加州通過學生線上個人資料保護法案(the Student Online Personal Information Protection Act)
隨著越來越多學校使用線上教育技術產品發展教學課程,並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊,資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日,加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案,其中最引人關注的便是編號SB1177號法案,又稱學生線上個人資料保護法案(the Student Online Personal Information Protection Act,簡稱SOPIPA)。
SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為,包括:(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的,運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定,禁止披露涵蓋資訊(covered information)。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information),或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。
此外,SOPIPA線上教育服務經營者應採取適當安全的維護措施,以確保持有之涵蓋資訊的安全。同時,線上教育服務經營者應在有關教育機構的要求下,刪除學生之涵蓋資訊。
SOPIPA預計於2016年1月1日生效,將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者,同時也將適用於未與K-12學校簽署契約,但為該學校所使用之小型K-12技術網站、服務或APP等等。- the Student Online Personal Information Protection Act, S.B.1177
- California Breaks New Ground in Education Privacy Law with K-12 Student Data Privacy Bill, JDSUPRA BUSINESS ADVISOR
- California Governor approves new privacy legislation, ASSOCIATION OF CORPORATE COUNSEL
- California Continues to Lead the Nation in Child Privacy Protection, THE HUFFINGTON POST
紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。 依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應: 1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性; 2.實施並持續更新消費者資料近用限制相關政策和程序; 3.遠端近用資源和資料應使用多重要素驗證; 4.定期更新近用資源和資料的憑證; 5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料; 6.對所有儲存或傳輸的消費者資料進行加密; 7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
德國聯邦政府內閣通過自駕車草案德國聯邦政府內閣通過自駕車草案 資訊工業策進會科技法律研究所 2021年3月10日 德國聯邦交通與數位基礎設施部(Bundesministerium für Verkehr und digitale Infrastruktur, BMVI)提出之自駕車草案(Entwurf eines Gesetzes zur Änderung des Straßenverkehrsgesetzes und des Pflichtversicherungsgesetzes – Gesetz zum autonomen Fahren[1]),經聯邦政府內閣(Kabinett)於2021年2月10日批准通過。BMVI表示冀望透過該草案創建自駕車的法律框架,針對自駕車布建與落地應用之相關程序進行規定,以使指定運行範圍(festgelegter Betriebsbereich[2])為全國公共道路的等級四自駕車(Vollautomatisiertes Fahren)能夠成為人民日常生活的一環。 壹、背景目的 2017年3月,德國聯邦議會(Deutsche Bundestag)通過道路交通法(Straßenverkehrsgesetzes, StVG)修正案,修正過後之道路交通法針對具高度與完全自動駕駛功能(hoch- und vollautomatisierter Fahrfunktion)的車輛─約等同於SAE等級三與等級四之自駕車─進行規範,明確規定在操作設計範圍(Operational Design Domain, ODD)允許自駕車操作,如專為於高速公路上行駛設計之自駕車,則在該模式下不得於其他交通道路上行駛[3],該修正亦針對駕駛人[4]的概念與責任範圍進行重新定義[5]。 