物聯網(IOT)相關法律風險與管控初探—由企業法務角度觀察(上)
對於物聯網(Internet of Things, 以下簡稱”IOT”)而言,經常被提到的問題包括了: 安全性(Security)、個人隱私(Privacy)、產品互通性與標準的建置(interoperability & standards)、爭議管轄(Jurisdiction)、資訊歧視(Data Discrimination)、公安維護(Law Enforcement and Public Safety)、產品責任(Device Liability)、行業發展前景(Emerging Economy and Developments)等方面[1]。 限於篇幅,本文將分為上、中、下三篇。
第一篇討論IOT設備的安全性與法律風險管控。第二篇介紹IOT與隱私權保障之間的衝突問題。第三篇則介紹IOT的其他法律風險(包括爭議管轄、資訊歧視、公安監視、以及產品責任等面向)。本文期待跳脫純粹法令或學術探討論文的形式,而側重於商務的角度,從企業法務的角度,來介紹物聯網的法律風險,並分享相關因應之道。行文倉促,簡陋之處尚祈指正。
壹、安全性
安全(security)、可靠(reliability)、穩定(stability)以及自我防護/回復能力(resilience),與IOT使用/消費者的信任密切相關。尤其是網路使用的安全性,可以說是IOT成敗與否的第一大課題。就IOT使用者而言,如何而能信賴網路、應用軟件或終端設備(terminal device)之安全性,並容許其相伴的風險,將直接影響其參與IOT的意願。
由於可透過網路加入IOT運作的終端設備急速增加,安全性疑慮也越來越高。透過物物相連的物聯網,低安全性的設備所可能影響的層面,已非單一或小範圍產品遭到網路攻擊而已,更可能使有心人得以透過單一弱點而盜取或破壞整個參與資訊匯流的眾多軟、硬件系統。例如,在夏威夷一台沒有安全防護的4K智慧電視上植入敵意程式,便可能使得透過Wi-Fi而參與匯流的台灣網路節目收視戶收到垃圾郵件。或許有人會以為,是否將設備去網路化就可以解決? 潮流之所趨,目前新上市而無法上網的設備幾乎已經很少見;而且,既便零星的家電可以暫時不與網路相連,但諸如交通控制、智慧電網等重大設施與網路的聯繫,卻無法片刻中斷。因此,今天已不可能再走「去網路化」的回頭路。
然而,IOT 設備的安全性並非「有/無」的二分法。在網路上,惡意程式或駭客攻擊日新月異,而安全防護就像貓抓老鼠,時時要對於新的攻擊威脅加以回應。因此,市場上沒有絕對安全的IOT設備,而是防護程度高低(spectrum)的問題。IOT廠商往往須在產品遭受安全攻擊的風險高低、可能產生損害的大小、以及提升安全程度/降低風險所需負擔之成本之間,進行成本效益(cost-benefit)分析。若IOT產品所可能導致損害(Loss)乘上損害發生的風險(Probability),大於提升安全的負擔(Burden) [B<LP][2],則使用者將比較願意花費更多成本來提升產品安全。例如,相較於以手機控制溫度的智慧冷氣購買者。與醫院監控設備相連的心律調節器使用者,將願意花更多的金錢來提升其設備的安全度。
另外,近來有些討論放在IOT設備製造商/提供者(vendors)在產品設計時,因欠缺資訊安全考量因而導致外部成本/負面外部效應(negative externalities)[3] 的責任上。換言之,若設備供應商不採取合理的網路安全防護設計,則未來的安全成本將轉嫁由設備使用者或其他IOT參與者來負擔。為免設備供應商的成本轉嫁,應令其負產品瑕疵或侵權責任。
相較於傳統以電腦為中心的網路系統而言,在更小體積、更大量生產、更低價的IOT智慧設備上置入網路安全防護,會為製造商帶來更高的成本考量與更大的技術限制。製造商往往會遇到下列挑戰。
首先,相較於傳統上以電腦為中心的網路連接,IOT是在更大量的終端設備之間,藉由網路串接,產生更直接且更少人為操作的互動。換言之,IOT的終端設備(諸如射頻識別(RFID)裝置、接收感應器等等)的數量可能是難以預估的。大量設備的彼此連結所產生的動態變化(Dynamic fashion),將使的IOT的安全性漏洞更難預測[4]。或有論者認為,在制定行業標準時把網路/資訊安全基準訂定清楚,應該就可以減輕這方面的疑慮。然而, 目前已出現使用公用開源(public open source)協定(protocol) 的自組IOT(Build Your Own IOT)模式,根本不受行業標準所規範。況且,透過行業協會而訂立安全標準,仍然曠日廢時,且各國或區域經濟之間也有不同的商業考量。
