其他立法的方式,設法平衡總統行政權與國會立法權間權利[2]。   有關總統行政命令之效力,如其規範的主題相同時,新的行政命令效力將會取代前案行政命令。目前美國政府有關機密係根據歐巴馬總統於2009年所發佈總統第13526號行政命令,主題為「國家安全機密資訊(Classified National Security Information)」,其內容及效力取代前行政命令,修改美國聯邦法規第32章2001篇涉及國家安全之機密資訊(32 C.F.R. 2001 Classified National Security Information)[3],以及勾勒機密資訊分級、解密、機密資訊的處理等議題的框架。 二、涉及國家安全機密資訊之安全維護措施   依據總統第12958號行政命令,機關必須採取管控措施保護機密資訊,包括使用(Access)機密資訊的一般限制、分布機密資訊的控制,與使用機密資訊的特別計畫。第12958號行政命令Sec.4.2(a)規定使用機密資訊的一般限制[4]:聯邦政府員工使用機密資訊前,必需符合下列三大前提要件,包括通過「人員安全檢查(Personnel Security Investigation)」、簽署「保密協議」,與執行職務所「必要知悉(Need-to-know)」,才得以使用機密資訊[5]。   第一項前提要件為「人員安全檢查」,其安全檢查目的在於確定使用機密資訊人員的可信賴度(Trustworthiness),在相關部門或機構完成安全調查確認該人員的可信賴度之後,將授予通過安全檢查的資格,進而進入第二步驟「SF312保密協議」的簽署[6]。   第二項前提要件為簽署「保密協議」,係由美國總統指令所要求,並於總統行政命令所重申[7]凡涉及使用機密資訊之聯邦政府員工(Employee of the Federal Government)、承包商(Contractor)、授權人或受讓人(Licensees or Grantees)等,於使用機密資訊前,必須完成「保密協議」的簽署,否則不得使用。該「保密協議」在法律上為拘束簽署員工(前述通過安全檢查之人員)與美國政府間的契約(Contract)[8],簽署員工承諾,非經授權不得向未經授權之人揭露機密資訊[9]。   「保密協議」的主要目的在於「告知(Informed)」簽署員工: 1.因信任該員工而提供其使用機密資訊; 2.簽署員工保護機密資訊不得未經授權揭露的責任;與 3.未能遵循協議條款後果。   第三項要件係說明政府聯邦員工得使用機密資訊的範圍,以該員工執行職務所「必要知悉(Need-to-know)」為限。 三、保密協議   「保密協議」(Classified Information Non-disclosure Agreement,一般簡稱為NDA)為機密資訊安全維護措施之一,美國政府藉由該契約協議的內容條款,確立信任關係、責任的範圍,以及未遵循契約條款的後果,並得以此協議防止簽署人未經授權揭露機密資訊,或簽署人有違反情事,對其提起民事或行政訴訟[10]。   通過安全查核者(Security Clearance),將被授與特權(Privilege),此權限不是與生俱來的權利(Right)。當獲得使用機密資訊的特權時,使用人必須背負相對的責任。簽署人一旦簽署與美國政府之間具法律拘束力的「保密協議」,即表示同意遵守保護機密資訊的程序,並於違反協議條款時,受到相對的處罰[11]。   美國利用「保密協議」約束員工對於機密資訊的保護,要求員工於發佈資訊之前,必須將內容提交機構進行審查。著名的案子為Snepp v. United States,最高法院對於「中央情報局(Central Intelligence Agency, CIA)」的前情報員,強制執行所簽署的保密協議,因前員工未遵守與中央情報局間的協議條款,亦即於出版書籍之前,先行提交出版內容給中央情報局審查的約定,中央情報局進而對該書籍的利潤施以法定信託(Constructive Trust),即使中央情報局最終的判斷內容未含機密資訊[12],也不影響該決定的效力。 (一)「保密協議」的法源基礎   在數個與國家安全機密資訊相關的總統行政命令中,現行「保密協議」所依據法源為總統第12958號行政命令 。第12958號行政命令規定,由「資訊安全監督局」(Information Security Oversight Office, ISOO)負責監督行政部門與政府機關對於「涉及國家安全之機密資訊」的創建或處理事宜[13]。   資訊安全監督局局長為遂行涉及國家安全機密資訊之維護,於1983年頒佈「國家安全決策第84號指令」(National Security Decision Directive No. 84, NSDD 84)[14]規範進行國家安全機密資訊之維護。雖然「保密協議」曾經被挑戰,但卻一直受到聯邦法院(包括最高法院)的支持,為具有法律拘束力和合憲性的文件[15]。   「國家安全決策第84號指令」規定,凡通過安全檢查之人員[16],必須完成簽署制式保密協議,並待生效後,才得以使用機密資訊。換句話說,相關人員必須以有效的保密協議為條件,才得以使用機密資訊。   「保密協議」應經過「國家安全委員會(National Security Council)」批准,與「司法部(Department of Justice)」的審查,而為法院可執行,而且機關不得接受經簽署員工單方修改用語的「保密協議」[17]。   目前「保密協議」版本稱為312制式表格(Standard Form 312),以下簡稱「SF312保密協議」[18]。 (二)「SF312保密協議」關於(Classified Information)的定義[19]   「SF312保密協議」的「機密」係指標示或未經標示的機密資訊,包括非書面的口述機密資訊,以及雖未歸屬於機密資訊但符合第12958號總統行政命令Sec. 1.2或1.4 (e)的規定[20],符合機密資訊的標準,或依據其他總統行政命令或法規是否為機密的確認期間(Pending)先行提供機密資訊保護的資訊;但並不包含在將來可能會被歸屬於機密,但目前尚未進入機密分級過程中的資訊[21]。   歐巴馬政府有關國家機密資訊之第13526號行政命令[22],於機密資訊安全維護部分之內容,仍與第12958號總統行政命令相同[23]。得使用機密資訊之人員僅限向相關主管機關首長展現其使用的資格,並簽署保密協議者,且限於其職務所必要知悉的範圍內,使用機密資訊。 (三)違反「SF312保密協議」的責任[24]   若「SF312保密協議」的簽署員工「知悉或應合理知悉(Knows or Reasonably Should Know)」,該資訊為已標示或未經標示的機密資訊,抑或符合機密資訊的標準但仍處於確認過程的資訊,而其行為將導致或於合理情形下可能導致未經授權揭露機密資訊,則可能需負未經授權揭露機密資訊的法律責任。因此,如於揭露資訊的當時,無根據可認定該資訊為機密資訊或可能成為機密資訊時,該簽署員工不會因為揭露該資訊,而需負未經授權揭露機密資訊的責任[25]。   另外,直至正式解密(Officially Declassified),機密資訊不因已被揭露於公共來源(Public Source),例如大眾媒體,而解密。不過,如僅於公共來源以抽象的方式引述該筆機密資訊,並非屬於再度未經授權揭露機密資訊[26]。   「SF312保密協議」簽署員工於資訊傳遞前,或確認公共來源資訊的正確性時,需先行向有權機關確認該資訊已被解密;若該員工未進一步履行確認資訊機密性,而逕進行資訊傳遞或確認資訊正確性時,該行為將成屬於未經授權揭露機密資訊[27]。 (四)「SF312保密協議」的有效期間   「SF312保密協議」載明,保密協議對於簽署員工的拘束力,從被授權使用機密資訊之時點開始,該員工終身均負保密義務[28]。   該條款明白表示,國家安全敏感性相關的機密資訊,與任一特定個人安全檢查資格的有效期間,並不相關。易言之,未經授權揭露機密資訊對美國所造成的傷害,並不取決揭露人的身分而有不同[29]。   是以,實務上,機關多以違反「保密協議」為訴因,對退職或離職之員工,進行民事或行政訴訟。   「SF312保密協議」所規範的保密義務,適用於所有機密資訊,然而,若某特定資訊已經解密,則按照「SF312保密協議」的規定,該簽署員工則不具持續保密的義務。此外,該「SF312保密協議」的簽署員工,還得發動強制性審查的請求,尋求解除特定的資訊的密等,包括該簽署員工具有使用權限的機密資訊[30]。 (五)違反「SF312保密協議」美國政府可採取的行動   聯邦政府員工如有明知、故意或因過失而未經授權揭露機密資訊,或任何合理預期可能導致未經授權揭露機密資訊之情事,機關首長或資深官員必須即刻通知資訊安全監督局,並採取「適當和及時的校正行動」[31]。   基於「SF312保密協議」,對於未經授權揭露機密資訊事件,美國政府可能至美國聯邦法院提起民事與行政訴訟。   民事訴訟可能分為禁制令(Injunction)、民事金錢損害賠償,與所得利益的追討。 1.禁制令   請求聯邦法院申請發佈禁制令,以禁止公布與以其他方式揭露該機密資訊。例如 United States v. Marchetti案,聯邦法院發佈禁制令,防止前中央情報局情報員以出版書籍的方式揭露機密資訊[32];或是國務院以撤銷護照的方式,管制人員出境(儘管該人員出國的目的為暴露秘密情報員的身分,擾亂情報工作,而非協助他國政府)[33]。 2.金錢損害賠償   向該員工請求美國政府因未經授權揭露機密資訊所造成損失之金錢的損害賠償。 3.所得利益之追討   償還美國政府因未經授權揭露機密資訊所得之相對代價,或其他金錢或財產上的所得[34]。   如「SF312保密協議」簽署員工違反協議,則美國政府可對其進行行政裁處與處罰,包括譴責(Reprimand)、暫時吊銷(Suspension)聯邦政府員工資格、降級(Demotion),或甚至撤職(Removal),並可能被取消通過安全檢查的資格[35]。   