韓國通過最新個人資料保護法修正案
近年韓國國內發生多起重大資訊安全疏失,例如:2014年韓國三大信用卡公司客戶資料外洩,成為韓國史上最嚴重的個人資料洩漏事件。為加強控管,韓國政府於2015年7月通過最新個人資料保護法修正案(Personal Information Protection Act, PIPA)。修正案新增懲罰性損害賠償及法定損害賠償規定。未來該國違反個人資料保護法的機關,將會面臨鉅額罰金及損害賠償。韓國政府期望藉此來促使企業加強資料安全管理。
根據最新修正案條文,若某機關因故意或重大過失,造成個人資料被遺失、竊取、洩漏、偽造、竄改或損毀,經法院判決後,最高將會被處以實質損害金額三倍的懲罰性損害賠償。此外,除非該機關能舉證當事人的損害與機關之行為沒有因果關係,否則當事人可請求最高3百萬韓元(約台幣8萬元)的法定損害賠償。
此次,韓國個人資料保護法修正案另一個重點在擴大韓國個人資料保護委員會(The Personal Information Protection Committee)的職權。該委員會將成為資訊安全爭議的最終裁決機關,且擁有相關資訊安全管理相關政策制定及修正的提議權。
由於此修正案將於2016年7月正式實行。韓國政府建議各大機關應儘快依照新修正案內容檢討並更新其隱私權政策及資料安全防護機制,避免在新法上路後遭罰。
- Implementation of “Guidelines for Personal Information Protection for Smartphone Apps”, Lexology, Aug. 2015
- Korea Communication Commision(KCC), 스마트폰 앱, 과도한 개인정보 접근 막는다, Aug. 2015
- South Korea introduces punitive damages resulting from data breach, Lexology, Aug. 2015
- South Korea introduces further data protection breach penalties to encourage compliance, and issues mobile app guidance, JD Supra, Aug. 2015
- South Korea tightens data protection rules, Out-Law, Aug. 2015
根據國際間重要農糧組織ISAAA(International Service for the Acquisition of Agri-Biotech Applications)所公布的2004年統計報告,全球基改作物栽種面積已達八千一百萬公頃,在2003年僅有六千七百萬公頃,成長幅度高達20%,尤其是在開發中國家。菲律賓是亞洲第一個支持商業化生產基因改造食物的國家,從2000年起即開始商業交易基因改造作物。由於其所研發之轉殖”IR-72”稻米品種栽培並不普遍,也未被消費者、農夫及麵粉業者廣泛地接受,因此不合適商業化生產,雖然菲律賓嘗試其他較受歡迎的品種來進行基改轉殖,但迄今尚未成功。 基於基因稻米對於環境安全和人體健康所帶來的影響是無法預知的,綠色和平組織抗議菲律賓政府加速推動生技農作物的計畫。菲律賓所面臨的挑戰不單僅是綠色和平的抗議,另一個因素因為氣候的不穩定而影響了稻米的產量,今年生產量僅148萬噸,距離目標?151萬噸,因此仍需仰賴進口稻米來彌補這不足的差距。 菲律賓稻米研究中心執行長Leo Sebastian認為,基改稻米並不是解決稻米供應不足的唯一方式,引介栽種高生產量的稻米品種或者改善灌溉系統等都是可行的方式。
英國政府公布物聯網設備安全設計報告,提出製造商應遵循之設計準則草案英國數位、文化、媒體暨體育部於2018年3月8日公布「安全設計(Secure by Design)」報告,此報告目的在於使IoT設備製造商於製程中即採取具有安全性之設計,以確保用戶之資訊安全。 此報告中包含了一份經英國國家網路安全中心(National Cyber Security Centre, NCSC)、製造商及零售商共同討論後,提出之可供製造商遵循之行為準則(Code of Practice)草案。 此行為準則中指出,除設備製造商之外,其他包含IoT服務提供者、行動電話軟體開發者與零售商等也是重要的利益相關人。 其中提出了13項行為準則:1. 不應設定預設密碼(default password);2. 應實施漏洞揭露政策;3. 持續更新軟體;4. 確保機密與具有安全敏感性的資訊受到保護;5. 確保通訊之安全;6. 最小化可能受到攻擊的區域;7. 確保軟體的可信性;8. 確保個資受到妥善保障;9. 確保系統對於停電事故具有可回復性;10. 監督自動傳輸之數據;11. 使用戶以簡易的方式刪除個人資訊;12. 使設備可被容易的安裝與維護;13. 應驗證輸入之數據。 此草案將接受公眾意見,並於未來進一步檢視是否應立相關法律。
