物聯網(IOT)相關法律風險與管控初探—由企業法務角度觀察(上)

閱讀時間約 9 分鐘


對於物聯網(Internet of Things, 以下簡稱”IOT”)而言,經常被提到的問題包括了: 安全性 (Security)、個人隱私(Privacy)、產品互通性與標準的建置(interoperability & standards)、爭議管轄(Jurisdiction)、資訊歧視(Data Discrimination)、公共安全與法令執行(Law Enforcement and Public Safety)、設備責任(Device Liability)、行業發展前景(Emerging Economy and Developments)等方面。 本文將首先討論IOT設備的安全性與法律風險管控。

壹、安全性

設備與網路的安全(security)、可靠(reliability)、穩定(stability)以及韌性(自我防護/回復能力)(resilience),與IOT 使用/消費者的信任密切相關。尤其是網路使用的安全性,可以說是IOT成敗與否的第一大課題。就IOT使用者而言,如何而能信賴網路、應用軟體或終端設備(terminal device)之安全性,並容許其相伴的風險,將直接影響其使用的意願。

由於透過高速網路加入IOT運作的終端設備急速增加,安全性疑慮也越來越高。透過物物相連的物聯網,低安全性的設備所可能影響的層面,已非單一或小範圍產品遭到網路攻擊而已, 更可能使有心人得以透過單一弱點而盜取或破壞整個參與資訊匯流的眾多軟、硬體系統。例如,在美國一台沒有安全防護的智慧電視上植入敵意程式,便可能使得透過Wi-Fi而參與匯流的台灣網路節目收視戶收到垃圾郵件,或藉此找到駭入企業資訊系統的破口。或許有人會以為,是否將設備去網路化就可以解決? 潮流之所趨,無法上網的電子設備已經少見;而且,既便零星的家電可以暫時不與網路相連,但諸如交通控制、智慧電網等重大設施與網路的聯繫,卻無法片刻中斷。因此,今天已不可能再走「去網路化」的回頭路。

然而,IOT 設備的安全性並非「有/無」的二分法。在網路上,惡意程式或駭客攻擊日新月異,而安全防護就像貓抓老鼠,時時要對於新的攻擊威脅加以回應。因此,市場上沒有絕對安全的IOT設備,而是防護程度高低(spectrum)的問題。IOT廠商往往須在產品遭受安全攻擊的風險高低、可能產生損害的大小、以及提升安全程度/降低風險所需負擔之成本之間,進行成本效益(cost-benefit)分析。若IOT產品所可能導致損害(Loss)乘上損害發生的風險 (Probability),大於提升安全的負擔(Burden) [B<LP][2],則使用者將比較願意花費更多成本 來提升產品安全。例如,相較於以手機控制溫度的智慧冷氣購買者。與醫院監控設備相連的心律調節器使用者,將願意花更多的金錢來提升其設備的安全度。


近來有些關於IOT 安全性的討論,放在IOT設備製造商在產品設計時,因欠缺資訊安全考量因而導致外部成本/負面外部效應(negative externalities)的責任上。換言之,若設備供應商不採取合理的網路安全防護設計,則未來的安全成本將轉嫁由設備使用者或其他IOT 參與者來負擔。為免設備供應商的成本轉嫁,應令其負產品瑕疵或侵權責任。

然而,相較於傳統以電腦為中心的網路系統而言,在更小體積、更大量生產、更低價的IOT智慧設備上置入網路安全防護,會為製造商帶來更高的成本考量與更大的技術限制。製造商往往會遇到下列挑戰。

首先,相較於傳統上以電腦為中心的網路連接,IOT是在更大量的終端設備之間,藉由網路串接,產生更直接且更少人為操作的互動。換言之,IOT的終端設備(諸如射頻識別(RFID)裝置、接收感應器等等)的數量可能是難以預估的。大量設備的彼此連結所產生的動態變化 (Dynamic fashion),將使的IOT的安全性漏洞更難預測。那麼,是否可以透過標準的制定,把IOT安全基準訂定清楚?實際上,透過行業協會而訂立安全標準不但曠日廢時,且各國或區域經濟體之間也有不同的考量。

其次,目前對於大多數IOT終端設備,例如交通控制號誌、高速公路收費與監測設備、智慧電表等等的使用年限要求,往往較其他高科技產品為久,但其裝置/使用環境,卻使相關廠商更難進行實地的維修或重新配置(reconfigure)。其結果,將使製造商的備用零件(spare parts)庫存壓力升高而放棄備料,造成更多的缺料/無支援(out-of-support)的孤兒設備。此種欠缺產品支援的現象,將使得設備出廠當時還算夠用的安全設計,在一段時間之後成為疑慮。

