何謂德國「資訊科技安全法(IT-Sicherheitsgesetz)?
德國聯邦議會於2015年通過資訊科技安全法(IT-Sicherheitsgesetz),主管機關為聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI),隸屬於德國聯邦內政部(Bundesministerium des Innern)。目的是為保障德國公民與企業使用的資訊系統安全,特別是在全國數位化進程中,攸關國家發展的關鍵基礎設施,讓德國成為全球資訊科技系統及數位基礎設施安全的先驅與各國的模範,同時藉此強化德國資訊科技安全企業的競爭力,提升外銷實力。
該法案主題包括,在關鍵基礎設施上改進企業資訊科技安全、保護公民的網路安全、確保德國聯邦資訊科技、加強聯邦資訊技術安全局的能力與資源、擴展聯邦刑事網路犯罪的調查權力。
該法主要係針對關鍵基礎設施營運者(Kritische Infrastrukturbetreiber) 進行安全要求,例如在能源、資訊科技、電信、運輸和交通、醫療、水利、食品、金融與保險等領域的企業。德國聯邦政府要求關鍵基礎設施的營運商,要滿足資訊科技安全的最低標準,且須向聯邦資訊安全局通報資訊安全事件。聯邦資訊安全局要對關鍵基礎設施營運商的資訊進行評估分析,並提供給關鍵基礎設施營運商彙整改善,以提高其基礎設施的保護。
本文為「經濟部產業技術司科技專案成果」
根據德國法蘭克福地方法院日前於4月20日的一則假處分裁定(Beschluss vom 20.04.2010, Az. 3-08 O 46/10),禁止被告以超連結方式,讓點取該鏈結的人,得以連結到刊登有損害原告商業信譽的文章頁面。 本件事實起源於一名匿名的網友在不同的網路論壇中,發表刊登有侵害原告商業信譽的言論,而曾經與原告有商業上往來的被告,利用自己Twiiter帳戶,發表超連結,並在鏈結網址下加上「十分有趣」的文字,讓看到該訊息的朋友,都可以點選鏈結連接到這些不利於原告商業信譽的文章、言論。原告因而向法院申請假處分裁定,禁止被告以超連結方式繼續為有損原告商業信譽的行為。 法蘭克福地方法院的這起裁定,被視為是德國國內第一起法院對Twitter等社群網站的警告,德國輿論各界也普遍認為,法院透過裁定對外明白宣示社群網站使用者往往誤認網路社群空間為「半私人場域(須加入好友才得以分享資訊、留言等)」,在自己的帳戶上發表心得、感想、分享文章等行為,還是有構成侵權責任的可能性。 該裁定出爐後,德國各界則開始討論被告設定超連結的行為是否構成網路侵權責任,持贊成意見者認為,即使該違法言論非被告本人所發表,被告設定超連結的行為,也讓自己與該違法言論「合而為一(zueigen gemacht)」,也就是,讓外界以為該違法言論就是被告本人所撰寫刊登;根據德國電信服務法(Telemediengesetz, TMG)第7條規定,內容提供者須為「自己」的言論負擔法律責任。 反對者則拿其他超連結的案例舉出,法院認定被告是否構成網路內容提供者的侵權責任,通常會檢視被告對於該違法言論的內容是否知悉、被告是否違背其檢查監督義務(Überprüfungspflicht),例如被告須為一定行為藉以與原撰文者劃清界線等。但因各該檢驗標準都係由法院依據個案加以認定,讓人無所適從,產生網路侵權行為的判斷標準過於浮動之疑慮,德國國會也因此著手進行電信服務法的修法。
歐盟法院佐審官允許Google販售商標關鍵字給廣告業者針對法國知名品牌LVMH控告搜尋引擎大廠Google以其商標作為關鍵字,販售給網路廣告業者,使得當使用者鍵入商標關鍵字搜尋時,廣告業者之商業訊息及其網址會呈現在搜尋結果中,而侵害LVMH商標權的訴訟案中,歐洲法院佐審官(advocate General)Poiares Maduro提出了法律意見書。 在該意見書中,其認為Google允許廣告業者選擇和商標有關的關鍵字並不構成商標侵權,選擇關鍵字僅是Google和廣告業者二造間的內部活動,並沒有對公眾販賣和商標相同或類似的產品或服務,非商標法所謂之使用。另外,根據關鍵字搜尋結果而呈現廣告業者之網址,也不會造成消費者對原始產品或服務混淆的風險。網際網路的使用者知道在Google搜尋引擎做搜尋時,並非只有商標擁有者的網址會呈現,甚至有時他們並不是尋找商標擁有者的網址。消費者會依據廣告內容及造訪廣告網址來認定產品或服務的來源,不是僅依據隨商標關鍵字而呈現出的廣告就作出來源的認定。 該佐審官的法律意見雖然對歐盟法院沒有拘束力,但該法院在大部分的案件中仍會依循該意見,通常在該意見提出後大約六個月會作出裁判。
美國民權辦公室發布遠距醫療隱私和資訊安全保護相關建議美國衛生及公共服務部(U.S. Department of Health and Human Services, HHS)民權辦公室(Office for Civil Rights, OCR)於2023年10月18日發布了兩份文件,針對遠距醫療情境下的隱私和資訊安全保護,分別給予病人及健康照護服務提供者(下稱提供者)實務運作之建議。本文主要將發布文件中針對提供者的部分綜合整理如下: 1.於開始進行遠距醫療前,提供者應向病人解釋什麼是遠距醫療及過程中所使用的通訊技術。讓病人可瞭解遠距醫療服務實際運作方式,若使用遠距醫療服務,其無須親自前往醫療院所就診(如可以透過語音通話或視訊會議預約看診、以遠端監測儀器追蹤生命徵象等)。 2.提供者應向病人說明遠距醫療隱私和安全保護受到重視的原因。並且向病人告知為避免遭遇個資事故,提供者對於通訊技術採取了哪些隱私和安全保護措施,加以保護其健康資訊(如診療記錄、預約期間所共享資訊等)。 3.提供者應向病人解釋使用通訊技術對健康資訊帶來的風險,以及可以採取哪些方法降低風險。使病人考慮安裝防毒軟體等相關方案,以防範病毒和其他惡意軟體入侵;另網路犯罪者常利用有漏洞之軟體入侵病人裝置,竊取健康資訊,因此可於軟體有最新版本時,盡快更新補強漏洞降低風險;若非於私人場所預約看診,病人則可透過調整裝置或使用即時聊天功能,避免預約資訊洩漏。 4.提供者應協助病人保護健康資訊。確保病人知悉提供者或通訊技術供應商聯絡資訊(如何時聯絡、以什麼方式聯絡等),使病人遭網路釣魚信件或其他方式詐騙時可以加以確認;也應鼓勵病人有疑慮時都可洽詢協助,包括如何使用通訊技術及已採取之隱私和安全保護措施等。 5.提供者應使病人了解通訊技術供應商所採取之隱私和安全保護措施。告知病人通訊技術供應商名稱、採取之隱私和安全保護措施,及如何得知前開措施內容;使病人了解進行遠距醫療時是否使用線上追蹤技術。 6.提供者應告知病人擁有提出隱私投訴的權益。若病人認為自身健康隱私權受到侵犯,得透過OCR網站進行投訴。
營業秘密管理概要