美國第二大連鎖商信用卡資料外洩
美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。
每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。
塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。
塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
鑑於以知識產能為基礎而形成之專利、商標及著作權等智慧財產權,已成為促進國家產業升級及經濟發展之利器,而智慧財產權因無實體存在,故其權利之獲取及維護,端賴健全之智慧財產法制,故完善之智慧財產權爭訟程序,居於關鍵之地位。 智慧財產案件之審理,與一般訴訟相較,有其特殊性,例如其審理必須仰賴科技專業之協助,並經常涉及營業秘密之保護;又因智慧財產有關產品之市場更替週期短暫,因此其迅速審理之要求,具有等同於裁判正確之重要性。而針對智慧財產案件之特性,先進國家多設置專責審理智慧財產案件之專業法院,並就智慧財產訴訟,設有特殊之程序規定,以資因應。 反觀我國之專利法、商標法等智慧財產相關法律,就權利之取得及受侵害有關之訴訟,固亦設有若干特別規定,惟實際上仍有不足,未能充分符合智慧財產案件審理之需求,以致各界認為我國之智慧財產訴訟,仍然存有諸如證據蒐集手段欠缺,舉證困難,以及法官未具備法律以外之專業知識,並過度依賴鑑定結果,以致拖延訴訟,且裁判專業性不足等等缺點,未能符合社會之期待,甚至造成產業發展之障礙。 為改善我國智慧財產訴訟程序,發揮權利有效救濟之機能,司法院擬具「智慧財產法院組織法」及「智慧財產案件審理法」兩草案,期能藉由完善之智慧財產救濟制度,妥善保障智慧財產權人之權益,從而增進我國知識經濟之競爭力。 現今在智財案件處理實務上,權利人最常以提供擔保方式,聲請定暫時狀態處分,以禁止侵權者繼續製造、販賣及銷售商品。由於此舉可立刻讓侵權者沒辦法做生意,甚至逼迫下游供應商選邊站,殺傷力往往比訴訟的審理結果還大。考量智慧產案件之特性, 「智慧財產案件審理法」草案,將智慧財產權保全程序聲請門檻提高,要求聲請人應「釋明」理由,不能僅提供巨額擔保金,否則法官將不准其保全聲請。這項規定勢將促使企業更為審慎地提出「定暫時狀態」處分的聲請, 高科技企業未來將不能動輒利用假扣押等保全程序進行「騷擾」性商業戰術。 行政院院會於 4 月 19 日 已通過前二草案,但政院以附註意見方式,指智財法院應結合民、刑、行政「三合一」審理制度,對涉及行政處分「得」自為判斷,不能「應」自為判斷,期能快速解決訟爭,突破現行智財案件審理瓶頸。
歐盟於2020年3月提出「歐洲氣候法」草案以實踐零碳排願景歐盟執委會(European Commission)於2020年3月6日提出「歐洲氣候法」(European Climate Law)草案,執委會提出該草案之目的,係為實現2019年「歐盟綠色新政」(European Green Deal)所確立的目標,以敦促歐盟所有政策及公、私部門,皆能為零碳排願景共同努力。歐盟期望在2050年前成為世界第一個碳中和地區,並轉型為一個經濟成長卻不損及資源消耗與開採的綠色經濟體。該法性質屬於「規則」(regulation)的法律位階,具有普遍性規範效力,得直接適用於歐盟成員國,意即歐盟成員國必須遵守及實施歐洲氣候法的規範內容。「歐洲氣候法」草案全文共11條條文,其規範重點及法制架構,簡要整理如下: 氣候法草案之法律框架應與歐盟現行政策保持一致性,例如再生能源、綠色新政下的投融資計畫、產業戰略及循環經濟行動計畫等,並審查歐盟能否將原先2030年與1990年相比減少40%的減量目標,提高至減少50至55%。 法律基礎應奠基於維護、保護及改善環境品質,輔助及加強國家與地方因應氣候變遷的行動措施;在符合比例原則下,要求歐盟成員國針對氣候中和目標採取必要保護措施。 