德國數位經濟2017監測報告及建議

美國各州逐步研議透過立法豁免企業資安事件賠償責任 資訊工業策進會科技法律研究所 2024年06月10日 為鼓勵企業採用資安標準與框架，美國已有幾州開始透過立法限縮企業資安事件賠償責任，企業若能舉證證明已符合法令或遵循業界認可之資安框架和標準，則於資安攻擊事件所致損害賠償訴訟中，將無需承擔賠償責任。 壹、事件摘要 為避免有心人士於未取得經授權下近用網路和敏感資料，企業往往投入大量資源打造資安防護架構，惟在現今網路威脅複雜多變的環境下，仍可能受到惡意資安攻擊，導致資料外洩事件發生，導致企業進一步面臨訴訟求償風險，其中多數指控為未實施適當的資安措施。為此美國佛羅里達州和西維吉尼亞州研議透過立法限縮企業之資安事件賠償責任，以鼓勵企業採用資安標準、框架與資安相關法令。 貳、重點說明 繼美國俄亥俄州[1]、猶他州[2]和康乃狄克州[3]相繼頒布法令，讓已實施適當安全維護措施之企業，豁免資安攻擊所致資料外洩之損害賠償責任，佛羅里達州和西維吉尼亞州近期亦提出相似法案，以下介紹兩州法案之重點： 一、佛羅里達州 美國佛羅里達州於2023年11月公布《資安事件責任法案》 （H.B 473: Cybersecurity Incident Liability）[4]，法案納入「安全港條款」（Safe Harbor），當企業遭受資安攻擊致生個資外洩事件，如可證明已遵循產業認可的資安標準或框架，實施適當的資安措施與風險控管機制，則可免於賠償責任，以鼓勵企業採納資安標準或框架。 為適用安全港條款，企業須遵循佛羅里達州資訊保護法（The Florida Information Protection Act），針對資料外洩事件，通知個人、監管機關和消費者，並建立與法案內所列當前產業認可的資安標準、框架，或是特定法令規範之內容具一致性的資安計畫（Cybersecurity Programs）： （一）當前產業認可的資安標準、框架 1. 國家標準暨技術研究院（National Institute of Standards and Technology, NIST）改善關鍵基礎設施資安框架（Framework for Improving Critical Infrastructure Cybersecurity）。 2. NIST SP 800-171－保護非聯邦系統和企業中的受控非機密資訊。 3. NIST SP 800-53 和 SP 800-53A－ 資訊系統和企業的安全和隱私控制/ 評估資訊系統和企業中的安全和隱私控制。 4. 聯邦政府風險與授權管理計畫（Federal Risk and Authorization Management Program, FedRAMP）安全評估框架。 5. 資安中心（ The Center for Internet Security, CIS）關鍵安全控制。[5] 6. ISO/IEC 27000系列標準。 7. 健康資訊信任聯盟（The Health Information Trust Alliance, HITRUST）通用安全框架（Common Security Framework）[6]。 8. 服務企業控制措施類型二（Service Organization Control Type 2, SOC 2）框架。 9. 安全控制措施框架（Secure Controls Framework）。 10. 其他類似的產業標準或框架。 （二）特定法令規範 企業（entity）如受以下法令規範，亦得適用安全港條款，如法令有修訂，企業應在發布修訂後的一年內更新其資安計畫： 1. 健康保險可攜與責任法（The Health Insurance Portability and Accountability Act, HIPAA）之安全要求。 2. 金融服務現代化法（The Gramm-Leach-Bliley Act）第五章。 3. 2014 年聯邦資訊安全現代化法（The Federal Information Security Modernization Act of 2014）。 4. 健康資訊科技促進經濟和臨床健康法（The Health Information Technology for Economic and Clinical Health Act, HITECH）之安全要求。 5. 刑事司法資訊服務系統 （The Criminal Justice Information Services, CJIS）安全政策。 6. 州或聯邦法律規定的其他類似要求。 該法案雖於2024年3月5日經佛羅里達州參議院三讀通過，但於2024年6月26日遭州長否決[7]，其表示法案對於企業的保障範圍過於廣泛，如企業採取基礎的資安措施與風險控管機制，便得主張適用安全港條款，將可能導致消費者於發生個資外洩事件時，無法受到足夠的保障。