美國第二大連鎖商信用卡資料外洩
美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。
每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。
塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。
塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
歐盟執委會於2021年11月12日發布「2021年數位經濟與社會指數」(Digital Economy and Society Index 2021, DESI 2021),指數顯示歐盟各成員國都在持續推動數位轉型,但存在前段國家與後段國家之間的鴻溝仍然巨大,為了達成「歐洲數位十年:2030數位轉型目標」(Europe’s Digital Decade: digital targets for 2030),各成員國間應加強在數位轉型的協力合作。 DESI 2021統計資料取自2020年第一季到第二季之間,因此對於COVID-19疫情肆虐下對歐洲各國數位化的影響,需要等到2022年的指數方能呈現。不過DESI 2021資料顯示,56%的歐盟公民已經具備基本的數位技能,而歐盟資通訊專業人員數量來到840萬人,相較前一年的780萬人有顯著成長,但仍有55%的企業表示推動數位轉型最大的困難在於找不到資通訊人才。 在連線能力方面,歐盟推動「超高容量網路」(very high-capacity network, VHCN)的成果使家戶普及比例來到59%,相較前一年的50%亦有明顯增長,但相較全球高速寬頻網路普及目標仍有相當大的差距;在鄉村VHCN的布建上,則由2019年的22%來到2020年的28%。5G網路方面,完成頻譜分配的國家從16個成長至25個,其中有13個國家已經啟動5G商轉。 在數位科技整合方面,運用雲端技術的公司比例出現顯著成長,由2018年的16%成長至2020年的26%,大型企業持續擴大數位科技應用,包含運用企業資源規劃(Enterprise Resource Planning, ERP)進行電子資訊分享、雲端軟體的使用等。資料顯示數位轉型正在不斷落實與推進,但是要達成2030數位轉型目標仍有相當大的差距,有賴各國的合作與努力。
澳洲個人資料洩漏計畫將於二月施行澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。 根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。 NBD計畫主要內容如下: 一 、規範對象: 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。 若數機構共享個人資料,則該告知義務由各機構自行分配責任。 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。 二 、個資洩露之認定: 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。 個資外洩機構無法通過補救措施防止嚴重損害的風險。 三 、OAIC所扮演之角色: 接受個資外洩之通報。 處理投訴、進行調查並針對違規事件採取其他監管行動。 向業者提供諮詢和指導。 四 、於下列情形可免通知義務: 為維護國家安全或增進公共利益所必要。 與其他法案規定相牴觸者。 五 、通知內容: 洩露資料的種類及狀況。 發生個資外洩事件機構之名稱以及聯繫窗口。 個資當事人應採取之後續行動,避免再度造成損害。 惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。
APPLE iPhone 3G訊號差遭用戶提告具外電報導,美國一阿拉巴馬州居民已向法院提起告訴,控告蘋果公司(APPLE)手機(iPhone 3G)之上網速度緩慢,與其廣告之陳述大相逕庭。 興訟人Jessica Alena Smith於本月19日向美國北阿拉巴馬州地方法院提請訴訟,其於長達十頁之訴訟書中聲稱,APPLE iPhone 3G的速度比宣傳的速度慢,該廣告已有誤導之嫌。Smith要求代表其他用戶使這起訴訟變成一個聯合訴訟。 APPLE廣告聲稱iPhone 3G「一半的價錢,一倍的速度」,能更快地登入網路、上網、收發email、傳送簡訊等,但Smith認為其實際情況卻比廣告所說的緩慢。原告之代表律師表示,APPLE顯然已違背該產品出售時所做出的承諾。同時,更有些許使用者發現iPhone 3G容易發生通話或上網斷訊的情況。 經過幾週的沉默後,APPLE終於體認該產品確實存有訊號接收的問題。APPLE並已發佈「iPhone OS 2.0.2」軟體更新程式並稱能「修正問題」,且已置於iTunes供使用者免費下載,以改善iPhone3G的網絡連接性能。但其是否能修復使用者提出的上述問題,尚不得而知。 該訴訟中要求APPLE提供維修或更換瑕疵產品並負擔損害賠償與律師費用等。目前APPLE尚未對該項請求提出回應或發表評論。
紐西蘭通過「危害性數位通訊規制法」,對網路霸凌行為進行管制紐西蘭於2015年7月通過了「危害性數位通訊規制法」(Harmful Digital Communications Act)。有鑑於網路霸凌現象日益嚴重,甚至影響紐西蘭人民生命及身體安全,故而修訂法律規範之。 重點摘錄: 一、目的:減輕數據通訊對個人造成之傷害,並提供有害數據通訊之受害者提供補救的快速和有效的手段。 二、方法: (一) 創建新的民事執行制度,以迅速有效地處理有害的數據通訊內容。 (二) 創建新的刑事犯罪,以應對最嚴重的有害的數據通訊行為。 (三) 修正現行法規,以釐清數據通訊和技術的發展適用範圍。 三、內容: (一) 授權法院得要求網路通訊協定地址提供者(Internet Protocol Address Provider (IPAP))提交匿名之通訊傳播者資訊。 (二) 經受害學生同意後,其所屬學校之負責人得代表進行訴訟程序。 (三) 法院得依據「威脅將造成損害」(threats to cause harm)標準發布命令。 (四) 若不遵守法院命令將有刑事責任。 (五) 行為人經確定判決後,可處2年以下有期徒刑。 (六) 網路內容所有者(online content host)應設置聯絡機制。供使用者聯絡回報,並課予收到申訴時48小時內通知內容作者、申訴人以及取下霸凌內容之責任。 惟法律之修訂,亦引起相關批評,因「有害的」(harmful)之定義不明,而以刑事規制之,恐有侵害言論自由之疑慮。