加州通過學生線上個人資料保護法案(the Student Online Personal Information Protection Act)
隨著越來越多學校使用線上教育技術產品發展教學課程,並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊,資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日,加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案,其中最引人關注的便是編號SB1177號法案,又稱學生線上個人資料保護法案(the Student Online Personal Information Protection Act,簡稱SOPIPA)。
SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為,包括:(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的,運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定,禁止披露涵蓋資訊(covered information)。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information),或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。
此外,SOPIPA線上教育服務經營者應採取適當安全的維護措施,以確保持有之涵蓋資訊的安全。同時,線上教育服務經營者應在有關教育機構的要求下,刪除學生之涵蓋資訊。
SOPIPA預計於2016年1月1日生效,將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者,同時也將適用於未與K-12學校簽署契約,但為該學校所使用之小型K-12技術網站、服務或APP等等。- the Student Online Personal Information Protection Act, S.B.1177
- California Breaks New Ground in Education Privacy Law with K-12 Student Data Privacy Bill, JDSUPRA BUSINESS ADVISOR
- California Governor approves new privacy legislation, ASSOCIATION OF CORPORATE COUNSEL
- California Continues to Lead the Nation in Child Privacy Protection, THE HUFFINGTON POST
美國民主黨參議員Chris Murphy在2015年4月16日捲土重來提出「榮光法案」(Helping Angels Lead Our Startups Act,以下簡稱HALOS Act)。HALOS法案在上個會期胎死腹中,此次重新提出,旨在強調暢通管道以投資新創公司之重要性,Murphy表示:「我們應該尋求更便利的管道,讓各種財務狀態但具備財務知識的投資人(knowledgeable investors of any financial status)都能投資新創公司,利用他們的專業和資金來增強新創公司成功的可能性。」 舉辦「Demo Days」或「Pitch Events」,是現行許多美國創業家藉以增加與天使投資人(Angel Investors)連結的方式。在「Demo Days」此種場合,創業家通常僅向與會者展示其產品或服務,而不主動進行籌資,避免提及或發送與公司財務預測、業務成長等等與招募投資人有關的資訊、文件。 在「Pitch Events」的場合,其主要目的則為發掘潛在投資人,進而籌募新創公司所需之資金。但此種類似投資說明會的「Pitch Events」必須受到美國2012年「新創企業啟動法」(Jumpstart Our Business Startups Act,以下簡稱JOBS法)的規範,也就是會議進行方式是否涉及1933年證券交易法Rule 502(c) of Regulation D所指之「公開徵求」(general solicitation)、參與者是否為「合格投資人」(accredited investor)等問題。所謂的合格投資人是指符合一定的資格而足以被認定具有充分財務決定能力,JOBS法因此要求這些天使投資人必須交出一定的個人財務資料作為佐證。 批評者認為這些規定無助於讓新創公司籌募所需資金,也因此無法創造更多就業機會,因為許多投資人對於必須將自己的財務狀況分享給新創公司,甚至是活動策展人,往往是感到不太自在的。Murphy參議員認為這些規定是「繁瑣的第三方審核程序」、「是一種對隱私的侵犯,嚇跑了那些想要想要支持新創公司的投資人,特別是在新創公司最需要資金的時刻」。 Murphy參議員提出此法案回應了批評者的建議,主張法規對於這些天使投資人團體(Angel Investor Group)應該有不一樣的規範方式,因為這些天使投資人與新創公司通常早已具有家族或朋友等人際網絡關係。
美國國家安全局發布「軟體記憶體安全須知」美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
Burberry 已向TJX Cos提出商標侵權訴訟Burberry是一家專門生產奢華服裝、圍巾、提袋等產品之品牌公司,於今年3月3日在Manhattan聯邦法院向以低價經營為主的TJX Cos公司提起商標侵權訴訟,因旗下TJ Maxx、Marshalls及HomeGoods商店,販售許多各式各樣之仿冒品。 Burberry以稱為” Burberry Check (Burberry格紋)”聞名,其格紋是以十字交叉設計並使用駝色、紅色、黑色及白色作為商標。並聲明其商標是著名的,且象徵Burberry是專門生產及提供高品質奢華產品的公司。此一訴訟指控TJX Cos其零售商於過去四年販售許多商標侵權之產品,如:外套、相框、polo衫、圍巾及旅行箱等。更指出TJX Cos是以試圖”吸引Burberry之目標客戶,進而造成Burberry的損失作為其獲利的來源。”然而TJX Cos之發言人Sherry Lang發表聲明,針對Burberry的指控表示”遺憾”且”並非意圖欺騙任何人,使其相信他們所購買的是Burberry的產品”。現已聯繫此爭議中所販售相關產品之零售商。 目前Burberry正尋求終止此侵權產品之販售,銷毀未授權產品,並要求TJX Cos作改善廣告聲明、三倍損害賠償及其他許多矯正措施。 於Burberry提起訴訟的同一周內,以手提袋及公事包製造聞名之公司Coach也向低價折扣零售商Kmart Corp,提起類似之侵權訴訟。
澳洲隱私專員主張應從嚴認定個人資料去識別化澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為,在符合特定條件之情形下,亦即,去識別化過程符合OAIC認定之最高標準時,去識別化後之資料不適用「1988隱私法案」(Privacy Act);澳洲企業組織目前所進行之個人資料去識別化,是否已符合「1988隱私法案」之規範要求,OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。 澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs),就非公務機關蒐集、利用、揭露與保存設有規定,APPs第6條更明文限制非公務機關揭露個人資料,於特定情況下,APPs允許個人資料經去識別化後揭露。例如,APPs第11.2條規定,若非公務機關當初之蒐集、利用目的已消失,須以合理方式將個人資料進行銷毀或去識別化。 如非公務機關係合法保有個人資料,即無銷毀或去識別化義務;此外,若所保有個人資料屬健康資料者,因係澳洲政府機關以契約方式委託非公務機關,非公務機關亦無銷毀或去識別化義務。應注意者,APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的,主動蒐集個人健康資料 (APPs第16B(2)條),同時亦禁止基於學術研究、公共衛生或安全目的,就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的,且符合APPs第16B(2)條之要件者,非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。 其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等,均就個人資料去識別化訂有相關規範。 未來以資料為導向之經濟發展,將需堅實的隱私保護作為發展基礎,澳洲去識別化個人資料認定標準之提出,以及標準之認定門檻,殊值持續關注。