依據歐盟基本權利憲章第37條環境保護之要求,有關高標準之環境保護及環境品質改善,必須納入歐盟政策及符合永續發展原則;透過氣候法來促成及凝聚社會轉型的共識,該法要求執委會應促進利害關係人及公民社會的參與,增強公民參與的交流,透過社會參與達成廣泛的永續發展共識,並規劃多層次氣候與能源的社會對話。 考量歐盟內部公平且團結的重要性,執委會於2023年9月開始,每隔5年將監測與評估歐盟及各會員國之綱要政策與保護行動,並針對不一致行動或保護不足情形,將提供適當的改善建議及具體措施,藉以確保歐盟成員國彼此間氣候政策與歐盟框架保持一致。 歐盟執委會期望透過具有強制約束力的法制框架,除實現巴黎協定之承諾(2050年前達到零排放之願景)外,更是為了結構性脆弱與抵禦氣候變遷能力不足的成員國,提供一個公平的轉型框架。目前該草案已於2020年5月完成公眾意見徵集,歐盟執委會雖未明確公布預計通過的日期及相關規劃,但其將於2021年6月前盤點相關規範,藉以整體性調修法制規範與氣候治理行動。
日本內閣網路安全中心發布網路安全協議會營運報告日本內閣網路安全中心(内閣サイバーセキュリティセンター)依據於2018年底新修正之網路安全基本法(サイバーセキュリティ基本法,以下稱基本法),於今年1月30日發布網路安全協議會的營運報告(以下稱營運報告)。 基本法修法原因在於網路攻擊日趨複雜,若組織受到網路攻擊,並非每個組織都有能力因應,如此將導致組織運作受到衝擊。因此於基本法第17條新增設立「網路安全協議會」(サイバーセキュリティ協議会,以下稱協議會)。日本內閣網路安全中心於前揭發布之營運報告中說明協議會之運作模式及招募成員情形。 運作模式上,協議會設有秘書處、營運委員會及總會,秘書處由內閣網路安全中心擔任,營運委員會由各機關首長組成,總會則由所有協議會成員組成並且定期召開會議;協議會將成員分成第一類成員、第二類成員及一般成員。第一類成員與第二類成員組成特別工作小組(タスクフォース),小組成員間會交換不對外公開且尚未確認的機密資訊,一般成員則依循特別工作小組提供的資訊及因應對策,加以實際運用。經營運報告統計,自協議會成立(2019年4月1日)至同年年底,一共發生33起網路攻擊事件,皆透過協議會促使各政府機關、私人組織迅速掌握網路攻擊資訊。 招募成員方面,協議會於去年5月加入第一期91名成員;同年10月,再加入64名第二期成員,目前為止共計155名;第三期成員已於今年三月開放申請加入,預計五月確定第三期成員。此外,營運報告中列有協議會成員名簿,成員包含內閣官房首長、資訊處理推進機構(情報処理推進機構)、宮城縣網路安全協議會、NTT DOCOMO電信公司、成田國際機場公司、石油化學工業協會、富士通、三菱電機等產、官、公協會組織單位。日本藉由設立協議會,期許透過政府與民間協力合作,共同維護政府公部門及產業之基礎網路安全。
日本政府內閣於今年3月提出個人資料保護法修正草案為因應2016年正式上路實施之社會保障與納稅人識別號碼制度(社会保障・税番号制度)對於個人資料保護所產生之影響,日本政府內閣於2015年3月10日於國會提出個人情報保護法之修正案。 此次修正案主要分有六大重點,包含個資定義擴充與明確化、確保個資文件內容之正確性、強化個資保護規範內容、設立個人情報保護委員會、個資情報處理全球化,以及其他修正事項如未得當事人同意之第三人使用個資條件嚴格化等。 其中主要有兩項係與社會保障與納稅人識別號碼制度相關。首先是強化個資保護規範內容部分,由於社會保障與納稅人識別號碼制度將遇有個資資料庫使用情況,故新增個資資料庫之相關規範與罰則,行為人於未經授權或不當使用個資資料庫時,將可處1年以下拘役併科日幣50萬元以下之罰金,亦即當行為人違反個資法有關個資資料庫規定時,不但須支付罰金也須負刑事責任。 其次,擬設立直屬內閣總理大臣所轄之個人情報保護委員會,其委員組成人選須經參眾兩議院同意後,由內閣總理大臣任命之。委員會主要任務在於專責監督與監測政府各機關以及民間個資處理事業對於個資的傳遞、處理,並適時提出指導意見或建言。