美國第二大連鎖商信用卡資料外洩

  美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。

  每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。

  塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。

  塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。

相關連結
※ 美國第二大連鎖商信用卡資料外洩, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6483&no=64&tp=1 (最後瀏覽日:2026/07/04)
引註此篇文章
你可能還會想看
美國交通部公布車輛與基礎設施間聯網指引,強化車聯網時代行車安全

  美國交通部(U.S. Department of Transportation)部長(時任)Anthony Foxx於2017年1月19日公布「車輛與基礎設施間聯網指引」(Vehicle-to-Infrastructure (V2I) Guidance),旨在透過加速車輛與基礎設施間通訊系統之布建,增進車聯網時代的行車安全與機動性。同時,本指引也將補充交通部於2016年12月所公布之車輛間通訊規則草案,後者最重要的目的是透過車輛間通訊技術的管理,提升駕駛人對於碰撞與潛在危險的認知以預為因應。透過車輛與基礎設施間聯網指引,交通部聯邦公路管理局(Federal Highway Administration, FHWA)將協助運輸系統的所有人與操作人進行相關技術的布建,並讓各運輸事業主管機關與收費道路管理機關,了解布建相關技術之決策所可能造成的影響,並為相關技術的未來發展與聯邦挹注資金的利用(因為多數的V2I能夠整合於既有之ITS設備或道路周邊基礎設施,因此符合聯邦對ITS的補助條件),做好準備。   車輛與基礎設施間之通訊,是車聯網環境的重要構成部分,透過硬體、軟體、韌體、以及無線通訊系統,相關資料不但能在車輛間進行動態傳輸,亦得在車輛與道路基礎設施間進行傳輸。聯邦公路管理局局長(時任)Gregory Nadeau表示:「除了增進行車安全,車輛與基礎設施間之通訊技術能提供相當大的機動性,並為整體環境帶來益處。車輛與基礎設施間之通訊與聯網,以及諸如隱私與互通性等更大的挑戰,都將由本指引作為展開全國性對話的起點。」車輛與基礎設施間聯網(V2I)可謂智慧運輸系統(Intelligent Transportation Systems, ITS)的次世代技術,其能捕捉車輛所產生的交通資料,並向車輛無線傳輸例如行車建議等的資訊,讓駕駛人能夠掌握與安全性、機動性、甚或是與整體環境相關的所有情況。   車輛與基礎設施間聯網指引的內容,目前包括聯網車輛運輸衝擊規劃初階報告(Connected Vehicle Impacts on Transportation Planning Primer)、聯網車輛運輸衝擊規劃桌上參考手冊(Connected Vehicle Impacts on Transportation Planning Desk Reference)、技術備忘錄第2號:聯網車輛規畫流程與產品及利害關係人角色與責任(Connected Vehicle Planning Processes and Products and Stakeholder Roles and Responsibilities)、技術備忘錄第3號:新型與強化型分析工具、技術、與資料之需求分析(Analysis of the Need for New and Enhanced Analysis Tools, Techniques, and Data)、技術備忘錄第6號:運輸規劃導入互聯車輛所需之技能與專業知識(Skills and Expertise Required to Incorporate Connected Vehicles into Transportation Planning)、新型與強化型分析工具、技術、與資料之需求分析:公路容量手冊簡介(Highway Capacity Manual Briefing)、新型與強化型分析工具、技術、與資料之需求分析:交通系統模擬模式簡介(Briefing for Traffic Simulation Models)、以及聯網車輛運輸衝擊規劃:社區關懷案例研究(Outreach to Planning Community)。   另外,為了讓執照核發條件透明化,相關的典範實務(best practices)也能為各政府與民間組織機關近用,以布建聯網車輛專用短程通訊(Dedicated Short Range Communications, DSRC)路邊基地台(Roadside Units, RSU)與相關服務,用以支援車輛與基礎設施間之聯網應用,亦針對執照持有人訂有指引(Guide to Licensing Dedicated Short Range Communications for Roadside Units)。

美國紐約州通過「防止非法侵入與加強電子資料安全法案」

  2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。   當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。

韓國擬藉由推動著作權認證制度,解決著作權海外交易難題

  韓國文化體育觀光部(Ministry of Culture, Sports and Tourism, MCST)為推動著作權認證制度,依其著作權法第56條及施行令第36條第7項規定,指定韓國著作權委員會(Korea Copyright Commission)作為著作權認證業務之負責機關,期達到維護著作權海外交易秩序及提升交易雙方之信賴度之目標。   所謂「著作權認證」,是指任何人欲證明自己為合法享有權利者,可透過具有公信力之第三方機關確認權利關係,並取得認證書後,藉以證明自己是權利人或被授權人。今年係以輸出海外市場(中國等)之音樂、電影、電視劇等內容為第一階段著作權認證對象,並提供免手續費之優惠服務。欲進行著作權認證之申請人(如著作權人、受讓著作權或取得授權之個人或企業等),應提出認證申請書和客觀上可確認其本身擁有權利事實之證明資料(如權利變動或授權相關契約等),向韓國著作權委員會申請,該委員會須於15天內進行審查,確認權利後即發予申請人認證書。   韓國著作權委員會相關人士表示,韓國著作權委員會此次被指定為著作權認證機關之目的,係因韓流文化擴散,帶動韓國內容產業進入國際市場,然針對海外著作權交易,權利歸屬狀態不清楚常成為雙方甚至包括第三方的爭執點,故擬透過推動著作權認證制度,克服外國人利用韓國著作過程中,難以分辨權利人真偽或找不到權利人之困境。透過韓國政府機關確認著作之權利關係所給予具公信力之認證書,確保著作權交易秩序之穩定與信賴。   韓國著作權認證制度目的在於:協助韓國企業得以在海外順利進行著作權交易,以活絡著作權交易流通。反觀我國並無著作權相關認證制度,加上著作權並非採登記對抗主義,為降低海外著作權交易可能衍生之紛爭,未來或可借鏡韓國作法,推動一套符合我國產業環境之著作權認證機制。

推動創新採購彈性機制-產業創新條例第27條之增修

  產業創新條例於106年11月3日經立法院三讀通過部分條文修正草案,以因應國際產業發展趨勢,積極推動產業轉型及創新;其中修正重點之一為第27條之增修-推動創新採購彈性機制,即透過政府採購龐大市場之購買力量,作為產業創新能量發展之拉力。所推動之創新採購彈性機制,其一為以「政策需求」訂定軟體、創新及綠色產品或服務之共通需求;其二為政府機關得以「優先採購」辦理創新及綠色產品或服務。爰本文聚焦於第27條增修重點、創新採購彈性機制之推動,以及本條配套子法即「創新產品或服務優先採購辦法」草案之訂定方向。

TOP