再者,若IOT終端設備的設計不具有自動或遠端升級功能,或必須透過召回才能進行升級,那麼IOT功能上的安全疑慮將仍持續存在。

另外,IOT設備的使用者無從,或很難得知他們所使用的IOT設備正在進行何種預期以外的功能,例如,收集使用者習慣並傳向第三者做數據分析,以謀取其他商業利益。這樣未經使用者知悉並同意(notice and consent)[5] 的IOT商業運用,本身就對使用者的資訊安全造成的顧慮。

從法律風險管控的角度而言,本文建議相關IOT設備製造或供應業者事先評估下列事項,以期在產品安全性與成本間尋求平衡:

一、資訊安全程度的提高或自我修復功能,必須在產品設計階段就置入(embedded in),並針對產品所在環境、壽命週期、可能的網路安全疑慮等等,建立一套設計流程,除了提高產品價值之外,也可以在日後產生產品安全性責任爭議時,作為己方已盡產品設計上注意義務之證據。

二、在作成本效益分析(Cost-Benefit analysis)時,需注意在國際產業的法規制定趨勢,係由製造商而非使用者來承擔降低負面外部效應成本。廠商宜盡早在成本結構上,例如零組件表列 (BOM表),作出調整,不宜迴避。針對這個趨勢,除了另行倡議由政府進行相關產品功能的政策鼓勵(如:減稅),建立產品標準以達成廠商間成本之公平,或考量建立一個行業間共認的「合理程度」,而非無限期、絕對的安全防護/支援功能,亦為可行之道。至少,在將來可能的爭議上,有個行業規則可以經由專業人士加以證明。

三、透過資訊加密(encryption)、識別認證(authentication)、近用控制(access control),提供有效的資訊匯流安全防護。是在高速5G網路技術開展,AI運算提升當IOT串流模式的現在,快速而對使用者友善的加密技術,在半導體或IOT設備廠商作相關設計而採購零組件或軟件(例如, 矽智財)時, 在相關採購或授權合約審議上均應加以考量。

四、基於契約自由原則,廠商有權在市場上提倡買賣雙方共同承擔網路安全責任(share responsibility),例如,在設備上內建產品壽命終期(end-of-life)機制,在一定年限之後,為求資訊匯流或網路安全,讓產品自動失效,並強迫使用/購買者進行汰換或更新。當然,這個觀點會遭遇到來自於市場,特別是我國政府採購法規的強大挑戰。然而, IOT的便利性是全部參與者(包括設備商和使用者)所共享,而使用者佔有並控制了設備,因此共同承擔安全提升的責任,並非苛求。退一步言,羊毛終究出在羊身上。此一論點將可擴大產品的銷售,提供廠商提升安全設計所需要的經濟誘因,進而達成雙贏。

身為法律服務的提供者,作者同時提出以下法律問題,供同道參酌思考:

一、製造商對於銷售者出售,或使用者購入具有已知安全風險的IOT設備,應負何種產品責任?

二、IOT設備的資訊安全性疑慮,是否屬於產品固有瑕疵? 若是,如何界定日新月異的網路攻擊手法是廠商所能預見?若是,在行業標準或相關行政規範未能建立或調整之前,即課以廠商近乎無過失的擔保責任,是否太苛?

三、若由政府主導設備內建資訊安全標準,或要求揭露加密技術而有機會進行資訊串流之監控,會否遭受干預言論或表現自由之譏?

面對這些問題,政府宜與廠商通力合作,在安全威脅資訊的分享、提供平台讓業界建置標準或慣例、政策誘因、消費/使用者對於IOT網路安全有責的教育與宣導、以及協助廠商參與國際或區域間標準上,做出努力並協同解決。


