物聯網(IOT)相關法律風險與管控初探—由企業法務角度觀察(上)

Jakub Żerdzicki on Unsplash

對於物聯網(Internet of Things, 以下簡稱”IOT”)而言，經常被提到的問題包括了: 安全性 (Security)、個人隱私(Privacy)、產品互通性與標準的建置(interoperability & standards)、爭議管轄(Jurisdiction)、資訊歧視(Data Discrimination)、公共安全與法令執行(Law Enforcement and Public Safety)、設備責任(Device Liability)、行業發展前景(Emerging Economy and Developments)等方面。 本文將首先討論IOT設備的安全性與法律風險管控。

壹、安全性

設備與網路的安全(security)、可靠(reliability)、穩定(stability)以及韌性（自我防護/回復能力）(resilience)，與IOT 使用/消費者的信任密切相關。尤其是網路使用的安全性，可以說是IOT成敗與否的第一大課題。就IOT使用者而言，如何而能信賴網路、應用軟體或終端設備(terminal device)之安全性，並容許其相伴的風險，將直接影響其使用的意願。

由於透過高速網路加入IOT運作的終端設備急速增加，安全性疑慮也越來越高。透過物物相連的物聯網，低安全性的設備所可能影響的層面，已非單一或小範圍產品遭到網路攻擊而已， 更可能使有心人得以透過單一弱點而盜取或破壞整個參與資訊匯流的眾多軟、硬體系統。例如，在美國一台沒有安全防護的智慧電視上植入敵意程式，便可能使得透過Wi-Fi而參與匯流的台灣網路節目收視戶收到垃圾郵件，或藉此找到駭入企業資訊系統的破口。或許有人會以為，是否將設備去網路化就可以解決? 潮流之所趨，無法上網的電子設備已經少見;而且，既便零星的家電可以暫時不與網路相連，但諸如交通控制、智慧電網等重大設施與網路的聯繫，卻無法片刻中斷。因此，今天已不可能再走「去網路化」的回頭路。

然而，IOT 設備的安全性並非「有/無」的二分法。在網路上，惡意程式或駭客攻擊日新月異，而安全防護就像貓抓老鼠，時時要對於新的攻擊威脅加以回應。因此，市場上沒有絕對安全的IOT設備，而是防護程度高低(spectrum)的問題。IOT廠商往往須在產品遭受安全攻擊的風險高低、可能產生損害的大小、以及提升安全程度/降低風險所需負擔之成本之間，進行成本效益(cost-benefit)分析。若IOT產品所可能導致損害(Loss)乘上損害發生的風險 (Probability)，大於提升安全的負擔(Burden) [B<LP][2]，則使用者將比較願意花費更多成本 來提升產品安全。例如，相較於以手機控制溫度的智慧冷氣購買者。與醫院監控設備相連的心律調節器使用者，將願意花更多的金錢來提升其設備的安全度。

近來有些關於IOT 安全性的討論，放在IOT設備製造商在產品設計時，因欠缺資訊安全考量因而導致外部成本/負面外部效應(negative externalities)的責任上。換言之，若設備供應商不採取合理的網路安全防護設計，則未來的安全成本將轉嫁由設備使用者或其他IOT 參與者來負擔。為免設備供應商的成本轉嫁，應令其負產品瑕疵或侵權責任。

然而，相較於傳統以電腦為中心的網路系統而言，在更小體積、更大量生產、更低價的IOT智慧設備上置入網路安全防護，會為製造商帶來更高的成本考量與更大的技術限制。製造商往往會遇到下列挑戰。

首先，相較於傳統上以電腦為中心的網路連接，IOT是在更大量的終端設備之間，藉由網路串接，產生更直接且更少人為操作的互動。換言之，IOT的終端設備(諸如射頻識別(RFID)裝置、接收感應器等等)的數量可能是難以預估的。大量設備的彼此連結所產生的動態變化 (Dynamic fashion)，將使的IOT的安全性漏洞更難預測。那麼，是否可以透過標準的制定，把IOT安全基準訂定清楚？實際上，透過行業協會而訂立安全標準不但曠日廢時，且各國或區域經濟體之間也有不同的考量。