其次,目前對於大多數IOT終端設備,例如交通控制號誌、高速公路收費與監測設備、智慧電表等等的使用年限要求,往往較其他高科技產品為久,但其裝置/使用環境,卻使相關廠商更難進行實地的維修或重新配置(reconfigure)。其結果,將使製造商的備用零件(spare parts)庫存壓力升高而放棄備料,或者造成更多的缺料/無支援(out-of-support)的孤兒設備(orphaned devices)。此種使用壽命較長但可能欠缺產品支援的現象,將使得設備出廠當時還算夠用的安全設計,在一段時間之後成為疑慮。
再者,許多IOT終端設備的原本設計是不具有升級功能,或必須透過召回才能進行升級。例如,在2015年,飛雅特克萊斯勒(Fiat Chrysler)召回一百四十萬輛具有IOT功能,但容易遭受網路駭客攻擊的車款進行IOT安全修復。大量車主必須排隊進廠維修,或者自行以原廠提供的USB Sticker進行車用軟件升級。因其升級方案造成車主之不便,有相當高比例的車主並未回廠或升級,故而該車款IOT功能上的安全疑慮仍持續存在。
另外,IOT設備的使用者無從,或很難得知他們所使用的IOT設備正在進行何種預期以外的功能,例如,收集使用者習慣並傳向第三者做數據分析,以謀取其他商業利益。這樣未經使用者知悉並同意(notice and consent)[5] 的IOT商業運用,本身就對使用者的資訊安全造成的顧慮。
從法律風險管控的角度而言,本文建議相關IOT設備製造或供應業者事先評估下列事項,以期在產品安全性與成本間尋求平衡:
一、資訊安全程度的提高或自我修復功能,必須在產品設計階段就置入(embedded in),並針對產品所在環境、壽命週期、可能的網路安全疑慮等等,建立一套內部設計實務(design practice)。除了提高產品價值之外,也可以在日後產生產品安全性責任爭議時,作為己方已盡產品設計上注意義務之證據。
二、在作成本效益分析(Cost-Benefit analysis)時,需注意未來在國內或國際(例如美國聯邦電子通訊隱私法案,Electronic Communications Privacy Act, ECPA)[6]的政策或法規趨勢上,係由製造商,而非使用者,承擔降低負面外部效應責任/成本。廠商宜盡早在成本結構上,例如零組件表列 (BOM表),作出調整,不宜迴避。針對這個趨勢,除了另行倡議由政府進行相關產品功能的政策鼓勵(補貼、減稅),建立產品標準以達成廠商間成本之公平,或考量建立一個行業間共認的「合理程度」,而非無限期、絕對的安全防護/支援功能,亦為可行之道。至少,在將來可能的爭議上,有個行業規則可以經由專業人士加以證明。
三、何種程度的資訊加密(encryption)、識別認證(authentication)、近用控制(access control),才能提供有效的資訊匯流安全防護?在IOT終端設備的成本、體積、或處理速度限制上,目前的加密技術是否跟得上? 特別是當IOT進行大量end-to-end的串流模式時,是否有快速而對使用者友善的加密技術?另外,若政府機關為公安或防恐的因素而要求廠商揭露加密技術,廠商應如何因應? 這些因素,半導體或IOT設備廠商在作相關設計而採購零組件或軟件(例如, Silicon IP)時, 在相關採購或授權合約審議上均應加以考量。
四、基於契約自由原則,廠商有權在市場上提倡買賣雙方共同承擔網路安全責任(share responsibility),例如,在設備上內建產品壽命終期(end-of-life)機制,在一定年限之後,為求資訊匯流或網路安全,讓產品自動失效,並強迫使用/購買者進行汰換或更新。當然,這個觀點會遭遇到來自於市場,特別是政府採購/招標法規的強大挑戰。然而, IOT的便利性是全部包括設備商和使用者在內的參與者所共享,而使用者佔有並控制了設備,因此共同承擔安全提升的責任,並非苛求。退一步言,羊毛終究出在羊身上。此一論點將可擴大產品的銷售,提供廠商花費成本而提升安全設計所需要的經濟誘因,進而達成雙贏。
身為法律服務的提供者,作者同時提出以下法律問題,供同道參酌思考:
一、製造商對於銷售者出售,或使用者購入具有已知安全風險的IOT設備,應負何種產品責任?
二、IOT設備的資訊安全性疑慮,是否屬於產品固有瑕疵? 若是,如何界定日新月異的網路攻擊手法是廠商所能預見?若是,在行業標準或相關行政規範未能建立或調整之前,即課以廠商近乎無過失的擔保責任,是否太苛?
三、若由政府主導設備內建資訊安全標準,或要求揭露加密技術而有機會進行資訊串流之監控,會否遭受干預言論或表現自由之譏?
面對這些問題,政府宜與廠商通力合作,在安全威脅資訊的分享、提供平台讓業界建置標準或慣例、政策誘因、消費/使用者對於IOT網路安全有責的教育與宣導、以及協助廠商參與國際或區域間標準上,做出努力並協同解決。