雖然,聯邦政府員工於違反「SF312保密協議」時,美國政府得以違反契約(SF312保密協議)為訴因,向簽署員工提起民事或行政訴訟;不過,如果該員工的行為亦已違反其他刑事規定,政府也可能同時對該洩密員工提起刑事訴訟[36]。但是,法制上並不存在總括性(Blanket Prohibition)規定,處罰所有未經授權揭露涉及國家機密資訊的處罰[37]。   例如,機關得依據18 U.S.C. §798揭露機密資訊(Disclosure of Classified Information)提起刑事訴訟,美國政府必須設法證明符合該條文的構成要件的故意,與該當法條所規定揭露機密資訊要件之狀況。該刑事的舉證責任,比起違反保密協議的舉證責任重了許多;不過,相對的,如政府可舉證證明,其處罰也會比違反保密協議重了許多,不是只有因洩密行為而獲得的利益被沒收,法院還得處以監禁(Incarceration)與罰金(Fines)[38]。 參、事件評析   美國規範認定,使用機密資訊的權限為被授與的特權,而不是與生俱來的權利。美國聯邦政府利用與員工之間的雇用關係,透過保密協議(契約關係)的方式,規範該政府員工對於機密資訊的維護,載明雙方的關係、政府員工的保密責任,以及違反保密協議的後果,並強調該保密協議的效力,一直持續至該員工的終身,這意味著,政府員工於不具安全檢查的資格之後,或甚至是退離職之後,仍受保密協議的拘束。   除了對於員工本身的權利義務與罰則加以規範之外,美國政府亦特別著重於資訊的快速擴散性與保持機密性的需求,對於未經授權而揭露的機密資訊,利用違反保密協議(違約)(Breach of Contract)為手段,儘量減少機密資訊擴散的程度。例如,美國政府對政府員工提起告訴時,以舉證責任來看,證明違反保密協議民事的舉證責任,比需要證明行為人違反刑法規定的刑事舉證責任為輕。再者,透過禁制令的方式,凍結並維持資訊的「現有狀態(Status Quo)」,並且還得於提起民事訴訟的同時,提起刑事。 [1]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 1,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [2]同上註。例如1966年「資訊自由法 (Freedom of Information Act, FOIA) 」, 1995年「情報授權法 (Intelligence Authorization Act)」、2000年「公共利益解密法 (Public Interest Declassification Act)」,與2012年「減少過度加密法 (Reducing Over-Classification Act)」。 [3]美國聯邦法規第32章2001篇, 32 C.F.R.2001,http://www.law.cornell.edu/cfr/text/32/2001 (last accessed May 11, 2013). [4]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). (a) A person may have access to classified information provided that: (1) a favorable determination of eligibility for access has been made by an agency head or the agency head's designee; (2) the person has signed an approved nondisclosure agreement; and (3) the person has a need-to-know the information. [5]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.1, http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [6]同上註。 [7]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). [8]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(a) (n.d.), P.55,http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). “SF 312, SF 189, and SF 189-A are nondisclosure agreements between the United States and an individual. The prior execution of at least one of these agreements, as appropriate, by an individual is necessary before the United States Government may grant that individual access to classified information…”. [9]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [10]同上註。 [11]Western Region Security Office, Protecting Classified Information, http://www.wrc.noaa.gov/wrso/security_guide/intro-4.htm (last accessed May 11, 2013). [12]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11,www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [13]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Snepp v. United States, 444 U.S. 507 (1980), noting the remedy in Snepp was enforced despite the agency’s stipulation that the book did not contain any classified information. [14]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). ISOO, National Security Decision Directive No. 84(n.d.), https://www.fas.org/irp/offdocs/nsdd/nsdd-84.pdf (last accessed May 11, 2013). [15]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.65, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 保密協議曾有SF189與SF189-A版本,與現行SF312版,不論那一版本的保密協議,均經過司法部專家依據當時或現有法律進行審閱,並確認保密協議的的合憲性和可執行性。最近有關SF189的訴訟,仍維持保密協議基本的合憲性和合法性。 [16]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.66-67, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). 除憲法上被「視為」符合「可信任性(Trustworthiness)」的下列人員外,其他的人員必須符合三項前提要件(包括簽署保密協議),才得以使用機密資訊。「視為」具「可信任性」的人員包括:總統、副總統、國會議員、最高法院法官,與其他由總統提名並經參議院同意的聯邦法院法官,不需以簽署與持已生效的保密契約為條件,即可使用機密資訊。然而,國會議員仍然是以執行職務(立法功能)所「必要(Need-to-know)」的範圍內為限,例如,該國會議員為負責監督秘密情報部門計畫的委員會,該國會議員與該機關首長,仍必須簽署保密協議或其他類似文件後,才得以使非行政機關人員使用機密資訊。 [17]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.71, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [18]NARA/ISOO, Standard Form 312, http://www.archives.gov/isoo/security-forms/sf312.pdf (last accessed May 11, 2013). [19]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(1)&(2) (n.d.), P.56-57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [20]White House, Executive Order 12958 Classified National Security Information (1995), http://www.fas.org/sgp/clinton/eo12958.html (last accessed May 11, 2013). Sec. 1.2. Classification Standards. (a) Information may be originally classified under the terms of this order only if all of the following conditions are met: (1) an original classification authority is classifying the information; (2) the information is owned by, produced by or for, or is under the control of the United States Government; (3) the information falls within one or more of the categories of information listed in section 1.5 of this order; and (4) the original classification authority determines that the unauthorized disclosure of the information reasonably could be expected to result in damage to the national security and the original classification authority is able to identify or describe the damage. Sec. 1.4. Classification Authority. (e) Exceptional cases. When an employee, contractor, licensee, certificate holder, or grantee of an agency that does not have original classification authority originates information believed by that person to require classification, the information shall be protected in a manner consistent with this order and its implementing directives. The information shall be transmitted promptly as provided under this order or its implementing directives to the agency that has appropriate subject matter interest and classification authority with respect to this information. That agency shall decide within 30 days whether to classify this information. If it is not clear which agency has classification responsibility for this information, it shall be sent to the Director of the Information Security Oversight Office. The Director shall determine the agency having primary subject matter interest and forward the information, with appropriate recommendations, to that agency for a classification determination. [21]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.70, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [22]White House, Executive Order 13526 Classified National Security Information (2009), http://www.whitehouse.gov/the-press-office/executive-order-classified-national-security-information (last accessed May 11, 2013). [23]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [24]NARA/ISOO, Implementing Rule of the “Classified Information Nondisclosure Agreement” Subpart B-Prescribed Forms §2003.20(h)(3) (n.d.), P.57, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [25]同上註。 [26]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.73, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [27]同上註。 [28]同上註。The terms of the SF 312 specifically state that all obligations imposed on the signer “apply during the time [the signer is] granted access to classified information, and at all times thereafter.” [29]同上註。 [30]同上註。 [31]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 5, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [32]同上註,at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See United States v. Marchetti, 466 F.2d 1309 (4th Cir. 1972). [33]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). See Haig v. Agee, 453 U.S. 280 (1981). [34]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013). [35]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2011), http://www.fas.org/sgp/isoo/sf312.html (last accessed May 11, 2013) & Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10-11, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). 失去通過安全檢查的資格可能導致失去政府員工的工作機會;另外,除可能被追討金錢的損害賠償外,該名員工如果亦違反「間諜法(Espionage Act)」與「原子能法(Atomic Energy Act)」的相關條款,還有可能喪失退休金(Retirement Pay)或年金(Annuities)。 [36]NARA/ISOO, Classified Information Nondisclosure Agreement (Standard Form 312) Briefing Booklet (2001), P.74, http://www.wrc.noaa.gov/wrso/forms/standard-form-312_booklet.pdf (last accessed May 11, 2013). [37]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework (2013) CONGRESSIONAL RESEARCH SERVICES, at 10, www.fas.org/sgp/crs/secrecy/RS21900.pdf (last accessed May 11, 2013). [38]Caitlin Tweed, SEAL Team Six Member’s Next Battle Could be in Court (2012), NATIONAL SECURITY LAW BRIEF, http://nationalsecuritylawbrief.com/2012/09/12/seal-team-six-members-next-battle-could-be-in-court/ (last accessed May 11, 2013).

