安全至上 監看有理?-論工作場所電子郵件監看法制爭議

刊登期別
2004年
 

相關附件
※ 安全至上 監看有理?-論工作場所電子郵件監看法制爭議, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=779&no=64&tp=1 (最後瀏覽日:2026/07/16)
引註此篇文章
你可能還會想看
日本經產省公布「伊藤報告3.0版」和「價值協創指南2.0版」,強調企業永續發展重要性

  日本經濟產業省於2022年8月31日公布「伊藤報告3.0版」(伊藤レポート3.0)和「為協力創造價值之綜合揭露、對話指南2.0版」(価値協創のための統合的開示・対話ガイダンス2.0,簡稱價值協創指南),強調企業永續轉型重要性。所謂永續轉型,係指社會永續發展與企業永續發展必須「同步」,及企業為此需要在經營面和產業面進行之改革。   「伊藤報告3.0版」整理企業推動永續轉型應採取之措施,包括必須根據社會永續性擘畫未來方向,並制定可實現長期價值之企業戰略、關鍵績效指標(Key Performance Indicators, KPI)、治理目標等。此外,伊藤報告也指出供應鏈全體(包含中堅、中小企業和新創企業等)和投資鏈上之參與者,都需要推動企業永續轉型。   為強化企業經營以實現永續轉型,經濟產業省同步修正「價值協創指南2.0版」,調整企業資訊揭露及對話方式,讓過程可以更有效率及建設性。指南修正重點包括:(1)全部項目都強調為實現永續社會,企業長期且持續提供價值的重要性及因應方向;(2)新設長期戰略項目;(3)確保「氣候相關財務揭露(Task Force on Climate-related Financial Disclosures, TCFD)」所提出之治理、戰略、風險管理、指標與目標之揭露架構與整合性;(4)於項目「實施戰略(中期經營戰略等)」中,強調人才戰略和人才投資重要性;(5)新設實質對話、約定項目。

澳洲聯邦法院判決 Kazaa軟體的業者—Sherman Networks敗訴

日前澳洲聯邦法院針對四家唱片公司 (包括Universal、Sony、Warner以及 Festival Mushroom)聯合控告提供檔案分享Kazaa軟體的業者—Sherman Networks一案作出判決。法官Murray Wilcox駁回原告聲稱Sherman Networks違反澳洲交易行為法(Trade Practices Act)以及Sherman Networks本身有從事著作權侵害的主張。但是,法官Wilcox指出Sherman Networks授權使用者侵害原告的著作權,並有鼓勵年輕人侵害著作權的情況。Sherman Networks在Kazaa網站的網頁中放置批評反對P2P軟體的唱片公司的標語--Join the Revolution,以及贊助攻擊唱片公司的文宣--Kazaa Revolution。這些標語、文宣並未明白地鼓吹使用者分享檔案,但是這會對於青少年認為以漠視唱片公司之著作權的方式來挑戰唱片公司是一件很「酷」的事情,而Kazaa的使用者多數是青少年。   法官 Wilcox判決被告必須支付90%的訴訟費用,並指出在Sherman Networks符合下列條件之一的情況下,Kazaa可以繼續營運: 1. 必須在現有的以及未來的版本中納入強制性關鍵字過濾技術 (non optional key word filter technology),並且竭盡所能地要求既有使用者將版本更新至含有此技術的版本。 2.Altnet搜尋軟體,又稱之為TopSearch,只能提供未有侵害到他人著作權之作品的清單。   除此之外,法官 Wilcox亦為本案的上訴程序設下二個條件,第一個是上訴時間最快為明年2月,上訴法院為Full Court,第二個是Kazza軟體的修改須取得法院的認可或是唱片公司的同意。

