三菱電機informationsystems公司所研發用於圖書館的系統封包MELIL/CS造成引進系統的圖書館發生個人資訊外洩與Web館藏檢索系統當機的系統障礙。從2010年7月到9月因系統障礙,總共有3間圖書館,共2971人的姓名、出生日期、住址、電話及圖書名稱等個人資料外洩。
有關個人資料外洩的經過,是因為三菱電機informationsystems公司在研發MELIL/CS系統時,先在引進系統的圖書館進行系統測試,於測試之後再將系統程式帶回公司修改,此時就不知情的將存有個人資料的程式帶回公司,也把這些資料登錄到產品的原始碼上。因此將進行測試的2間圖書館使用人約210人的個人資料登錄於該產品的原始碼上。
但發生個資外洩的直接原因更在於負責三菱電機informationsystems公司產品運作、維修的銷售伙伴千代田興產公司,該公司所設置的伺服器完全沒有設定權限區分,甚至不需密碼就可以連接該公司伺服器存取資料。因此發生第三人進入該公司伺服器,下載3個引進該系統圖書館約3000人的個人資料。
另外對於Web館藏檢索系統當機的發生,是因為圖書館使用人為了獲取圖書館新增加館藏圖書的資訊,以自動蒐集資訊程式直接存取館藏資料庫所發生。三菱電機informationsystems公司當初在設定網路連接圖書館系統,是以一次存取可以連接10分鐘的方式,所以只要以連接頻率高的機械性存取,只要超過資料庫的同時連接數的設定數值,就會發生存取障礙。
對於三菱電機informationsystems公司系統設計失當及千代田興產公司未設定伺服器存取權限所造成個人資料外洩事件,因為這兩家公司都是屬於財團法人日本情報處理開發協會(JIPDEC)的取得隱私標章企業,所以由JIPDEC依據隱私標章營運要領中的「有關賦予隱私標章規約」第14條規定,各處以由2011年1月起3個月的隱私標章停權處分。
英國藥物及保健產品管理局(Medicines and Healthcare Products Regulatory Agency, MHRA)於2022年6月22日公布「英國醫療器材監管的未來之公眾諮詢政府回應」(Government response to consultation on the future regulation of medical devices in the United Kingdom),確立未來醫材監管方向。本次諮詢收到將盡900件回應(民眾與業者大約各半),結果顯示民眾業者對於強化醫療器材安全監管的支持。 MHRA將強化MHRA的執法權力,以確保病患安全,並且關注健康不平等議題並減少AI偏見問題;其監管設計上會考量歐盟和全球標準,並致力於建立英國符合性評鑑(UK Conformity Assessed, UKCA)。MHRA於安全方面,將增加製造商、進口商與經銷商的責任,並要求有英國地址的負責人對瑕疵商品負擔法律責任(構成法律責任的要件與製造商同)。其亦將要求製造商賠償被不良事件影響的人、禁止行銷上使用引人錯誤之表示、導入醫材之單一識別碼(Unique Device Identifiers, UDI)與增加註冊所需提供之資料,且製造商須建置上市後不良反應監測系統並回報統計上顯著的不良事件趨勢。創新方面,MHRA欲增設「創新醫療器材上市管道」和「軟體醫材上市管道」,以顧及創新與軟體醫材特殊需求。針對一般軟體醫材(software as a medical device, SaMD)與人工智慧軟體醫材(AI as a medical device, AIaMD)的監管,MHRA僅欲於法規中增加「軟體」的定義,其他規範將由指引的形式公布。此外,其將AIaMD視為SaMD的一種,並不會額外訂定AIaMD相關規範。
美國修正通過外國情報偵察法(FISA)美國近期通過「外國情報偵察法」(Foreign Intelligence Surveillance Act, FISA)之修正案,其中,原先於1月份到期的第七章(Title VII)702條款(Section 702),重新延長授權6年,直至2023年12月31日。 此法案於1978年生效,為美國第一個要求政府須先獲得法院許可,始能進行電子監視的法律。法案宗旨係為平衡國家安全以及人民權利,基於憲法第四修正案對人民的保障,使身處美國領土內的人民免於被恣意監視,國家在通常情況下,須獲得外國情報偵察法院(Foreign Intelligence Surveillance Court, FISC)搜索票(warrant)才可對人民進行搜查。 本次法案修正通過後,使聯邦調查局能夠持續使用情報數據資料庫,以獲取有關美國人的信息,但法案新增要求聯邦調查局在預測性刑事調查中(predicated criminal investigation)如要索取與國家安全無關的內容,必須事先經FISC法院審查許可(court order)。 因911恐攻事件後出現的反恐需要,2008年增訂第七章702條款為FISA的正式條款,原本在今年1月到期,法案修正通過後,此條款延長授權6年。目的為美國公民提供隱私保護,禁止政府針對美國公民和位於美國境內的外國人為監視對象;僅處於國外的外國人,涉及外國情報資訊才可被列為本條進行監視的目標。允許情報部門,在三個政府部門(外國情報偵察法院,行政部門和國會)的監督下,收集關於國際恐怖分子,武器散布者以及其他位於美國境外的重要外國情報。 此項修正案保留702條款的操作靈活性,並加入了一些增強隱私措施及要求。惟,受質疑且具爭議的是,702條款條文內容規範,允許美國政府的情報機構--國家安全局(National Security Agency, NSA)基於該條款,例外不需法院搜索票,可向Google、Apple、微軟、Facebook或電信業者等美國企業蒐集、調閱國外非美國人用戶的海外通訊內容(包含電子郵件、電話、其他私人信息等),當這些被監聽的國外用戶之通訊對象係涉及美國人時亦同;意即,若美國人曾接觸被鎖定的國外對象,也會被納入調查並取得通訊紀錄等個資,且禁止業者通知受影響的用戶。曾有國會參議員試圖修改此法案,加入隱私保護條款,但最終並未獲多數同意。
