美國第二大連鎖商信用卡資料外洩

  美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。

  每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。

  塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。

  塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。

相關連結
※ 美國第二大連鎖商信用卡資料外洩, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6483&no=55&tp=1 (最後瀏覽日:2025/09/16)
引註此篇文章
你可能還會想看
歐盟《歐洲資料戰略》

  歐盟執委會針對未來10年歐洲AI開發與開放資料運用方向等核心議題,於2020年2月19日公布一系列數位化政策提案,其中之一即為提出歐洲資料戰略(European Data Strategy)。本戰略提出資料開放共享政策與法制調適框架,宣示其目標為建構歐洲的資料單一市場(single market for data),視資料為數位轉型的核心,開放至今尚未被使用的資料。歐盟期待商界、研究者與公共部門等社群的公民、企業和組織,得透過跨域資料的蒐集與分析,改善決策的作成基礎或提升公共服務品質,為醫療或經濟等領域帶來額外利益,同時促進歐盟推動人工智慧發展及應用。   本戰略揭示了資料單一市場的建構框架,包含資料必須能在歐盟內與跨域流通並使所有人受益、全面遵守如個資保護、消費者保護與競爭法等歐盟相關規範、以及資料取用(access)和使用的規定,應平等實用且明確,並以之建立資料治理機制;同時,為在技術面強化歐洲數位空間之能力,以完善資料共享所需之資料基礎設施,應創建歐洲資料庫(European data pools),預備將來進行巨量資料分析與機器學習。在上述框架下,本戰略同時擬定了數個具體的措施與制度調修方向如下:(1)建構資料跨部門治理與取用之法規調適框架:包括於2020年第4季提出歐洲共同資料空間管理之立法框架,於2021年第1季提出高價值資料集(high-value data-sets),評估於2021年提出資料法(Data Act)以建構企業對政府或企業間的資料共享環境、調適並建立有利於資料取用之智慧財產權與營業秘密保護框架;(2)強化歐洲管理、處理資料之能力與資料互通性:建構資料共享體系結構並建立共享之標準及治理機制、於2022年第4季啟動歐洲雲端服務市場並整合所有雲端服務產品、於2022年第2季編纂歐盟雲端監管規則手冊;(3)強化個人有關資料使用之權利:從協助個人行使其所產出資料相關權利之角度,可能於資料法中優化歐盟一般資料保護規則(General Data Protection Regulation, GDPR)第20條之資料可攜權,如訂定智慧家電或穿戴裝置之資料可讀性格式;(4)建構戰略領域與公共利益領域之歐盟資料空間:針對戰略性經濟領域與攸關公共利益的資料使用需求,開發符合個資保護與資安法令標準之資料空間,主要用於保存製造業、智慧交通、健康、財務、能源、農業、公共管理等領域之資料。

精神衛生法強制住院侵害身心障礙者自由權-身心障礙者權利公約初次國家報告國際審查

  本文從我國身心障礙者權利公約(以下簡稱身權公約)初次國家報告國際審查結論性意見中,精神衛生法強制住院違反公約規定的評價出發,盤點身權公約對身心障礙者人身自由保護之規範內容,並將其與我國精神衛生法相關規定比較,認為現行規定及研擬中的修法方向皆確有違反身權公約之嫌。本文最後建議,在國際人權公約逐步完成內國法化程序的背景下,我國科學與科技相關法制例修法時,應注重相關人權公約的規範。

2007年9月25日專利判決:Sprint v. Vonage

  Sprint,美國第三大電話公司,於2005年向Kanas聯邦法院提起Vonage侵害其七件有關通訊科技的專利。2007.9.25聯邦法院判決:有關Sprint 控告 Vonage通訊專利侵害案,本案陪審團認為,Vonage為?意侵害Sprint專利權,即本案法官若同意陪審團意見,將可判決三倍的賠償金額。而本案判決,網路電話公司—Vonage Holdings Co. 應賠償Sprint Nextel 6千9百50萬美元,及未來盈收百分之五之權利金。   Vorgae 以書面聲明將對聯邦法院此次判決提出上訴;並將變更產品設計以避免使用本案爭議技術。Vonage法務長說明“對於陪審團不認同’Vonage的技術與Sprint的技術是有差異的’甚感失望;而Vonage首要目標是提供給客戶高品質、高穩定的數位電話服務”。   Sprint發言人—Matt Sulivan 說明,Sprint擬向地方法院申請禁制令,禁止Vonage使用Sprint之專利技術。   本件判決為2007年第四大專利案件判決。   此判決為今年度第二個不利於Vonage的判決。今年三月Virginia法院認定Vonage之網路電話系統侵害Verizon三項專利。此判決判定之賠償金為5千8百萬美元及未來盈收百分之5.5之授權金。   分析師認為,VoIP已成為主流話題,Vonage以網路電話為主要業務的公司,未來將面對更多的問題及付出更多的金錢。

談業界控管奈米風險之自主管理機制-以杜邦公司奈米風險架構為中心

TOP