• 沒有找到結果。

英國加密法規介紹

在文檔中 研析世界半導體理事會 (頁 62-68)

第四章 歐盟(含英國)加密法規研析

第二節 英國加密法規介紹

一議題提出建議,包括會員國間如何進行司法合作之標準作業程序。

2. 技術途徑:在不禁止、限制或弱化加密技術之運用的前提下,歐盟執委 會希望透過一些措施來解決現行執法所面談的議題,包括:(1)強化歐洲 刑警組織(Europol)的解密能力,(2)建立專家網絡,(2)在前揭專家的協 助下,建立其他的調查工具,(4)與產業提供加密技術、產品或服務之業 者合作,(5)提升人員的能力,以及(6)持續從技術面和法規面評估加密 技術在犯罪調查中所扮演的角色。

務機關權力之行使與情報服務之功能。

(三)規範標的及適用主體

本法不涉及加密產品及其生產者、銷售者或使用者之監督與管理,主要規範 警察及其他執法機關之秘密監控行為91

(四)重點摘要說明

本法主要針對警察及其他執法機關為秘密監控之行為進行規範,包括偷聽/偷 拍、影像監控與私人通訊(如:手機與電子郵件)之監聽或監看,以及秘密特工等。

本法主要有5 大章,共計 83 條,法規架構如下表所示,其間並不涉及加密產品及 其生產者、銷售者或使用者之監督與管理。然而,該法第 3 章提及受保護資訊之 取得規定,當資訊被保護時,於符合本法規定的情況下,可以要求資訊持有者揭 露該資訊之內容92。然而,當資訊係以加密技術保護時,則用以解密之金鑰亦必 須揭露。93前揭規定於修法時即有諸多的討論,有政府官員提及在通訊裝置或應 用程式含有終端對終端加密(end-to-end encryption)對政府之情報工作或調查造成 很大的困擾,但是,政府官員當時也表示此法並沒有要禁止終端對終端加密技術 之運用。94

91 JUSTICE, Regulation of Investigatory Powers Act 2000 , https://justice.org.uk/regulation -investigatory-powers-act-2000/ (last visited Aug 20, 2019).

92 Regulation of Investigatory Powers Act 2000 §49.

93 Id. §51.

94 Sam Shead, The government has quietly told some of Britain's tech leaders that it isn't going to ban full encryption, BUSINESS INSIDER, Nov. 4, 2015, https://www.businessinsider.com/investigatory -powers-bill-wont-ban-end-to-end-encryption-2015-11.

11 英國-2000 年調查權力規範法架構 200

0 年 調

1 章 通訊 1 節 監 聽 (interception)

----(修法調整,併如入他章節或刪除)

2 節 通訊資料 (communication s data)之取得與 揭露

第21條 通訊資料(communications data) 之合法取得與揭露

第22條 通訊資料之取得與揭露

第23條 授權與通知(notices)之形成與期

23A 條 須司法核准(judicial approval)之取

23B 條 司法核准之程序 第24條 付款之安排 第25條 2 節之解釋 2 章 監控與秘

密人員情報來源

第26條 2 章適用之行為 第27條 合法監控等

第28條 直接監控之授權

第29條 秘密人員情報來源之授權 29A 條 與合作單位有關之補充規定

第30條 依第28 條與第 29 條規定,有權 授權者

第31條 依第 30 條規定針對北愛爾蘭之 命令(Orders)

第32條 控(intrusive surveillance)之授權

32A 條 須司法核准之授權 32B 條 司法核准之程序 第33條 授權之規則

33A 條 第 33 條:於合作對象為 NCA 時之 相關規定

第34條 於資深官員缺席之授權 第35條 侵入式監控之授權通知 第36條 授權生效之核准

第37條 警察與海關等授權之取消 第38條 針 對 司 法 委 員(Judicial Commissioner)決定之申訴(appeals)

第39條 向 調 查 權 力 委 員(Investigatory Powers Commissioner)提出申訴:補充

第40條 提 供 予 監 控 委 員(Surveillance Commissioner)之資訊

第41條 國務卿(Secretary of State)授權 第42條 情 報 服 務(intelligence service)

授權

第43條 有 關 授 權 、 更 新 與 期間之 一 般 規定

第44條 情報服務授權之特別規定 第45條 授權之取消

第46條 有關授權擴張至蘇格蘭之限制 第47條 擴張或調整授權規定之權力 第48條 2 章之解釋

3 章 受密保保 護 之 電 子 資 料 的 調查

第49條 要求揭露之通知

第50條 課予揭露要求之通知的效力 第51條 需要金鑰(key)之個案 第52條 為揭露為之支付的安排 第53條 不遵循通知

第54條 洩密

第55條 特定授權之一般責任 第56條 3 章之解釋

4 章 調查權力 與 情 報 服 務 功 能 等之審理

第57條 監 聽 通 訊 委 員(Interception of Communication Commissioner)

第58條 與第57 條之委員的合作與報告 第59條 情 報 服 務 委 員(Intelligence Service Commissioner)

第60條 與第59 條之委員的合作與報告 第61條 北 愛 爾 蘭 調 查 權 力 委 員 (Investigatory Powers Commissioner)

