預先擬定的事故應變計畫可降低資料外洩成本
根據Ponemon Institute的調查,2011年至2012年中,英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出,若企業備有正式的事故應變計畫,每件資料侵害事故的平均成本會降低至13英磅左右。除此之外,雇用外部顧問來協助應變,每件資料侵害事故的平均成本也會節省4英磅。
依據新的資料保護法律架構,歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時,根據不同委員會的需求,未來將針對特定產業,制定新的網路與資訊安全管理規範。。
專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險,同時也進行風險轉移的處置措施。各項事故應變計劃之中,保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外,企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家,信用監測提供者或是資料侵害事故的事務處理公司,例如:協助發送事故通知的公司。保險業建置的專家網絡,未來將可以幫助要保人,以最快最省成本的方式處理相關事故。
伴隨人工智慧、大數據及雲端運算浪潮,生物辨識技術逐漸成為日常生活的一部分。所謂生物辨識技術,是指利用個人獨特之生物特徵辨識個人的技術。生物特徵包含任何人類生理或行為特徵,只要能夠滿足普遍性、獨特性、不變性及可蒐集性 ,即可作為生物辨識之資訊。由於生物辨識技術能利用生物特徵達到識別與驗證個人身分,因而引發公眾對隱私、資安等議題的關注。 對此,紐約市於2021年7月21日也開始正式施行《生物辨識隱私法》(biometric privacy act) ,期能藉由限制業者利用生物辨識技術以及賦予消費者訴訟權利作法,促成隱私權的週全保障。 該法主要有三大部分: 一、規範生物辨識資訊範圍,包含但不限於(1)視網膜或虹膜掃描(2)指紋或聲紋(3)手或臉部立體掃描或是其他可用於識別之特徵。就前開生物特徵,要求業者應在所有消費者入口處放置清晰顯眼的標誌,搭配簡單易懂方式揭露其蒐集、保留、儲存消費者生物辨識資訊行為。同時,也明文禁止業者將消費者生物辨識資訊以販賣、租賃、交易或是分享方式交換任何相關價值或利益。 二、提供受侵害之消費者訴訟權與法定賠償請求權。但是,就單純未符合揭露要求之業者,該法給予30天的補救期間,要求消費者應於起訴前30天通知業者改善,一經改善即不得再起訴。 三、闡明政府相關部門不適用本法。金融機構、業者與執法部門共享生物辨識資訊,以及單純以影像、圖像蒐集而未分析識別情形則豁免揭露規範。 綜上,紐約市於該法創設訴訟權、法定賠償數額及豁免事由,預料將會是紐約市企業隱私保護政策重要指標,而值得我們繼續關注其發展與影響。
歐洲議會全體會議投票通過《資安韌性法》草案,以提高數位產品安全性歐洲議會於2024年3月12日全體會議投票通過《資安韌性法》(Cyber Resilience Act)草案,後續待歐盟理事會正式同意後,於官方公報發布之日起20天後生效。該草案旨於確保具有數位元件之產品(products with digital elements, PDEs)(下簡稱為「數位產品」)具備對抗資安威脅的韌性,並提高產品安全性之透明度。草案重點摘要如下: 一、數位產品進入歐盟市場之條件 課予數位產品之製造商及其授權代理商、進口商與經銷商法遵義務,規定產品設計、開發與生產須符合資安要求(cybersecurity requirements),且製造商須遵循漏洞處理要求,產品始得進入歐盟市場。 二、數位產品合規評估程序(conformity assessment procedures) 為證明數位產品已符合資安及漏洞處理要求,依數位產品類別,製造商須對產品執行(或委託他人執行)合規評估程序:重要(無論I類或II類)數位產品及關鍵數位產品應透過第三方進行驗證,一般數位產品得由製造商自行評估。通過合規評估程序後,製造商須提供「歐盟符合性聲明」(EU declaration of conformity),並附標CE標誌以示產品合規。 三、製造商數位產品漏洞處理義務 製造商應識別與記錄數位產品的漏洞,並提供「安全更新」(security updates)等方式修補漏洞。安全更新後,應公開已修復漏洞之資訊,惟當製造商認為發布相關資訊之資安風險大於安全利益時,則可推遲揭露。 四、新增開源軟體管理者(open-source software steward)之義務 開源軟體管理者應透過可驗證的方式制定書面資安政策,並依市場監管機關要求與其合作。當開源軟體管理者發現其所參與開發的數位產品有漏洞,或遭受嚴重事故時,應及時透過單一通報平臺(single reporting platform)進行通報,並通知受影響之使用者。
Palm支付2.25億美元與Xerox達成專利侵權和解由於 Palm 採用 3C om 的手寫辨識技術,於 1997 年遭 Xerox 控訴侵犯其在 1997 年所取得的 Unistrokes 專利權, Xerox 要求 Palm 支付 Graffti 的使用權利金,否則便應停止在其 PDA 中使用此項技術。此案於今年 (2006) 6 月 28 日 經 紐約西區美國地方法院法官 Michael Telesca 判決 Palm 的 Graffiti( 手寫辨識軟體 ) 的確已侵害到 Xerox 權利。 Palm 同意支付 2.25 億美元以取得 Xerox 手寫辨識軟體的合法授權使用權,結束 1997 年以來長達 9 年的法律訴訟。事實上, Xerox 在 1997 年是控告後來被 3Com 收購的 U. S. Robotics 公司, 但 這家公司之後被 3Com 買下,後來 3Com 再將其獨立 成立 Palm Inc ,當時 Palm 將 Graffiti 技術嵌入旗下的 Pilot PDA 中,也把使用了 Graffiti 技術的軟體賣給其他 PDA 製造商。 這次 Palm 所支付的費用涵蓋了 Palm Inc 、 PalmSource 及 3C om ,這三家業者均取得 Unistrokes 及 Xerox 其他兩項技術的專利的授權。雙方的協議包括 7 年的「專利和平」( patent peace )期,在這期間內允許合理使用談定的專利,而且不再互控對方。
eBay強制澳洲消費者使用PayPal引發批評線上拍賣網站eBay以澳洲為實驗對象,實行強制澳洲消費者使用PayPal線上支付服務之政策,預估於2008年6月l7日開始,直接存款、個人支票與匯票將被排除於支付工具之外。此為eBay第一次採用限制支付的方式,預估未來也可能推行於其他的市場。消費者可使用PayPal、現金提貨或Visa與MasterCard金融卡之方式來付款,但均須藉由PayPal的系統來完成支付。PayPal允許消費者指定他們的信用卡、金融卡或銀行帳號為付款,而PayPal將向賣家收取每筆交易額度的1.1%與2.4%的費用。 澳大利亞競爭與消費者委員會(Australian Competition and Consumer Commission, ACCC)與新南威爾斯州公平貿易署(NSW Office of Fair Trading),對於eBay限制消費者的支付工具選擇權,均持反對意見。eBay面對外界的批評表示,若採銀行轉帳交易的型態,其引發爭議的可能性,係為PayPal交易的四倍,強制使用PayPal,將促使消費者至網站購物的動力,且保護消費者網路購物的安全。而且,eBay在澳洲實施的政策規定,將擴大對消費者的補償數額,即若消費者未收到商品,或是商品未符合於網站上的描述情況,則eBay將補償消費3仟至2萬澳元,此舉亦是保護消費者的權益。 目前,澳大利亞競爭與消費者委員會(ACCC)開始調查eBay的新政策,若有違法行為,將請eBay取消強制澳洲消費者使用PayPal線上支付服務的新政策。