其次，目前對於大多數IOT終端設備，例如交通控制號誌、高速公路收費與監測設備、智慧電表等等的使用年限要求，往往較其他高科技產品為久，但其裝置/使用環境，卻使相關廠商更難進行實地的維修或重新配置(reconfigure)。其結果，將使製造商的備用零件(spare parts)庫存壓力升高而放棄備料，造成更多的缺料/無支援(out-of-support)的孤兒設備。此種欠缺產品支援的現象，將使得設備出廠當時還算夠用的安全設計，在一段時間之後成為疑慮。

再者，若IOT終端設備的設計不具有自動或遠端升級功能，或必須透過召回才能進行升級，那麼IOT功能上的安全疑慮將仍持續存在。

另外，IOT設備的使用者無從，或很難得知他們所使用的IOT設備正在進行何種預期以外的功能，例如，收集使用者習慣並傳向第三者做數據分析，以謀取其他商業利益。這樣未經使用者知悉並同意(notice and consent)[5] 的IOT商業運用，本身就對使用者的資訊安全造成的顧慮。

從法律風險管控的角度而言，本文建議相關IOT設備製造或供應業者事先評估下列事項，以期在產品安全性與成本間尋求平衡:

一、資訊安全程度的提高或自我修復功能，必須在產品設計階段就置入(embedded in)，並針對產品所在環境、壽命週期、可能的網路安全疑慮等等，建立一套設計流程，除了提高產品價值之外，也可以在日後產生產品安全性責任爭議時，作為己方已盡產品設計上注意義務之證據。

二、在作成本效益分析(Cost-Benefit analysis)時，需注意在國際產業的法規制定趨勢，係由製造商而非使用者來承擔降低負面外部效應成本。廠商宜盡早在成本結構上，例如零組件表列 (BOM表)，作出調整，不宜迴避。針對這個趨勢，除了另行倡議由政府進行相關產品功能的政策鼓勵(如：減稅)，建立產品標準以達成廠商間成本之公平，或考量建立一個行業間共認的「合理程度」，而非無限期、絕對的安全防護/支援功能，亦為可行之道。至少，在將來可能的爭議上，有個行業規則可以經由專業人士加以證明。

三、透過資訊加密(encryption)、識別認證(authentication)、近用控制(access control)，提供有效的資訊匯流安全防護。是在高速5G網路技術開展，AI運算提升當IOT串流模式的現在，快速而對使用者友善的加密技術，在半導體或IOT設備廠商作相關設計而採購零組件或軟件(例如, 矽智財)時, 在相關採購或授權合約審議上均應加以考量。

四、基於契約自由原則，廠商有權在市場上提倡買賣雙方共同承擔網路安全責任(share responsibility)，例如，在設備上內建產品壽命終期(end-of-life)機制，在一定年限之後，為求資訊匯流或網路安全，讓產品自動失效，並強迫使用/購買者進行汰換或更新。當然，這個觀點會遭遇到來自於市場，特別是我國政府採購法規的強大挑戰。然而， IOT的便利性是全部參與者（包括設備商和使用者）所共享，而使用者佔有並控制了設備，因此共同承擔安全提升的責任，並非苛求。退一步言，羊毛終究出在羊身上。此一論點將可擴大產品的銷售，提供廠商提升安全設計所需要的經濟誘因，進而達成雙贏。

身為法律服務的提供者，作者同時提出以下法律問題，供同道參酌思考:

一、製造商對於銷售者出售，或使用者購入具有已知安全風險的IOT設備，應負何種產品責任?

二、IOT設備的資訊安全性疑慮，是否屬於產品固有瑕疵? 若是，如何界定日新月異的網路攻擊手法是廠商所能預見?若是，在行業標準或相關行政規範未能建立或調整之前，即課以廠商近乎無過失的擔保責任，是否太苛?

三、若由政府主導設備內建資訊安全標準，或要求揭露加密技術而有機會進行資訊串流之監控，會否遭受干預言論或表現自由之譏?

面對這些問題，政府宜與廠商通力合作，在安全威脅資訊的分享、提供平台讓業界建置標準或慣例、政策誘因、消費/使用者對於IOT網路安全有責的教育與宣導、以及協助廠商參與國際或區域間標準上，做出努力並協同解決。