州政府鼓勵利害關係人與該州網路安全諮詢委員會（Florida Cybersecurity Advisory Council）合作，探求法案的替代方案，以保護消費者資料。 二、西維吉尼亞州 美國西維吉尼亞州於2024年1月29日提出眾議院第5338號法案[8]，修訂西維吉尼亞法典（Code of West Virginia），增訂第8H章資安計畫安全港條款（Safe Harbor for Cybersecurity Programs），如企業符合業界認可的資安標準、框架或依特定法令建立與實施資安計畫，包含個人資訊和機敏資料的管理、技術和企業保障措施，將能夠於侵權訴訟中，主張適用避風港條款。 法令內明列評估企業所建立的資安計畫規模和範圍是否適當之要素，包含： 1. 企業的規模和複雜性； 2. 企業的活動性質和範圍； 3. 受保護資訊的敏感性； 4. 使用資安防護工具之成本和可用性； 5. 企業可運用的資源。 （一）當前產業認可的資安標準、框架 除與佛羅里達州法案所列舉業界認可的資安標準之前六項相同，另增加： 1 NIST SP 800-76-2個人身分驗證生物辨識規範（Biometric Specifications for Personal Identity Verification）[9]。 2. 資安成熟度模型認證（The Cybersecurity Maturity Model Certification, CMMC）至少達到第2級，並經外部驗證（external certification）。 （二）特定法令規範 除與佛羅里達州法案所列舉特定法令之前四項相同，另增加：由聯邦環境保護局（Environmental Protection Agency, EPA）、資安暨基礎設施安全局（Cybersecurity and Infrastructure Security Agency, CISA）或北美可靠性公司（North American Reliability Corporation）[10]所採用任何適用於關鍵基礎設施保護的規則、法規或指南。 惟目前法案已於2024年3月27日被西維吉尼亞州長否決[11]，其表示透過安全港條款鼓勵企業實踐資安框架雖立意良好，但也可能遭濫用而帶來不當影響，例如TikTok等大型國際企業，如在違背公民意願情況下共享個人資料時，將免於訴訟，恐有損其公民權益，未來州政府將與利害關係人持續進行協商。 參、事件評析 佛羅里達州和西維吉尼亞州近期同步公布有關限制企業於資安事件之責任相關法案，內容亦為相似，西維吉尼亞州之法案目前已遭否決，主要係擔心該豁免條款遭到不當濫用；佛羅里達州之法案亦因對於企業保障過廣與無法保障消費者個資安全考量，而遭州長否決。 法案中明列受產業普遍認可的資安標準、框架與政府所頒布特定法令，有助企業明確遵循與採納，建立與實施資安計畫，惟如何舉證所建立之資安計畫或實施之資安措施，與法案所列之資安標準、框架，或是特定法令規範，具有實質上的一致性，仍不明確，將可能阻礙企業於訴訟上行使抗辯與主張責任豁免權。未來美國如何權衡產業穩健發展與民眾個資保障，仍有待持續觀察。 [1] Chapter 1354 - Ohio Revised Code, Ohio Laws, https://codes.ohio.gov/ohio-revised-code/chapter-1354 (last visited May 24, 2024). [2]Part 7 Cybersecurity Affirmative Defense Act, Utah StateLegislative, https://le.utah.gov/xcode/Title78B/Chapter4/78B-4-P7.html (last visited May 24, 2024). [3]Frederick Scholl, Connecticut’s New Breach Notification and Data Security Laws: Carrots and Sticks, Quinnipiac University, July,1,2021,https://www.qu.edu/quinnipiac-today/connecticuts-new-breach-notification-and-data-security-laws-2021-07-01/ (last visited May 24, 2024). [4]CSHB 473-Cybersecurity Incident Liability, The Florida Senate,https://www.flsenate.gov/Session/Bill/2024/473 (last visited Jun. 28, 2024). [5]資安中心（ The Center for Internet Security, CIS）為美國非營利組織，負責推動CIS Controls，針對實際發生的資安攻擊行為提供防禦建議，作為企業保護 IT 系統和資料時可參考之最佳實務作法。