繼eBay 於 今年6月4日因未制止網拍業者於eBay 網站上拍賣仿冒品被法國法院( The Tribunal de Grande Instance in Troyes)判決敗訴 、 須與網拍業者共同賠償精品業者愛瑪士 (Hermes)2萬歐元後,不到一個月的時間,另一法國法院( The Tribunal de Commerce in Paris) 於6月30日再度判定eBay因任由網拍業者拍賣仿冒物品而需賠償LVMH集團共3860萬歐元並禁止eBay在其網站上販賣LVMH集團旗下包括迪奧(Dior)、嬌蘭(Guerlain)、紀梵希(Givenchy)及Kenzo 4個品牌之香水。
eBay 表示為了保護品牌業者的智慧財產權,其已投資了超過2000萬美元建置相關機制(The Verified Rights Owner) 讓品牌業者可以容易的發現仿冒的網拍品並通知eBay 將該物品下架。但愛瑪士及LVMH集團皆認為該機制尚不足以杜絕仿冒品的銷售。
針對LVMH之判決,Vanessa Canzini, eBay 的發言人表示 “如果有仿冒品出現在eBay 的網站上, eBay會迅速地將該物品下架,但此次的判決非關仿冒品”。 Sravanthi Agrawal, eBay 的另一發言人表示 “此次判決的重點在銷售管制 (指LVMH集團企圖壟斷其銷售管道),因eBay 並非LVMH集團所授權的銷售管道之一”。 eBay 表示LVMH集團的壟斷行為將對消費者造成傷害,將代表消費者提起上訴。
以上兩案經由法國法院針對拍賣網站提供平台販售仿冒品之判決結果預計將於國際間引發連鎖效應。一位美國智財律師表示美國法院目前認為在美國商標法下,eBay 有義務將仿冒品從其網站上移除。而法國法院的判決則更進一步要求拍賣網站在仿冒品被放上網站拍賣前就有義務制止其被拿出來販售。法國法院的見解如未被推翻將可能鼓勵其它國法院針對類似案件做出相同的判決結果。
美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架,美國已有幾州開始透過立法限縮企業資安事件賠償責任,企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準,則於資安攻擊事件所致損害賠償訴訟中,將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料,企業往往投入大量資源打造資安防護架構,惟在現今網路威脅複雜多變的環境下,仍可能受到惡意資安攻擊,導致資料外洩事件發生,導致企業進一步面臨訴訟求償風險,其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任,以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令,讓已實施適當安全維護措施之企業,豁免資安攻擊所致資料外洩之損害賠償責任,佛羅里達州和西維吉尼亞州近期亦提出相似法案,以下介紹兩州法案之重點: 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 (H.B 473: Cybersecurity Incident Liability)[4],法案納入「安全港條款」(Safe Harbor),當企業遭受資安攻擊致生個資外洩事件,如可證明已遵循產業認可的資安標準或框架,實施適當的資安措施與風險控管機制,則可免於賠償責任,以鼓勵企業採納資安標準或框架。 為適用安全港條款,企業須遵循佛羅里達州資訊保護法(The Florida Information Protection Act),針對資料外洩事件,通知個人、監管機關和消費者,並建立與法案內所列當前產業認可的資安標準、框架,或是特定法令規範之內容具一致性的資安計畫(Cybersecurity Programs): (一)當前產業認可的資安標準、框架 1. 國家標準暨技術研究院(National Institute of Standards and Technology, NIST)改善關鍵基礎設施資安框架(Framework for Improving Critical Infrastructure Cybersecurity)。 2. NIST SP 800-171-保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A- 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫(Federal Risk and Authorization Management Program, FedRAMP)安全評估框架。 5. 資安中心( The Center for Internet Security, CIS)關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟(The Health Information Trust Alliance, HITRUST)通用安全框架(Common Security Framework)[6]。 8. 服務企業控制措施類型二(Service Organization Control Type 2, SOC 2)框架。 9. 安全控制措施框架(Secure Controls Framework)。 10. 其他類似的產業標準或框架。 (二)特定法令規範 企業(entity)如受以下法令規範,亦得適用安全港條款,如法令有修訂,企業應在發布修訂後的一年內更新其資安計畫: 1. 健康保險可攜與責任法(The Health Insurance Portability and Accountability Act, HIPAA)之安全要求。 2. 金融服務現代化法(The Gramm-Leach-Bliley Act)第五章。 3. 