數百萬計個人資料遭竊取 引起美國重視資料保護
鑑於個人資料保護的重要性,美國國會議員 Charles Schumer ( 紐約州 ) and Bill Nelson ( 佛羅里達州 ) 仿照 SB1386 加州立法,於 2005 年 4 月 12 日舉辦了「 2005 年個人資料保護風險通知義務法案」( Notification of Risk to Personal Data Act of 2005 )的公聽會。草案建議成立聯邦性法律,要求企業或政府,一旦其持有之個人資料遭到竊取,即需通知當事人。本草案同時明訂企業或政府應通知的事項;並擬允許,讓資料遭竊的個人,可於其信用報告中顯示其 7 年內可能遭受詐欺警告的紀錄。
本法案中除了包含 SB1386 的規定外,也對販賣個人敏感資料進行規範,並要求聯邦貿易委員會( Federal Trade Commission )設立相關組織,以協助資料遭竊之被害者。
美國專利與商標局於2020年4月27日拒絕人工智慧(AI)為發明人之申請並闡明發明人僅限於自然人。本案是美國專利與商標局首次拒絕人工智慧為發明人之申請,同時本最終審查意見(下稱:本意見書)也是第一次闡明發明人僅限於自然人。本意見書也被收錄在美國專利與商標局「人工智慧」、「首席專利審查官最終審查意見」之頁面,作為指標案例。 本意見書是在回應2020年1月20日專利申請申復案(Petition)之審查意見。回顧本專利申請案之基本資料表,發明人名字為「DABUS」、姓氏部分僅以括號註明「由人工智慧自行產生的發明」。本案法定代理人及申請人均為Stephan L. Thaler。Stephan L. Thaler表示,DABUS是一個神經網路系統且「有創意的機器」。美國專利與商標局表示,綜觀美國專利法的用詞(如:Whoever)及立法脈絡,均可得知發明人指的是自然人。具體而言,發明人必須是貢獻發明概念(Conception)的人,專利審查程序手冊(MPEP)定義「發明概念」是一個將發明人「創造行為之心智的完整呈現」(the complete performance of the mental part of the inventive act),僅有自然人具有「心智」(Mental/ Mind),因此發明人僅限於自然人。本審查意見又援引Beech Aircraft Corp. v. EDO Corp.判決,指出「發明人僅限於自然人」。所以,將專利申請基本資料表的姓名欄位填上「DABUS(由人工智慧自行產生的發明)」並不符合美國專利法第115條(35 U.S. Code § 115)。 本案於2019年7月29日提出,隨即於2019年8月8日被美國專利與商標局以「申請文件欠缺,不符合發明人與其繼受人之規範」(35 U.S. Code § 115和37 CFR 1.64)拒絕受理。幾番修正往返後,美國專利與商標局於2019年12月17日仍以「申請文件欠缺」不予受理,Stephan L. Thaler續行申復。美國專利與商標局於2020年4月27日做出本意見書。同一由DABUS創造的發明,但由Ryan Abbott作為申請人的案件,已被歐洲專利局和英國智慧財產局於2019年12月以雷同的理由拒絕。目前美國專利與商標局、歐洲專利局、英國智慧財產局面對人工智慧為發明人之專利申請,立場都是發明人僅限自然人。
日本發布關鍵基礎設施資訊安全對策第4次行動計畫為了持續維持日本國內以及與東京奧運舉辦相關的關鍵基礎設施服務的安全性,日本內閣網路中心於2017年4月19日公布關鍵基礎設施資訊安全對策第4次行動計畫。 在第4次行動計畫,關鍵基礎設施防護目的主要是以關鍵基礎設施的功能保證為考量,盡量減少關鍵基礎設施IT故障的發生,並提升從事故中恢復的速度。因此,第4次行動計畫除持續檢討並改善第3次行動計畫原有政策外,較重要的變革為OT(Operation Technology)的重視與風險對應機制整備。在安全基準整備與落實情況方面,要求關鍵基礎設施產業須將OT的觀點融入人才培育。在資訊分享制度方面,分享的資訊範圍應包含IT、OT與IoT的資訊,並排除資訊分享的障礙。而在風險管理部分,日本從功能保證的觀點出發,新增風險情況對應準備的要求,包含事業持續計畫的提出與緊急應變措施的制定等。而在防護基礎強化上,該行動計畫認為關鍵基礎設施產業的IT、OT人員及法務部門必須依其內部資訊安全策略共同為關鍵基礎設施安全而跨組織合作。 另外,第4次行動計畫變更電力領域關鍵基礎設施的重要系統,從原有的運轉監視系統變更為智慧電表,以及新增化學、信用卡與石油三大關鍵基礎設施領域的業者、關鍵系統與因IT故障對關鍵基礎設施可能造成的危害影響。
英國因劍橋分析個資外洩事件開罰臉書英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。 自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。 根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。 由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
紐西蘭通過網路侵權三振法案紐西蘭於今年4月14日通過遏制線上非法檔案分享的著作權修正法案。甫通過的的修正法案廢除並取代了紐西蘭1994年著作權法92A條款。新法賦予著作權人可以向網路服務提供者提交侵權使用者的侵權證據,並要求網路服務提供者通知該使用者停止侵權行為之權利。若侵權使用者在三次通知後仍未停止侵權行為,則著作權人可以在著作權法院提出損害賠償請求,此一請求賠償金額最高可達1萬5千元紐幣。 而備受爭論的斷網措施,在本次修正法案中暫時被保留而未立刻生效,待觀察前述通知與損害補償機制是否能有效的遏制網路侵權行為,若前述機制仍無法達成制止侵權行為的效果時,斷網措施條款將由議會決定生效適用,賦予著作權人可以向地方法院請申請命令,強制網路服務提供者中止該侵權帳戶的網路服務,中止期間最高可達六個月。 該法案是在2010年2月23日在紐西蘭國會中第一次被提出。日前通過後,將於今年9月1日正式生效,惟手機網路服務部分,則延後於2013年10月才會納入適用範圍。