美國第二大連鎖商信用卡資料外洩
美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。
每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。
塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。
塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
2015年1月6日,美國聯邦地區法官裁定,猴子用照相機自拍,猴子無法取得自拍照的著作權。 英國攝影師Slater在四年前,讓黑冠猴Naruto使用其相機,成功的拍出了罕見的黑冠猴自拍照;而攝影師Slater後來把這些自拍照收錄在出版書中,並同時在網路上公開,並獲得廣大迴響。但之後維基百科(Wikipedia)收進免費圖片資源中,供大眾免費下載使用,Slater認為則認為這些照片的著作權已經被英國官方認可屬於Slater所開設的公司,此認可應適用於全世界。惟美國著作權局在2014年最新政策中,認為著作權登記僅適用「人類作品」,據此Naruto之自拍照並不受著作權保障。 而善待動物組織PETA(People for the Ethical Treatment of Animals)組織也加入了著作權爭奪戰局,其認為由Naruto所拍攝自拍照,其著作權應屬於Naruto,但由於Naruto不懂如何行使權利,故由PETA代為管理著作權,相關收益均會用於保護黑冠猴,並且向舊金山聯邦法院提出告訴。美國聯邦法院則在2016年1月6日判決,目前著作權法仍未將保護範圍擴張至動物作品上,故Naruto並未擁有該自拍照著作權,自無PETA代掌著作權可能;PETA接獲判決後表示會提出上訴。
澳洲證券投資委員會與美國商品期貨交易委員會簽訂雙邊合作協議2018年10月4日,澳洲證券投資委員會(Australian Securities and Investments Commission,簡稱:ASIC)與美國商品期貨交易委員會(US Commodity Futures Trading Commission,簡稱:CFTC)簽訂「金融技術創新合作雙邊協議」(Cooperation Arrangement on Financial Technology Innovation’ bilateral agreement,簡稱:協議),該協議內容主要針對未來金融科技(fintech)以及監理科技(regtech)之合作以及相關資訊作交換。 協議內容主要為加強雙方瞭解、識別市場發展趨勢,進而促進金融科技創新,對於運用監理科技之金融產業採取鼓勵的態度。 具體協議內容及相關合作計畫為以下條款: 1. 建立正式合作途徑,其中包含資訊分享,ASIC創新中心與LabCFTC之間的溝通; 2. 協助轉介有興趣於另一管轄權,設立企業之金融科技公司; 3. 促進監管機構定期舉行相關監管會議,討論目前時下發展趨勢,藉以相互學習; 4. 針對非公開資訊及機密資訊,給予監管機構以共享方式流通資訊。 儘管,澳洲與美國已簽訂此協議,惟須注意的地方在於,此協議本質上不具備法律約束力,對監管機構也未加註責任,並強加特定義務,以及未取代任何國內法的法律義務。 雖然,此協議不具任何法律約束力,但美國以及澳洲之金融科技創新產業間已形成一定之默契,以及交叉合作。此種互利合作,使兩國金融創新企業在雙方管轄權下,並且降低跨境成本及加深跨境無障礙性,為兩國監管機構提供最佳執行方式,以及進一步資料之蒐集。
美國及其他CRI成員共同發布國際反勒索軟體倡議聯合聲明,說明其關鍵成果與未來展望美國及其他參與國際反勒索軟體倡議(International Counter Ransomware Initiative, CRI)之50個成員(含國家及國際組織),於2023年10月31日至11月1日召開第三次大會,並且發布聲明表示:應積極建立對抗勒索軟體之集體韌性(collective resilience)、共同合作降低勒索軟體之散布能力、追究相關行為人之法律責任、制裁非法資助勒索軟體之組織、與私部門合力防止勒索軟體攻擊。 CRI於2023年之關鍵成果主要可分以下三個面向: 一、加強資安管理能力 對CRI新成員提供指導及戰術培訓,例如由以色列督導約旦,以確保新成員之資通安全。此外,亦發起利用人工智慧打擊勒索軟體之計畫。 二、促進資訊共享 設立可即時更新之資訊共享平台,使CRI成員得以迅速分享資安威脅指標。如立陶宛之惡意軟體資訊共享計畫(Malware Information Sharing Project, MISP)、以色列及阿拉伯聯合大公國之水晶球平台(Crystal Ball platforms)。 三、反制勒索軟體使用人 CRI發布前所未有之共同政策聲明,闡明成員不應支付贖金,且創設成員間共享之加密貨幣錢包黑名單(blacklist of wallets),以便揭露勒索軟體使用人之非法帳戶,並公開與犯罪組織之金流紀錄。另,CRI於2024年起將持續致力發展前述聲明提及之目標,並優先向潛在成員進行宣導,透過提供量身訂做之資安應變能力培訓,滿足潛在成員之需求。
肯塔基州參議院日前通過得適用醫療補助保險,但同時排除人工流產的通訊醫療照護法案於2018年02月26日,美國肯塔基州(下略)參議院通過「通訊醫療照護(Telehealth)法案」《第112號修正法案》,修法精神聚焦在增進人民受到照護的機會,同時節省花費,但明文禁止通訊醫療照護適用於人工流產,此部法案將於2019年07月01日生效。 根據前開法案,州政府應: 發展、完善相關政策及程序以確保通訊醫療照護得被適當地使用,同時亦應保障個人資料、隱私、落實知情同意、適當補助等。 增加通訊醫療照護作為醫療照護的機會。 維護通訊醫療照護政策、綱領,同時避免醫療補助保險資源遭浪費、詐害與濫用,並提供得施行通訊醫療照護的醫師名單予具醫療補助保險(Medicare)適格的公民,藉此保障前揭公民均可受到安全、妥適、有效率的醫療照護。 保障醫療補助保險的適用者得以使用通訊醫療照護。 參議員Ralph Alvarado(提修正法案之議員)表示通訊醫療照護通過後有以下優點: 監控慢性疾病的能力提升。 增加特殊照護、心理健康(衛生)的機會。 減少急診室的使用。 降低病患因交通而不便就醫的情況。 節省花費。 申言之,前開修正內容明確要求政府相關人員必須建立更詳細的通訊醫療照護管控機制,並且將通訊醫療照護納入醫療補助保險的範疇,並具有前開諸多優點。另外,因為通訊技術(即時視訊及通訊)的特性使然,使用通訊醫療照護技術的醫生(下稱醫生)可能在世界上的任何一個地方進行,然而前開法案要求醫生須在肯塔基境內取得執照,以利獲得醫療補助保險的補助。 此外,參議員Wil Schroder在本次修法中提出禁止通訊醫療照護適用於人工流產(為防免懷孕初期以服用藥物之方式進行人工流產)的提案,確切的條文規定為「醫師為人工流產醫療行為時,必須患者待在同一空間並親自為之。」(A physician performing or inducing an abortion shall be present in person and in the same room with the patient.),甚者,若違反前開通訊醫療照護禁用於人工流產的禁令時,則將背負D級的刑事罪責,最後以32:3之高票通過;然而,其中投下反對票的參議員McGarvey認為通訊醫療照護對於肯塔基州的醫療照護是重要的實踐與擴張,因此應開放通訊醫療照護適用於人工流產。 (註:telehealth常見翻譯為遠距醫療照護/遠距醫護,然考量我國醫師法第11條授權訂定「通訊診療辦法」之名稱,故本文從之。)