華盛頓特區於今〈2010〉年8月5日由阿肯薩州及維及尼亞州參議院議員Pryor及John Rockefeller所倡議之「個人資料安全及外洩通報法」〈Data Security and Breach Notification Act of 2010〉,其旨趣,在於統一美國各州不同個資外洩通報法,並嘗試為消費者個人資料之安全及隱私設定全國性的標準。 Pryor法案曾於2007年提出,惟當時未能通過,其立法緣由係為處理美國各州、聯邦及國際間政府對個資安全與日俱增之重視。其規範內容,在要求處理及儲存消費者私人資訊,諸如「社會安全碼」〈social security numbers〉之企業,一旦發生資料外洩事件,需對國家提出通報,如該事件對消費者產生現實的「身分盜竊」〈identity theft〉或「帳戶詐欺」〈account fraud〉風險,則應於發現個資外洩六十日內通知受影響之消費者。 Pryor法案之適用對象甚廣,故有認為,該法一旦通過,其將成為繼美國金融服務法〈the Gramm-Leach-Bliley Act,簡稱GLBA〉後的模範法典,其適用對象包括受GLBA規範之金融機構及任何個人〈any individual〉、合夥〈partnership〉、公司〈corporation〉、信託〈trust〉、工地產產業〈estate〉、合作社〈cooperative〉、協會〈association〉、維持或傳送「敏感的會計資訊」或「敏感的個人資訊」之業主〈entity that maintains or communicates “sensitive account information” or “sensitive personal information”〉,但並不包括任何政府辦事處或其他聯邦、州政府單位、地方政府〈any agency or other unit of the federal,state, or local government〉或任何其下所再劃分之單位〈any subdivision thereof〉。 惟此一倡議中之資料安全立法不論法令遵循或執行皆有一定難度,因該法雖要求對超出「損害門檻」之資料外洩需對消費者通報,但對「損害門檻」並無明確定義。此外,受影響之企業似無實行適當風險評估之誘因,除需耗費大量成本評估外洩事件是否超過損害門檻外,尚需面臨企業名譽受損與客戶不滿之損失,在個資外洩要素風險指導原則付之闕如之情形下,企業恐無法客觀地評估自身個資外洩之風險。故有建議,解決之道,應明定損害門檻,並聘請外部專家或使用市場新工具,訂定客觀的指導原則,使企業在處理個資外洩問題時能減輕混亂及鼓勵評估結果的一致性並縮短風險評估的時間。 就資訊安全部分,此法案揭櫫於其通過一年內,美國商務、科學及交通委員會〈Committee on Commerce, Science, and Transportation〉應頒布規定,要求擁有或處理含有個人資料或契約之企業,必須建立並執行蒐集、使用、出售,及其他傳播、維持個人資訊之資訊安全政策,以達保護個人資料之目的。
Google Android作業系統在歐盟被控違反競爭法Google最近因他的Android作業系統,遭到其競爭對手向歐盟競爭法主管機關檢舉違反競爭法。以FairSearch.org為代表、Nokia、Microsoft及Oracle在內的Google競爭對手指控,Google企圖利用他的Android系統作為”特落伊之馬”(Trojanisches Pferd),以獲得行動業務的獨占地位並據以控制使用者資料。這是因為Google要求智慧型手機和平板電腦的製造商若要使用一些受歡迎的Google應用程式,如Google Maps或YouTube時,必須連同一系列其他的Google應用程式,一起放在這類行動設備的桌面上明顯位置。這項要求被競爭對手認為已影響到其他App提供者,且讓Google擁有隨時透過製造商銷售出的智慧型手機,掌控大量的用戶資料的能力。 此外,FairSearch.org也主張,因Google以不符成本的方式推廣他的Android作業系統,此舉讓其他作業系統的提供者難以回收投資。目前Google的Android作業系統已經在智慧型手機服務市場擁有獨占地位--其市場佔有率約為70%;在平版電腦的服務市場上,Android作業系統的佔有率也在增加之中。因此,歐盟執委會應對Google這些在行動市場上的不當行為展開嚴格調查,以避免歐洲的消費者因Google濫用市場的行為而受到損害。事實上FairSearch.org已經不是第一次指控Google違反競爭法,在此之前,FairSearch.org就曾向歐盟檢舉Google的搜尋引擎業務違反歐盟競爭法,其被指控就其搜尋引擎的搜尋結果,涉嫌對自己提供的服務提供優惠的差別待遇。歐盟在2010年11月正式對此展開調查,該案調查現已近尾聲,歐盟對此的立場傾向要求Google在他的搜尋結果應清楚地說明哪些是屬於Google集團的服務以作為標示。至於最新有關Android作業系統的指控,歐盟已表明會以放大鏡檢視,但歐盟是否會正式調查或將兩案合併審理,尚不清楚,Google也還未針對有關Android作業系統的指控做出回應。
美國通過最新的電子醫療紀錄之隱私與安全標準美國衛生部隸屬之醫療資訊科技標準委員會(Health IT Standards Committee)為了因應「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, “ARRA”)的通過,制定了新的電子醫療紀錄的隱私、安全標準,以擴大保護電子醫療紀錄的使用安全。 這次制定的電子醫療紀錄的隱私、安全標準,將透過具有足夠防護能力的醫療資訊科技系統標準,來保護電子醫療紀錄的交換,並且擴大適用範圍到醫療照護廠商與提供者,要求其必須在2011年前達到幾項資訊的使用控制標準,包括「醫療保險可攜與責任法」(Health Insurance Portability and Accountability Act, “HIPAA”)與「加密促進標準」(Advanced Encryption Standard)之相關規定,以完備個人電子醫療資訊的保護網。 在此次訂立的標準之下,任何人員或是應用程式欲使用與接近電子醫療紀錄,應符合法律所授予的接近與使用之要件。同時,處理個人醫療資訊的系統,也必須具備對個人醫療資訊加密與解密的能力,以保障個人醫療資訊的安全與完整。除了以上的要求,這些標準也要求相關的適用機構,必須在2013年以前完成符合病歷交換格式(HL7)的使用接近控制、安全宣示標記語言(Security Assertion Mark-up Language, “SAML”)、網路服務認證(Web Service Trust, “WS-Trust”)以及促進資訊標準建置組織(Organization for the Advancement of Structured Information Standards, “OASIS”)的機制,以保障醫療資訊的安全。
簡析美國閒置頻譜利用之法制發展