美國政府呼籲立法遏止資料盜取並加強學生隱私保護
美國歐巴馬總統在美國聯邦貿易委員會(Federal Trade Commission,FTC)2015年1月12日所舉辦的會議上,呼籲聯邦政府應制定「個人資料通知與保護法」(The Personal Data Notification and Protection Act),該法要求美國企業建立通報機制,其必須在資料遭盜取之日起三十天內通報客戶,以保護美國大眾之隱私。此一要求主要係因為發生多起網路駭客與資安事件,但目前聯邦政府卻欠缺相關法制,故聯邦政府嘗試藉此改善各州法律各行其事無法完善資安保護之問題,亦減輕跨州營運之美國企業適用各州法律之負擔,將有助於產業法制環境之改善。
同時,歐巴馬總統亦提出制定「學生數位隱私法」(The Student Digital Privacy Act)之呼籲,該法將禁止企業為獲取利益經由學校取得學生資料。此外,歐巴馬總統亦提及美國企業將需要簽署一自願性協議(Voluntary Code of Conduct for Smart Grid Customer Data Privacy,VCC),使消費者能夠查詢各企業之信用評分,帶動企業自主保護數位資料之安全,並以此作為身分盜取之預警,避免造成個資外洩後損失更多權益。而本次呼籲制定的法規尚針對先前由美國眾議院提出之「網路情報分享及保護法」(Cyber Intelligence Sharing and Protection Act,CISPA),特別強化其網路使用者保護之部份規定;其中包括加強公私部門合作以及深化網路防護安全,藉此妥善處理網路犯罪、保護國土安全等相關問題。是故,本次制定法規之目的將更著眼於擴大授權,使政府目的事業主管機關以及企業之間能夠共享相關資訊之權限,以預防更多潛在性的網路攻擊與資料盜取事件。
美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。 根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。 不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。 本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。
Apple Inc. 因販售個人資料面臨團體訴訟三位來自Massachusetts州的州民,以Apple Inc.(下稱Apple)為被告,於該州地方法院提起團體訴訟。其等主張在2012年至2013年間,透過信用卡於Massachusetts州Apple的零售商店購買該公司相關商品時,Apple有過度蒐集與不當利用個人資料之情形。據Apple網站指出,消費者得選擇透過信用卡的方式購買商品,然若選擇信用卡方式付費,必須提供個人相關識別訊息,包含完整的郵政編碼,如果提供不完整,Apple將不會允許使用消費者使用信用卡方式付費;且Apple亦在網站上聲稱保有允許提供該類訊息予提供產品和服務的合作夥伴,或得利用該類訊息幫助行銷的權利。故原告等透過信用卡消費後,收到不必要的市場行銷資訊;又Apple將原告等人可識別的個人資訊銷售第三方公司,並在未顧及原告等權益下,挪用了該具有經濟價值的個人可識別資訊。基於上述理由,原告等請求至少500萬元美金之損害賠償,其中不包含訴訟費用以及相關利息等其他費用。 依據Mass. Gen. Laws ch. 93 §105 規定,不論是個人、商號、合夥、公司或一切營業人,當接受信用卡交易模式時,並不能要求消費者填寫任何個人可識別的資訊。若法院同意原告們的訴求,Apple將因「不公平且欺騙之貿易行為」而被認定違反該州法律而必須負擔賠償責任,且Apple也將被要求停止蒐集全州的個人可識別資料。
美國FDA計畫舉辦3D列印技術於醫療運用下之法制探討會議隨著3D印表機的價格日趨親民、3D列印設計檔案於網際網路交流越趨頻繁,以及預期3D列印技術在未來的應用會更加精進與複雜化,3D列印技術於醫療器材製造面所帶來的影響,已經逐漸引起美國食品藥物管理局(FDA)的關注。 在近期FDA Voice Blog posting中,FDA注意到使用3D列印所製造出的醫療器材已經使用於FDA所批准的臨床干預行為(FDA-cleared clinical interventions),並預料未來將會有更多3D列印醫療器材投入;同時,FDA科學及工程實驗辦公室(FDA’s Office of Science and Engineering Laboratories)也對於3D列印技術就醫療器材製造所帶來的影響進行調查,且CDRH功能表現與器材使用實驗室(CDRH’s Functional Performance and Device Use Laboratory)也正開發與採用電腦模組化方法來評估小規模設計變更於醫療器材使用安全性所帶來的影響。此外,固體力學實驗室(Laboratory of Solid Mechanics)也正著手研究3D列印素材於列印過程中對於醫療器材耐久性與堅固性所帶來的影響。 對於3D列印就醫療器材製造所帶來的法制面挑戰,在Focus noted in August 2013中,其論及的問題包含:藉由3D列印所製造的醫療器材,由於其未經由品質檢證是否不應將其視為是醫療器材?3D列印醫療器材是否需於FDA註冊登記?於網路分享的3D列印設計檔案,由於未事先做出醫療器材風險與效益分析,FDA是否應將其視為是未授權推廣等問題。 針對3D列印於醫療器材製造所帶來的影響,CDRH預計近期推出相關的管理指引,然FDA認為在該管理指引推出前,必須先行召開公聽會來援引公眾意見作為該管理指引的建議參考。而就該公聽會所討論的議題,主要依列印前、列印中與列印後區分三階段不同議題。列印前議題討論包含但不限於材料化學、物理特性、可回收性、部分重製性與過程有效性等;列印中議題討論包含但不限於列印過程特性、軟體使用、後製程序與額外加工等;列印後議題討論則包含但不限於清潔/多餘材料去除、消毒與生物相容性複雜度影響、最終裝置力學測定與檢證等議題。
英國提出產品安全及電信基礎設施法案英國政府於2021年11月24日,提出產品安全及電信基礎設施法案(Product Security and Telecommunications Infrastructure Bill,PSTI法案),要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商,及經銷商符合新網路安全標準,並對未遵守規範者處以巨額罰款。 PSTI法案之通過將保護消費者免受資安攻擊,並使政府得以引入更加嚴格的安全標準。該法案之內容包含,禁止數位科技產品之業者使用單一且通用之預設密碼,產品之預設密碼都必須有所不同;供應商應具備漏洞揭露政策,並應向客戶公開公司正採取何種防禦作為,處理該安全漏洞;應公開相關聯繫資訊或建立聯繫平台,使安全研究人員或其他人發現產品缺陷及錯誤時,方便與其聯繫;另外,針對不符合要求之產品或服務,政府亦將有權阻止其於英國境內銷售。 在電信基礎設施改革方面,將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判,減少相關冗長的法律爭訟事件,例如,要求電信營運商透過訴訟外紛爭解決機制(Alternative Dispute Resolution,ADR)解決紛爭,無須訴諸法院。亦加快續約之談判流程,讓根據舊有協議安裝基礎設施之營運商,得以按照類似條款進行續約,英國政府希望透過這些措施使95%國土擁有4G網路覆蓋,至2027年大多數人口能使用5G網路。 PSTI法案生效後,英國政府將指定監管機構,其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰,或以其在全球之營業總額的4%作為罰款。