日本發布關鍵基礎設施資訊安全對策第4次行動計畫

　　微軟在美國政府索要用戶郵件的一起官司中獲得勝訴。美國政府第二巡迴上訴法院裁決，如果資料是儲存在美國境外伺服器，則不為美國聯邦政府的令狀效力所及。 　　這件訴訟案源於2013年的一起涉外毒品案件中，紐約區法院發布了一項搜查令，要求微軟提供公司一名用戶的郵件和相關訊息。然而因為有些資料是存放在微軟公司在愛爾蘭的伺服器，因此微軟爭辯說郵件本身是儲存在愛爾蘭的，因此不應受到美國政府令狀效力所及。2014年聯邦地方法院再次要求微軟提供郵件內容——但微軟上訴到了聯邦第二巡迴法院。 　　美國聯邦第二巡迴法院在判決中，認定基於《儲存通訊記錄法》（Stored Communications Act：SCA/下稱SCA）規定美國政府得以令狀要求連結網路使用者資料的規定並不適用於境外。法院所持理由為： 1. SCA規定搜索票/扣押票之核發應符合美國聯邦刑事訴訟法之相關規定，而美國聯邦刑事訴訟法第41條即規定搜索票/扣押票應由搜索/扣押標的物所在地之法院核發並交由該地或國內他地執法人員執行。 2. 法院曾於2010年之MORRISON ET AL. v. NATIONAL AUSTRALIA BANK LTD. ET AL.案判決理由中指明，如國會立法時認為某法規可能或必須有域外效力，應以明文定之，而SCA條文中並無任何規定寫明該法可於境外適用之。 3. SCA在第2703條所使用之搜索票/扣押票（warrant）一字，源自美國憲法增修條文第四條，即規定美國政府對其國內人民為搜索扣押時應以搜索票/扣押票（warrant）為之，且SCA更刻意以不同條款及不同強度區分搜索票/扣押票（warrant）與傳票（Subpoena），立法者之用意顯然是希望能以前者提供使用者更高度的隱私保護。 這是美國首例企業對獲取境外資料的政府搜查令提起上訴的案件，審判結果影響著美國法律界對於執法機關是否能就存放在世界上其他國家的美國用戶資料，進行合法調查。

　　西班牙政府要求網路搜尋引擎業者Google刪除有關於90位公民之個人資料搜尋結果。西班牙政府主張當事人具有「被遺忘之權利」（the right to be forgotten），但Google認為西班牙政府之要求將衝擊表達自由之權利。目前全案已進入訴訟程序。 　　該事件之主因為西班牙民眾發現透過網路搜尋引擎，可以搜尋包含地址、犯罪前科等個人資料。經民眾向西班牙隱私權保護機關（Spain Data Protection Agency）提出申訴後，西班牙政府命令Google刪除申訴民眾之個人資料之搜尋結果。 　　然而，Google的全球隱私顧問Peter Fleischer於個人部落格中提出個人意見，表示目前歐盟並未對於推行之「被遺忘之權利」給予明確定義，此舉將引起資訊科技發展與法律規範間之爭議。 　　近來歐盟所進行之民意調查指出，多數歐洲人希望能夠隨時要求網路公司刪除於網路上公開之個人資料，也就是希望擁有「被遺忘之權利」。所謂「被遺忘之權利」，係指只要是於網路上流傳且容易被搜尋之個人資訊，例如年代久遠或是令人尷尬的內容，當事人皆有權利要求刪除。 　　然而，根據1995年歐盟隱私保護指令（EU Data Protection Directive）所制定之各國個人資料保護法，對於「被遺忘之權利」並無著墨。故有些專家認為，為因應資訊科技之發展，應透過個人資料保護法制之修訂，確認此權利之存在，以避免模糊不清之情形。

