美國第二大連鎖商信用卡資料外洩
美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。
每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。
塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。
塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
2017年5月,馬克宏政府上任後,積極推動新興創新技術,以期將法國建設為新創國度。在此施政方針下,政府於2018年間提出「企業成長與轉型法案」(The PACTE draft Bill),並於2019年4月11日經法國國民議會通過,係為《企業成長與轉型法》(La loi PACTE)。 本法主要針對六大議題做改革,包含:企業成長及交接程序、擴增企業社會責任及員工參與率、資金、數位轉型及創新、行政流程簡化、提高國際競爭力。在「數位轉型及創新」部分,該法為「首次代幣發行(Initial Coin Offering, ICO)」和「數位資產服務提供者(Digital Assets Services Providers, DASP)」建立一法律框架,其主要制度內容,大抵有四: (一) ICO之選擇性憑證(Optional visa): ICO發起人在符合一定要件時,「得」向法國金融市場管理局(Autoritédesmarchésfinanciers, AMF)繳交相關資訊文件,以獲憑證;如未為之,募資仍屬合法,惟不得公開徵求資金、發起資助,僅可進行廣告活動。 再者,獲得選擇性憑證必須符合以下要件,包含: 代幣發行人在法國成立或註冊合法之法人組織; 提供的資料文件上,須載明代幣發行、籌資計畫、公司等所有相關資訊; 必須有一個系統機制,來監控和保護在銷售過程中收集的資產; 遵守反洗錢(Anti money Laundering)和恐怖份子籌資活動(terrorist financing)相關規定。 (二) 數位資產服務提供者之選擇性特許(Optional license): 數位資產服務提供者,「得」主動向AMF申請特許並受其監督;如未為之,仍屬合法,惟不得公開徵求資金、發起資助,僅可進行廣告活動。 然而,須注意的是,無論服務提供者是否申請特許,凡「向第三方提供數位資產保管服務」或「買受數位資產以換取法定貨幣」者,皆須至AMF辦理註冊事宜。 (三) 允許二種資金可投資於數位資產: 該法指出,「符合市場流通性和估價規則之專業投資基金」和「專業私募股權投資基金」可投資於數位資產。 (四) 強化AMF之監管權力: 該法賦予主管機關AMF一定之監管權力,包含: 得監督「已獲選擇性憑證之ICO」及「經選擇性特許之服務提供者」,於其未遵守法規時,施以制裁。 得公布違法ICO及服務提供者之「黑名單」。 得封鎖數位資產服務之詐欺網站。
美國聯邦通訊委員會(Federal Communications Commission,FCC)提議恢復網路中立相關規範,並發布規則草案美國FCC主席Jessica Rosenworcel於2023年9月26日發表演說,並於內容中提案恢復在美國前總統川普任期間被廢止的網路中立性(Net Neutrality)相關規定,包含禁止寬頻網路業者對給付額外費用者提供「快速線路(fast lanes)」,或禁止電信業者對其網路服務減慢網速等規定。 FCC表示網路中立性規範可維護以下4大要點,包含: 1. 開放性:避免消費者觀看合法內容受阻,或是需要支付額外費用取得。 2. 國家安全:將寬頻網路渠道重新分配,以對抗潛在國安威脅。 3. 資訊安全:FCC得以強化寬頻網路韌性(resiliency),並要求網路業者在中斷網路時,需先行通知FCC與消費者。 4. 全國標準性:將樹立全國統一標準取代各州自行規範。 然而,有產學界的反對意見指出,在相關規定廢止期間,並未發現有網路業者因額外收費而對消費者的網路內容或網速進行干預。故認為FCC誇大了這些隱憂。 2023年10月19日,FCC在內部表決後,確定開始恢復網路中立規則程序,並於隔日發布包含最新草案內容之擬議規則制定通知(Notice of Proposed Rulemaking),草案除包含以上4要點相關規範以外,亦包含對寬頻網路近用業者(Broadband Internet Access Service,BIAS)等相關業者要求與限制,例如: 1. BIAS業者必須為殘疾消費者(disabilities)提供網路使用相關幫助。 2. BIAS業者將劃分為電信業者(telecommunications service)並適用相關規定。 針對目前草案內容,FCC目前正在公開徵詢意見,預定徵詢期限至2023年12月24日,並在2024年1月17日將意見彙整回報後,再進行後續表決及相關程序。 若網路中立性規範恢復,可能影響具跨國業務的網路業者,進一步影響其他國家的網路政策與法規,故亦可能對台灣網路業者與網路政策產生影響,值得我國持續關注後續發展。 本文同步刊登於TIPS網(https://www.tips.org.tw)
第三方支付法制問題研析 紐西蘭人工智慧論壇所發佈人工智慧原則紐西蘭人工智慧論壇(AI Forum)協會成立於2017年,為非營利組織,是紐西蘭政府的重要智庫單位。該協會的AI法律、社會和倫理工作組於2020年3月4日發表了紐西蘭第一份《紐西蘭可信賴的AI指導原則》, 此指導原則目的在提供簡潔有力的人工智慧參考點,以幫助大眾建立對紐西蘭人工智慧的開發和使用的信任。此份AI指導原則對政府具有重要的參考價值。 《紐西蘭可信賴的AI指導原則》,內容摘要如下: 一、公平和正義 (一)適用紐西蘭及其他相關管轄地包含科克群島、紐埃、托克勞、南極羅斯屬地法律; (二)須保護紐西蘭國內法及國際法所規範的人權; (三)須保障《懷唐伊條約》中毛利人的權利; (四)民主價值觀包含選舉的過程和在知情的情況下進行公眾辯論; (五)平等和公正的原則,要求人工智慧系統不會對個人或特定群體造成不公正地損害、排斥、削弱權力或歧視。 二、可靠性、安全性和私密性 AI利益相關者須確保人工智慧系統及資料的可靠、準確及安全性,並在人工智慧系統的整個生命週期中,保護個人隱私以及持續的識別和管控潛在風險。 三、透明度 人工智慧系統的運作應是透明的、可追溯的、並在一定的程度上具可解釋性,在面對責問時能夠被解釋且經得起質疑。 四、人類的監督和責任 AI利益相關者,應該對人工智慧系統及其產出進行適當的監督。 在利益相關者確定適當的問責制度和責任之前,不應使用會對個人或群體造成傷害的技術。 五、福利 AI利益相關者應在適當的情況下設計、開發和使用人工智慧系統,盡可能促進紐西蘭人民和環境的福祉,像是健康、教育、就業、可持續性、多樣性、包容性以及對《懷唐伊條約》獨特價值的認可。 此份AI指引較大的特色有兩點,第一,紐西蘭人工智慧論壇協會的成員組成,其中女性成員比例超過半數。第二,在其指導原則中第一點的「公平和正義」及第五點「福利」中,都特別提到須遵守《懷唐伊條約》以確保毛利人的權益。在這樣的基礎下,能更期待紐西蘭在發展AI技術的過程,能夠更切實的做到公平正義、無歧視。