歡迎來到思喆的哲思—與我們一起探索公平、私利、道德、權力、責任、自由這些看似熟悉卻又常彼此衝突的概念。我們常常在中間迂迴而且兩難。如何平衡而讓生活繼續往前?需要智慧與哲理。這些東西往往不是黑白與勝負,因為法庭上沒有贏家。 希望在這沙龍裡,你可以發現你對公平的想像或失望並不異常,你不孤單。然後,我們可以一起走一段。
留言0
查看全部
發表第一個留言支持創作者!
在現代醫療與生物科技的發展中,基因檢測資料的儲存和使用變得越來越重要。本文將探討基因檢測資料的儲存方式、二次使用及相關的法律規範,為您提供一個全方位的了解。 一、檢測或病歷資料的儲存與處理 醫療機關和私人機構在儲存和處理檢測或病歷資料時有不同的規範: 醫療機關:必須依照「醫療機構電子病歷製作及
在現代醫療與生物科技的發展中,基因檢測資料的儲存和使用變得越來越重要。本文將探討基因檢測資料的儲存方式、二次使用及相關的法律規範,為您提供一個全方位的了解。 一、檢測或病歷資料的儲存與處理 醫療機關和私人機構在儲存和處理檢測或病歷資料時有不同的規範: 醫療機關:必須依照「醫療機構電子病歷製作及
你可能也想看
Google News 追蹤
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
在現代社會,網絡扮演著越來越重要的角色。我們的生活和工作都依賴著互聯網和各種數字設備,從銀行帳戶到智慧家居,再到政府和企業的重要系統,這一切都需要確保良好的網絡安全。 網絡安全的重要性可以從以下幾個方面體現: 個人資訊保護個人隱私和金融信息極其敏感,一旦遭到黑客攻擊或數據洩露,都會給個人帶來巨大
在當今數位化和資訊化程度越來越高的環境下,企業面臨的資安挑戰也日益嚴峻。資料外洩不僅可能造成重大財務損失,還可能觸犯法律法規,影響企業的聲譽和運營。因此,選擇合適的防毒軟體對於企業來說至關重要。本文將探討企業在選擇防毒軟體時需要考慮的關鍵因素,以及如何避免因資料外洩而觸法的問題。
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
大數據時代下,Log的多元應用至關重要。Log生成龐大,格式各異,特別金融業需合規。探討Log廣泛應用、資訊安全、IT管理和商業決策。建立Log管理系統核心深入法規,強化IT治理、權限控管。一站式Log管理平台,確保資訊安全合規。
Thumbnail
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。
Thumbnail
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享! 秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
在現代社會,網絡扮演著越來越重要的角色。我們的生活和工作都依賴著互聯網和各種數字設備,從銀行帳戶到智慧家居,再到政府和企業的重要系統,這一切都需要確保良好的網絡安全。 網絡安全的重要性可以從以下幾個方面體現: 個人資訊保護個人隱私和金融信息極其敏感,一旦遭到黑客攻擊或數據洩露,都會給個人帶來巨大
在當今數位化和資訊化程度越來越高的環境下,企業面臨的資安挑戰也日益嚴峻。資料外洩不僅可能造成重大財務損失,還可能觸犯法律法規,影響企業的聲譽和運營。因此,選擇合適的防毒軟體對於企業來說至關重要。本文將探討企業在選擇防毒軟體時需要考慮的關鍵因素,以及如何避免因資料外洩而觸法的問題。
在現今數位時代,網路安全已成為企業和個人必須面對的首要挑戰。隨著網路犯罪活動的日益猖獗,如何有效地保護敏感資訊並確保網絡環境的安全,成為每個組織和個人不可忽視的重要課題。本文將帶你了解如何利用先進的監控軟體來提升資訊安全,為您提供全面的解決方案。
Thumbnail
政府、法令是資訊安全的最後防線,本文從政府及法律層面探討網路安全議題,以及資通安全管理法和個資法的重要性。政府擴大進用資安人才,以及執行資通安全管理法、個資法的相關規定,對維護數位平臺安全有著重要作用。除此之外,文章還強調了民眾的資安素養及企業、政府的連手防禦對抗駭客組織及詐騙集團的重要性。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
大數據時代下,Log的多元應用至關重要。Log生成龐大,格式各異,特別金融業需合規。探討Log廣泛應用、資訊安全、IT管理和商業決策。建立Log管理系統核心深入法規,強化IT治理、權限控管。一站式Log管理平台,確保資訊安全合規。
Thumbnail
談了許多網路安全的議題,提醒民眾要注意哪些事情,建構哪些網路安全思維,讓我們可以降低踏入詐騙陷阱的風險。但除了民眾本身要不斷學習、提升防詐意識外,是不是還有其他方面的作法呢? 本文就來聊聊在企業端可以做些什麼。 要打造一個密不可破的防護網,企業端就不能夠缺席。 舉幾個例子讓大家知道。