美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。
本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。
HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。
HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。
值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
本文為「經濟部產業技術司科技專案成果」
根據華爾街日報報導指出,蘋果及谷歌將聯合競標柯達公司所釋出的專利組合。 在智慧型手機市場上蘋果和谷歌互為競爭對手,原訂在柯達專利拍賣案中,兩家企業提出1億5仟萬美元至2億5仟萬美元金額進行競標活動,改協議採合作結盟競標方式,以較低的金額獲得柯達的專利。 華爾街日報引據熟悉此項談判之人士指出主要電子產業公司,如Samsung(三星)、LG(樂金)及HTC(宏達電),及其他以透過購買專利作為投資或保護公司營運為目的之企業亦有參與。 柯達為規劃重新成為印刷領域的專業,需藉由販賣其所擁有的1,100件數位影像專利以籌措資金,在今年年初,柯達評估所有專利價值為26億美元(21億歐元) 而柯達對外發布買方非常踴躍於此次競標活動中,但目前尚未可以公布結果,將無限期限地延長拍賣時間,主要柯達是希望蘋果及谷歌能在所釋出的專利中,進行一場專利競標的競賽。
紐約市實施《生物辨識隱私法》強化生物特徵保護伴隨人工智慧、大數據及雲端運算浪潮,生物辨識技術逐漸成為日常生活的一部分。所謂生物辨識技術,是指利用個人獨特之生物特徵辨識個人的技術。生物特徵包含任何人類生理或行為特徵,只要能夠滿足普遍性、獨特性、不變性及可蒐集性 ,即可作為生物辨識之資訊。由於生物辨識技術能利用生物特徵達到識別與驗證個人身分,因而引發公眾對隱私、資安等議題的關注。 對此,紐約市於2021年7月21日也開始正式施行《生物辨識隱私法》(biometric privacy act) ,期能藉由限制業者利用生物辨識技術以及賦予消費者訴訟權利作法,促成隱私權的週全保障。 該法主要有三大部分: 一、規範生物辨識資訊範圍,包含但不限於(1)視網膜或虹膜掃描(2)指紋或聲紋(3)手或臉部立體掃描或是其他可用於識別之特徵。就前開生物特徵,要求業者應在所有消費者入口處放置清晰顯眼的標誌,搭配簡單易懂方式揭露其蒐集、保留、儲存消費者生物辨識資訊行為。同時,也明文禁止業者將消費者生物辨識資訊以販賣、租賃、交易或是分享方式交換任何相關價值或利益。 二、提供受侵害之消費者訴訟權與法定賠償請求權。但是,就單純未符合揭露要求之業者,該法給予30天的補救期間,要求消費者應於起訴前30天通知業者改善,一經改善即不得再起訴。 三、闡明政府相關部門不適用本法。金融機構、業者與執法部門共享生物辨識資訊,以及單純以影像、圖像蒐集而未分析識別情形則豁免揭露規範。 綜上,紐約市於該法創設訴訟權、法定賠償數額及豁免事由,預料將會是紐約市企業隱私保護政策重要指標,而值得我們繼續關注其發展與影響。
eBay銷售TIFFANY & Co.仿冒品恐構成錯誤虛假廣告由於仿冒業者在知名的網路拍賣平台eBay上販售標有” TIFFANY & Co”的商品,eBay於2004年起被珠寶商TIFFANY & Co.(以下簡稱TIFFANY)控告侵犯商標權,且該廣告構成錯誤虛假廣告(False advertising)。位於紐約的第二上訴巡迴法院於今年4月1日作出判決,認為eBay不構成商標權的侵害,但可能該當錯誤虛假廣告之行為。 關於是否構成侵害商標權之判斷,考量eBay本身為網路拍賣平台提供者,並非實際將商品上架之人,並且年花數百萬美元處理平台上的銷售仿冒品行為,故第二上訴巡迴法院認定eBay並未侵害TIFFANY的商標權。 這個判決結果對於類似eBay的網路平台業者而言,無非是個喜訊,但在是否構成錯誤虛偽廣告,上訴法院作出與第一審法院不同之見解。 在此案件中,第一審法院認為該廣告頁面文字並不會使消費者產生誤認之虞,但第二上訴巡迴法院則持相反見解,認為除非eBay在網頁上註明警告字句,提醒消費者賣家所售商品可能是仿冒品,eBay才有可能免除責任,否則,eBay應該對其平台上出現可能導致消費者混淆誤認的文字負責。由於TIFFANY在判決後宣稱要上訴,因此該錯誤虛假廣告認定之爭議,仍有待最高法院之判斷。 不過,第二上訴巡迴法院亦在判決中強調,eBay已善盡相當的努力來打擊仿冒品。每年花費將近兩千萬美元防止網站上詐欺,並且設立買家保護機制,更要求員工應特別關注反侵權方面的議題。eBay隨後發表聲明,認為此判決結果對於打擊仿冒品將有莫大助益,而其將繼續以合作代替訴訟。
英國政府將設置兩個新的網路安全機關,以維護國家網路安全英國政府在考量保護政府機關及民眾免於網路安全之威脅下,設置了網路安全辦公室(Office of Cyber Security,OCS)及網路安全營運中心(Cyber Security Operations Centre,CSOC)兩個新的網路安全機關,並將於2010年3月正式運作。同時,內閣辦公室(Cabinet Office)發出聲明表示,英國政府將網路安全訂為21世紀政府的安全防護重點,並認為透過設置這兩個新的機關協助維護國家安全,將是達成這個目標的重要步驟。 在英國政府的規劃下,OCS設於內閣辦公室下,負責提供政府跨部會的資訊安全策略,並整合協調政府部門間網路安全之工作;CSOC則是設置於英國政府通信總部下(Government's Communications Headquarters,GCHQ),負責有效的監測網路空間之健全性並針對緊急事件提出應變措施、瞭解攻擊英國政府及使用者之技巧、提供對於企業及大眾有關網路安全風險應變之忠告與建議。內閣辦公室也表示,OCS將與移民署(Home Office)及警察局長協會(Association of Chief Police Officers,ACPO)合作,盡快制訂出有關防範網路犯罪之相關策略。 英國政府肯認網路安全對於政府在安全防護上的挑戰。因此內閣辦公室強調,網路安全防護策略之整合是重要的,其將透過企業,國際合作伙伴及民眾的力量,藉由專業知識及能力的提升、以及更為完善的策略,降低安全風險及發掘安全防護機會,發揮英國在網路安全防範之優勢。