新增至稍後閱讀 美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介

美國公務機關電子機密資訊系統面對內部威脅之政策規範簡介 科技法律研究所 102年04月01日 壹、事件摘要   根據一項網路入侵案件的統計分析,約有80%的案件事來自於機關或企業內部人員,或是至少與內部人員有關。[1]然而,對於資通訊安全與機密資訊的維護,機關單位與人員把大部分的重心放在防範外來的入侵者,也就是外部威脅,反而忽略了內部員工對於資訊可能產生的潛在危害。[2]這些入侵案件的行為人大部分擁有合法存取控制資訊系統的權限,也就是因為這樣,內部威脅不易被發現。這就好比擁有大門鑰匙一般,正當合法從大門出入,以及從事本來就可以做的事,而不易被發覺。美國由於維基解密(WikiLeaks)事件的爆發,使政府對於機密維護的焦點,從外在攻擊的防止,轉聚焦於內部威脅的防範。   在美國,內部威脅並不是一個新的概念,公務機關本具備一定的管理措施;惟在維基解密案爆發後,帶給美國政府極大的衝擊,美國也全面檢討與創制新的因應作法,並於政策面、制度面與技術面等不同面向,進行積極的研究與合作。以下將引介美國之制度設計,藉此提供公務機關因應內部威脅議題之政策之參考。 貳、重點說明 一、內部威脅的定義與事件   有關資訊的價值,近來因內部威脅所帶來的損害類型已經隨著對於財產的定義與價值觀而產生變化。以產業為例,智慧財產權與企業機密,儼然成為內部人員所竊取的主要類型。企業可能因為智慧財產權或企業機密的外洩,導致企業喪失競爭力或甚至破產而關閉。如果把企業模型放大至國家或公務機關,「機密」對內部人員即成為最有價值的財產與籌碼,而公務機關可能因為內部威脅將機密外洩,造成對於國家、機關或人民產生公共安全,甚至是國家安全的危機。 (一)內部威脅的定義   外部威脅(External threat)」[3]係與內部威脅相對應之概念;外部威脅係指該威脅非由組織內部發生,而是由組織外部之人員或其他組織,透過一般的網際網路、互聯網系統,以未經授權之方式,對該組織之資訊設備,以植入惡意程式、或以駭客入侵等方式,進行侵入式的資訊系統攻擊,其目的係在於由外部取得該組織「有價值」的資訊。   為因應威脅,「威脅識別(Threat Identification)」成為威脅防禦之首要任務,按形成威脅的原因加以區分,大抵可分為「外部威脅(External Threat)」與「內部威脅(Insider Threat 或Internal Threat)」兩類。內部威脅係指例內部竊盜、系統失敗、惡意破壞、不遵守安全準則或是使用非法軟體等;相對外部威脅,係指自然災害,例如火災與地震,以及來自外部的惡意攻擊,例如盜賊、駭客、惡意程式,以及網路病毒等。[4]   「內部威脅」雖然被認知為威脅的一個種類,但是我國目前尚無對於「內部威脅」一致的定義。檢視外國對於「內部威脅」的定義,通常係指員工(含約聘僱人員)、或委外廠商為了個人利益、間諜活動或報復之意圖(「惡意(Malicious)」),對於資訊進行不正當之存取控制。「美國電腦緊急應變團隊(Computer Emergency Readiness Team, CERT)」認為內部威脅係指一位或多位具備存取控制(Access)的個人,意圖利用弱點侵入公司、組織,或企業的系統、服務、產品或設施,對於內部造成傷害。[5]「美國國防部減緩內部威脅計畫結案報告(Final Report of the Insider Threat Integrated Process Team, US Department of Defense, DoD Insider Threat Mitigation)」,內部威脅係指未經授權存取控制國防部資訊系統的人員,可能為軍事人員員工(Military Member)、國防部一般僱員(Civilian Employee )、其他聯邦機構員工,以及私部門等。[6]   由上述定義可得知,內部威脅係來自於組織單位的「內部」,如以行為人之意圖區分,又可細分為「惡意(Malicious)」與「過失」。因人員之過失所造成之內部威脅,大部分原因為人員對於資訊系統與之使用與管理不當所造成,例如,人員使用Email或即時通訊軟體,受到社交工程之攻擊,導致電腦被植入惡意程式或間諜軟體。另一則為本文所要研究的「惡意的內部威脅(Malicious Insider)」,係指內部人員利用合法存取權限,為超出於其授權使用之對象、時間、範圍、目的,與用途等之行為,並意圖對於單位組織或是特定人、事、物等造成傷害,或是謀取不當利益。   依據惡意內部威脅事件,大約可分為以下各類型:[7] 1.IT破壞(IT Sabotage)   現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,意圖損害一個具體的個人或組織,或該組織的數據、系統或日常業務之運作。 2.為經濟利益而進行盜竊或修改(Theft or Modification for Financial Gain)   現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為經濟利益意圖竊取或修改機密或專有資訊。 3.為取得業務優勢而進行竊盜或修改(Theft or Modification for Business Advantage)   現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為取得業務優勢而進行竊盜或修改機密或專有資訊。 4.其他(Miscellaneous)   現任或前任僱員、承包商,或業務合作夥伴,以故意超過或誤用授權級別,而存取控制網路或資訊系統或資料的方式,為非基於經濟利益或業務優勢,而進行竊盜或修改機密或專有資訊。   或通常會涵蓋二種以上的類型,例如:員工先行對於IT系統進行破壞,然後再試圖敲詐僱主,以協助他們恢復系統為條件換取金錢。另曾有案例為,一名前副總裁於結束工作前,複製客戶數據庫與銷售手冊,再向其他外單位組織兜售。[8] (二)內部威脅事件的發生與所造成的損失   依據CERT於2011年4月對於內部威脅控制的報告指出,以報告中123件資訊科技破壞(IT Sabotage)事件進行統計,內部威脅發生的時間為26%件事件發生於上班時間,35%發生於下班時間,另外39%件事件發生於不確定的時間。另外一項以內部威脅受到攻擊的地點來看,54%事件發生於進行遠端連線時,27%發生於公司所在地,另外19%發生於不特定之地點或場所。[9]   有關內部威脅對於公務機關機密維護所造成的危害嚴重程度很難估計,可能是因為內部威脅事件提報執法單位或是司法機關得比例較低。內部威脅事件通常因為證據不足、損害程度與花費於司法程序之時間、人力與費用無法平衡,或是因為提報對於公務機關的形象與信譽可能產生極大的負面影響,所以通常對於事件大抵只有表面上概略之描述。[10] 二、美國歐巴馬政府面對內部威脅之政策規範   美國傳統對於機密資訊由軍事單位依照軍事規定處理,不過,自從羅斯福總統於1940年發布第8381號行政命令,改變了這個機制。第8381號行政令,授權政府官員保護軍事與海軍基地。爾後,歷任總統以發布行政命令的方式,建置聯邦政府的機密分級標準。不過,羅斯福總統以經特定法規授權為由,後續總統則是以基於一般法律與憲法授權。[11]國會則不停的以其他立法,[12]設法平衡總統權利。   歐巴馬總統上任前歷經2001年911事件的壓力,[13]以及2010年維基解密等機密外洩事件,致使歐巴馬團隊對於資訊安全以及機密維護非常重視,除了推動開放政府(Open Government),促進政府政策更公開透明的民主治理外,對於資通訊安全(Cyber Security)、機密資訊外洩的通報機制,以及內部人員(Insider)所帶來的威脅,更是採取積極的作法。[14]   針對內部人員對於國家安全與機密外洩的問題,歐巴馬政權立即採取相對應的措施,於2011年發布第13587號行政命令:「增進機密網路安全與機密資訊有責分享及安全維護的結構性改革(Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information)」,與因應第13587號行政命令所規範之「內部威脅」議題,於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」的總統備忘錄。   部會或機關紛紛對於內部威脅採取相關防範措施,例如國務院(Department of State)對於涉及機密的網路,採用新的審查與監控的工具,而在國防部(Department of Defense)也開始開發自動偵測內部威脅的辨識系統。