美國資訊安全分析新挑戰：巨量資料（Big Data）之應用

　　歐盟在今年5月19日公布的數位議程（Digital Agenda）中，設定了多項寬頻建設目標，包括所有歐洲民眾於2013年均能擁有基本寬頻， 2020年擁有30Mbps以上的高速寬頻，與50%以上的歐盟家戶擁有100Mbps以上的超高速寬頻。為達成此項目標，歐盟執委會於今年9月20日提出了採納下世代網路管制建議（Commission Recommendation on regulated access to Next Generation Access Networks（NGA））、提出未來五年的無線電頻譜政策計畫，與鼓勵公、私部門進行寬頻網路投資等三項主要推動措施。 　　 在NGA管制建議正式公布前，執委會曾於2008年與2009年兩度就建議草案進行公開資詢。執委會認為，此一建議除了可提升管制明確性，避免管制假期（regulatory holidays）外，並在鼓勵投資與維護競爭間取得適當平衡，其重要管制原則如下： 　　1. 管制者對於獨占業者之光纖網路接取進行成本訂價管制時，應藉由風險溢價（risk premium）充分反應投資風險，使投資者能獲取具吸引力之利潤。 　　2. 管制者應採取適當的接取管制措施，促使新進業者進入市場，使其可依投資階梯（ladder of investment）逐步建置其自有網路，促進基礎設施競爭。 　　3. 管制者所採取之事前管制措施，應反映個別市場與城鄉區域之市場競爭差異。 　　4. 管制建議強烈支持NGA網路的共同投資，並對長期或大量的光纖迴路接取合約，允許在一定條件下給予價格折扣。

　　日本政府基於(1)行政的效率化(2)提升國民便利性及(3)實現公平、公正的社會等目的，於2015年10月以後開始分發記載國民姓名、住址、性別、個人編號等相關資訊的「通知卡（通知カード）」，日本民眾藉著通知卡至各地相關單位申辦正式「個人編號卡（マイナンバーカード）」，並於2016年01月正式開始實行。 　　然而此項制度在施行之初即爭議不斷，住在東京、大阪等地的156名居民於2015年12月01日向東京、仙台、新潟、金澤、大阪共五個地方法院提起民事訴訟，請求日本政府停止蒐集、利用並且刪除個人編號，同時要求給予每人十萬日圓的損害賠償。原告訴狀以日本年金機構受到網路攻擊而有125萬件個人資料流出為例，認為現今關於個人編號制度的行政機關及民間企業的安全防護對策並不充分，主張有極高洩漏「關於稅務及社會福利個人資料的危險性」，同時主張個人編號制度並未取得本人同意即蒐集個人資訊，侵害憲法第13條保障的「控制自我資訊的權利」，亦即隱私權及人格權。 　　2003年開始正式啟動的 「住民基本台帳網路系統（住民基本台帳ネットワーク）」先前也被提起類似訴訟，惟最高法院認定「制度或系統尚未不備、並沒有侵害隱私權」而認定合憲。本案原告律師團則認為住民基本台帳網路系統僅有行政機關接觸到個人資料，而個人編號制度則連民間企業都能接觸到個人資料，因此原告律師團的水永誠二律師即表示：「個人編號制度和住民基本台帳網路系統相比規模更大。就算住民基本台帳網路系統被認定合憲，也不構成個人編號制度合憲的理由。」 　　儘管本件訴訟的勝訴效力僅及於當事人，不會立刻決定個人編號制度存廢。惟若能動搖該制度適用於所有擁有住民票的人的前提，則日本政府將被迫重新檢討個人編號制度，本訴訟的後續發展值得繼續觀察。

美國華盛頓州《我的健康我的資料法》（My Health, My Data，以下簡稱該法）於2024年3月31日生效，該法係於2023年4月27日通過。目標在於保護華盛頓州消費者的健康資料，特別是生殖健康相關資料（data related to reproductive healthcare）。所拘束對象並不在HIPAA之監管範圍內，包括穿戴式裝置（wearables）、特定零售購物和非HIPAA 所規範之遠距醫療服務（telehealth services）所蒐集之資料。 該法最繁瑣合規要求之一為，受監管對象必須在其主頁上公佈消費者健康資料相關隱私權政策（下統稱隱私權政策）連結，連結必須為獨立、特定且不得包含該法所未要求之額外資訊。另針對小型企業，則設有三個月之緩衝時間，即應於 2024 年 6 月 30 日前遵循該要求。 隱私權政策必須清楚且醒目地揭露以下內容： 1. 所蒐集之健康資料類別和蒐集目的，包括將如何使用這些資料； 2. 所蒐集健康資料來源及類別； 3. 共享之健康資料類別； 4. 共享消費者健康資料的第三方或相關企業之類別；以及 5. 消費者如何行使該法所賦予之權利，包括撤銷同意和要求刪除之權利。 最重要的是，除特殊情形外（即1.已揭露其他特定目的2.取得消費者對其他特定目的所為蒐集、使用、揭露之明確同意），受監管對象不得基於隱私權政策中未明確揭露之任何其他目的，蒐集、使用或共享消費者健康資料。 若違反該法相關規定，即被視為違反《華盛頓州消費者保護法》（the Washington Consumer Protection Act），可由華盛頓州總檢察長提出強制執行。另該法為美國第一部保護大量健康資料之法律，顯現對消費者資料保護監管逐漸嚴格之趨勢。

　　美國芝加哥地方法院於2016年01月04日肯認關於美國雅虎公司(Yahoo Inc)因於2013年3月對美國行動服務斯普林特公司(Sprint Corp)用戶散發垃圾訊息的團體訴訟。本件原為2014年由原告Rachel Johnson提訴，芝加哥地方法院法官Manish Shah認定本件原告已經充分主張本件團體訴訟的共通性，往後所有在2013年被發送該等訊息的用戶，都能加入本件訴訟集團提訴。而根據法院的文書資料，未來將會有超過50萬的斯普林特公司用戶能加入本件訴訟。 　　原告主張雅虎的簡訊服務向其以及其他斯普林特用戶寄發垃圾訊息而違反1991制定的電信消費者保護法(The Telecom Consumers Protection Act of 1991)。該等簡訊服務會將發信者的線上即時訊息轉為簡訊寄送至受信者的行動電話，同時系統會自動加入預設的「歡迎」訊息。依照電信消費者保護法規定，禁止以自動系統向使用者發送未得同意的簡訊、傳真或是撥打電話，違反者每一行為將被求償500~1500美元。因此本件若主張成立，雅虎將面臨每則訊息最高1500美元的損害賠償。 　　雅虎雖然主張該等訊息並非電信消費者保護法所禁止的擾人、極端巨量的通信，僅為對接收者已經收到來自其他發送者訊息的提醒而已。同時雅虎也主張若肯認該等團體訴訟，將導致損害賠償數額與原告所受損害不相當，而引發後續訴訟。法院並不接受雅虎的主張。現階段雅虎對法院的決定拒絕評論。