▲物聯網相關產業都應密切注意加州裝置資安法、美國甚至國際間關於物聯網裝置資訊安全的法律動態。(圖/達志示意圖)
●吳祚丞/協合國際法律事務所合夥律師、李彥麟/協合國際法律事務所律師。
隨著物聯網(IoT,Internet of Things)應用日漸普及,物聯網裝置如稍有安全性漏洞,一旦遭惡意入侵、存取、操控,可能受影響的不只是消費者的資訊自主及隱私,生命、身體、財產等權益亦可能受害。例如2016年10月間,曾發生駭客以Mirai惡意軟體入侵並操控數萬有安全性漏洞的網路攝影機等物聯網裝置,組成殭屍網路(botnet),對重要的網域名稱系統服務提供者發動分散式阻斷服務攻擊(DDoS),進而癱瘓諸如Twitter、Netflix、Spotify等網站,影響全球使用者。
台灣也曾發生校內網路印表機印出駭客恐嚇信,要求學校支付比特幣事件。甚至,駭客侵入智慧門鎖開啟大門、登門入室,已經是現實上可能發生的事情,又想像自駕車於高速行駛中遭駭客入侵,車上乘客的生命安全立即陷入危險。
為了提升物聯網裝置的安全性,加州於2018年9月通過了針對物聯網裝置資訊安全的法律(加州民法典Title 1.81.26. Security of Connected Devices,簡稱「裝置資安法」),預計2020年起施行。有別於傳統的個人資料保護法(例如歐盟的GDPR),加州裝置資安法並非規範企業應如何蒐集、處理消費者個資或消費者對於企業得主張何種資訊自主權利,而是要求物聯網裝置的製造者應在所生產的裝置上設有合理的安全措施,以防止該裝置及其中資訊遭到未經授權的入侵、存取及利用。
哪些裝置受到加州裝置資安法的規範?
依照加州裝置資安法的規定,「連結裝置」(connected device)指任何有能力直接或間接連結網路(Internet)且被指派有網際協定(Internet Protocol,IP)位址或藍牙位址的裝置或實體物件。常見的智慧穿戴式裝置、智慧型家電、網路攝影機、路由器、影音設備等,甚至一些知名廠牌的電動摩托車或電動車,如具有藍牙或網路通訊能力,得以透過智慧型手機或電腦程式遠端操控,並互相傳送資料,這些都屬於加州裝置資安法所謂的「連結裝置」,原則上受到該法的規範。
何謂裝置「製造者」?
加州裝置資安法所謂的「製造者」(manufacturer),指的是在加州販售或供在加州販售的前述連結裝置的製造人,但不限於自行製造,依契約委由他人代為製造也包括在內,但所謂「依契約委由他人代為製造」,不包含單純從他人購買連結裝置或從他人購買後冠以品牌名稱。因此,品牌商單純購買白牌連結裝置後,冠上自己的品牌名稱在加州販售,該品牌商應非加州裝置資安法所謂的「製造者」。至於將來執法時如何區別「委託他人代為製造」及「購買後冠上品牌」?連結裝置的零組件製造、組裝、測試等上游廠商是否均當然不受規範?仍有待觀察。
連結裝置製造者的資安義務為何?
加州裝置資安法要求連結裝置的製造者,必須在所生產的連結裝置上設有「合理安全措施」(reasonable security feature),該措施必須符合三個條件:(1)合適於該連結裝置的性質及功能;(2)合適於該連結裝置所能蒐集、持有及傳輸的資訊;且(3)用以保護該連結裝置及其所持有的資訊不受到未經授權的存取、毀損、使用、變更或揭露。
該法特別明文規定,如連結裝置設有從外網連線的認證機制,只要符合下列二者之一,即可被認為已採「合理安全措施」:(1)所製造的每一個連結裝置都配有一組獨一無二(unique)的預設密碼;或(2)連結裝置要求使用者於第一次使用前設定新的認證方式。舉例而言,一些具有連網能力的裝置例如路由器,出廠時可能都會預設簡易密碼(例如“admin”、“0000”),且不要求使用者在使用前必須重新設定安全性及強度較高的密碼或其他認證方式,這種作法並不符合加州裝置資安法對於「合理安全措施」的要求。
新法適用問題
加州裝置資安法雖在資安及隱私法令上可謂先進立法,但也遭批評過於模糊。除了對於認證機制及密碼的要求較易理解以外,何謂「合理安全措施」?從該法文字仍難以理解。此外,該法明確規定私人不得依本法對企業有所請求,只有州檢察總長(Attorney General)及地方檢察官等官員有執行該法的權限。然而,對於連結裝置的製造者違反該法規定將有何罰則、執法者得採取何種措施,該法亦未明文規定,未來如何落實執法,仍有疑義。
加州裝置資安法針對物聯網裝置及製造者的管制取徑,未來勢必將為其他州、其他國家學習,也被預料將為美國國會停滯的物聯網裝置聯邦層級法案進度帶來推進的量能。近年來美國佔台灣出口總金額比重皆不下10%,且台灣許多龍頭企業皆在美國甚至加州設有分公司或子公司。物聯網相關產業都應密切注意加州裝置資安法、美國甚至國際間關於物聯網裝置資訊安全的法律動態,預作因應,以避免法遵風險、維持企業的競爭力。
熱門文章》
►開啟轉型正義與司法改革的對話
►瀏覽器記使用者偏好是否侵個資?
●以上言論不代表本網立場,論壇歡迎更多聲音與討論,來稿請寄editor88@ettoday.net
讀者迴響