客戶機密資料外洩事件頻傳 美國AT&T 8月底也被駭
AT & T 通知當事人之作法,符合美國立法之趨勢。目前美國除了部分州已經通過立法要求資料持有業者必須將資料外洩事件告知當事人外,今年 7 月 19 日 Virginia 州議員 Thomas Davis 亦提出美國聯邦法典第 44 編( title 44 )修正提案,該提案通過後將強化美國聯邦法典中對於個人資料外洩時資料收集者之告知義務,以避免當事人因此蒙受損失。
雖然法規要求漸趨嚴格、完整,但長期關注隱私權問題之 Privacy Rights Clearinghouse 估計,美國自去年 2 月起至今年 8 月底止,約有 9100 萬人次之機密資料遭到竊取,換言之,約 1/3 的美國人機密資料曾遭竊取或外洩,網際網路與駭客技術的發展使得機密資料今日已不再機密了。
- http://www.privacyrights.org/ar/ChronDataBreaches.htm
- http://www.iii.co.uk/news/?type=afxnews&articleid=5762636&action=article
- http://thomas.loc.gov/cgi-bin/bdquery/D?d109:8:./temp/~bd1XbZ::|/bss/109search.html
- http://www.govtrack.us/congress/bill.xpd?bill=h109-5838
- http://news.com.com/2100-1029_3-6110765.html
中國大陸之國家互聯網信息辦公室於2025年9月11日發布《國家網絡安全事件報告管理辦法(下稱網安事件管理辦法)》,並將於2025年11月1日施行。網安事件管理辦法規定中國大陸之境內建設、營運網路或透過網路提供服務的網路營運者,於發生網路安全事件時的報告程序。 網安事件管理辦法值得注意或供我國參考有二者:一、與委外廠商之契約以其協力報告義務:該辦法第5條要求網路營運者應當以契約等形式,要求網路安全、系統維運服務提供商(含個人)向網路營運者報告監測發現,並協助網路營運者依辦法報告網路安全事件。簡言之,其透過法律監管網路營運商與委外廠商之間的契約或類似契約,以及報告之協力義務。二、個人資料與網路安全的關聯性:網安事件管理辦法透過《網絡安全事件分級指南》將網路安全事件分為1.特別重大網路安全事件、2.重大網路安全事件、3.較大網路安全事件、4.一般網路安全事件,四種分級。除關鍵基礎設施的中斷運行以外,前三個事件分級將100萬人、1000萬人、1億人以上公民個人資料丢失或被竊取、篡改、假冒,認定為較大網路安全事件以上等級,使大型網路安全事件與個人資料進行連接。換言之,網路安全事件不再僅是資安面的影響,公民個人資料完整性等法律概念逐漸進入資安領域,法律專業的投入將可能是網路安全發展中需審酌的範疇。
歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含: 今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障? 而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)? 於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」
美國於2020年12月4日正式施行聯邦《物聯網網路安全法》美國現任總統川普(Donald J. Trump)於美國時間2020年12月4日簽署物聯網網路安全法(IoT Cybersecurity Improvement Act of 2020),針對美國聯邦政府未來採購物聯網設備(IoT Devices)制定了標準與架構。 該法要求美國國家標準技術研究院(National Institute of Standards and Technology, NIST)應依據NIST先前的物聯網指引中關於辨識、管理物聯網設備安全弱點(Security Vulnerabilities)、物聯網科技發展、身分管理(Identity Management)、遠端軟體修補(Remote Software Patching)、型態管理(Configuration Management)等項目,為聯邦政府建立最低安全標準及相關指引。如果使用政府機關所採購或獲取之物聯網設備無法遵守NIST制定的標準或指引,則不得續簽採購、獲取或使用該設備之契約。 安全標準和指引發布後,美國行政管理和預算局(the Office of Management and Budget)應就各政府機關的資訊安全政策對NIST標準的遵守情況進行審查,NIST每五年亦應對其標準進行必要的更新或修訂。此外,為促進第三方辨識並通報政府資安環境弱點,該法要求NIST針對聯邦政府擁有或使用資訊設備的安全性弱點制定通報、整合、發布與接收的聯邦指引。 雖然該法適用範圍限於聯邦政府機關,惟因該法限制聯邦政府機關採購、獲取或使用不符合NIST標準或指引的物聯網設備,將促使民間業者為獲取美國政府訂單而選擇遵循NIST標準,未來該標準可能成為美國物聯網安全的統一標準。
美國病歷健康資訊科技化政策可望於10年內節省220億美元用藥支出美國「2009年經濟復甦暨再投資法」(America Recovery and Reinvestment Act, ARRA),將醫療產業中的醫療資訊科技列為重點發展項目之ㄧ。以國內全面採行「電子病歷健康記錄」(electronic health records, EHRs)系統為目標,共挹注190億美元的經費,透過聯邦醫療保險或醫療補助計畫的機制支付獎勵金,鼓勵醫師或醫療院所採購並建置院內的電子醫療資訊系統。自2011年至2015年,醫師或醫療院所符合實質EHR使用者(meaningful EHR user)的標準,至多可獲得44000美元的獎勵金;倘於2015年後,其尚未成為實質EHR使用者,則將以每年多1%的比例,逐年減少其醫療保險補助額,直至2019年將減少5%。為了施行此政策,ARRA規定主管機關須於2009年12月31日前確立EHR的標準,包含了相互運用性(interoperability)、臨床功能性(clinical functionality)及安全性等標準。 EHR系統的基礎,也就是電子醫囑(e-prescribing)所涵蓋的功能,能提供臨床及藥費的即時資訊,供醫師判斷何種藥物(包含學名藥)最為安全,且可符合病患經濟負擔;亦可顯示該病患用藥紀錄,及其他醫生曾開立的處方,供醫師比對並觀察病患潛在的藥物過敏現象,若系統偵測出藥物間相斥的情形,亦將自動發出安全警示。此外,以電腦輸入處方並自動傳送至領藥處的模式,不僅可省卻病患冗長的等候領藥時間,亦能減少藥劑師因難以判讀字跡所導致的配藥錯誤。 一項由美國藥物照顧管理協會(Pharmaceutical Care Management Association, PCMA)所贊助的調查研究指出,ARRA中的病歷健康資訊科技化措施,將使e-prescribing的運用率,在未來五年內增加75%;而在往後10年,此將減少約3500萬筆的用藥指示錯誤,消弭因服藥錯誤導致的死亡事件,並能節省220億的用藥支出;其所帶來的效益實遠超過政府所挹注的經費。