歐盟資通安全局(ENISA)提出資通安全驗證標準化建議

  歐盟資通安全局(European Union Agency for Cybersecurity, ENISA)(舊稱歐盟網路與資訊安全局European Union Agency for Network and Information Security)於2020年2月4日發布資通安全驗證標準化建議(Standardisation in support of the Cybersecurity Certification: Recommendations for European Standardisation in relation to the Cybersecurity Act),以因應2019/881歐盟資通安全局與資通安全驗證規則(簡稱資通安全法)(Regulation 2019/881 on ENISA and on Information and Communications Technology Cybersecurity Certification, Cybersecurity Act)所建立之資通安全驗證框架(Cybersecurity Certification Framework)。   受到全球化之影響,數位產品和服務供應鏈關係複雜,前端元件製造商難以預見其技術對終端產品的衝擊;而原廠委託製造代工(OEM)亦難知悉所有零件的製造來源。資通安全要求與驗證方案(certification scheme)的標準化,能增進供應鏈中利害關係人間之信賴,降低貿易障礙,促進單一市場下產品和服務之流通。需經標準化的範圍包括:資訊安全管理程序、產品、解決方案與服務設計、資通安全與驗證、檢測實驗室之評估、資通安全維護與運作、安全採購與轉分包程序等。   ENISA認為標準化發展組織或業界標準化機構,在歐盟資通安全之協調整合上扮演重要角色,彼此間應加強合作以避免重複訂定標準。目前有三組主要國際標準可構成資通安全評估之基礎: ISO/IEC 15408/18045–共通準則與評估方法:由ISO/IEC第1共同技術委員會(JTC1)及第27小組委員會(SC27)進行重要修訂。 IEC 62443-4-2–工業自動化與控制系統之安全第4-2部分:作為工業自動化與控制系統元件的技術安全要求。 EN 303-645–消費性物聯網之資通安全:由歐洲電信標準協會(ETSI)所建立,並與歐洲標準委員會(CEN)、歐洲電工標準化委員會(CENELEC)協議共同管理。   然而,資通訊產品、流程與服務種類繁多,實際需通過哪些標準檢驗才足以證明符合一定程度的安全性,則有賴驗證方案的規劃。為此,ENISA亦提出資通安全驗證方案之核心構成要件(core components)及建構方法論,以幫助創建歐盟境內有效的驗證方案。