本次針對自動駕駛制定之草案係以包裹立法之方式,除同樣於道路交通法進行條文的增定(第1d條至第1l條)外,並修正強制汽車責任保險法(Pflichtversicherungsgesetz, PflVG)第1條,增加道路交通法規第1d條所指自駕車車主(Halter[6])的保險責任。目標為使德國成為全球首個將自駕車自研究階段帶入日常生活中之國家,並預計於2022年實現其構想。 貳、內容摘要 道路交通法規增訂之第1d條至第1l條內容概述如下: 一、第1d條:定義 本條定義道路交通法所涉及之自動駕駛相關詞彙,包含自駕車、指定運行範圍、自駕車技術監控者,以及最小風險條件。 二、第1e條:允許車輛運行自動駕駛之條件 本條規範允許車輛運行自動駕駛之條件,包含需符合規定的技術要求、已受核發行駛許可、依各邦法律主管機關批准於指定運行範圍內使用、根據道路交通法第1條第1項允許於公路上行駛等條件;本條亦針對技術設備所必備的功能進行詳細描述,如車輛得自行遵守相關交通法規、自駕系統可隨時藉由技術監控者加以停用並將車輛置於最小風險狀態,以及自駕系統在以視覺、聽覺或其他可感知方式要求技術監控者進行手動駕駛前,預留有足夠的反應時間等。 三、第1f條:使自駕車運行之相關人員(Beteiligten)義務 本條要求自駕車之車主為維護道路安全和環境相容性(Umweltverträglichkeit),需定期進行自駕系統的更新與維護、確保於手動駕駛時遵守道路交通規定,以及履行技術監控任務。在對自駕車進行技術監控時,當接收到系統以視覺、聽覺或其他可感知方式通知技術監控者,並要求切換操作模式時,技術監控者應立即改為手動駕駛模式,並採取必要之安全措施。另外本條要求自駕車之製造商有義務對自駕車進行風險評估,確保其電子電機架構(Electronic & Electrical Architecture, EEA)與聯網系統的安全性,並向德國聯邦車輛運輸管理局(Kraftfahrt-Bundesamt, KBA)和其他有關主管機關提出證明。 四、第1g條:資料處理 本條課予自駕車之車主及製造商特定義務,要求車主在駕駛自駕車時,於特定情況下進行指定資料類型之保存及傳輸;在製造商部分,則要求其需以簡單、清晰且明確的方式,告知車輛之車主隱私設置選項以及駕駛過程中資料係如何被處理。另本條授權KBA於有安全上之必要時,向車輛之車主進行資料的蒐集、儲存與使用。 五、第1h條:自動駕駛功能的追溯啟用 當動力車輛設置未符合本法所適用之國際法規所描述之自動駕駛功能,僅當停用自動駕駛功能,而不影響車輛其他功能時,方可不考量自動駕駛功能未符合國際法規描述之情況,允許依相關審驗規定運行車輛。 六、第1i條:自動駕駛功能的測試 仍處於測試開發階段之自駕車僅在經KBA核發測試許可、已根據本法第1條第1項進行註冊的情況下,方得於公共道路上行駛,且該行駛必須基於測試目的,過程中亦必須持續進行技術監控。 七、第1j條:授權 經聯邦參議院(Bundesrat)批准之法令授權,BMVI可就道路交通法第1d條至第1i條之公共道路上具自駕功能車輛的許可和操作進行細節性規定。 八、第1k條:德國聯邦國防軍隊、聯邦警察、各邦警察、民防與災難控制、消防隊和緊急服務的車輛 為執行官方任務而有配置自駕車的需要時,若能確保使用自駕車時充分考慮公共安全,則允許相關技術規範、操作設計範圍規範,與其他行駛相關規範之適用排除。 九、第1l條:評估 基於自駕車研發過程可能產生的影響與其和資料保護法規的相容性,BMVI將於2023年底前,以根據本法第1i條第2項所取得之測試資料進行評估,並將評估結果交予聯邦議會。 參、簡析 由BMVI所提出之針對自駕車的草案目前正於聯邦議會及參議院的程序進行中,預計可於2021年中通過。與2017年之道路交通法修正案進行比較,2017年之修正主要目的係使自駕車能夠受道路交通法規之規範,故將自駕車以正面表列之方式,增列入道路交通法規對車輛之定義中,並對駕駛人之義務進行規範,而較少針對自駕車特性制定專門之規定;與之相比,綜觀本次修正草案之內容,可總結出草案係針對未來可於公路上行駛之自駕車結構、品質與設備制定一致性的技術標準要求,規範操作相關人員應行使之義務如自駕系統更新、資料保存、安全性證明與風險評估等,並就操作執照的審查與自駕車測試相關程序進行制定,透過針對自駕車之發展與落實所需進行法條內容之設計,力圖藉此於促進自駕車發展與落實的同時,進一步推動德國道路交通法規之調節與一致性規範之創設。 我國政府長期以來致力於自駕車科技的研發與實驗,2019年6月施行之無人載具科技創新實驗條例以沙盒之概念,於自駕車實驗的範圍內進行特定法規與條件的排除,使技術的研發與測試能不受現有之規範或特定條件限制,最終期望能將自駕車實際投入現有交通體系中使用。為使我國法制環境能與技術發展相互配合,建議可參考德國自動駕駛法草案之內容,在確保公共安全的基礎上,於我國制定自駕車之公路行駛規範,以協助自駕車技術於交通體系之落實。 [1]Bundesministerium für Verkehr und digitale Infrastruktur ,Entwurf eines Gesetzes zur Änderung des Straßenverkehrsgesetzes und des Pflichtversicherungsgesetzes – Gesetz zum autonomen Fahren (2021), https://www.bmvi.de/SharedDocs/DE/Anlage/Gesetze/Gesetze-19/gesetz-aenderung-strassenverkehrsgesetz-pflichtversicherungsgesetz-autonomes-fahren.pdf?__blob=publicationFile (last visited Mar. 10, 2021). [2]指定運行範圍(festgelegter Betriebsbereich)於草案第1d條中之定義為「當地與空間上確定之公共道路」,應非普遍所指操作設計範圍(Operational Design Domain, ODD),特於此說明以避免混淆。 [3]Deutsche Bundestag, Straßenverkehrsgesetz für automatisiertes Fahren geändert (Mar. 30, 2017), https://www.bundestag.de/dokumente/textarchiv/2017/kw13-de-automatisiertes-fahren-499928 (last visited Mar. 10, 2021). [4]2017年道路交通法之修正係針對駕駛人(Fahrzeugführer)之概念與責任範圍進行重新定義,而非針對車主(Fahrzeughalter/Halter),特於此敘明。 [5]§§1a,1b,63a StVG. [6]車主(Fahrzeughalter/Halter)與所有人(Eigentümer)之概念於德國道路交通法上非完全相等,普遍情況兩者為同一人,但在少數情況則否,以車輛租賃為例,在此車輛之出租人為所有人,而車輛之承租人為車主,特於此敘明。
澳洲及紐西蘭公路監理機關聯合會發布輔助與自動車輛駕駛之教育與訓練研究報告澳洲及紐西蘭公路監理機關聯合會(Austroads)於2020年3月18日發布「輔助駕駛及自動駕駛車輛之駕駛人教育及訓練報告(Education and Training for Drivers of Assisted and Automated Vehicles)」,該報告目的在於研究有哪些技巧、知識與行為,為目前與未來人們使用具有輔助或自駕功能車輛所需具備的;並檢視註冊與發照之相關機關應擔任何種角色,以確保駕照申請人具有足夠能力以使用相關科技。報告中所關注之輔助與自駕車輛,為具有SAE自動駕駛層級第0至第3級之輕型或重型自駕車輛;目前澳洲道路規範並未禁止第3級之自駕車使用,但駕駛人仍應保持對車輛之控制且不得同時進行其他行為。 報告認為目前之駕駛執照發照架構尚不需改變,但註冊與發照機構仍可於輔助與自動駕駛車輛的學習與評估中扮演一些角色,包含: 鼓勵經銷商、製造商與相關利益團體進行有關如何安全運用相關系統,同時避免過度依賴之教育與訓練。 支持將自駕車技術相關之特定重要資訊整合進所有層級之教育與訓練中,但不使用強制性之評估程序進行能力評估。 應關注如何於澳洲設計規範(Australian Design Rules, ADRs)或澳洲新車評估計畫(Australasian New Car Assessment Program, ANCAP)中規範特定車輛之安全公眾教育、整合重要資訊於既有的知識與技術訓練,以及建立強制之學習計畫。 未來澳洲及紐西蘭公路監理機關聯合會將繼續發展相關計畫以實施本報告中之相關建議,以使教育訓練系統更加完善。
美國聯邦地方法院駁回臨床試驗軟體公司Medidata對競爭對手Veeva的營業秘密訴訟美國紐約南區聯邦地方法院(S.D.N.Y.)於2022年7月15日駁回了臨床試驗軟體公司Medidata Solutions Inc. (以下簡稱Medidata公司)控告競爭對手Veeva Systems Inc. (以下簡稱Veeva公司)竊取其營業秘密的請求。 原告Medidata公司於2017年1月指控被告Veeva公司陸續挖角其數名離職員工,部份員工離職時私自拷貝公司檔案,其中包含原告的產品研發、商業策略等營業秘密,而被告根據這些資訊開發了和原告相似的軟體,造成其重大損害,因此向被告請求4.5億美元的損害賠償。 被告Veeva公司抗辯雖然這些員工離職時私自保留原告的檔案,但原告在訴訟中並未明確說明哪些屬於該公司的營業秘密,亦即未特定營業秘密標的;此外,即便這些離職員工自行保留的檔案中有包含原告所稱之營業秘密,但原告提出的證據不足以證明被告有不當取用(misappropriation)其營業秘密,僅根據被告有僱用原告離職員工等事實,即推論被告有不當取用。原告試圖透過此模糊和毫無根據的主張,限制產業的創新、競爭、人才流動。 本案歷經五年的纏訟,法院最終駁回原告請求。法官指出,原告在整個訴訟過程中並未明確定義哪些資訊屬於營業秘密,原告似乎認為任何資訊皆屬於其營業秘密,這樣的主張無異於代表任何公司永遠無法挖角其他公司的員工,因為這些員工到新公司任職後所說的任何話,都會間接地揭露他們在之前工作中所學習到的事情,因此駁回原告之訴。 從本案可以觀察到,企業應定期盤點公司內部資訊,明確界定營業秘密範圍,並落實管理及妥善留存相關證據,發生侵害營業秘密爭議時才能有效舉證。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」