2014 年聯邦資訊安全現代化法(The Federal Information Security Modernization Act of 2014)。 4. 健康資訊科技促進經濟和臨床健康法(The Health Information Technology for Economic and Clinical Health Act, HITECH)之安全要求。 5. 刑事司法資訊服務系統 (The Criminal Justice Information Services, CJIS)安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過,但於2024年6月26日遭州長否決[7],其表示法案對於企業的保障範圍過於廣泛,如企業採取基礎的資安措施與風險控管機制,便得主張適用安全港條款,將可能導致消費者於發生個資外洩事件時,無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會(Florida Cybersecurity Advisory Council)合作,探求法案的替代方案,以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8],修訂西維吉尼亞法典(Code of West Virginia),增訂第8H章資安計畫安全港條款(Safe Harbor for Cybersecurity Programs),如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫,包含個人資訊和機敏資料的管理、技術和企業保障措施,將能夠於侵權訴訟中,主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素,包含: 1. 企業的規模和複雜性; 2. 企業的活動性質和範圍; 3. 受保護資訊的敏感性; 4. 使用資安防護工具之成本和可用性; 5. 企業可運用的資源。 (一)當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同,另增加: 1 NIST SP 800-76-2個人身分驗證生物辨識規範(Biometric Specifications for Personal Identity Verification)[9]。 2. 資安成熟度模型認證(The Cybersecurity Maturity Model Certification, CMMC)至少達到第2級,並經外部驗證(external certification)。 (二)特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同,另增加:由聯邦環境保護局(Environmental Protection Agency, EPA)、資安暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)或北美可靠性公司(North American Reliability Corporation)[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11],其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好,但也可能遭濫用而帶來不當影響,例如TikTok等大型國際企業,如在違背公民意願情況下共享個人資料時,將免於訴訟,恐有損其公民權益,未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案,內容亦為相似,西維吉尼亞州之法案目前已遭否決,主要係擔心該豁免條款遭到不當濫用;佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量,而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令,有助企業明確遵循與採納,建立與實施資安計畫,惟如何舉證所建立之資安計畫或實施之資安措施,與法案所列之資安標準、框架,或是特定法令規範,具有實質上的一致性,仍不明確,將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障,仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心( The Center for Internet Security, CIS)為美國非營利組織,負責推動CIS Controls,針對實際發生的資安攻擊行為提供防禦建議,作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源:About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司(North American Electric Reliability Corporation, NERC),為一家非營利機構,致力推動關鍵基礎設施保護相關標準,以強化北美大規模電力系統(亦即電網)的可靠性和安全性,資料來源:https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).