　　美國總統拜登於2022年10月簽署了《強化美國訊號情報活動行政命令》（Executive Order On Enhancing Safeguards For United States Signals Intelligence Activities），指示美國將採取哪些步驟以落實歐盟與美國間資料隱私架構下的承諾。其目的在於解決歐盟法院（Court of Justice of the EU）在2020年7月的Schrems II判決中宣布隱私盾協議（EU-U.S. Privacy Shield framework）無效時所提出的疑慮與問題。 　　新的行政命令為美國的情報監視活動規定了某些「隱私和公民自由保護措施」，並且為非美國人制定了一種新的權利救濟管道，該行政命令主要規定了以下幾點： 　　1.規定美國的訊號情報活動應為必要的，並且符合有效的情報優先事項。 　　該行政命令規定，美國的訊號情報只有在「促進有效情報優先事項所必需」，並且「只有在與授權事項相襯的範圍與方式下」才能進行。該命令規定，基於了解或評估對美國、其盟友或夥伴的國家安全構成當前或潛在威脅的國外組織的能力、意圖或活動；防止由外國政府、外國組織或外國個人實施或代表其實施的恐怖主義、劫持人質；以及了解或評估影響全球安全的跨國威脅等目的，可以對某些合法目標進行情報偵察活動。且不得對與新聞自由、異議、思想或政治觀點的自由表達造成限制或使其立於不利地位，也不得蒐集商業訊息；這些訊息的蒐集僅限用於美國、其盟友或夥伴的國家安全。 　　2.規定訊號情報活動蒐集到的個人資料之處理方式。 　　針對通過訊號情報活動所蒐集的個人資料，美國情報系統在處理資料的每個環節必須建立制度和相關程序，以盡量減少個人資料的傳輸和保存環節。且只有在適用法規允許蒐集、保留美國人特定類型的資訊之情況下，才能夠保留非美國人的該類型訊息，不得因被蒐集資料的對象並非美國人而有所差異。並要求資訊處理的單位人員保持適當的培訓，以確保相關人員能夠理解規範的要求。 　　3.規定非美國人的權利救濟程序，以審查美國情報界的訊號情報活動。 　　在此行政命令頒布後60天內，國家情報總監（DNI）在與美國司法部和情報界各部門協商後，針對非美國人「藉由相應國家機構所移轉符合資格之投訴」建立處理程序。而美國的司法部長可以與國務卿、商務部長和DNI進行協商，將一個國家或是經濟區域、組織指定為符合資格的國家或是國際群體，其人民可以進行權利救濟。DNI的公民自由保護辦公室（Civil Liberties Protection Officer, CLPO）將對這些非美國人的申訴進行審查，並於必要時進行適當的補救措施，包含刪除未經合法授權獲得的資料，或是將合法蒐集資料的訪問權限限制於經過適當培訓的人員。 　　4.建立資料保護審查法院，以審查CLPO對於合格申訴的判定結果。 　　新成立的資料保護審查法院應任命針對資料隱私和國家安全法領域具備適當經驗的法律從業人員來擔任法官。投訴人可於CLPO做出決定後，向該法院申請審查CLPO的決定。

　　根據Ponemon Institute的調查，2011年至2012年中，英國企業資料侵害事故平均成本增加了15%。賽門鐵克指出，若企業備有正式的事故應變計畫，每件資料侵害事故的平均成本會降低至13英磅左右。除此之外，雇用外部顧問來協助應變，每件資料侵害事故的平均成本也會節省4英磅。 　　依據新的資料保護法律架構，歐盟委員會日前已開始擬訂新的資料侵害事故通知制度。同時，根據不同委員會的需求，未來將針對特定產業，制定新的網路與資訊安全管理規範。。 　　專家評估未來責任保險將成為確保資訊安全的新潮流。企業藉由事先擬定事故應變計劃來降低資料侵害的風險，同時也進行風險轉移的處置措施。各項事故應變計劃之中，保險制度是企業目前較感興趣的措施之一。保險制度除了可用於風險轉移之外，企業還可以從中取得資料侵害事故的專家網絡。這些專家包含事故鑑定專家、公共關係專家、風險管理專家，信用監測提供者或是資料侵害事故的事務處理公司，例如：協助發送事故通知的公司。保險業建置的專家網絡，未來將可以幫助要保人，以最快最省成本的方式處理相關事故。