溫室氣體減量及管理法重要議題簡析

　　2015年8月24日，美國第三巡迴法院做出判決，宣告美國聯邦貿易委員會（the Federal Trade Commission, FTC）本於聯邦貿易委員會法第5章（Section 5 of the Federal Trade Commission Act）之規定，對於侵害個人資料隱私及未盡資料保護安全責任的相關案件有管轄權。未來若經FTC認定有違反資料安全規定的事實，該委員會針對企業違法事實的判定將產生法律效力。 　　案件起因於2008年及2009年間，飯店集團Wyndham Worldwide Corporation共遭到3次駭客入侵，導致大約60萬筆的客戶資料外洩。FTC介入調查並指控Wyndham Hotels內部缺乏資訊安全管理控制措施才會造成資料被駭客入侵，使客戶權益受損。Wyndham Hotels不服並上訴，表示FTC只有提供企業資料安全保護措施的建議權，無權決定企業是否違反相關法令。Wyndham Hotels還主張FTC並沒有告知該公司何謂正當利用個人資料的判斷標準。 　　第三巡迴法院駁回Wyndham Hotels提出的2點主張。在此判決中，第三巡迴法院確立了FTC除了有一般建議權外，也有權對於企業利用個人資料的方式、以及企業是否有盡到資料安全保護責任進行監督與管理。另外，第三巡迴法院也表示Wyndham Hotels無權要求FTC提供逐條釋義。換句話說，FTC僅需負一般性的告知義務。 　　此判決大幅擴張FTC監督管理企業資料安全保護措施的權力，對於廣大個人資料本人而言，可說是一大保障。

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 2024年11月底，澳洲政府通過了2024年網路安全法（Cyber Security Bill 2024），期許藉由制定專法，保護澳洲現在與未來的網路環境。 2024年網路安全法主要包含以下內容： 1. 制定並落實全境智慧型裝置之最低網路安全標準。過往澳洲智慧型裝置不受任何強制性網路安全標準或法規約束，該法通過後，將能有效提升消費者網路安全。 2. 研搜對抗網路勒索軟體活動之資訊。澳洲政府不鼓勵企業在遭遇勒索軟體攻擊時支付贖金，因為支付贖金不僅鼓勵網路犯罪，更不能保證資料的恢復或機密性。然目前澳洲政府並未立法禁止支付贖金之行為，僅於2024年網路安全法要求關鍵基礎設施或營業額達定一定門檻之企業，假若不幸遭受勒索軟體攻擊，並決定支付贖金，須於72小時內向主管機關通報。 該通報義務是為幫助主管機關即時掌握勒索活動資訊，快速制定應對策略，並開發有利業界執行網路防禦的工具和資源，破壞勒索軟體獲利模式。依目前規定，報告內容將包含勒索金額、支付對象、支付方法等資訊。 3. 鼓勵企業分享網路安全資訊。2024年網路安全法為鼓勵企業與政府共享網路安全事件資訊，限制國家網路安全人員存取前揭資訊之目的，如不得利用企業自願提供之網路安全事件資訊調查企業違規行為，除非符合2024網路安全法規定之例外情況。 4. 建立網路事件審查委員會（Cyber Incident Review Board）。該委員會作為獨立機構，負責對重大網路安全事件進行有無過失之事後審查，並為政府和產業提供建議，以確保各方利害關係人能夠從網路安全事件中吸取教訓。 2024年網路安全法的制訂，顯示澳洲政府為強化網路安全付出諸多努力，該國政府期許透過該法保護澳洲人免受網路安全威脅。

　　歐盟網路暨資訊安全局於2017年12月7日發布「重要基礎設施資訊安全培訓需求盤點報告」(Stocktaking of information security training needs in critical sectors)之文件，點出各重要基礎設施之「電腦安全事件反應小組」(Computer Security Incident Response Teams, CISRT)所必須接受之資安訓練種類。 　　歐盟之網路與資訊系統安全指令(The Directive on security of network and information systems, NIS Directive)規範各成員國之重要服務營運者(operator of essential service)必須確認出哪些服務於維繫社會與經濟活動上具備重要性。被認定具備重要性之部門如下:能源、運輸、銀行業、金融市場基礎設施、健康照護部門、飲用水供應與分配、數位基礎設施。 　　此份報告指出，該重要性部門之資安等級需求並不盡相同，因此導致各部門面對資安事件之準備無法相提並論。例如，能源產業會用到SCADA系統，而金融市場基礎設施則普遍沒有相關需求。而由於NIS指令將上述七種部門列為資訊安全維護最高層級，故此份報告目的係確認該部門當前的處境，並與現階段可取得之網路安全訓練對照，進一步具體檢視各重要部門是否有其他額外的網路安全訓練需求。 　　我國行政院於民國106年4月公布之資通安全管理法草案要求關鍵基礎設施提供者應訂定、修正、實施資通安全維護計畫，並向中央目的事業主管機關或直轄市、縣（市）政府提出該計畫之實施情形，在未來實際落實各重要性設施之資安維護以及資安小組訓練時，須意識到各重要性設施之資訊安全需求差異性，及相關人員必須針對不同單位而受不同之訓練。

　　2017年10月，美國知名保險公司Farmers Insurance Group（下稱Farmers）在加州法院提訴，控告前員工Venkatesh Kamath（下稱Kamath）、前資訊長Shohreh Abedi（下稱Abedi）和競爭對手American Automobile Association（下稱AAA協會）旗下的Automobile Club of Michigan（下稱Auto Club）竊取營業秘密。 　　Farmers聲稱，於2015年起使用Guidewire Software（下稱Guidewire），以更新其理賠處理和保險服務系統。Kamath因Guidewire業務，接觸到Farmers高度敏感與機密資訊。Abedi前為Kamath上司，曾監督Guidewire計畫初期階段。之後Abedi至Auto Club任職，協助Auto Club轉換使用Guidewire，並挖角包括Kamath在內許多Farmers員工。Kamath離職前，從Farmers電腦中拷貝超過6400份檔案，其中包括與Guidewire計畫及Famers核心業務相關的營業秘密資訊。 　　Farmers控訴Kamath、Abedi及Auto Club違反加州營業秘密法（California Trade Secret Act）、從事不公平競爭、違反忠實義務及其他事由，除訴請賠償外，也請求法院禁止被告使用其營業秘密。 　　本案非Farmers與AAA協會首次因營業秘密事宜而對訟。2010年間，Farmers曾控告AAA協會旗下Auto Club Group竊取其投保客戶機密資訊，惟該案當時經法院以Farmers未能證明有何損失或損害為由，駁回其訴。Farmers公司於2017年10月對Auto Club提起的本件訴訟，法院實務的發展為何，值得後續觀察。