英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定英國電子零售業者Carphone Warehouse違反《Data Protection Act 1998》資料保護法
英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊,造成逾300萬客戶及1000名員工的資料外洩,外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認為涉及之個人資料嚴重影響個人隱私,使得個人資料有被誤用的風險。ICO進一步調查後並發現,駭客僅是透過有效的登入憑證,就能藉由WordPress軟體存取系統,此事件亦暴露該組織技術安全措施之不足,因受影響系統中使用的軟件的重要元素已過時,且公司未能執行例行的安全測試。ICO認為,像Carphone Warehouse此類規模龐大的公司,應積極評估其資料安全系統,確保系統穩健而避免類似的攻擊。
據此,ICO判定該公司缺乏妥善的安全措施保障使用者資訊,已嚴重違反《Data Protection Act 1998》資料保護法,判罰40萬英鎊。
從今年5月25日起,隨著GDPR的生效,法律將更加嚴格。對此,ICO亦發布了有用的指導,包括GDPR指南,現在採取的12個步驟和工具包。國家網絡安全中心(NCSC)也為組織為保護自己所採取的步驟提供了有用的指導。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
耿黃瑄
法律研究員 編譯整理
1. Information Commissioner's Office, Carphone Warehouse fined £400,000 after serious failures placed customer and employee data at risk, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/01/carphone-warehouse-fined-400-000-after-serious-failures-placed-customer-and-employee-data-at-risk/ (last visited Apr. 25, 2018).
2. Data Protection Act 1998, http://www.legislation.gov.uk/ukpga/1998/29/contents (last visited Apr. 25, 2018).
歐盟法院(Court of Justice of the European Union, CJEU)於2018年11月13日針對食品味道是否受著作權保護做出判決,其起因於荷商Levola Hengelo BV (“Levola”)認為同屬荷商之Smilde Foods BV (“Smilde”)所生產與銷售的起司“Witte Wievenkaas”,與Levola的起司產品“Heksenkaas”味道相同,因而控告Smilde侵害其“Heksenkaas”起司味道的著作權。 本案Levola於荷蘭地方法院中主張:食品味道著作權的定義,是指食用食品所產生之味覺整體印象,包括食品於嘴巴的口感,且該食品味道是製造者基於自身知識所創造。Levola並提出2006年6月16日荷蘭最高法院於原則上認定香水味道具有著作權的判決來支持其論點。 然而歐盟法院於本判決中指出,如果食品味道要受到著作權保護,那就必須符合「協調資訊社會下之著作權及相關權利指令」(Directive 2001/29/EC of the European Parliament and of the Council of 22 May 2001 on the harmonisation of certain aspects of copyright and related rights in the information society)(下稱2001/29/EC指令)對於著作(works)的定義,意即該著作應滿足原創性的要求,與著作能藉由精準並客觀的表達方式來識別。 係以,就本案所爭執之起司味道是否具有著作權,歐盟法院認為:因起司味道取決於消費者的味覺,其屬主觀且可變的,此缺乏精確性與客觀性,故並非2001/29/EC指令所認定之著作而受著作權保護。 不過讓人關注的是,歐盟法院特別於本判決中提到:在目前科學發展狀況下,尚無法透過一些技術或手段準確並客觀的辨識食品的味道,並就該味道與其他同類產品做區隔,所以在整體綜合考量下,才排除食品味道受著作權的保護。 基此,如果在未來科技能準確並客觀區別各種食品味道的時候,歐盟法院是否會承認食品味道符合2001/29/EC指令對於著作的定義,而讓其受到保護,此或許值得期待。
Google數位圖書館計劃面臨著作權法爭議全球最大搜索引擎 Google公司於去年12月中宣布,已與美國紐約公共圖書館以及哈佛大學、史丹福大學、密西根大學、牛津大學合作,將數百萬冊藏書數位化讓網友免費瀏覽。此一計畫預計花十年時間建構,在2015年啟動,經費約估1億5000萬到2億美元之間 (The Google Print Program)。雖然此一構想極具創意,但是由於將館藏圖書數位化牽涉著作權爭議,因此由125家非營利學術出版機構組成的美國大學出版協會(AAUP)已針對若干疑點去函,希望Google能釐清著作權法上之疑慮,以利整體計劃之推動。 AAUP所持最重要依據係美國著作權法第107條有關合理使用之規定。AAUP質疑,以Google如此大規模,就圖書內容性質不加以區分,全面性的圖書數位化工程,恐怕無法符合著作權法所訂出的合理使用標準。蓋著作權法有關是否符合合理使用之界定標準,是以事實情況及個案之判別方式為主,故無法想像Google如何在未進行個別之判斷前,便能夠概括性的依此而主張其享有合法權利。事實上,Google之主張與法院實務界之認知存在極大落差。 此外, Google的數位圖書館計畫在許多細部執行事項上,仍存有許多疑點,導致原先欲加入的AAUP會員,無法確保圖書內容完成數位化後,對於以銷售書籍及授權為主要營收來源之出版社,恐會產生造成市場排擠效果之憂慮。 藉由數位技術雖然可以挑戰人類夢想的極限,但過程中涉及的法律層面問題,卻相當程度羈絆了夢想前進的速度。 Google的數位圖書館計劃再次印證了新興技術與現行法規不協調的窘況。就現有事實資料以觀,Google若未能與學術出版商妥善安排著作權引發之爭議,此一計畫未來是否能順利執行,恐怕存有極大疑問。
歐盟營業秘密指令草案因巴拿馬文件揭露事件,受到歐洲議會熱烈討論巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。