美國第二大連鎖商信用卡資料外洩
美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。
每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。
塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。
塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
兩年前蘋果選擇開放原始碼成像引擎( rendering engine ) KHTML 做為 Safari 瀏覽器的基礎;兩年後,蘋果則打算以自己的程式碼取代該引擎,藉以解決相容性的問題。 KHTML 成像引擎──也是其瀏覽器的核心,考慮在其架構上放棄 KHTML 的程式庫( code base ),或者所謂的「樹狀圖」( tree ),改用蘋果自己的版本,也就是所謂的 WebCore (網頁核心)。 KHTML 原本是為了要在 KDE ( K Desktop Environment )上執行而撰寫的──這是 Linux 和 Unix 作業系統的介面。 Safari 並不是蘋果唯一以開放原始碼為基礎的軟體,其麥金塔( Macintosh )作業系統就是以達爾文( Darwin )開放原始碼計畫為基礎。 企業在某些方面受到限制,而開放原始碼社群以不受限制為傲。蘋果自己內部有些問題搞不定,以致銜接不上 KDE 開發 KHTML 的模式,導致 KHTML 與 Safari 逐漸產生分歧,後來情況則越來越嚴重。
歐盟個人資料保護小組提出智慧電錶隱私指導原則由於近年來運算技術的成熟,使得許多仰賴高運算技術的產業有重新發展的契機,智慧電網正是其中一例;而智慧電網所涉及的資訊繁多,例如個人資產的位址資訊可能會被納入電網中作定位與分析,因此其所衍伸的個人資料與隱私保護議題,近來備受重視。 歐盟個人資料保護小組(Article 29 Data Protection Working Party)於今年四月針對智慧電錶的隱私議題,提出指導建議(Opinion 12/2011 on Smart Metering),並明確指出,電網中的電錶會有一組獨特的識別碼(Meter Identification Number),此可連結至特定用戶,因此由電錶蒐集到的資訊,大部分都符合歐盟個人資料保護指令(Directive 95/46/EC)中的「個人資料」(Personal Data)。 倘若要對透過電錶所蒐集的資料進行處理,必須要基於充分告知(Fully-informed),取得用戶同意;也應該讓用戶依照意願自主行使同意或撤銷該同意,此會涉及電錶設計的方式,該小組建議可在用戶端電錶的控制鑲板上設置「按鈕」(Push Button),讓用戶得隨時選擇同意與否。另外,智慧電錶亦具有設定資料傳輸頻率的功能,此攸關資料被蒐集之範圍是否妥適,舉例言之,倘若用戶與電網服務提供者之契約,是全天以同一個費率計算電價,則其電錶會把整日用電量讀成一筆資料,反之倘若用戶是採用一天分不同時段不同費率的方式,則該電錶會每日分成數個時段讀取用電量;惟在供應端可遠端遙控這些電錶讀取頻率的情況下,應確保這些資料僅於系統運行所需,方傳輸至供應端供讀取。 其他的電表資訊處理細節,事實上類似於電信事業處理交通資訊或位址資訊的作法,例如不再用到的電錶資訊,應盡速刪除之;供應端也必須訂定書面的資料保存政策、評估所需電錶資訊之目的、並在該目的範圍內以最小限度原則保存之。
歐盟執委會發布歐洲資料戰略歐盟執委會於今(2020)年2月19日發布「歐洲資料戰略」(A European strategy for data),宣示繼前一期「歐洲數位單一市場」戰略的基礎下,將於新一期戰略建立一個真正的歐洲資料空間及資料單一市場,以解鎖尚未被利用的個人資料及非個人資料,使資料能夠在歐盟內部、跨部門和跨領域自由流動,並使所有公部門、公民,或新創、中小、大企業都可存取資料及利用。 本戰略就此提出四大戰略行動,重點如下: 1、資料存取(Data Access)和利用的跨部門治理框架 (1)2020年第四季提出「共同歐洲資料空間」(common European data spaces)的治理立法框架:A.加強共同資料空間及其他跨公私部門資料利用方式的治理機制;B.於GDPR基礎下,基於科學研究目的利用敏感個資時,能較容易決定可以由誰如何利用哪些資料;以及使個人更容易同意其個資的公益目的利用。 (2)2021年第一季通過開放資料指令(Directive (EU) 2019/1024)的高價值資料集「施行細則/執行法」(implementing acts)。 (3)2021年提出《資料法》(Data Act)草案促進企業對政府的資料共享;以及解決現今企業間資料共享常遇到的障礙,例如多方合作建置資料時(如物聯網),釐清各方的資料使用權限及各自的法律責任。 2、推動方式:投資歐洲資料空間重大項目,以加強歐洲處理和使用資料的基礎設施及能力、加強資料互通性等。 3、加強個人資料管理:在GDPR第20條的可攜權(portability right)基礎下,於《資料法》賦權個人更能控制自己被政府及企業所掌握的個資,並使個人能自己決定由誰存取和利用。另外,將由數位歐洲計畫開發「個人資料空間」。 4、促進戰略性產業領域及公益領域的共同歐洲資料空間:歐盟執委會將協助建立包含「共同歐洲工業(製造)資料空間」(Common European industrial (manufacturing) data space)在內的9種領域共同歐洲資料空間,本戰略亦於附件介紹各領域的資料共享基礎背景。 另外,雖非戰略主軸,但文件內容及新聞稿皆提及,執委會將於2020年第四季提出《數位服務法》(Digital Services Act),為所有企業進入資料單一市場建立明確的規範、審查現有政策框架、加強線上平台的責任及保護基本權利。 總而言之,本戰略所欲推展的各項行動,將促進公民、企業組織、研究人員和公部門能更輕易的獲得和利用彼此的資料,進而確保歐盟成為資料驅動社會的模範和領導者。
論網路環境下的通訊監察法制