預先擬定的事故應變計畫可降低資料外洩成本
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。
依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。
專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
美國商務部產業安全局(Bureau of Industry and Security, BIS)於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)法規預告(Notice of Proposed Rulemaking, NPRM),旨在透過進口管制措施,保護美國聯網車供應鏈及使用安全,避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公告之法規制定預告(Advanced Notice of Proposed Rulemaking, ANPRM)意見徵詢中的討論,本次法規預告明確指出受進口管制的國家為中國及俄國,並將聯網車輛資通訊技術及服務之定義,限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統,排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。法規預告中定義三種禁止交易型態:(1)禁止進口商將任何由中國或俄國擁有、控制或指揮的組織(下稱「中俄組織」)設計、開發、生產或供應(下稱「提供」)的車輛互聯系統(vehicle connectivity system, VCS)硬體進口至美國;(2)禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車;(3)禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 本次法規預告中亦提出兩種例外授權的制度:在特定條件下,例如年產量少於1000輛車、每年行駛公共道路少於30天等,廠商無須事前通知BIS,即可進行交易,然而須保存相關合規證明文件;不符前述一般授權資格者,可申請特殊授權,根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外,為提升供應鏈透明度並檢查合規性,BIS預計要求VCS硬體進口商及聯網車製造商,每年針對涉及外國利益的交易,提交符合性聲明,並附軟硬體物料清單(Bill of Materials, BOM)證明。BIS針對此規範是否有效且必要進行意見徵詢,值得我國持續關注。
歐盟「第五洗錢防制指令」將新科技於金融體系的應用納入管制歐盟於2018年4月19日宣布通過「第五洗錢防制指令」(the Fifth Anti-Money Laundering Directive),並於同年6月19日公布確定案文,其要求歐盟成員國必須於18個月內將該命令納入國內法律中。 歐盟在本次指令中,特別針對恐怖主義組織財政和運作方式揭示出所觀察的新趨勢,其指出某些作為替代金融體系的新技術服務越來越受歡迎,但卻不受法令所拘束,或是被豁免於相關法律適用外等不合理情事,因此「第五洗錢防制指令」為了跟上不斷進步的科技環境,乃要求法人、其他法律實體(legal entities)、信託及具有與信託類似結構或功能的法律協議(類似的法律協議) 應採取進一步措施,以確保提高金融交易的透明度,並藉此改進現有的預防框架,達到更有效地打擊資助恐怖主義行為的目的;另外歐盟亦於該指令中提醒所有採取的措施應和洗錢風險成比例。 有關「第五洗錢防制指令」主要新增及修正包含: 迎接新技術:託管錢包供應商(custodian wallet providers)和虛擬貨幣交換平臺將被視為新的義務主體而納入於洗錢防制法的範圍。另外「第五洗錢防制指令」還允許使用電子身分證明進行客戶盡職調查。 改進執法:各成員國須建立自身國家的銀行帳戶登記系統,以便執法當局能夠方便地查閱在該成員國內的所有銀行帳戶資訊。另外該登記系統須與其他成員國互相連線,並且即便在沒有提交可疑活動報告的情況下,執法當局也可以要求義務主體提供資料。 明確定義"重要政治性職務人士":各成員國都必須發佈一份清單,列出哪些屬於 "重要的公共職能"。 針對高風險第三國為更嚴格的管制:「第五洗錢防制指令」要求涉及高風險第三國的商業關係或交易須採取強化盡職調查措施,,並允許成員國限制義務主體在高風險第三國設立分支機搆或子公司,亦禁止總部設在高風險第三國的義務主體於成員國設立分支機搆。 提高公司實質受益權的透明度:各成員國的公司實質受益權登記將放寬查詢限制,公眾無須提出任何合法權益證明即可查閱基本資訊。另外還要求企業(登記義務主體)必須針對持有資訊與在登記系統上資訊的差異提出報告。 信託的實質受益權:「第五洗錢防制指令」擴大實質受益權申報義務主體範圍,要求任何類似信託的法律安排及租稅中立性的信託均須申報;另外還擴大該實質受益權申報的查閱至任何能提出具有合法利益的人,但其並未對合法利益提出定義,而是讓各成員國自行訂定。然而「第五洗錢防制指令」指出,該合法利益的定義不應侷限在行政或法律訴訟未決的案件,而是應針對洗錢防制及反資助恐怖組織領域的預防工作為考量。 禁止匿名保險箱。 調整預付工具(prepaid instruments)需進行盡職調查的門檻(如禮品卡、旅遊卡):價值要求從250歐元降低到150歐元。
英國最新追蹤定位服務恐引發新一波隱私爭議根據衛報指出,英國最新推出的手機行動定位追蹤服務恐將引發新一波個人隱私侵害爭議。該定位服務由業者World-Tracker提供,只要將欲追蹤的手機號碼輸入該服務網頁,就會有一通簡訊發到該手機介面上,詢問手機持有人是否希望被追蹤。若手機持有人以簡訊向系統回覆同意,World-Tracker就會在該服務網站上顯示出該手機位置地圖(目前使用Google地圖介面),精確值在50到500公尺。當手機移動,系統亦會隨時偵測手機位置並在網頁上顯示移動狀況。 經由電腦或手機等任何能上網的終端裝置即可使用該服務,目前能支援該服務的系統業者則包括Vodafone、O2、T-Mobile以及Orange。但已有人質疑,World-Tracker所提供的該項服務是否符合英國Ofcom所規範的個人隱私權保護正當程序,即定期發簡訊確認手機持有人之同意。此外,該服務將使非檢調機關得在未取得手機真正使用人同意之情形下,對手機位置進行監視,此亦有違反英國調查權法之虞(The Regulation of Investigatory Powers Act)。
全球最大無人機製造商DJI在美對科技新興公司Yuneec 提起專利侵權訴訟SZ DJI Technology Co.和DJI Europe B.V.(下簡稱DJI)來自中國,是世界上最大的無人機製造商,DJI向加州中區聯邦地區法院起訴科技新興公司Yuneec Intemational Co.Ltd.和Yuneec Usa Inc.(下簡稱Yuneec)涉嫌侵害其跟踪移動目標系統,和可拆卸支架360度攝影機鏡頭的兩項專利,且請求法院發布禁制令,以阻止進一步銷售,並請求損害賠償。 這兩項專利,一為美國專利編號9164506“跟踪移動目標系統”,一旦遠端操作員指定了目標,無人機會自動跟蹤並保持相機拍攝目標;另一個專利為美國專利編號9280038,可讓無人機的照相機旋轉360度進行拍攝,並連接到分離的手持式攝像機,DJI強調公司多年來為開發該產品投注相當的時間和資源。 總部位於香港的Yuneec在一月的消費電子展(Consumer Electronics Show)上引起轟動,Yuneec使用GPS感知技術避免危險區域如機場,媒體於消費展後的報導稱Yuneec的無人駕駛飛機已經威脅到DJI市場上的地位。 Yuneec在5月25日向加州中區聯邦地區法院提起反訴認為其無侵權,並表示目標跟踪是一個抽象的概念不能以此申請專利,“跟踪是一個古老的概念” Yuneec的代表律師威爾遜表示,“該506專利並不是要揭露新的跟踪技術,相反的它只是描述並使用眾所周知的無人機的跟踪技術“。而另項專利可拆卸的支架360度攝影機鏡頭,如GoPros已有類似的產品,甚至遠比DJI的產品還早之前。 本文同步刊登於TIPS網站(https://www.tips.org.tw)