印第安那州對違反個資外洩通報義務之保險公司提起訴訟
印第安那州首席檢察官Greg Zoeller對Wellpoint保險公司提起訴訟標的金額30萬美元之損害賠償訴訟,主張該公司因遲延向首席檢察署及超過32,000萬因個人資料外洩影響所及之客戶通報個資外洩事件,而違反印第安那州通報法〈Indiana notification laws〉中通報及揭露規定〈Chapter 3. Disclosure and Notification Requirements及Chapter 3. Disclosure and Notification Requirements〉,依法各得請求15萬美元罰金,此為印第安那州提起之首件違反通報義務之訴訟。
前述法令於2009年7月生效,新法規定個人資料擁有者〈database owners〉負有「通報義務」,其於個資外洩事件發生後,必須在「合理期間」〈within a reasonable period of time〉內,對「潛在受影響之個人」〈both the individuals potentially affected by a data breach〉,以及檢察署通報,惟經調查,該公司未於合理時間內通報前述應通報之對象。
經查該公司於今〈2010〉年2、3月間即發現客戶個資外洩,卻6月18日始通知客戶,檢察署展開調查後認定其遲延通報無正當理由,故代表印地安那州向其提起民事賠償。
前述所指外洩之個人資料包括:提出投保申請者之個人資料內容,諸如「社會安全碼」〈social security number〉、「財務資訊」〈financial information〉、「健康記錄」〈health records〉,因該保險公司網頁之照管者〈siteminder〉未能實行安全防護,使盜竊身分之人〈identity thief〉得以改變統一資源定址器〈URL〉而窺見申請者的個人資訊。
除印第安那州客戶外,該保險公司因客戶個資外洩亦使其他州投保申請者資訊曝露,包括:美國加州、科羅拉多、康乃迪克、肯特基、密蘇里、內華達、新罕布夏、俄亥俄及威思康辛等九個州,約有47萬個客戶可能因此受影響。
為展現對高科技產業的重視,即將於4月1日舉行之行政院科技顧問會議年度會議,會議重點將鎖定「科技人才發展」與「下世代網路環境建構」。在「科技人才發展」方面,林政委逢慶表示,科技人才發展攸關台灣科技核心競爭力,政府必須進行中、長期人才資源規劃運用,放眼到2015年,政府將持續積極推展延攬海外科技人才的計畫;在替代役條例修正納入研發替代役後,未來投入科技的役男員額,將從目前國防訓儲每年3,500名逐年放寬到1萬人。 另外,政府將在五年內提撥近320億元,發展軟性電子、RFID(無線射頻)、奈米科技、智慧型機器人、智慧化車輛、智慧化居住空間等六大策略性生活科技產業,今年將先提撥58億元投資這些策略性產業上。此外 行政院科技顧問對於發展台灣成為全球奈米研發中心有高度期許,近日亦在行政院科技會報中確認,今年起到2010年的五年內,將投入200億元於奈米科技生活化相關產業上。這是行政院產業科技策略會議所訂六大策略性科技產業中,編列預算最大的一筆。
英國資訊委員辦公室表示個人資料之處理應遵循GDPR,公務機關也不例外自西元2017年1月以來,英國稅務海關總署(Her Majesty's Revenue and Customs, HMRC)開始要求英國民眾使用線上語音方式進行身分認證,而民眾的聲音檔案亦被儲存至英國稅務海關總署的語音資料庫內。英國資訊委員辦公室(Information Commissioner's Office, ICO)深入調查後發現英國稅務海關總署的語音身分認證系統存在下列兩種違法情形: 未能向民眾充分揭露、告知民眾其語音、聲紋等生物識別資料如何被處理等資訊。 蒐集民眾的生物識別資料時,未能給予民眾自由行使同意或拒絕權利的機會。 