軟體安全性缺失成為買賣標的
瑞士的網路安全公司WSLabi於2007年7月9日宣佈一項訊息,未來將在線上公開交易或交換一些軟體的安全性漏洞和弱點予軟體相關研究人員、安全代理商和軟體公司,價格從數百美元至數萬美元不等。而此意謂拍賣軟體瑕疵的新興市場即將被打開。
WSLabi公開拍賣軟體弱點與漏洞的作法引起了很大的爭論。以往軟體安全業者於發現軟體的弱點後,會與軟體開發者合作修補安全性弱點和漏洞,待修補完成後再公開宣佈修補軟體安全性弱點之相關訊息。但該公司的新作法將導致軟體公司未來可能因為無法及時修補弱點而商譽受損。因此該項計畫雖尚未實行,卻引起了不同看法的爭辯:支持者表示,此一計畫將有助於改善軟體弱點及安全漏洞的問題,並可鼓勵對於軟體的弱點的深入研究;然反對者卻認為,如果軟體的弱點和安全漏洞因而落入有心人的手中,利用於犯罪或幫助他人犯罪,將會對資訊安全形成極大威脅。再者,把其他公司開發的軟體弱點在市場上交易,可能也會引發道德與合法性的問題。
WSLabi於瞭解這項做法可能引起侵害著作權(重製、散布、販賣軟體等行為)、營業秘密與犯罪防治等法律上的爭議及國家安全的問題後表示,他們將會審慎地過濾選擇買主,不會將研究之結果出售予犯罪者或敵國政府。雖然如此,他們的說法仍引起質疑,畢竟判斷買主是否為善意或確定身份並非易事。
美國明尼蘇達州通過的《明尼蘇達消費者個人資料保護法》(Minnesota Consumer Data Privacy Act, MNCDPA)規範組織應如何合規蒐集、處理及利用個人資料。主要內容有: 一、 適用對象:於明尼蘇達州內經營商業之營利組織(下簡稱企業或資料控制者),或生產製造商品、提供服務予該州居民之企業,且符合下列情形之一者: 1. 在前一年度控制或處理超過10萬筆消費者個人資料。 2. 控制或處理超過25,000筆消費者個人資料,且總營收超過百分之二十五係源自於銷售個人資料者。 3. 高等教育機構(postsecondary institutions)、非營利組織則自2029年7月31日起適用。 二、 消費者權利:賦予明尼蘇達州居民對個人資料的基本權利,且強調消費者不應因行使權利而受歧視。分別為: 1. 近用權:請求瀏覽企業對其所蒐集個人資料,但如導致企業商業機密洩露之虞者除外。 2. 修正權:請求企業修正不正確或不完整的個人資料。 3. 刪除權:請求企業刪除其個人資料。 4. 請求製給複製本:採取可便利取用格式,或資料可攜(Data Portability) 之方式。 5. 選擇退出權(opt out):就個資利用行為,消費者得行使退出權: (1) 為精準行銷之目的(Targeted Advertising); (2) 銷售個人資料; (3) 為資料剖析之目的處理個人資料。 6. 取得企業揭露或提供個資利用之對象清單。 7. 消費者得向企業請求基於特定決策所作成剖析結果之原因,以及消費者未來得據以採取確保不同決策之作為。 三、 企業主要責任與義務: 1. 企業應履行之義務除告知義務、透明度、資料最小化、安全維護措施外,尚須: (1) 依法回應當事人之請求:資料當事人向企業請求查詢、修改及刪除自己的資料,企業接到請求後,應於45天之期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。 (2) 保存所有申訴與回覆之紀錄至少24個月;除此之外,企業須建立並採行合規政策,包括識別主要負責人,如:首席隱私長(Chief Privacy Officer)。 明尼蘇達州《明尼蘇達消費者資料隱私法》的通過顯示社會對於資料隱私保護方面的重視,除了加強對消費者個人資料的保護,也賦予消費者的權利,使消費者不再屬於被動方,而能夠主動捍衛自己的個人資料隱私。