在情報系統方面,商務部(Department of Commerce)國家標準與技術中心(National Institute of Standards and Technology, NIST)與司法部(Department of Justice)聯邦調查局(Federal Bureau of Investigation, FBI)也訂立內部威脅指引,提供企業與機關單位遵循。情報系統委託Carnegie Mellon University的電腦緊急應變團隊(Computer Emergency Readiness Team,以下簡稱CERT)內部威脅中心(CERT Insider Threat Center)進行多項內部威脅的研究。   至今為止,歐巴馬政權對於內部威脅的防範,於法制政策提出下列各項規範: (一)總統第13587號行政命令:「增進機密網路安全與機密資訊有則分享及安全維護的結構性改革」   由於維基解密事件的爆發,使美國將機密的維護,從對於防止外在的攻擊,轉聚焦於機密資訊的內部威脅。事件發生後,國家安全人員馬上成立跨機關小組,檢視處理機密資訊的政策與實務作法,希望可以提出解決行政部門可共用的機制,以減少類似的事件再度發生。   跨機關小組歷時七個多月的檢討後,對於機密資訊的保護,與涉及機密資訊人員或機關間合理使用與分享資訊提出下列原則:加強跨機關資訊有責共享的重要性;確保政策、流程與技術的安全解決方案,與監督和組織文化的發展;強調聯邦政府對於資訊必須實施一致的作法;與確保隱私、公民權和自由的保護。[15]   歐巴馬團隊將上述原則落實至第13587行政命令,[16]成立監督的架構,發展與落實涉及機密的網路與資訊共享的政策與標準。指示各機關必須負起安全與機密維護的責任,並加強跨機關資訊的流通與保護,包括電腦網路的安全,與內部威脅的機制,以減低未來國家安全機密外洩的風險。   第13587號行政命令大抵分為下列各大項,除此之外,聯邦政府同時已經採行增進機密資訊網路與人員的控管,例如拆卸式媒體、網路身分管理、內部威脅方案(Insider Threat Program)、存取控制的管控(Access Control)、機密網路的審核,[17]項目分為: 1.機密資訊電腦網路系統之安全維護各機關單位負擔重要的責任; 2.設置「資深資訊分享與安全維護推動小組(Senior Information Sharing and Safeguarding Steering Office)」; 3.成立「機密資訊流通與保護局(Classified Information Sharing and Safeguarding Office, CISSO)」; 4.設置「維護網路機密資訊執行秘書」(Executive Agent for Safeguarding Classified Information on Computer Networks);與 5.設置「內部威脅專責小組(Insider Threat Task Force)」。   其中有關「內部威脅專責小組」的部分,跨機關的內部威脅專責小組將負責制定一個廣泛適用於公務機關內部威脅的方案。該方案的目標係為防止、檢測和減輕,包括利用、損害,或其他未經授權揭露機密資訊的內部威脅,並同時考量各機關單位所涉及的風險層級、業務與系統需求。解決方案亦應包含因應內部威脅的政策目標,建立和整合機關內部的安全與反間諜,用戶審查和監控等優先事項,以及其它機關的實作發展和保護能力。[18]除此之外,內部威脅專責小組還必須與相關單位合作,以促成政策的草擬與可行。[19]   專責小組的職責應包括下列: 1.制定並與行政機關協調,阻止、檢測和減輕內部威脅的政策,並提交至督導委員會檢閱; 2.與適當的機關合作,制定行政機關內部威脅方案的政策指引和最低標準,並於一年內發布,該相關指引和最低標準對於行政部門具拘束力; 3.如果有足夠的經費或經授權,繼續與適當單位合作,於一年之後,增修相關指引與最低標準; 4.如果沒有獲得足夠的經費或授權,建議由預算辦公室(Office of Management and Budget)或國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISSO)於一年之後頒布相關指引與最低標準的增修版本; 5.如仍有任何未解決的問題,以致於延宕最低標準的公布,應將問題提交給督導委員會(Steering Committee); 6.按照專責小組所制定之方案,獨立評估相關機關單位是否適當的落實既定的政策和最低標準,並將評估結果向督導委員會提報; 7.提供機關單位援助,包括提供最佳實作案例以供參考;與 8.提供美國政府所分析的內部威脅新的困難與挑戰。   由上可見,第18537號行政命令勾勒出美國政府對於增進涉及機密網路與機密資訊網路的結構性改革。不但成立跨機關的內部威脅專責小組負責草擬內部威脅的政策,機關亦必須依照指示時程,落實內部威脅政策的偵測方案,以及監控其運作是否符合政策的目標。 (二)「國家內部威脅政策和機關內部威脅方案的最低標準」總統備忘錄[20]   雖然第13587號行政命令規定機關針對內部威脅將組成跨機關內部威脅小組,負責偵測與避免內部威脅,以增進對於機密資訊的保護,以及減低機密資訊被未經授權的存取控制或揭露的潛在弱點。然而,機關應該如何施行的細項尚未有細緻規範,仍需等待歐巴馬團隊進一步制定,以落實於聯邦政府所屬的公務機關。   緣此,美國總統歐巴馬於2012年11月21日發布「國家內部威脅政策和機關內部威脅方案的最低標準的備忘錄(National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs)」,主要提供行政部門於防止、偵測與減低內部人員可能造成國家安全的威脅相關遵循方向與指引。因應內部威脅的能力將增進行政部門對於機密資訊的保護,並加強危及國家安全的敵對勢力或內部威脅的防禦。   這些威脅包括潛在的間諜活動,對國家或機關單位的暴力行為,以及未經授權揭露機密資訊,包括透過的美國政府互聯的電腦網路和系統處理的大量機密資料。該標準將提供機關單位建立有效的內部威脅所必要的要素。   目前標準的詳細內容尚未發布,不過,依據備忘錄大約可分為下列各項: 1.蒐集、整合、集中分析和應變主要威脅相關的資訊; 2.監控人員對於機密網路的使用; 3.提供人員對於內部威脅意識的培訓; 4.保護人員的公民、自由和隱私權。 參、事件評析   觀察美國一連串的改革,顯見維基解密事件對於美國政府產生非常大的衝擊,更加凸顯監控內部威脅對於國家與公務機關及其機密維護之重要性。歐巴馬團隊不但全面檢視其機密資訊管理與保護政策與法制,對機密資訊的管理與「內部威脅」的防範進行全面檢討,並對於配套標準及措施進行增修。   除對於傳統以人員監督威脅的存在外,應利用科技技術監控或查核人員的「異常」行為(如短期內大流量下載檔案/進入系統的紀錄、大流量轉出有附件的信件、近日來消費能力顯著高於所得或情緒異常低落或起伏極大等)或預定特定的現象作為潛在威脅的表徵證據,再進一步因應與確認內部威脅的存在。   最重要的是,該制度與措施要求全國公務機關一起合作落實,以及分享潛在內部威脅的異常警訊,才能真正達成減低公務機關對於內部威脅的防範。 [1]行政院退除役官兵輔導委員會,張維平,日晷第4期認識公務機關資訊安全問題,取自http://www.vac.gov.tw/files/Sundial-4Th_17.pdf(最後瀏覽日:2012年11月30日)。與公務機密維護宣導 --【從資安看如何防止公務機密資料外洩】近年來,隨著間諜軟體、木馬程式、釣魚網站等惡意攻擊日漸猖獗,世界各地傳出多起嚴重的資料外洩事件,當然台灣也不能倖免。外洩的資料包羅萬象,而其中最主要的內容是個人資料。資料外洩的起因不僅止於駭客所發動的各種資安攻擊,另外還有最令機關防不勝防的內賊。只要有心,要在機關內部竊取資料很容易,從辦公桌上亂放的機密文件、電子郵件、即時通軟體、網路硬碟、隨身碟,都可當作工具,如果機關(各單位)沒有危機意識,採取防範措施,資料外洩在所難免。鑑此,籲請各單位安全連絡員,加強單位自主管理,協助單位主管加強責任區安全檢查,共同維護機關公務機密與安全。 [2]中廣新聞網.海軍共諜案,國防部:才在發展階段,影響有限,(2012年10月29日),取自http://tw.news.yahoo.com/%E6%B5%B7%E8%BB%8D%E5%85%B1%E8%AB%9C%E6%A1%88-%E5%9C%8B%E9%98%B2%E9%83%A8-%E6%89%8D%E5%9C%A8%E7%99%BC%E5%B1%95%E9%9A%8E%E6%AE%B5-%E5%BD%B1%E9%9F%BF%E6%9C%89%E9%99%90-023752078.html(最後瀏覽日:2012年11月30日)。 