資料來源：About us, Center for Internet Security, https://www.cisecurity.org/about-us (last visited Jun. 6, 2024). [6]What is HITRUST?, Schneider Downs,https://schneiderdowns.com/cybersecurity/what-is-hitrust/ (last visited May 24, 2024). [7]Governor of Florida, Vote letter for House Bill 473(2024), https://www.flgov.com/wp-content/uploads/2024/06/Veto-Letter_HB-473.pdf (last visited Jun. 28, 2024). [8]2024 REGULAR SESSION ENROLLED Committee Substitute for House Bill 5338, WEST VIRGINIA LEGISLATURE,https://www.wvlegislature.gov/Bill_Status/bills_text.cfm?billdoc=hb5338%20sub%20enr.htm&yr=2024&sesstype=RS&i=5338 (last visited May 24, 2024). [9]NIST SP 800-76-2 Biometric Specifications for Personal Identity Verification, National Institute of Standards and Technology, https://csrc.nist.gov/pubs/sp/800/76/2/final (last visited May 24, 2024). [10]北美電力可靠性公司（North American Electric Reliability Corporation, NERC），為一家非營利機構，致力推動關鍵基礎設施保護相關標準，以強化北美大規模電力系統（亦即電網）的可靠性和安全性，資料來源：https://www.nerc.com/Pages/default.aspx (last visited May 24, 2024). [11]Governor of West Virginia, Enrolled Committee Substitute for House Bill 5338(2024),https://www.wvlegislature.gov/Bill_Text_HTML/2024_SESSIONS/RS/veto_messages/HB5338.pdf (last visited May 24, 2024).

　　在越來越多消費者擔心部分企業以進行大數據研究名義竊取、交易或透露個人資料之行為，侵犯消費者隱私情況下，中國政府已要求互聯網企業加強對個人資料之保護；這並非中國當局第一次要求互聯網企業加強數據隱私保護，中國消費者協會(China Consumers Association, CCA）亦曾示警，中國大量智慧型手機應用程式正在蒐集過多個人資料，包括但不限於用戶位置、聯絡人清單及手機號碼。 　　中國互聯網金融協會(National Internet Finance Association of China, NIFA)於 11月初發表聲明提及：「未經消費者同意，會員組織不得蒐集、利用或向第三方提供消費者個人資料。」、「所有會員機構都應承擔保護個人資料之個人責任。如發生問題，應立即予以改善並報告給協會……消費者風險警示亦應加強。」，該協會亦向所有會員機構提出警告，對數據隱私之改善措施應承擔個人責任。 　　中國互聯網企業讚揚AI工具可使用海量數據以增強消費者體驗之優點，然它們不得不靈活應對消費者對如何蒐集與利用個人資料日益增長之焦慮，而中國政府目前正起草制定有關個人數據隱私保護法律，以解決日常生活伴隨著多方數位體驗而生之敏感問題。

