印第安那州對違反個資外洩通報義務之保險公司提起訴訟
印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。
前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。
經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。
前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。
除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。
2019年1月22日,歐盟執委會(European Commission)、歐洲議會(European Parliament)與歐盟理事會(Council of the EU)就修正「公部門資訊再利用指令」(The Directive on the re-use of public sector information,PSI Directive)的提案達成協議。歐洲議會則於4月4日通過提案,待歐盟理事會簽署正式的指令。 PSI Directive經過2003年制定(Directive 2003/98/EC)、2013年修正(Directive 2013/37/EU),於2017年為了履行指令規定的定期審查義務,召開了公眾線上諮詢,之後歐盟執委會根據諮詢結果及對指令的影響評估,於2018年4月25日通過修訂指令的提案,並於2019年1月達成協議。 此次修正將該指令更名為「開放資料與公部門資訊指令」(The Directive on the Open Data and Public Sector Information,以下稱新指令),預計能排除目前仍存在的公部門資訊取得障礙,並且要求將政府資助研究所產出的研究資料(publicly funded research data)也開放給公眾。此次修正的重點內容如下: 1、所有依據國家取用文件規定(national access to documents rules)下可取用的公部門資訊,原則上可以免費再利用,或者公部門可以收取為了提供、傳播資料所產出的費用,但該費用以不超過邊際成本(marginal costs)為限。這項改變,將使更多的中小企業和新成立公司能順利進入資料經濟市場。 2、新指令特別指出統計資料或地理空間資料屬於高價值資料集(high-value datasets),這些資料集具有高商業潛力,可以加速各種資訊產品或增值服務的產出,例如人工智慧。而新指令特別要求這些資料集應免費提供、使機器可讀,且透過應用程式介面(APIs)使他人能取用。但經評估後發現免費提供會造成市場競爭扭曲時,則不在此限。 3、關於公營事業及公共運輸所產生的有價值資料,不在現行PSI Directive規範範圍內,而各國對於是否必須提供資料有著不同的規定,但現在都必須依照新指令的規定使公眾可以免費再利用,不過仍可設定合理規費來收回相關行政費用。 4、有些公部門與私人企業制定了複雜的資料協定,導致公部門資訊被壟斷,新指令則要求各會員國應落實資訊透明,以及限制公部門與私部門訂立排除其他人可再利用公部門資訊的協定。 5、促進公部門資訊以動態即時資料方式發布,並透過使用者介面(APIs)使更多動態即時資料能被使用。而這也將使企業發展創新產品或服務,例如行動APP。 6、關於政府資助的研究,新指令將促進「政府資助研究而產出的研究資料」能更容易的被再利用,故各成員國被要求建立一致的再利用政策,使這些研究資料能透過資料庫(repository)被開放取用(open access),包含先前已經存入該資料庫的資料。 總而言之,本次修正將能夠降低中小企業進入市場的障礙,並增加公部門資訊的透明度和即時流通,也使公營事業資訊及政府出資研究所產出的研究資料能納入開放資料的範疇。
美國廢止FCC對ISP之隱私權規則2016年10月27日,FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點: 選擇加入(Opt-in):當使用或分享消費者之「敏感資訊」,須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄,以及通訊內容。 選擇退出(Opt-out):對於符合消費者期待的「非敏感資訊」,除非客戶Opt-out,ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外:推定客戶會同意之資訊,例如在客戶與ISP業者建立關係後,不須額外取得寬頻服務或計費之同意。 2016 Privacy Order通過後受到ISP業者大力抨擊,尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分,其認為如此可能扼殺電子商務發展,消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平,因此通過後半年,美國參議院與眾議院分別於2017年3月投票廢止,總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 廢止《寬頻用戶隱私保護規則》之原因為,消費者之個人資料雖可受到保護,但該規則僅適用於寬頻服務提供者與其他電信供應商,並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制,其餘網路服務則由FTC管轄,而FTC對隱私權之規範較為寬鬆,因此可能發生提供不同服務的兩家業者使用同一份客戶資料,受到的管制程度卻不同之情形。 贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範,因消費者能輕易在網站間轉換,卻不能輕易更換ISP,且ISP得以取得消費者在所有網站上之瀏覽資料,但如Google與Facebook等大廠雖非ISP業者,卻亦能取得不限於自身網站的客戶瀏覽資料。 由於《寬頻用戶隱私保護規則》已正式廢止,FCC將不得再通過其他相同或實質上相同之規範,對ISP業者之管制回歸《傳播法案》第222條,亦即,對於網站瀏覽與應用程式使用紀錄之使用或分享,不須取得客戶之事先同意。
英國與新加坡監管沙盒機制概述 日本網路購物標價錯誤判決與臺、日實務差異之研究