美國國家安全局發布「軟體記憶體安全須知」美國國家安全局(National Security Agency, NSA)於2022年11月10日發布「軟體記憶體安全須知」(“Software Memory Safety” Cybersecurity Information Sheet),說明目前近70%之漏洞係因記憶體安全問題所致,為協助開發者預防記憶體安全問題與提升安全性,NSA提出具體建議如下: 1.使用可保障記憶體安全之程式語言(Memory safe languages):建議使用C#、Go、Java、Ruby、Rust與Swift等可自動管理記憶體之程式語言,以取代C與C++等無法保障記憶體安全之程式語言。 2.進行安全測試強化應用程式安全:建議使用靜態(Static Application Security Testing, SAST)與動態(Dynamic Application Security Testing, DAST)安全測試等多種工具,增加發現記憶體使用與記憶體流失等問題的機會。 3.強化弱點攻擊防護措施(Anti-exploitation features):重視編譯(Compilation)與執行(Execution)之環境,以及利用控制流程防護(Control Flow Guard, CFG)、位址空間組態隨機載入(Address space layout randomization, ASLR)與資料執行防護(Data Execution Prevention, DEP)等措施均有助於降低漏洞被利用的機率。 搭配多種積極措施增加安全性:縱使使用可保障記憶體安全之程式語言,亦無法完全避免風險,因此建議再搭配編譯器選項(Compiler option)、工具分析及作業系統配置等措施增加安全性。
歐盟執委會擬改革現行專利訴訟制度,並希望能減省歐洲境內中小企業營運成本為求能妥善管理現暨有之歐洲專利與健全歐洲共同體專利制度,歐盟執委會(Commission)正致力於尋求各成員國同意,欲滙集境內能量,來建、整出一套「單一化」專利訴訟制度(Unified Patent Litigation System;簡稱UPLS),以解決境內智財爭議與相關衍生問題,來達到『鼓勵私人發明』及『刺激歐洲境內中小型企業 (Small & Medium Enterprises;簡稱SMEs)持續成長』等目標」。 目前,就已取得歐洲專利局(European Patent Office)所核發專利之專利權人而言,其雖可逐一於歐盟各成員國家中,利用該國專利訴訟程序來保障其自身之發明;然,由於利用不同成員國家之司法系統興訟,甚可能因各類商業習慣或其他種種因素,而致生不同之審判結果;因此,於現行歐洲專利訴訟制度下,除時間與成本外,業者亦須面對司法裁判上之高度不確定性風險。一位負責國際市場暨服務事務官員Charlie McCreevy指出:「已有許多業者表示,歐洲現行之專利訴訟制度,實相當地複雜且繁瑣;且於訴訟進行過程中,除須繳納許多費用外;至取得判決前,其所耗費之時間,亦相當冗長」。 有鑑於此,執委會正擬儘快協調各會員國並統整出一套單一化之專利訴訟制度,以提升訴訟結果之可預見性(Predictability)並減輕訴訟成本。大體而言,該項UPLS制度,應可為歐洲專利權人帶來如後數項利益:(1)提升專利訴訟結果之法律上確定性、(2)減輕訴訟成本與(3)促進專利訴訟制度之商業性近用等;而一位執委會官員補充:「事實上,建置單一化專利法院與訴訟系統,其目的,無非是欲借強化解決智財爭議機制之方法,來達到『鼓勵私人發明』及『刺激歐洲境內中小型企業持續成長』等目標」。 最後,根據一份由德國慕尼黑大學學者Dietmar Harhoff所提出之分析報告顯示,倘若能透過該項措施來避免「重複專利侵害訴訟」或「訴訟撤回」等問題,估計每年將可為業者省下高達1億4千8百萬至2億8千9百萬歐元之專利訴訟費用。