英國資訊委員辦公室認為英國稅務海關總署前開情形已經違反了歐盟一般資料保護規則(General Data Protection Regulation, GDPR),根據歐盟一般資料保護規則,英國稅務海關總署在蒐集、處理或利用民眾個人資料時,必須合法、公正及透明,並應取得民眾的明確同意。英國資訊委員辦公室後續將要求英國稅務海關總署應刪除違法蒐集的生物識別資料。 本次英國資訊委員辦公室的執法行動是基於2018年5月25日生效的歐盟一般資料保護規則與英國2018年資料保護法(The Data Protection Act 2018),英國資訊委員辦公室強調創新的數位服務雖有助於民眾的生活更輕鬆,但絕不能以犧牲民眾的隱私為代價,同時也隱約透露著:「沒有一個組織(包含政府機關)能夠凌駕於法律之上。」。
美國「能源效率改革法案」簡介 2025年美國營業秘密管理重要實務本文整理美國2025上半年營業秘密管理重要實務,以協助企業強化營業秘密保護。 一、實務常見的兩種不當使用營業秘密情境 由於數位化發展與遠距工作盛行,員工可以更容易地透過隨身碟、電子信箱等方式接觸並傳輸機密(數位文件)。 提醒公司應留意兩個實務常見的不當使用營業秘密的情境: 1. 員工離職後創業或跳槽至競爭公司。 2. 在公司因收購計畫進行盡職調查時,或公司與他方存有供應商、獨立承包商等合作關係期間,公司與他方共享機密資料,接收資訊方卻於協商破局/合作結束後持續留存並不當使用機密。 二、為防患未然,建議公司應「打造營業秘密保護文化」 「打造營業秘密保護文化」的7項重點如下: 1. 識別機密 公司應識別自身所擁有的營業秘密,區分營業秘密與一般資料。如果公司不清楚自己的營業秘密範圍,也會增加員工不知道需要謹慎處理哪些資料的風險。 2. 控管機密文件的重製、流通行為 監控機密文件的列印、下載等重製行為,禁止將公司機密資料傳輸至私人信箱或私人雲端帳戶。 3. 與員工簽訂保密契約,定期提醒保密義務,並客製化員工培訓課程 公司除與員工簽訂保密契約外,當員工開始新專案、轉調部門或升遷時,職務內容的變動,也會連帶影響公司需要向員工更新其對保密義務的理解。 公司應自員工入職起,進行定期的保密培訓與宣導,並針對特定職位客製化相關具體的保密情境,讓員工能夠確實了解公司的保密政策,知道自己應採取/不應採取某些行動,以及行動背後的原因。例如:工程師須了解技術文件的保護方式;銷售團隊需要與客戶資料、定價策略相關的保密培訓課程。 4. 離職人員管理 離職面談應明確提醒員工具持續性的保密義務,且留下相關紀錄,內容應包含對員工任職期間所接觸任何營業秘密的討論資訊,並讓員工簽署書面聲明,確認自己具有保密義務。 5. 網路控管 遠距登入公司系統須透過VPN。 6. 外部活動管理 公司應留意與外部單位(潛在合作夥伴、供應商或客戶)共用敏感資料時,契約須明確約定可共用的資料範圍、可共用資料的人員以及可共用資料的情境。契約應包含保密契約、標示機密資料、返還機密的流程以及定期稽核以確保遵守保密義務。 7. 稽核與改善 定期稽核與持續改善有助於強化營業秘密保護機制,例如:法務、資訊、研發及銷售等部門跨部門協力合作,並持續培訓以打造營業秘密保護文化。 三、面臨營業秘密訴訟,行動策略為關鍵 營業秘密案件通常需要立即採取行動,以防止造成無法彌補的損害。由於在訴訟階段,法院不會僅憑「懷疑」或「模糊描述」就核發禁制令。建議公司平時應落實以下管理措施,以便能夠在發現風險行為後2~3天內,迅速蒐集相應佐證: 1. 證據保全機制應包含:妥善保存電子郵件、系統存取紀錄、裝置使用紀錄等證據。 2. 區分營業秘密的範圍。 3. 持續執行公司所設定的控管措施,如:公司保密政策;保密契約、僱傭契約等契約的保密義務;員工培訓。 4. 留存能夠佐證營業秘密的經濟價值的相關資訊,如:研發投入成本、競爭優勢等。 綜上,公司如欲減少實務上營業秘密糾紛風險,應及早確認是否落實、需要精進公司的營業秘密管理機制,建議國內公司可參考資策會科法所創意智財中心於2023年發布之「營業秘密保護管理規範」,協助公司檢視並循序調整營業秘密管理作法。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)