美國國安局網站違法使用長期性“Cookies”
所謂“Cookies”,指於使用者端紀錄該用戶造訪某一網站的過程與從事之活動,以使得下次進行相同網路瀏覽更為容易之工具。例如,透過Cookies紀錄的功能,使用者就可以將帳號與密碼記載於電腦中,再次造訪時即不用再次輸入帳號密碼以提供認證。
根據預算管理(Office of Management and Budget, OMB)於2000年公布之備忘錄Memorandum for the Heads of Executive Departments and Agencies(M-00-13)指出,聯邦政府機關除在於「必要需求」(Compelling need)下,不得使用長期性的“Cookies”。所有留在造訪民眾端的“Cookies”,必需隨著用戶關閉視窗而被消除。
NSA發言人Don Weber表示,NSA網站過去所使用的“Cookies”都是會隨者造訪者關閉網頁即刪除的暫時性“Cookies”,而這次之所以會產生長期性的“Cookies”留存在造訪者端,完全是因為NSA電腦系統更新不小心產生的,並非刻意用來作為監視使用者之工具。但民間團體則表示,這顯示了聯邦政府機關缺乏對於隱私權規範之認知,違反了國家最基本的隱私保護規範還不自知。
目前NSA已修正該程式,並清除了這些長期性的“Cookies”。
英國政府為達成於2021年使完全無須人為操控的自動駕駛車輛可在英國公路上行駛之目標,提出新保險責任制度。透過自動駕駛和電動車輛法案的提出,將為自動駕駛車輛可合法上路行駛鋪路,從而帶動自動駕駛車輛產業發展。整體而言,一旦此立法正式通過,除了代表英國政府正式樹立自動駕駛車輛的保險框架里程碑外,也象徵英國朝向2021年的目標又更邁進一步。
馬來西亞通過修正《個人資料保護法》馬來西亞個人資料保護委員會(Personal Data Protection commissioner,下稱個資保護委員會)於2023年度收受與個人資料(下稱個資)濫用、外洩相關申訴案件數量達779件,成長數量令人憂心。為確保對於個資保護規範能與國際標準發展同步,並加強個資遭洩漏時即時採取應變措施等相關政策,以解決前述憂心狀況,數位部(Ministry of Digital)於2024年7月10日提出《個人資料保護法》(Personal Data Protection Act 2010, PDPA)修正案,並於同年7月16日經下議院(Dewan Rakyat,馬來語直譯)表決通過。 本次PDPA修正重點包含: 1.設立個資保護官(data protection officer, DPO)制度:強制要求蒐集、處理、利用個資之資料控管者(data controller),及受資料控管者委託而實質處理個資之資料處理者(data processor),均需指派個資保護官。 2.擴張對於敏感性個資(sensitive personal data)定義:與個人身體、生理或行為特徵相關之技術處理所生個資(即生物辨識資料),皆屬之。 3.制訂個資外洩通報制度:強制要求發生個資外洩時須通報個資保護委員會,以及可能受到任何重大損害之個資當事人,惟對於「重大損害」尚未有明確定義。 4.導入資料可攜性:在遵守技術可行性(technical feasibility)與資料格式相容性(data format compatibility)之情境下,允許資料控管者之間在當事人要求下進行資料傳輸。 5.資料處理者的合規遵循義務:舊法僅要求資料控管者須遵守PDPA所規定的安全原則(security principle);新法則擴及要求資料處理者亦有安全原則之合規遵循義務。 6.提高罰則:舊法對於違反個資保護原則者,最高僅得處300,000馬幣和/或2年監禁;新法提高罰則最高得處1,000,000馬幣和/或最高3年監禁。 7.跨境傳輸規範修正:原則允許資料控管者將個資傳輸至馬來西亞以外,惟應採取適當措施確認及確保資料接收方保護個資之水準與馬來西亞個資法程度相當;並將跨境白名單制度調整為黑名單制度,不得傳輸至政府公布黑名單所列地區。 馬來西亞數位部本次修正PDPA,彰顯該國政府對個資保護之重視,惟關於任命個資保護官資格要求、個資外洩通報重大程度標準等細部規範,則仍須待修正案通過後,經個資保護委員會發布相關指引再行釐清。
美國基改食品標示新發展-強制標示與否的拔河 日本 – 能否移除個人資料登載 各地法院見解有所不同為促進政府效能、提高服務品質、協助身份確認、減輕居民負擔,以期邁向先進資訊社會,日本政府近年致力推動「居民基本資料」(「住民基本台帳」;包括姓名、住址、性別、出生年月日及居民編號等)網路化,作為電子化政府基礎架構之一環。惟資料之蒐集範圍為何、傳輸網路安全與否、是否會遭政府濫用、有無可能遭相關人員洩漏於外移作他用等問題始終受到質疑,目前不僅計有福島?矢祭町、東京都杉並?、?立市三處地方政府暫緩推行,民間團體更分別在日本全國各地 13 個地方法院提起民事訴訟,主張「居民基本資料網路」(「住民基本台帳 ?????? 」;「住基 ??? 」)侵犯個人之隱私權及人格權,除請求移除已登錄之個人資料外,並要求中央政府、地方政府及掌理該網路的財團法人地方自治資訊中心(財?法人地方自治情報 ???? ; Local Authorities Systems Development Center, LASDEC )應負擔合計每人 22 萬日圓的損害賠償。 對此,金?地方法院首先作成判決( 2005 年 5 月 30 日),雖駁回原告方面的損害賠償請求,不過移除已登錄資料部分則判命原告勝訴。該院認為,「隱私」及「便利」之間究竟何者優先,應本諸居民個人意思自行決定,而非被告方面得以促進行政效率為由逕為取捨。然時隔一日( 2005 年 5 月 31 日),名古屋地方法院卻作出見解完全相反的判決,認為「居民基本資料網路」已採行必要之資料保護措施,個人隱私不至於輕易遭受侵害,原告方面的兩項請求均應予以駁回。 個人基本資料應予保護,當屬不爭之論,但究竟該如何保護、保護又該到何種程度,各方立場不同、偏重各異,看法常有差距;日本「居民基本資料網路」事件之原被告間、甚至不同地方法院間的見解差異,即為適例。目前正值我國研議修正個人資料保護法之際,前開事件今後如何發展,或有吾人持續觀察並深入思索之餘地。