任意丟棄客戶資料 英國銀行因而違法
有鑑於英國14家銀行及金融公司被發現有任意丟棄客戶個人資料而違反「資料保護法」(Dada Protection Act)的情形,英國資訊官辦公室(Information Commissioner´s Office,ICO)於2007年3月17日要求其中11家銀行及金融公司簽署一份承諾書,保證其將來在處理客戶資料時必當遵守資料保護法的規定。
資訊官辦公室次長表示,銀行及金融公司應該以嚴肅的態度來處理客戶資料安全性的問題,否則,他們不但要接受資訊官辦公室更進一步的資訊安全審核,而且還會失去客戶對其之信賴。再者,若這些組織仍不遵守其簽署的承諾書,除了可能對遭到行政罰外,甚至還可能需要負擔違反資料保護法的刑事責任。
除了資訊官辦公室,英國的金融服務局(Financial Services Authority,FSA)亦有權針對違反資料保護法規定之金融公司加以執法。今年2月,英國房屋抵押貸款協會(Nationwide Building Society)便在金融服務局的資訊安全審核中,因為其使客戶資料暴露在可能遭竊的風險下而被處以1百萬鎊的罰金。
本文為「經濟部產業技術司科技專案成果」
英國政府於2025年1月31日發布「人工智慧網路資安實務守則」(Code of Practice for the Cyber Security of AI,以下簡稱「實務守則」),目的是提供人工智慧(AI)系統的網路資安指引。該實務守則為英國參考國際上主要標準、規範後所訂定之自願性指引,以期降低人工智慧所面臨的網路資安風險,並促使人工智慧系統開發者與供應商落實基本的資安措施,以確保人工智慧系統的安性和可靠性。 由於人工智慧系統在功能與運作模式上與傳統網路架構及軟體有明顯的不同,因此產生新的資安風險,主要包含以下: 1. 資料投毒(Data Poisoning):在AI系統的訓練資料中蓄意加入有害或錯誤的資料,影響模型訓練結果,導致人工智慧系統產出錯誤推論或決策。 2. 模型混淆(Model Obfuscation):攻擊者有意識地隱藏或掩飾AI模型的內部運作特徵與行為,以增加系統漏洞、引發混亂或防礙資安管理,可能導致AI系統的安全性與穩定性受損。 3. 輸入間接指令(Indirect Prompt Injection):藉由輸入經精心設計的指令,使人工智慧系統的產出未預期、錯誤或是有害的結果。 為了提升實務守則可操作性,實務守則涵蓋了人工智慧生命週期的各階段,並針對相關角色提出指導。角色界定如下: 1. 人工智慧系統開發者(Developers):負責設計和建立人工智慧系統的個人或組織。 2. 人工智慧系統供應鏈(Supply chain):涵蓋人工智慧系統開發、部署、營運過程中的的所有相關個人和組織。 實務守則希望上述角色能夠參考以下資安原則,以確保人工智慧系統的安全性與可靠性: 1. 風險評估(Risk Assessment):識別、分析和減輕人工智慧系統安全性或功能的潛在威脅的過程。 2. 資料管理(Data management):確保AI系統整個資料生命週期中的資料安全及有效利用,並採取完善管理措施。 3. 模型安全(Model Security):在模型訓練、部署和使用階段,均應符合當時的技術安全標準。 4. 供應鏈安全(Supply chain security):確保AI系統供應鏈中所有利益相關方落實適當的安全措施。 「人工智慧網路資安實務守則」藉由清晰且全面的指導方針,期望各角色能有效落實AI系統安全管控,促進人工智慧技術在網路環境中的安全性與穩健發展。
英國修正公布施行「2017年智慧財產權不正當威脅法」,使智慧財產權之法規範更具明確性英國智慧財產局於2017年10月1日修正公布施行智慧財產權不正當威脅法(IP Unjustified Threats Act 2017),使智慧財產權之法規範更具明確及一致性,並協助企業免於昂貴的訴訟費用。 所謂智慧財產權之不正當威脅(unjustified threat)係指無智慧財產權、智慧財產權已過期或無效、或雖未實際發生智慧財產權之侵權事實,卻對他人提起侵權之法律行為或措施,該行為耗費成本、引起市場混亂,致使客戶出走並造成企業合法販售商品或服務之業務停滯,並扼殺智慧財產創新之本質,破壞市場衡平。 因涉及智慧財產侵權之法規範複雜、不明確或不一致,且當有侵權之虞尚未進入司法審判程序前其紛爭難以解決,致使智慧財產權人(特別是擁有智慧財產權之中小企業)不願意實施其權利。因此,修正公布施行智慧財產權不正當威脅法將有助於智慧財產權人或第三人知悉何種行為算是威脅,提供明確之規範框架,鼓勵企業建立商談(talk first)文化,使爭議雙方可交換訊息以解決紛爭,而非興訟。並使企業或個人在智慧財產權爭議中取得公平合理的地位,以保護客戶及供應鏈(包括零售商或供應商),避免企業或個人因不正當威脅、惡性之商業競爭,而遭受損害。再者,智慧財產權之不正當威脅法適用於專利權、商標權及設計權,使智慧財產權法複雜之規範更趨明確且一致。
日本《外包法》日本外包法,正式名稱為外包價金給付遲延等防止法(下請代金支払遅延等防止法,又簡稱下請法),其制定目的在於確保大型企業外包其業務予中小型企業時之交易公正性,防止外包業者濫用其相對於承包業者之優勢地位,並保護承包之小型業者的利益,而該法的主管機關為公平交易委員會(公正取引委員会)。 依該法規定,於以下情形有本法之適用:(1)業者發包委託承包業者製造、修理物品與委託承包商提供該法授權行政命令訂定列舉的資訊成果產品(製作程式)或服務(運送、將貨品保管在倉庫、資訊處理),且發包之大型企業資本額 3億日圓以上、承包之小型企業資本額3億日圓以下,或發包企業資本額於3億元以下1000萬日圓以上、承包企業資本額在1000萬日圓以下時;或(2)業者發包委託承包業者作成非屬上述行政命令所列舉之資訊成果產品(如製作電視節目或廣告、設計商品、產品之使用說明書等)、或提供非屬行政命令列舉之服務(如維修建物或機械、提供客服中心服務等),且發包業者資本額5000萬日圓以上、承包業者資本額在5000萬日圓以下,或發包業者資本額在5000萬日圓以下1000萬日圓以上、承包業者資本額於1000萬日圓以下。 符合上開法定要件時,發包業者應訂定契約價金之給付期日,不得遲延給付價金,若給付遲延則有義務支付遲延之利息等,同時禁止發包業者拒絕受領承包業者交付的履約標的,禁止無故減少契約價金、退貨、或對承包業者採取報復性措施。若發包業者違反上述規定,則由日本中小企業廳或該發包業者之事業主管機關請求日本公平交易委員會(公正取引委員会)採取相應措施,該會則得據此針對該違反行為向發包業者作出書面勸告,同時對外公開該發包業者之公司名稱、其違反行為之事實概要、以及勸告內容的概要。此外,為防止口頭約定造成日後衍生交易糾紛,發包業者於下單時,應以書面明確約定並記載例如承包業者的履約標的、契約價金數額等法定應記載事項,並在下單後立即交付該書面予承包業者,如違反,得對該發包業者課予50萬日圓以下罰金。