英國NCSC針對使用高風險供應商之電信網路提出風險管理建議英國於2020年1月31日正式脫歐,同時積極爭取與重要貿易夥伴美國簽訂自由貿易協定(Free Trade Agreement, FTA)。然而,美國認定中國大陸華為的5G設備存在資安風險,可能被用於間諜活動進而威脅國家安全,故主張美英貿易合作與情報共享的前提,必須建立在英國排除使用華為5G網路基礎建設之上,對此英國嘗試透過政策研擬,在5G經濟發展與國家安全間求取平衡。英國國家網路安全中心(National Cyber Security Centre, NCSC)於2020年1月28日,即針對使用「高風險供應商(High risk vendors簡稱HRV)」之電信網路,提出風險管理建議,說明如何因應HRV帶來的網路安全風險及挑戰(須注意高風險供應商HRV不一定是關鍵供應商Critical Vendor,必須透過關鍵與否及風險高低兩個變動因素加以細部區分)。目前英國5G及光纖到戶(Fiber To The Home, FTTH)計畫推動處於關鍵階段,NCSC向電信營運商提出有關使用HRV設備的非拘束性技術建議,將有助於保護營運商免於外部攻擊,並降低英國電信網路的國家安全風險。 NCSC在報告中,針對何謂高風險供應商,及如何管理這些供應商帶來的特定安全風險,提出詳盡判斷標準包括:供應商在英國及其他地區網路中的戰略地位及規模、對網路安全控管品質及透明度、過去商業行為及慣例、向英國營運商供應技術的穩定性及彈性等。另外供應商有無接受外國政府補貼及營業地點是考量重點:包括該廠商所屬國家政府機構對其施加影響之程度、是否具備攻擊英國網路能力、業務營運的重要組成部分是否受到本國法律監管,進而與英國法律相抵觸甚至進行外部指導等。 又為減少由HRV引起的網路安全風險,NCSC對於HRV控管提出具體建議。包括應限制在5G或FTTP網路核心功能中使用HRV產品及服務,並將高風險廠商供應上限設定為35%,有效進行網路安全風險管理,平衡安全性風險和市場供應多樣化彈性需求。另外,其他具備敏感性的網路營運模式,例如大量個資蒐集、語音系統、記錄備份系統、寬頻遠端接入系統(BNG / BRAS)等,必須根據具體情況,對HRV進行限制;且不得在與政府營運或重要國家基礎設施,及任何與安全系統直接相關的敏感網路中使用HRV設備。目前,中國大陸華為是英國NCSC唯一認定的HRV廠商,華為被禁止參與英國5G網路建設的核心部分且受有市占率35%的供應限制;華為亦需遵守NCSC要求,訂定風險緩解策略,確保產品及服務不致威脅英國網路即國家安全。
Google關鍵字廣告在美國贏得重要勝利美國聯邦法院近日判決Google販售含Rosetta Stone的關鍵字廣告,並不會造成Rosetta Stone商標的混淆而構成侵權,同時也沒有商標淡化、輔助侵權以及侵權的連帶責任等問題。 在Rosetta Stone與Google一案(Case No. 09cv736, E.D. Va., 8/3/10)的判決中,法院並未再著墨於過去十年來爭論不休的關鍵字廣告販售是否構成商標使用的問題;在本案中,法院假定Google的行為構成潛在可訴的商標使用,在沒有事實爭議的情況下做出對Google有利的即決審判(summary judgment)。判決中認定Google販售Rosetta Stone關鍵字廣告給第三人,並不會對Rosetta Stone的商品來源造成混淆,法院認為Google的使用者可以分辨實際的搜尋結果,以及廣告主的贊助廣告連結。 法院也認定Google對於Rosetta Stone商標的使用受到功能性原則的保護。在本案中法院認為Google的關鍵字扮演著必要的指示功能,並影響廣告的成本與品質。如果沒有這樣的功能,Google將必須為希望鎖定在目標客戶的廣告主創造一個沒效率的搜尋系統。 而過去6個月近200個案例中,Google都在接到Rosetta Stone的通知後,將相關訊息移除,因此,法院援引近期Tiffany 與eBay一案(600 F.3d 93, 2d Cir. 2010),認為Google對於贗品販售者購買關鍵字廣告的一般性認知,尚不足以構成輔助侵權的主觀認知要件。 另外,法院認為僅僅廣告購買的交易關係,並不足以讓Google與贗品之間建立起侵權的連帶責任,就像時代廣場的廣告看板租用一樣,沒有證據顯示提供廣告空間的Google掌控這些贊助廣告的外觀與內容;而在2004年Google開始開放以商標作為關鍵字廣告之後,Rosetta Stone的聲譽持續成長,法院表示無法證明Rosetta Stone的商標因為Google關鍵字廣告販售而淡化。 本案的判決可能終止長久以來對於以商標作為搜尋引擎關鍵字的爭議,儘管商標權人在Rescuecom與Google一案(562 F.3d 123, 2d Cir. 2009)中確認了這樣的行為構成了可訟的商標使用行為,但這樣的行為是否構成侵權仍有待進一步的檢驗,而近五年來Google的關鍵字廣告販售已經變成普遍的商業型態,而Google使用者也越來越習慣分辨一般搜尋結果與贊助廣告的差異,因此,對於這樣的行為要被認定為有混淆誤認之餘而構成侵權,商標權人在美國恐怕還有一段辛苦的路要走。