第62條 員(Chief Surveillance Commissioner)之額外功能

第63條 助 理 監 控 委 員(Assistant Surveillance Commissioners)

第64條 因北愛爾蘭調查權力委員功能 之委任

第65條 特別庭(Tribunal)

第66條 移 轉 至 特 別 庭 處 理 之 命 令 (order)

第67條 特 別 庭 管 轄 權(Tribunal’s jurisdiction)之行使

67A 條 來自於特別庭之上訴 第68條 特別庭程序 第69條 特別庭規則

第70條 與投訴有關之管轄權的消滅 第71條 行為準則(code of conduct)的建 立與更新

第72條 行為準則之效力

5 章 罰責與附

第73條 與無行通訊有關之作業

第74條 1994 情報服務法(Intelligence Service Act 1994)所發之搜索令

第75條 1997 警察法(Police Act 1997) 3 章所為之授權

第76條 於蘇格蘭所為之監控等作業 76A 條 境外監控作業

第77條 部會預算等

77A 條 依第 32 條有關警察(sheriff)之命令 的程序:蘇格蘭

77B 條

第78條 命令、辦法與規則

第79條 指揮者(directors)等之刑事責任 第80條 合法行為之共同保留

第81條 共通解釋

第82條 修正、廢除與保留等 第83條 縮寫、施行與範圍

資料來源:本研究整理自Regulation of Investigatory Powers Act 200095

二、CAPS 加密產品(UK)

CAPS 為 Certified Assisted Products(經認證之輔助產品)之縮寫,此一機制係 由負責英國網路安全之機關-國家網路安全中心(National Cyber Security Center,

NCSC)96負責為之。CAPS 制度之運作結合了 NCSC 的密碼學知識與來自私部門之 專家與資源,旨在促進高端產品(High Grade products)之發展,同時,英國政府 在政策上設立標準,要求使用密碼產品保護政府機敏資訊,而 CPAS 旨在確認這 些加密產品符合標準。密碼產品使用加密技術確保安全性,此類產品的範圍極廣,

包括光碟加密(disk encryptors)、連結與網路加密(link and network encryptors)、

確保無線電與存取控制之設備…等。CAPS 除了評估加密產品之外,也評估用以

95Regulation of Investigatory Powers Act 2000 , http://www.legislation.gov.uk/ukpga/2000/23/section/80 (last visited August 25, 2019).

96 有 關 於 此 單 位 之 職 責 , 可 以 進 一 步 參 閱 NCSC 之 網 站 : https://www.ncsc.gov.uk/section/about -ncsc/what-we-do。

控制資訊傳輸之產品97

根據 NCSC 網站所揭露的資訊98,開發者(Developers)可以整合適當的 NCSC 密碼或公領域之演算法至其產品中,並將該等產品送 NCSC 進行 CAPS 認證。一 旦通過認證之後,NCSC 會發給開發者產品認證書,該認證書會敍明密碼產品保 護之等級,並將該等產品列於NSCS 之網站99

申請者符合下列要件,方可以向NCSC 提出產品認證之申請,包括:100 1. 受 HMG 補助:開發者原則上必須是受英國政府補助者,為了得以展開

其業務,故有需要通過NCSC 認證者。

2. 於英國境內有設立據點(UK presence):擬向 NCSC 申請認證者,必須在 英國境內有營運據點(operational presence)。

3. 實體安全(Site Security):開發者必須通過英國政府之 LIST X 機制(List X scheme)101認證。

4. 原始碼之存取:CAPS 評估須全面與不受限制地存取與檢視設計文件、

原始碼、模組、實體輸出以及其他被企業視為機密之資訊。是以,開發 者必須允許 NCSC 能夠全面與不限制地存取檢視前揭提及之文件或資訊,

而這也包括智慧財產權為第三方所有者。

97 NCSC, NCSC certification, https://www.ncsc.gov.uk/section/products-services/ncsc-certification (last visited August 28, 2019).

98 NSCS, Information about CAPS, https://www.ncsc.gov.uk/information/information -about-caps (last visited August 28, 2019).

99 可於 NCSC 之產品與服務查詢:https://www.ncsc.gov.uk/section/products -services/all-products-services-categories?start=0&rows=20&scheme=CAPS+Assisted+Products 。

100 NCSC, Information about CAPS, supra note98.

101 當企業 提供 英國政 府之 產品 或服務 涉及 到英國 政府 資訊 之處理 ,且 該資訊 在分 類上 是保護 等級 為機密 (Secret)等級以上者,必須經過 LIST X 機制之認證,此一認證機制類似於其他國家所使用之設施安全聲 明( Facility Security Clearance ,FSC) 。一般公司是不能直接申請認證,而係由委託機關提出,即擬要 將資訊委託於該公司處理之締約機關(Contracting Authority ,CA),主要是政府機關,目前 LIST X 上所 列之名單,有 8 成以上都是以國防部(Ministry of Defense)為 CA,參見 ASC ENTOR, List X Explained, https://www.ascentor.co.uk/2013/04/list-x-explained/ (last visited August 28, 2019)。

在文檔中 研析世界半導體理事會 (頁 62-68)