從RFID的應用談科技變遷下的人權議題

紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.（下稱Refuah公司）達成和解，主因為該公司遭受勒索軟體攻擊（ransomware attack），約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用（penalties and costs），且應投資 120 萬美元加強網路安全（cybersecurity）。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車（mobile medical vans）。2021 年 5 月，Refuah公司遭到勒索軟體攻擊，網路攻擊者得以近用數千名病人的資料，取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示，攻擊者之所以得近用這些資料，原因為 Refuah公司未採取適當安全維護措施，包括：未停用不活躍之使用者帳號（inactive user accounts）；未定期更換使用者帳號憑證（user account credentials）；未限制員工僅得近用其業務所必需之資源和資料；未使用多重要素驗證（multi-factor authentication）以及未加密病人資料。 依據協議內容，Refuah公司同意投資 120 萬美元，用於開發和維護更強大的資訊安全計畫（information security programs），以更妥適地保護病人資料。該協議還要求Refuah公司應： 1.維護全面的資訊安全計畫，以保護消費者資料的安全性、機密性和完整性； 2.實施並持續更新消費者資料近用限制相關政策和程序； 3.遠端近用資源和資料應使用多重要素驗證； 4.定期更新近用資源和資料的憑證； 5.至少每半年進行一次稽核，確保使用者僅近用其業務所必需之資源和資料； 6.對所有儲存或傳輸的消費者資料進行加密； 7.實施控制措施，監控和記錄公司網路和系統的所有安全和操作活動；以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用，其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後，得暫緩支付。

　　隨著資通訊技術與網路科技整合，無人機熱潮在全球各地崛起，相關創新應用蓬勃發展，產業規模也因此快速擴張，然而國內外不斷傳出多起無人機意外事件，相關操作規範及隱私等法律議題也備受矚目。 　　德國聯邦交通部於2017年1月18日公布無人機新規範，以提升無人機操作安全，防止碰撞等意外事件，並加強隱私保護。所謂無人機即搖控飛行器，德國航空法上之定義包括模型飛機及無人航空系統設備，前者係用於私人娛樂或體育競賽，其餘飛行器，尤其是商業用途，則歸屬於後者，本次規範重點如下： 1.特定模型飛機場域內的操作規定，不受本次規範修訂影響，惟必須於操作之飛行器上標示所有人之姓名及地址供辨識。 2.超過0.25公斤之無人機或模型飛機，有標示所有人之姓名及地址供辨識之義務。 3.超過2公斤之無人機或模型飛機操作者，必須通過聯邦航管局技能測試或取得飛行運動協會核發之技能證書。 4.超過5公斤之無人機或模型飛機，必須額外取得各邦民航局之許可。 5.除特定模型飛機場域內，或例外經由各邦民航局申請核可者外，飛行高度不得超過100公尺。一般而言，應於視線範圍內飛行，但未來將可能適度放寬，以利商業無人機之運用發展。 6.無人機或模型飛機應避免與其他無人機碰撞。 7.禁止造成各種障礙或危險之飛行行為。 8.禁止商業無人機或模型飛機在敏感區域飛行，例如憲法機構、聯邦或各邦機關、警消救災範圍、人群聚集區、主要交通幹道、機場起降區。 9.超過0.25公斤之無人機或模型飛機，或配備光學、聲音、無線電信號發送或記錄設備之飛行器不得在住宅區飛行。 　　近來幾起無人機入侵機場事件造成嚴重飛安威脅，相關碰撞意外新聞也不斷頻傳。為兼顧生命財產安全及促進新興技術發展，有必要進行適度合理監管及預防措施，並加強操作安全及隱私教育，以降低危害風險，並於意外或違規事件發生後，得以追究肇事者相關法律責任。

　　世界智慧財產組織 (WIPO)於今年3月報導指出:WIPO於2004年推出了新的E－Pdoc申請系統，這一系統讓WIPO得以用電子形式接收、處理和發送國際專利優先權文件。有了此一電子申請系統，申請人可以要求同一件申請案以其在任何特定簽約國專利局首次提出申請的日期?國際專利申請日。如果申請得到有關國家專利局的專利授權，該先申請日還可以作?獲得國際專利有效保護的起始日期。 　　 受到電子申請系統方便性之鼓舞， 2004年國際專利申請數量激增並正式突破了一百萬件申請的大關，同一年依據專利合作條約(PCT)規定所提交申請的數量也創下紀錄，共計12萬多件。其中美國繼續列在最大用戶榜首，但增長速度最快的是亞洲大陸─即：日本、韓國和中國大陸。

紐西蘭眾議院（New Zealand House of Representatives）於2023年3月通過數位身分服務信任框架法案（Digital Identity Services Trust Framework Act，以下稱本法案），旨在建立數位身分信任制度。本法案為數位身份服務商提供自願認證計畫，政府將授予符合信任框架規範之服務商認證。數位經濟與通訊部（Minister for the Digital Economy and Communications）指出，數位身份目前缺乏一致的辨識標準，而信任框架的訂定將有助於緩解身份盜用、詐欺與隱私資料外流之風險。茲所附言，本法案如經總督簽署將於2024年生效。 蓋紐西蘭針對政府數位化與數位轉型已擬定多項計畫、策略，其中包含建構安全、分散且以用戶為中心的數位身份管理制度，而本法案的通過與施行將為上述制度奠定基礎，其特性說明如下： 一、去中心化資料儲存：數位身分資料傳遞是由資訊提供者（如政府、銀行或公用事業公司等持有個人資訊者）、用戶（資料所有者）與服務商三方形成連結網絡，而非源自集中保存身分資料之數據資料庫。 二、以用戶為中心：若用戶有驗證或提供身分資訊之需求，經過政府認證符合信任框架規範的服務商，可在用戶的許可與請求下，傳送相關資料給用戶指定之第三方（需求者）。 三、非強制性機制：紐西蘭政府將不會強制服務商、用戶及需求者使用依本法案所建構之數位身分信任機制。 四、交互認證：基於紐西蘭與澳洲的單一經濟市場議程（Single Economic Market, SEM），本法案將符合對應英國、澳洲與加拿大有關數位信任之規範，減少因法規差異產生之成本和歧視。