國防部軍事發言人羅紹和表示,涉案的海軍大氣海洋局前政戰處長張祉鑫,在退役後透過友人介紹,認識中共官方人員,然後再透過軍中舊識,「謀取不法利益」,保防安全部門在今年三月間接獲檢舉,依法由反情報單位展開調查行動,並移請檢調單位協助調查,順利破獲本案。 [3]IT Law Wiki , External Threat , available at http://itlaw.wikia.com/wiki/External_threat (last accessed Jan. 12, 2013). [4]碁峰資訊,資訊安全概論與實務,取自http://epaper.gotop.com.tw/pdf/AEE030900.pdf(最後瀏覽日:2012年11月30日)。 [5]NIAC, The National Infrastructure Advisory Council's Final Report and Recommendations on The Insider Threat to Critical Infrastructure , (April 8, 2008), last available http://www.dhs.gov/xlibrary/assets/niac/niac_insider_threat_to_critical_infrastructures_study.pdf (last accessed Jan. 12, 2013). [6]US Department of Defense, DoD Insider Threat Mitigation-Final Report of the Insider Threat Integrated Process Team , available at http://www.dtic.mil/cgi-bin/GetTRDoc?AD=ADA391380 (last accessed Jan. 12, 2013). [7]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1, at 11, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [8]Dawn Cappelli, Andrew Moore, Randall Trzeciak, and Timothy J.Shimeall, Common Sense Guide to Prevention and Detection of Insider Threats, 3rd Edition-Version 3.1 , at 12, (Jan. 2009), available at www.cert.org/archive/pdf/CSG-V3.pdf(last accessed Jan. 12, 2013). [9]The Cyber Adviser, Invensys Critical Infrastructure & Security Practice, at 1, (Dec. 2011), available at http://iom.invensys.com/EN/pdfLibrary/CISP_Dec2011_vol3_Newsletter.pdf (last visited Jan. 10, 2013). [10]U.S. Secret Service and CERT/SEI, (Jan. 2008), Insider Threat Study: Illicit Cyber Activity in the Government Sector , at 5, available at www.cert.org/archive/pdf/ insiderthreat _gov2008.pdf (last visited Nov. 30, 2012) [11]Jennifer K. Elsea, The Protection of Classified Information: The Legal Framework, CONGRESSIONAL RESEARCH SERVICES, at 1, Jan. 10, 2011, available at www.fas.org/sgp/crs/secrecy/RS21900.pdf(last visited Nov. 30, 2012). [12]Id., at 2, 例如「1966年政府資訊公開法 (Freedom of Information, FOIA)」,「1995年情報授權法 (Intelligence Authorization Act)」、「2000年公共利益解密法 (Public Interest Declassification Act)」,與「2012年減少過度加密法 (Reducing Over-Classification Act)」。 [13]Paul Kenyon, The Enemy Within: Obama's Insider Task Force, Forbes, (Apr. 13, 2012), available at http://www.forbes.com/sites/ciocentral/2012/04/13/the-enemy-within-obamas-insider-threat-task-force/ (last visited Nov. 30, 2012). [14]FEDERATION OF AMERICAN SCIENTISTS, Obama Administration Documents on Secrecy Policy , available at http://www.fas.org/sgp/obama/index.html (last visited Nov. 30, 2012). 歐巴馬政權針對機密資訊發布多項正式文件,以年度區分,截至2012年11月30日止,包括下列:1.2009年:「機密資訊和受管控的非機密資訊的總統備忘錄 (Presidential Memorandum on Classified Information and Controlled Unclassified Information, May. 27, 2009)」、「第13526號行政命令-國家安全機密資訊 (Executive Order 13526: Classified National Security Information, Dec. 29, 2012)」,與「國家安全機密資訊施行令的總統備忘錄 (Presidential Memorandum on Implementation of the Executive Order on Classified National Security Information, Dec. 29, 2009)」;2.2010年:「第13549號行政命令-國家、地方、部落,和私部門實體的國家機密方案 (Executive Order 13549: Classified National Security Information Program for State, Local, Tribal, and Private Sector Entities, Aug. 18, 2010)」與「第13556號行政命令-受管控的非機密資訊 (Executive Order 13556: Controlled Unclassified Information, Nov. 4, 2010)」;3.2011年:「第13587號行政命令-增進機密網路安全與機密資訊有責分享及安全維護的結構性改革 (Executive Order 13587: Structure Reforms to Improve the Security of Classified Networks and the Responsible Sharing and Safeguarding of Classified Information, Oct. 7, 2011)」;4.2012年:「國家內部威脅政策和機關內部威脅方案的最低標準備忘錄 (National Insider Threat Policy and Minimum Standards for Executive Branch Insider Threat Programs, Nov. 21, 2012)」。 [15]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, (Nov.2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ (last visited Nov. 30, 2012). [16]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks- (last visited Nov. 30, 2012). [17]THE WHITE HOUSE, Fact Sheet: Safeguarding the U.S. Government's Classified Information and Networks, available at http://www.whitehouse.gov/the-press-office/2011/10/07/fact-sheet-safeguarding-us-governments-classified-information-and-networ(last visited Nov. 30, 2012). [18]Exec. Order No. 13,587 (2011), available at http://www.whitehouse.gov/the-press-office/2011/10/07/executive-order-structural-reforms-improve-security-classified-networks-(last visited Nov. 30, 2012). [19]Id. 專責小組應該與總檢察長(Attorney General)與國家情報局主任(Director of National Intelligence)或指定人共同擔任主席。內部威脅專責小組成員應該由國務院(Department of State)、國防部(Department of Defense)、司法部(Department of Justice)、能源部(Department of Energy)、國土安全部(Department of Homeland Security)部長所指定的人員,以及國家情報局主任(Director of National Intelligence)、中央情報局(Central Intelligence Agency),和國家檔案與記錄管理局(National Archives and Records Administration)的資訊安全監督辦公室(Information Security Oversight Office, ISOO)等所組成。工作人員必須由聯邦調查局和國家反情報辦公室長官(Office of the National Counterintelligence Executive, ONCIX)和其他機構,於法律所允許的範圍內配置。這些人員必須是官員,或是兼職或終身全職的美國員工。國家反情報辦公室必須提供內部威脅專責小組適當的工作場所,以及行政支援。 [20]美國總統依美國憲章擁有直接發布據法律效力的文件(Document),文件的種類根據事務類型之不同分為三大類:Executive orders(有連續編碼的行政命令)、Proclamation(公告)、Administration orders(無編號的行政命令),其下尚有不同的子分類,備忘錄則屬Administration orders下的子分類之一,總統所發布的文件效力相同,並無位階之分,http://www.archives.gov/presidential-libraries/research/guide.html(最後瀏覽日:2013年1月12日)。

新增至稍後閱讀 美國網路安全相關法規與立法政策走向之概覽

美國網路安全相關法規與立法政策走向之概覽 科技法律研究所 法律研究員 沈怡伶 104年08月11日   網路安全(cyber security)是近年來相當夯的流行語,而在這個萬物聯網時代,往後數十年對於網路安全的關注勢必不會減退熱度。在美國,因層出不窮的網路攻擊和資料外洩事件讓政府機關不勝其擾,也讓許多企業產生實質上經濟損失和商譽受損,隨之而來的是聯邦和州政府主管機關的關切目光,除了透過政策和行政規管之外,國會也開始制訂新法或對現行法規進行修法,補入對於網路安全維護之要求,以下本文將簡介美國現行法規範之要點及目前最新法案。 壹、美國聯邦政府相關網路安全規範、標準及措施 一、金融業相關管制規範   對金融機構的管制依據為「金融服務業現代化法/格雷姆-里奇-比利雷法(Gramm-Leach Bliley Act, GLBA )」,該法要求金融機構必須建置適當的程序保護客戶的個人財務資訊,維護客戶個人資料的機密性、完整性和安全性,避免遭受任何可遇見的威脅或騷擾,以及避免任何未經授權的近用行為導致損害或對客戶造成不便利[1]。   另外美國證券交易委員會(Security and Exchange Commission, SEC)下設法令遵循檢查與調查室(SEC Office of Compliance Inspections and Examinations, OCIE),在2014年發布全國檢查風險警示(National Exam Program Risk Alert),命名為「OCIE 網路安全芻議(OCIE Cybersecurity Initiative)」,用來評估證券交易商和投資顧問對網路安全維護的準備以及曾遭遇過的資安威脅種類和經驗;而金融監管局(Financial Industry Regulatory Authority ,FINRA)也在2014年實施「掃蕩計畫(sweep program)」,金融監管局就其主管的特定企業會寄發的檢查通知書,要求回答有關於企業網路安全的相應準備措施[2]。 二、支付卡產業資料安全標準(Payment Card Industry Data Security Standard, PCI DSS)   該標準是由支付卡產業標準協會由五家國際信用卡組織聯合訂定的安全認證標準,雖不具法律位階,但因其公信力,美國企業都會自律遵循的規範,保護支付卡的資料安全。該標準關注於組織應該要開發和維護資訊系統和應用程式,並追蹤和監督網路資源和持卡者的個人資料,並發展出一個強健的支付卡數據安全流程,包括預防、偵測及適當回應資安事故的方式[3]。 三、醫療健康資訊相關管制規範   「健康保險可攜式及責任法(Health Insurance Portability and Accountability Act of 1996, HIPPA)」是最先開始要求所有電子化的受保護醫療照護資料在創建、接收、維護和傳輸時,需受有基本的保護措施和機密性之法規[4];爾後,「經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act, HITECH)」則將HIPPA適用主體擴及所有處理受保護醫療照護資訊的個人和機構,並強化資訊傳輸時的安全性和效率性規定[5]。 貳、立法焦點新況:網路安全及網路威脅資訊共享   美國政府對網路安全非常看重,因其對國家經濟和國家安全都有巨大的影響力,不過美國總統歐巴馬曾明白表示美國對於資訊及通信基礎建設的防護措施尚未到位,也尚未建立數位關鍵基礎建設的全方位發展策略;透過盤點與檢視,美國政府的網路空間政策(Cyberspace Policy)方向之一,是建立網路安全合作夥伴關係,包括各級政府間的水平合作及公、私部門間的上下合作網絡,共同研發尖端技術因應數位式帶的網路安全威脅[6]。   針對網路威脅資訊分享方式,美國國會一直持續的研擬相關法案,希望能在妥適保護公民隱私和公民自由的前提下,建立資訊分享管道,2015年3月美國參議院提出754號法案「網路安全資訊分享法2015(Cybersecurity Information Sharing Act of 2015, CISA)」[7],試圖將CISA作為國防授權法(National Defense Authorization Act,NDAA)修正案之一部,但卻未獲得足夠通過票數[8]。