西班牙隱私保護專責機構對Google發動刑事制裁程序

　　中國大陸國家工商行政管理總局為加強網路交易消費者保護，在2014年03月15日起實施「網絡交易管理辦法」，就企業經營者責任新設多項規定。特別是針對第三方交易平台業者，辦法要求其建立交易規則、消費資訊保存、不良訊息處理、消費糾紛調解管道等管理制度，以確保平台服務品質。同时要求平台業者建立審查制度，對申請進入平台從事經營活動之賣家，進行身分審查與建檔，透過以網管網，達成有效率的網路身分管理。 　　另外，為確保網路交易市場秩序、公平競爭，本辦法亦例示多項不公平競爭行為態樣，包括任意調整信用評價、傷害他人商譽等影響交易秩序之欺罔行為，皆受到明文禁止。甚至在商標侵權情況中，平台在接收到侵權通知時，必須積極採取必要措施，否則就因此損害擴大部分，將與侵權行為人共同承擔連帶責任。 　　考量在兩岸近期簽署之「海峽兩岸服務貿易協議」中，陸方已承諾對台開放「在線數據處理與交易處理業務」之電子商務網站經營，待將來協議完成相關程序生效後，台灣電子商務業者在進入大陸市場經營交易平台時，勢必受到本辦法規範，實應留意相關要求以避免觸法。

　　美國第二大連鎖商塔吉特（Target）在12月19日正式發出郵件通知客戶，表示公司資訊系統因遭駭客入侵，從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊，約莫共4千萬筆，遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心，並對資料外洩的個別民眾提供免費的信用監督作為補償。 　　每當資安事件發生時，所有防毒軟體公司及資安管理服務都會跳出來大肆評論，並宣稱這是因為沒有購買自家資安服務或產品的關係，但在塔吉特事件，此番事後諸葛的批判方式顯然不再行得通。 　　塔吉特的資訊系統先前接受過檢驗，完全符合「支付卡產業資料安全標準（PCI DSS）」，有專家評析不太可能是在銷售點管理（POS）設備上（指擁有收銀、進銷存作業功能的機器）植入惡意軟體，比較可能是從授權與結算的交換系統竊取資料。 　　塔吉特的信用卡資料外洩事件，引發了一連串的訴訟案件及犯罪調查，目前加州提起了兩件團體訴訟、奧勒岡州一件，損害賠償額估計高於5百萬美元；另外，目前至少有四州的州檢察長（Attorney General）展開了聯合調查，直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊，民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間，從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。

美國聯邦貿易委員會（Federal Trade Commission，FTC）根據《健康違規通知規則》（Health Breach Notification Rule，HBNR），於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令（Proposed order）。擬議命令指經由行政機關調查案件後提出的改善建議，且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息；而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明，將妥善保護所蒐集之個資，然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司，用來進行目標式廣告的投放。 FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料，並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外，更要求BetterHelp, Inc.向網站的使用者進行退款，退款總額上限高達780萬美元。FTC在擬議命令中建議：涉及敏感性健康資料的事業負責人，除了需要重新檢視目前持有資料的隱私和安全性外，最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」，這兩個案例中的業者都是違反了自己當初對使用者的承諾，最終才導致被處罰的結果。

新加坡政府於2023年9月4日發布《無形資產揭露框架》（Intangibles Disclosure Framework, IDF），鼓勵企業以系統化的方式，主動對外揭露所持有之「無形資產」（如品牌價值、專利等），使利害關係人（如投資者、合作夥伴等）能進一步瞭解其「無形資產」現況，藉此創造「無形資產」更高的價值。本框架是在「新加坡智慧財產局」（Intellectual Property Office of Singapore, IPOS）及「會計與企業管理局」（Accounting and Corporate Regulatory Authority, ACRA）主導下，由產業代表組成的工作小組歷時2年討論後制定發布。 框架中指出，過去20年間，全球「無形資產」的投資和所創造之價值逐步超過「有形資產」。然而，傳統會計準則往往無法完全真實反映企業所持有之「無形資產」價值，亦即「無形資產」價值往往被低估。因此，本框架鼓勵企業主動揭露，並建議可將「無形資產」現況納入公司年報（Annual Report）中，亦可獨立成一份報告，與公司財報（financial statements）一同發布。 此外，企業在揭露「無形資產」時可依循以下四項原則（簡稱「SIMM原則」）： 1.策略（Strategy）： 企業應揭露「無形資產」與其商業經營策略的關聯性、佈局狀況、貢獻度，使利害關係人瞭解企業是如何利用「無形資產」維持其競爭優勢及替投資者創造更多的收益。 2.識別（Identification）： 本框架指出「無形資產」不用侷限於傳統會計準則的定義，企業應揭露「無形資產」的性質和特徵（包含如何取得），並建議可將「無形資產」分類，如：（1）行銷類；（2）顧客類；（3）契約類；（4）藝術類；（5）技術類；（6）人力資源類。 3.衡量（Measurement）： 企業應揭露其評估（assess）「無形資產」價值的績效指標與驅動因子，並以量化方式呈現。如針對商標等「行銷類」之「無形資產」，企業得以顧客滿意度、國際品牌排名作為評估之績效指標。企業亦可選擇揭露「無形資產」的貨幣價值（monetary value），其評價應依照國際評價準則（International Valuation Standards , IVS）進行。 4.管理（Management）： 企業應揭露其如何識別、評估、管理與各類「無形資產」相關之風險與機會，以及如何將這些程序整合至企業整體風險管理策略中，以協助利害關係人瞭解企業「無形資產」所面臨之風險和機會。譬如企業應明確揭露監控相關風險之頻率、定期更新風險管理政策和程序等。 新加坡總理公署部長（Minister of Prime Minister's Office）Indranee Rajah表示，本框架是「新加坡智慧財產戰略」（Singapore IP Strategy 2030, SIPS 2030）的重要推動措施之一，企業若能主動揭露「無形資產」現況，將有助於將其「無形資產」商業化、吸引更多的投資、增進風險管理、提升企業競爭力，持續強化新加坡作為全球智財活動及交易樞紐的地位。 本文同步刊登於TIPS網站（https://www.tips.org.tw）