華碩因路由器資安漏洞遭起訴一案與美國聯邦貿易委員會達成和解

　　日本經濟產業省於2020年3月31日會同內閣官房、厚生勞動省（下稱厚勞省）以及總務省等中央主管機關，發布「請求提供有助防止新型冠狀病毒傳染病疫情擴大之統計資料（新型コロナウイルス感染症の感染拡大防止に資する統計データ等の提供の要請）」公告（下稱本公告），請求經營平台及行動通訊等服務的業者，提供有助於形成防疫措施的相關統計資料，如平台或電信服務使用者的移動軌跡或服務使用紀錄。本公告之目的，係使政府取得相關資料，掌握各地區的人員流動、群聚感染徵兆及其風險，對外提供精確資訊，進而早期發現疫情，並即時擬定保持社交距離、防堵群聚感染蔓延等措施，以防止新型冠狀病毒傳染病的疫情擴大。 　　此處的請求（要請）因無法律明文授權，故對受請求之業者無拘束力。同時，上述向業者請求提供的資料，排除個資法令所定義的個人資料之統計資訊。本公告並指出，經請求取得的資料，亦僅供職司防止新型冠狀病毒傳染病疫情擴大的權責單位，在遏止新型冠狀病毒傳染病疫情之目的範圍內使用。一旦相關任務結束，將會儘速刪除上述資料。未來於必要時，亦可能另行請求業者提供涉及個資的資料，此時則會遵照個人資料保護法、以及同法訂定的例外規定，向各業者提出具適法性之請求。 　　依據本公告意旨，厚勞省同日即與LINE達成合作協議，其後於4月13日，又與日本YAHOO達成相同協議。同時，LINE亦約定會配合厚勞省釋出的防疫措施與資訊，向LINE使用者主動發送防疫資訊、提醒應定期量測體溫、提供返國人士與接觸者之諮詢窗口等訊息。

為了解2022年公布《新創企業發展五年計畫》（スタートアップ育成5か年計画）（下稱新創計畫）後之情形，日本經濟產業省（簡稱經產省）針對新創企業造成之影響進行調查，於2024年7月22日發布「新創企業之經濟外溢效果」（スタートアップによる経済波及効果）調查摘要（下稱調查摘要），簡述如下： 1.新創企業之經濟貢獻：新創計畫期望透過新創企業提昇產業競爭力，並提供青年就業機會，故積極進行人才培育與輔導創業。根據調查摘要，自新創計畫執行後日本新創企業所創造之國內生產毛額（Gross Domestic Product, GDP）為10.47兆日元（約新台幣2.1兆元），若包含外溢效果（Spillover Effect）則為19.39兆日元（約新台幣3.88兆元），並創造52萬個就業機會。 2.新創企業改變經濟結構之潛力：根據調查摘要，過去10年間日本新創公司併購案件增長22%，顯示其經濟實力提升；且新創公司中女性主管的比例增加，亦顯示其可改善日本女性職場地位。 3.創投資金注入引發新創企業之外溢效果：新創計畫鼓勵創投公司投資新創企業，由於擁有更多之週轉資金，與未接受創投的企業相比，接受創投的企業在擴大就業和創新方面表現更佳。新創計畫推動後，目前日本創投對新創公司之投資金額增加7.8倍（70%之新創公司獲得創投公司投資），並創造13.94兆日元（約新台幣2.8兆元）之GDP。

日本經濟產業省（下稱經產省）於2023年6月6日發布中小企業開發IoT機器之產品資安對策指引（IoT機器を開発する中小企業向け製品セキュリティ対策ガイド），本指引彙整企業應該優先推動IoT機器資安對策，經產省提出具體資安對策如下： 1.制定產品資安政策（セキュリティポリシー）並廣為宣導：由企業經營者率先制定資安政策，進行教育宣導，並依實際需求修正調整。 2.建立適當的資安政策體制：確立實施資安政策必要之人員及組織，明確其職務及責任。 3.指定IoT機器應遵守之資安事項，並預測風險：決定IoT機器的預設使用者及使用案例，並於釐清使用者需求後，指定IoT機器應遵守之資安事項，預測衍生風險。 4.考量IoT機器應遵守之資安事項及預測風險，進行設計與開發：以預設IoT機器應遵守之資安事項衍生風險為基礎，從設計與開發階段開始採取風險對策。 5.檢測是否符合資安相關要件：從設計與開發階段開始制定檢測計畫，檢測是否符合資安要件，並依據檢測結果進行改善。 6.於產品出貨後蒐集風險資訊，與相關人員溝通並適時提供支援：蒐集全球資安事故與漏洞資訊，並設置可適時與委外廠商以及用戶溝通之窗口。

　　澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案（執法及其他措施）》（Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ），並於11月28日正式通過，顯示澳洲政府對於近期多起大型個資事故的重視，以及民眾對於個資保護之公民意識逐漸成熟。 　　近期澳洲發生之兩起大規模個資事故，其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊，約有1,000萬人（約占澳洲人口40%）的個資遭到外洩，除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等；無獨有偶，於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故，被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料，因為此兩起大型個資事故的發生，促使澳洲政府不得不予以重視，在極短時間內通過新法修正。 　　此次修正案修改1988年《隱私法》（Privacy Act）、2010年《澳洲資訊委員法》（Australian Information Commissioner Act）和2005年《澳洲通訊及媒體管理局法》（Australian Communications and Media Authority Act 2005），修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。 　　一、加重裁罰之部分，依修正《隱私法》第13G條，當嚴重或反覆侵犯他人隱私事件發生時，若行為人為「非法人」（a person other than a body corporate，即我國法之自然人）時，其由行政機關課予當事人之罰金（civil penalty）上限提高到250萬澳幣（約新台幣5,200萬）；若行為人為「法人」（body corporate）時，罰金上限增加到5,000萬澳幣（約新台幣10億）或其所得利益價值的三倍（兩者取其高）。如果法院無法確定利益的數額，則取法人違規期間或事故發生後12個月內（擇其時間較長者）調整型營收（adjusted turnover*）的30%。 　　二、關於資訊委員執法權限強化部分，其擴大資訊委員與他公私部門間交換及查閱資訊之權限，資訊委員得向嫌疑人進行調查或要求交付相關證據，且賦予資訊委員得不待法院裁判，逕對妨害查辦者課以民事制裁，甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。 　　三、有關域外管轄權部分，原先僅適用於「未在澳洲設立登記，但有在澳洲境內蒐集個資且經營業務」之公司；現刪除「有在澳洲境內蒐集個資」之規定，故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資，若有在澳洲境內經營業務即受有域外效力之管轄，其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。 　　至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷，惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件，依我國《個人資料保護法》規定，個資事故發生時，若被害人不易或不能證明其實際損害額時，法院依侵害情節，以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件，原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額，相信有望遏止類似事故不斷發生。 　　*調整型營收（adjusted turnover）：指公司（及相關企業）在違規期間內營業額扣除應調整之稅額例外項目後，所有商品及服務價值的總和。