CISA係由美國情報局(Director of National Intelligence)、國土安全部(Department of Homeland Security)、國防部(Department of Defense)和司法部(Department of Justice)共同定之,計十條,目的之一是希望透過法律授權讓聯邦政府機關能即時的將機密性或非機密性網路威脅指標分享與私人實體(個人或企業)[9]、非聯邦政府機關單位、州政府、原住民政府和當地政府,以阻止或減輕網路攻擊帶來的負面衝擊;其二,允許私人實體得為網路安全之目的,在一定要件下監控自己或他人的資訊系統,以運作相關的網路安全防御措施,並分享資訊給聯邦各級政府。CISA亦設計了監督機制,和隱私及公民自由保護條款,避免變相創造一個撒網過廣的監控計畫[10]。CISA法案雖未通過,但參議院並未放棄,欲以該法案的基礎框架進行修正,修正重點為訂定資料外洩事件通報標準並擴大隱私權之保護,預計於同年8月底國會休會期前再次提出修正版本進行表決[11]。 現行法案重點在資訊共享並授權私人實體監控自己或他人之資訊系統,而主要分享標的為「網路威脅指標(cyber threat indicator)[12]及「防禦措施(defensive measure)」[13]。網路威脅指標係指有必要描述或鑒別之: 一、惡意偵察,包括為蒐集與網路安全威脅[14]或安全漏洞之技術資訊,而利用異常態樣的通信模式。 二、能破解安全控制或利用安全漏洞的方法。 三、安全漏洞。包括能指出安全漏洞存在的異常活動。 四、使用戶合法使用資訊系統或儲存、處理、傳輸資訊時,不知情地使安全控制失效或利用安全漏洞的方法。 五、惡意網路命令和控制。 六、引發實際或潛在的危險,包括因特定網路安全威脅使資訊外洩。 七、其他任何具網路安全威脅性質者,且揭露並不違法其他法律者。 八、任何結合上開措施之行動。   防禦措施(Defensive measure)則指一個行動、裝置、程序、簽名、技術或其他方式應用於資訊系統或透過該資訊系統進行儲存、處理或傳輸之資訊,能防禦、阻止或減緩已知或懷疑的網路安全威脅或安全漏洞。但不包括私人實體自行/經聯邦機關或其他實體授權同意,破壞、使其無法使用或實質傷害資訊系統或資訊系統內之資訊的相關措施。   就資訊共享部分,法案第3條及第5條分別明定聯邦機關分享機密性網路威脅指標給私人實體、以及私人實體分享網路威脅指標和防禦措施給聯邦政府機關之管道。前者指定司法部應會同國土安全部、國家情報委員會及國防部訂定相關辦法,;後者相關辦法由司法部訂定,讓聯邦機關依法接收來自私人實體的指標和防禦措施,不論是電子郵件、電子媒體、內部網路格式、或資訊系統間的即時性和自動化程序等各種形式之資訊,且需定期檢視對隱私與公民自由的保護狀況,限制接受、保留、使用、傳播個人或可識別化個人之資訊。   美國各級政府機關得經私人實體同意後,得利用所接收的網路威脅指標,用以預防、調查或起訴下列違法行為:即將發生而可能造成死亡、重大人身傷害、重大經濟危害的威脅,威脅包括恐怖攻擊、大規模殺傷性武器;涉及嚴重暴力犯罪、詐欺、身份竊盜、間諜活動、通敵罪及竊取商業機密罪。另針對監控資訊系統部分,法案第4條授權私人實體得為網路安全目的監控自己或他人所有之資訊系統及資訊系統中儲存、處理或傳輸之資訊,並應用相關防禦措施來保護權利及資產,若屬其他私人實體或聯邦機關之資訊系統,需取得其他私人實體或聯邦機關之授權及代表人之書面同意。 參、小結   網路威脅的態樣隨著經濟活動發展和科技技術不斷變化和演進,故在擬訂應對措施時,須納入「適應性(adaptation)」概念,適應性指需要具體討論如何分配實質上的物質資源和經濟上資源,來保護組織內最有價值的智慧財產權和客戶資訊;提供成員和利害關係人相關資訊,讓他們關注網路威脅並能實踐可行的安全措施[15]。   就美國在訂定網路安全相關政策及規範之走向來看,充分及即時的資訊互享流通方能產出完善且強健的安全防護政策,惟其中牽涉到國家機密資訊、私部門智慧財產權和商業機密以及個人隱私和自由權利之保護議題。是以,從眾議院到參議院陸續所提出各版本的網路威脅資訊共享草案,均受有恐將產生大規模監控美國公民計畫之爭議,故至今尚未成功通過任一法案。惟資訊共享所帶來之正面效益和影響並未被否定,而究竟如何建構健全且可靠之機制,尚待各方團體與立法機關進行充分的溝同及討論,協同打造能安心活動之網路虛擬空間。 [1] Gramm Leach Bliley Act, https://www.ftc.gov/tips-advice/business-center/privacy-and-security/gramm-leach-bliley-act (last visited Aug.11, 2015). [2]Paul Ferrillo, Weil, Gotshal & Manges LLP, Cyber Security and Cyber Governance :Federal Regulation and Oversight, http://corpgov.law.harvard.edu/2014/09/10/cyber-security-and-cyber-governance-federal-regulation-and-oversight-today-and-tomorrow/ (last visited Aug.11, 2015). [3] PCI DSS, PCI Security Standard Council, https://www.pcisecuritystandards.org/security_standards/documents.php?document=pci_dss_v2-0#pci_dss_v2-0 (last visited Aug.11, 2015). [4] Health Information Privacy, HHS.gov, http://www.hhs.gov/ocr/privacy/ (last visited Aug.11, 2015). [5] Health IT Legislation, Health IT.gov, http://healthit.gov/policy-researchers-implementers/health-it-legislation (last visited Aug.11, 2015). [6] Cybersecurity Laws& Regulations, Homeland Security, https://www.whitehouse.gov/sites/default/files/cybersecurity.pdf (last visited Aug.11, 2015). [7] https://www.congress.gov/bill/114th-congress/senate-bill/754 [8] Text:754-114th Congress, Congress. Gov, http://www.natlawreview.com/article/senate-fails-to-include-cybersecurity-legislation-part-national-defense-authorizatio (last visited Aug.11, 2015). [9] Sec.2(15). [10] S.754- Cybersecurity Information Sharing Act of 2015 Summary, Congress. Gov, https://www.congress.gov/bill/114th-congress/senate-bill/754 (last visited Aug.11, 2015). [11] Amy Davenport, Senate is likely to consider cybersecurity legislation before August recess, Capita; Thinking Blog, July.27, 2015, http://www.capitalthinkingblog.com/2015/07/senate-is-likely-to-consider-cybersecurity-legislation-before-august-recess/ (last visited Aug.11, 2015). [12] Sec.2(6). [13] Sec.2(7). [14] 網路安全威脅(cybersecurity threat)指「不受憲法修正案第一條保護之行為、未經授權而利用資訊系統造成資訊系統或使資訊系統中儲存、處理或傳輸之資訊的安全性、可用性、機敏性或完整性之不利影響,但不包括任何僅違犯消費者條款或服務/消費者許可協議之行為」,參Sec.2(5)。 [15]Paul et al., supra note 2, at 2.

TOP