英國氣候過渡計畫小組公布氣候揭露報告框架與實施指南英國氣候過渡計畫工作小組(Transition Plan Taskforce, TPT)在2022年11月8日公布其氣候揭露報告框架草案(Disclosure Reporting Framework)、實施指南,以及技術性附錄,用以輔導英國企業擬定氣候過渡計畫,並在技術性附錄中提供與氣候揭露相關的指標與準則等詳細資訊,供企業參考。 氣候過渡計畫是英國淨零政策相當重要的一環。英國財政部長於2021年COP26大會上宣布成立工作小組,研擬氣候過渡計畫的規範,要求英國企業公布清晰且可交付的計畫,英國財政部在2022年4月宣布TPT成立,負責建立一套英國適用、並且可與其它國際準則進行轉換的氣候過渡計畫準則。TPT根據氣候相關財務揭露工作小組(Task Force on Climate-related Financial Disclosures, TFCD)、國際永續準則理事會(International Sustainability Standards Board, ISSB)、及格拉斯哥淨零金融聯盟(the Glasgow Financial Alliance for Net Zero, GFANZ)等現有成果,另增若干細節,在2022年11月提出此一框架草案及指南等文件。 TPT框架建議企業以企圖心、行動力和當責性為原則,分階段設定過渡計畫目標。而企業的氣候揭露應包括五大項目:基礎事項(如企業目標)、執行策略(如企業營運)、擴大參與策略(如與價值鏈的連結)、使用的指標與目標(如財務指標)以及治理(如董事會的監督與報告),這些在實施指南中都有詳細的說明。 TPT框架自公布起即公開徵求各界意見至2023年2月28日,並廣邀各界就其內容進行測試,提供意見反饋,這些都將供作TPT修訂框架之參考,預計2023年完成草案的最終版本。TPT的文件雖不具法律效力,但是其內容將成為英國金融行為管理局(Financial Conduct Authority, FCA)未來修訂上市公司及金融機構相關氣候過渡計畫揭露規則時的依據,其後續發展值得關注。
Google被控不當蒐集蘋果公司Safari瀏覽器用戶的個人資料案件緣於Judith Vidal-Hall等三人對Google提告,主張Google規避蘋果公司Safari瀏覽器預設之隱私設定,在未取得用戶同意前,逕行使用cookies追蹤其網路活動,蒐集瀏覽器產生的資訊(the Browser-Generated Information, or ‘BGI’),並利用其對用戶發送目標廣告。原告認為這些作法可能使用戶的隱私資訊被第三人所探知,而且與Google保護隱私之公開聲明立場相違。此案於2015年3月27日由英國上訴審法官做成判決,並進入審理程序(裁判字號:[2015] EWCA Civ 311)。 本案主要爭點包含,究竟用戶因使用瀏覽器所產生的資訊是否屬於個人資料?濫用隱私資訊是否構成侵權行為?以及在沒有金錢損失(pecuniary loss)的情形下,是否仍符合英國資料保護法(Data Protection Act 1998)第13條所指損害(damage)的定義,進而得請求損害賠償? 法院於判決認定,英國資料保護法旨在實現「歐盟個人資料保護指令」(Data Protection Directive,95/46/EC)保護隱私權的規定,而非經濟上之權利,用以確保資料處理系統(data-processing systems)尊重並保護個人的基本權利及自由。並進一步說明,因隱私權的侵害往往造成精神損害,而非財產損害,從歐洲人權公約(European Convention of Human Rights)第八條之規定觀之,為求對於隱私權的保障,允許非財產權利的回復;倘若限縮對於損害(damage)的解釋,將會有礙於「歐盟個人資料保護指令」立法目的的貫徹。 法院強調,該判決並未創造新的訴因(cause of action),而是對於已經存在的訴因給予正確的法律定位。從而,因資料控制者(data controller)的不法侵害行為的任何損害,都可以依據英國資料保護法第13條第2項請求損害賠償。 本案原告律師表示:「這是一則具有里程碑意義的判決。」、「這開啟了一扇門,讓數以百萬計的英國蘋果用戶有機會對Google提起集體訴訟」。原告之一的Judith Vidal-Hall對此也表示肯定:「這是一場以弱勝強(David and Goliath)的勝利。」 註:Google 在2012年,曾因對蘋果公司在美國蒐集使用Safari瀏覽器用戶的個資,與美國聯邦貿易委員會(United States Federal Trade Commission)以2,250萬美元進行和解。
德國民眾對奈米科技關切評估報告出爐為了瞭解德國消費者對於市面上眾多應用「奈米」科技之消費產品的想法,德國聯邦風險評估研究所(Bundesinstitut für Risikobewertung,BfR)於2007年抽樣調查一千位消費者,並於該年底公布調查結果。根據該問卷調查結果顯示,超過三分之二(66%)受訪者對於奈米科技發展持樂觀態度,並認為應該支持奈米科技的持續發展,並且認為奈米科技改善了生活品質以及其帶來的效益勝過風險。 但是,對於不同領域所應用之奈米科技,受訪者卻表現出不同的態度。因此該研究所所長Andreas Hensel認為,消費者不是依據事實為評價,而是依據「感性標準」。也就是說,他們所「感覺到」的風險在他們理解新科技時扮演重要角色。 相較於2004年所做的問卷調查,目前約有52%的受訪者聽過奈米概念,之前的調查結果只有15%。多數受訪者相信奈米可以幫助醫學領域的發展;其也相信應用奈米於顏料、漆料可提高耐刮與耐磨之能力。在紡織品領域也一樣,民眾相信防污的產品;受到民眾接受的還包括奈米科技在包裝材料以及防曬產品領域之應用。不過,對於其他化妝品卻只有53%的受訪者相信奈米的改善功能。絕大多數受訪者都拒絕將奈米科技應用於食品:69%受訪者拒絕添加「奈米」於調味料,即使奈米可以防止結塊;而就算因此可以延長食物保存期限,也有高達84%的受訪者拒絕在食物中添加奈米微粒。 多數的消費者獲取奈米科技資訊主要來自於大眾媒體,如電視、報紙、期刊與網際網路。但是他們是否相信該資訊,則取決於提供者為何,最受信賴之資訊來自於消費者組織,如消費者保護團體以及產品檢測基金會(Stiftung-Warentest)以及科學界(92%),最不受信賴的資訊則來自於經濟(32%)與政治(23%)。