歐盟為清潔能源轉型提出再生能源指令修正提案2016年11月30日,歐盟執委會正式推出了清潔能源轉型(Clean Energy Transition)包裹立法提案。這項又名為「全歐洲人的清潔能源」(Clean Energy for All Europeans)包裹立法提案有三個主要目標,分別為「能源效率優先」(putting energy efficiency first)、「讓歐盟於再生能源取得全球領導地位」,以及「提供消費者公平合理的方案」(providing a fair deal for consumers)。而整個包裹措施的內容,除了再生能源指令(2009/28/EC)的修正案的提出外,並包含能源效率指令(2012/27/EU)以及建築物能源績效指令(2010/31/EU)的修正規劃。 在再生能源指令的修正草案方面,根據執委會的說明文件 ,此次的修正大致延續2015年所提出公眾諮詢的架構,分為六個面向,分別為:(1)於電力部門創造可以促成再生能源進一步佈署之架構(2)供冷供熱部門再生能源的主流化(3)運輸部門的減碳與多元化(4)對於消費者之賦權與資訊之提供(5)強化歐盟對於生質能源的永續性門檻(6)確保歐盟層級的具拘束力目標(binding target)能及時並以符合成本效率之方式達成。 在「於電力部門創造可以促成再生能源進一步佈署之架構」方面,執委會指出,依照目前規劃,2030年時歐洲將有一半的電力來自再生能源。而因應上述規劃願景,此次的修正草案融入會員國在設計支持再生能源機制時所應遵循的一般原則,亦即除了確保相關支持機制對於投資人具透明性與安定性,系爭機制亦須符合成本效益且為市場導向。 在「供冷供熱部門再生能源的主流化」部分,執委會首先說明,供冷供熱佔歐洲能源需求的50%,但此部分再生能源的使用仍然發展遲緩。此次修正規劃的主要重點則首先在於讓會員國有機會以供冷供熱部門為選項來增加其再生能源佔比,以2030年為目標,預計每年增加1%。並在特定條件下,開放再生能源發電業者對於區域型供冷供熱系統的近用權利。 我國政府近來為推動能源轉型政策,亦致力提高再生能源配比,並由行政院核定諸如「太陽光電2年推動計畫」等配套方案,近來並將修正再生能源發展條例;歐盟所提出相關規劃內容,或亦有值得我國參酌之處。
英國政府宣佈將內化歐盟電子通訊隱私指令,訂定cookie相關規範歐盟電子通訊隱私指令(Directive 2002/58/EC on Privacy and Electronic Communications, e-Privacy Directive)針對cookie(即業者為辨別使用者身份而儲存在用戶端上的資料)設置的規範,於2009年修正,將在今年在5月25日之前全面施行。歐盟跟據該項規定,要求業者,當其使用cookie追蹤網路使用者的使用行為時,必須取得網路使用者的「明示同意」,且每隔一年,業者皆必須重新取得該項「同意」,網路使用者亦得隨時撤回。實務上對於該項同意究竟應由業者「主動」要求,亦或「被動」等待網路使用者以允許cookie設置方式而直接視為同意,仍有爭議。 儘管如此,英國政府仍已決定內化該指令,制定其國內cookie設置規範。英國資訊委員會(Information Commission)將提出指導原則,協助業者遵循該規範。相關政府單位,亦已開始著手協助業者重新設定網頁瀏覽器。有關當局表示,英國政府將會在歐盟限定的期限內推動此規範,不過,該歐盟指令係強制規範,業者是否能在短期內完成該規範遵循仍有疑議。針對此點,英國政府已通令其資訊委員會,對於已著手改正其隱私規範並重新設置瀏覽器的業者,即便未於期限內完成該規範遵循,亦不受罰。英國未來實施的cookie設置規範究竟會如何發展,仍待觀察。
英國提出巨量資料下之個人資料保護應遵循資料保護法之原則