美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護

.Pindent{text-indent: 2em;} .Noindent{margin-left: 22px;} .NoPindent{text-indent: 2em; margin-left: 38px;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國消費者金融保護局發布最終規則強化消費者金融資料控制權與隱私保護 資訊工業策進會科技法律研究所 2024年12月10日 美國消費者金融保護局(Consumer Financial Protection Bureau, CFPB)於2024年10月22日發布最終規則以落實2010年《消費者金融保護法》(Consumer Financial Protection Act, CFPA)第1033條規定之個人金融資料權利[1],該規則即通常所稱之「開放銀行」(Open Banking)規則。 壹、事件摘要 本次CFPB頒布最終規則旨在賦予消費者對其個人金融資料更大的權利、隱私與安全性。透過開放消費者金融資料,消費者得更自由地更換金融服務提供者以尋求最佳交易,從而促進市場競爭,並激勵金融機構精進其產品與服務[2]。 貳、重點說明 最終規則要求資料提供者在消費者及授權第三方之請求下,提供消費者金融產品或服務相關資料,並應以消費者及授權第三方可使用之電子形式提供。最終規則亦制定標準,以促進資料標準化格式(standardized formats)之發展和使用,同時規範第三方近用消費者資料義務,包括對資料之蒐集、利用及保留限制。相關重點如下: 一、受規範機構主體 最終規則規範對象為資料提供者(data provider),包含銀行、信用合作社等存款機構(depository institution);發行信用卡、持有交易帳戶、發行用於近用帳戶設備或提供支付促進服務(payment facilitation service)等非存款機構[3]。值得注意者,最終規則將數位錢包(digital wallet)及支付應用程式(payment app)業者納入資料提供者範圍,亦即被廣泛使用的金融科技服務亦將受到開放銀行規範體系之約束。此外,資料提供者不得向消費者或第三方收取資料近用之費用。 二、受規範資料範圍 最終規則規範之資料範圍涵蓋:資料提供者控制或擁有之24個月內之歷史交易資訊、帳戶餘額、付款資訊、契約條款與條件、即將到期之帳單、以及基本帳戶驗證資訊(Basic account verification information)等[4],消費者得授權第三方近用此類資料。至於機密商業資訊、蒐集資料僅用於防止詐欺、洗錢,或為偵測或報告其他非法及潛在非法行為,又或基於其他法律要求保密之資訊,以及在正常業務過程中無法檢索之資料,則豁免最終規則之適用[5]。 三、消費者與開發者介面 根據最終規則,資料提供者須建立及維護兩個獨立的介面以利資料之近用,包含:消費者介面,例如提供消費者近用其資料之入口網站,以及授權第三方之開發者介面(developer interface),例如應用程式介面(Application Programming Interface, API),雖最終規則不要求使用任何特定技術,然仍要求資料提供者須以標準化機器可讀格式(Standardized and Machine-Readable Format)提供資料,介面功能要求須達每月最低99.5%之回應率(response rate)[6]。此類資訊須在每月最末日前揭露於資料提供者網站上。此外,介面之設計須遵守《美國金融服務業現代化法》(The Gramm-Leach-Bliley Act, GLBA)」及聯邦貿易委員會(Federal Trade Commission, FTC)之《消費者資訊保障標準》(Standards for Safeguarding Customer Information)等消費者資料保護法規義務[7]。 四、授權第三方之行為義務 授權第三方(authorized third party)為代表消費者向資料提供者請求近用資料,藉以提供消費者產品或服務者。為解決隱私與資料安全問題,該規則對尋求近用消費者資料之第三方提出數項要求[8],包含但不限於: (一)知情同意之取得 第三方須取得消費者明確知情同意(express informed consent),以便代表消費者近用資料。 (二)資料利用之限制 第三方須確保將其資料之蒐集、利用及保留限制在提供消費者所請求的產品或服務之合理必要範圍內。就此部分,精準廣告(targeted advertising)、交叉銷售(Cross-selling),以及銷售資料並非提供產品或服務之合理必要範圍。 (三)遵守聯邦法規 第三方須依GLBA第501條規定或FTC之《消費者資訊保障標準》確保在其系統中採用「資訊安全計畫」(information security program)。 (四)政策與程序文件要求 第三方應擁有合理書面政策和程序,以確保從資料提供者處準確接收資料,並提供於其他第三方,即資料正確性之確保。 (五)資料撤回權之確保 第三方應向消費者提供撤回第三方授權之方法,撤回過程須簡易明瞭。在第三方收到消費者撤回授權之請求時,應通知資料提供者以及已向其提供消費者資料之其他第三方。 (六)第三方監督義務 第三方應透過契約要求其他第三方在向其提供消費者資料前遵守特定第三方法定義務。 (七)資料保存期限 消費者資料之保存期限最長為一年。若繼續蒐集,第三方應取得消費者重新授權。若消費者不提供重新授權或撤回授權,第三方應停止資料之蒐集,並停止利用與保留先前蒐集之資料。 五、實施日期 最終規則將依機構資產規模分階段實施[9],最大規模之機構(資產總額為2500億美元以上之存款機構資料提供者,以及在2023年或2024年任一年中,總收入達到100億美元以上之非存款機構資料提供者)須在2026年4月1日前遵守最終規則。對於規模最小之機構(資產總額低於15億美元但高於8.5億美元之存款機構資料提供者)須於2030年4月1日前遵守該規則。另總資產低於8.5億美元之存款機構不受該規則限制,以減輕小型銀行及信用合作社合規負擔。 參、事件評析 CFPB之CFPA第1033條最終規則將重塑美國金融市場之監理格局,由市場驅動之開放銀行框架走向由政府透過法規實質監理之管制措施,要求業者開放消費者資料。值得留意者,歐盟執委會(European Commission)2023年6月推出之「金融資料近用」(Financial Data Access, FiDA)草案[10]亦基於消費者賦權理念,強化消費者對其資料權利之控制權。由此可觀察國際間金融資料利用與監理規範逐漸走向以消費者資料自主為中心之法制架構,當代金融資料監理趨勢或值得我國主管機關及業者留意關注,除可作為我國金融資料法制與政策制定之參考,亦供我國企業布局全球化金融服務提前作好準備。 [1]Required Rulemaking on Personal Financial Data Rights, 89 Fed. Reg. 90838. [2]Consumer Financial Protection Bureau, CFPB Finalizes Personal Financial Data Rights Rule to Boost Competition, Protect Privacy, and Give Families More Choice in Financial Services, available at https://www.consumerfinance.gov/about-us/newsroom/cfpb-finalizes-personal-financial-data-rights-rule-to-boost-competition-protect-privacy-and-give-families-more-choice-in-financial-services/(last visited Dec. 5, 2024). [3]12 C.F.R. § 1033.111. [4]12 C.F.R. § 1033.211. [5]12 C.F.R. § 1033.221. [6]12 C.F.R. § 1033.311. [7]See id. [8]12 C.F.R. § 1033.421. [9]12 C.F.R. § 1033.121. [10]Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for Financial Data Access and amending Regulations (EU) No 1093/2010, (EU) No 1094/2010, (EU) No 1095/2010 and (EU) 2022/2554.

TOP