　　繼泰國政府於六個月前針對跨國製藥公司Merck的愛滋藥品efavirenz（品牌名稱為Stocrin）實施強制授權後，巴西政府也在最近跟進，巴西總統Luiz Inácio Lula da Silva於今（2007）年5月4日針對Merck的同一藥品簽發強制授權令。 　　長久以來，巴西政府與Merck即持續針對愛滋藥物efavirenz的售價進行協商，不過雙方一直未有共識：efavirenz是巴西國內最常用來治療愛滋病的藥品，總計約有38％的巴西愛滋病患（巴西國內愛滋病患約20萬人）使用此一藥品。Merck提出的售價是每一錠1.59美元，以巴西國內對該藥物的需求而言，巴西政府於2007年將須為此支付將近4千3百萬美元的藥品採購價額；然而，巴西政府認為愛滋治療藥品牽涉高度的公益性，堅持Merck應該降低售價，4月底，巴西健康部向Merck發出最後通牒，最後巴西政府拒絕Merck重新提出的價格並祭出強制授權。 　　強制授權本即為專利制度的一環，不過必須在嚴格的條件下始得動用。由於藥品牽涉到公眾健康問題，加以製藥產業結構特殊，多數開發中國家並無製藥能力，故2005年底的WTO香港會議就公共健康領域通過了特別決議—「執行2003年8月30日大會決議第十一點之TRIPS修正條文建議～有關落實TRIPS與公共健康杜哈宣言第六點」（Implementation of Paragraph 11 of the General Council Decision of 30 August 2003 on the Implementation of Paragraph 6 of the DOHA Declaration on the TRIPS Agreement and Public Health），修正TRIPS之強制授權規定。 　　5月4日的專利強制授權令乃是巴西政府首次針對藥品專利實施強制授權，巴西政府認為，其強制授權決定符合上述國際條約規定。一般認為，印度學名藥廠Cipla、Ranbaxy、Aurobindo將會是巴西此一強制授權決定之受惠者。

　　今年11月17日到19日為期三天的第五屆「智慧城市世界大會展覽（Smart City Expo World Congress）－都會平台（Urban Platforms）：串聯資料數據以及城市之間的連結」於西班牙巴塞隆納舉行。該大會凝聚了世界500個城市、450個參展單位，以及400位講者於一堂，主要觸及了城市如何因應大量成長的數據、從新的管理方式中，要如何以及在哪裡得到價值，以及在加速城市中的都會平台過程中，要付出什麼樣的代價等議題。 　　今年度的大會展覽令人耳目一新的創新作品包括：綠色環保無人駕駛小公車、提醒視力受損者，道路上有障礙物的智慧應用程式、能夠辨識在範圍內的射擊，並且精準地指出事件發生地點的麥克風系統，還有其他諸如無人飛機、物流和都會區內遞送服務等等創意新點子。 　　「智慧城市」一詞，意味著一個能夠合於未來發展的都會，同時轉變為一個可以在提升資源以及能源效率的同時，還能夠減少對於生態衝擊的環境。而歐洲的智慧城市發展，主要是在「歐洲2020戰略」（Europe 2020）中，由歐盟執行委員會所實施的「歐洲創新夥伴計畫」（The European Innovation Partnership, EIP）帶領歐洲倡議都會平台於以下三個交互運作的活動以及發展：（一）以城市需求為導向的發展，使得能快速地適應都會平台；（二）由備忘錄（Memorandum of Understanding, MoU）所鞏固的供給導向發展；（三）在信任的基礎上所建立的標準化導向發展。 　　歐盟於2011年6月公布的「智慧城市與社群歐洲創新夥伴計畫」（The European Innovation Partnership on Smart Cities and Communities, EIP-SCC）目的是為了要將城市、企業與市民結合起來，共同藉由永續的解決方案，來改善都會城市現有的問題，並提升城市的整體生活。此計畫期許以資通訊科技（Information and Communication Technology, ICT）、能源與交通管理的結合，共同提出創新的解決方案，為今日歐洲城市面對來自於環境、社會與健康等挑戰進行解套，計畫發展核心包含開放資料（Open Data）、商業模式（Business Models）、政策與法規（Policy and Regulation）、能源效率與低碳解決方案（Energy Efficiency and Low Carbon Solutions）、財政金融與採購（Finance and Procurement）、都會移動（Urban Mobility）、能源整合網絡（Integrated Energy Networks）等。 　　從歐盟所發展的大戰略計畫，到今年第五年的「智慧城市世界大會展覽」，明顯嶄露出歐盟在積極推動經濟發展的同時，帶著永續環境的思維，這是之所以歐盟能持續引領歐洲，甚至世界未來發展趨勢的關鍵原因。