印第安那州對違反個資外洩通報義務之保險公司提起訴訟
印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。
前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。
經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。
前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。
除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。
英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2013年8月8日發布當事人近用請求權實務準則(subject access code of practice),以協助資料控制者遵循1998年資料保護法(Data Protection Act 1998,DPA)有關當事人行使近用權(access right)之規定。 根據DPA,任何資料主體都有權利接觸、查詢其被資料控制者擁有之個人資料,即當事人向資料控制者請求近用其個人資料之權利。當事人近用請求權實務準則闡明資料主體的查閱請求權、製給複製本請求權等權利,與資料控制者回應當事人近用請求權的責任,該項權利允許當事人查詢其信用卡紀錄、健康紀錄等資料,資料控制者一旦收到當事人請求,必需於40天內回覆。 ICO同時發布10項簡易步驟,以協助資料控制者衡量回應當事人近用請求權。內容包括:1.確認當事人提出之請求是否為當事人近用請求權;2.確保有足夠資訊可識別請求者的身分;3.若需要更多資訊以釐清請求者之需求,立即向請求者提出;4.若需收費,及時向請求者提出;5.確認是否有請求者需求的資訊;6.即使紀錄不正確或令人尷尬,都不要試圖更改該紀錄;7.衡量紀錄中是否含有他人資訊;8.確認是否有提供資訊之義務;9.確認能解釋資訊中的複雜名詞;10.於適當的情形下,永久保存回覆當事人資訊的副本。 這項實務準則將協助資料控制者更即時且有效地處理當事人對其資料近用請求之相關事項,同時證明資料控制者係以公開且透明之方式妥善管理其所蒐集之顧客資料。
美國紐約州通過《政府自動化決策監督法》規範州政府使用自動化決策系統紐約州州長於2024年12月21日簽署《政府自動化決策監督法》(Legislative Oversight of Automated Decision-making in Government Act, LOADinG Act),用以規範紐約州政府使用人工智慧自動決策系統的方式以及相關義務,成為美國第一個通過這類法律的州。 該法所定義之「自動化決策系統」係指任何使用演算法、計算模型或人工智慧技術,或其組合的軟體,用於自動化、支援或取代人類決策;這類系統亦包括應用預定義規則或機器學習演算法進行資料分析,並在自動產生結論、建議、結果、假設、預測。 針對政府使用自動化決策系統之情形,《政府自動化決策監督法》有三大重點:人類監督、影響評估以及資訊揭露。 一、人類監督 州政府在提供社會福利資源或其他可能實質影響人民權益與法定權利的業務時,除非是在「有意義的人工審查」下進行操作,否則不得使用自動化決策系統。同時,此法也強調,州政府亦應確保其員工現有權利不會受到自動化決策系統的影響,例如不得因此受到解雇、調職或減薪等。 前述有意義的人工審查,係指對自動化決策流程進行審查、監督及控制的工作人員,必須是受過訓練、對該系統有一定之了解且擁有權力干預、變更系統最終決策的人。 二、影響評估 州政府如欲使用自動化決策系統,應進行影響評估且每兩年應至少重新評估一次;系統在進行重大更新前,也應重新進行影響評估。若評估發現系統產生歧視性或有偏見的結果,機關必須停止使用該系統及其生成的資訊。 影響評估的項目除了性能、演算法及訓練資料外,亦應進行準確性、公平性、偏差歧視、以及個人資料安全等相關測試。 三、資訊揭露 影響評估需在系統實施前至少30天提交給州長與州議會,並在相關機關的網站上公布;僅機關在特殊情況下(例如涉及公共安全考量),州政府可針對報告揭露之資訊進行必要的刪改,但必須說明做出此決定的原因。此外,州政府亦需於本法通過後向州議會提交報告,說明包括系統描述、供應商資訊、使用開始日期、用途、人類決策的支持或取代情況、已進行的影響評估摘要等。 本法強調對人工智慧技術的審慎應用,特別關注其對勞工權益的影響。該法明確規定,禁止在無人類監督的情況下,使用自動化系統進行失業救濟或育兒補助等福利的審核決策,並保障州政府員工不因人工智慧的實施而減少工作時間或職責。此類規定在現行立法中較為罕見,顯示出立法者對勞工權益的高度重視。該法的實施效果及影響,值得未來持續保持關注。
數位內容通路商收購相關支援技術數位內容於廣播應用上銷售與管理解決方案的領導廠商拜斯法爾 (Pathfire, Inc)於日前收購了相關的支援技術 Digital Media Gateway (DMG) Server Connect for Programming,並將此一技術應用於十二個廣播站上。 在技術整合之後, 拜斯法爾的程式聯結伺服器,將得以直接將 DMG伺服器之數位內容傳輸至廣播站的空中播送伺服器,並保留原先的數位格式。 隨著廣播電視的數位化,數位內容、廣播電視與相關數位技術的整合,應是未來發展的趨勢。相關技術的整合與相關企業的轉投資與併購,應會持續增加。政府在擬定政策與相關法令之時,宜事先掌握相關趨勢,因勢利導,以達事半功倍之效。
理財顧問主張前公司競業禁止條款違法,聲請法院中止仲裁程序於2025年,Parallel Advisors的理財顧問Nicole Amore(下稱Nicole)向其前雇主Falcon Wealth(下稱Falcon)提起訴訟,請求法院停止Falcon提起的仲裁程序。 本案源自於2025年2月,Nicole自Falcon離職後隨即加入Parallel Advisors,而同年4月,Falcon向仲裁機構申請仲裁,主張Nicole違反合約中關於離職後禁止招攬公司現有或者潛在客戶的規定,指稱Nicole除了下載或截圖公司客戶資訊至其個人設備外,更在尚未離職時即與客戶聯繫,通知客戶其即將轉任新公司之事。 對此,Nicole則援引《加州商業與職業法》第16600條和第16600.5條規定,主張該等競業禁止及限制招攬的條款為違法。 此類因為顧問移轉任職所引發之客戶資訊移轉爭議,在顧問產業中時有所聞,惟目前法院尚未對本案作出裁定,後續發展值得持續關注。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)