英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊,造成逾300萬客戶及1000名員工的資料外洩,外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認為涉及之個人資料嚴重影響個人隱私,使得個人資料有被誤用的風險。ICO進一步調查後並發現,駭客僅是透過有效的登入憑證,就能藉由WordPress軟體存取系統,此事件亦暴露該組織技術安全措施之不足,因受影響系統中使用的軟件的重要元素已過時,且公司未能執行例行的安全測試。ICO認為,像Carphone Warehouse此類規模龐大的公司,應積極評估其資料安全系統,確保系統穩健而避免類似的攻擊。
據此,ICO判定該公司缺乏妥善的安全措施保障使用者資訊,已嚴重違反《Data Protection Act 1998》資料保護法,判罰40萬英鎊。
從今年5月25日起,隨著GDPR的生效,法律將更加嚴格。對此,ICO亦發布了有用的指導,包括GDPR指南,現在採取的12個步驟和工具包。國家網絡安全中心(NCSC)也為組織為保護自己所採取的步驟提供了有用的指導。
為實現歐洲公民資料一致保護水準之期待,全面革新歐盟各會員國資料保護規範的一般資料保護規則(General Data Protection Regulation, GDPR),已於2016年4月14日由歐洲議會正式通過,且將在2018年5月25日生效,該規則異於資料保護指令(Data Protection Directive,95/46/EC)之處,在於規則無待各會員內國法化,得以直接適用,然而生效前的過渡期間,歐盟各國為因應新修正規則預作準備;近期,法國政府在「數位共和國」(République Numérique)法案中,欲修改現行關於資料保護之法律,如法國資料保護法(Loi Informatique et Libertes Act N°78-17 Of 6 January 1978),以達歐盟資料保護水準。 法國國民議會(Assemblée nationale)於2016年1月一讀通過,參議院(Sénat)隨後在5月提出修正案中第26 條之一(Article 26 bis A),要求個人資料應儲存於歐盟或法國境內的資料中心,同時為符合與歐盟的國際承諾會員國,並禁止個人資料傳輸至非歐盟的第三國,而參議院修法理由是為了確保法國規範符合歐盟資料保護水準,並依據先前歐盟法院關於安全港無效之判決的結果為修訂。 然而,資料在地化條款目前仍不明確,但此規定恐對資料傳輸設下更多限制;雖然在GDPR第23條規範關於各國決定限制權利和義務的範圍,資料傳輸至第三國並不在此列,故為加速修法程序,聯合調解委員會(Commission mixte paritaire)將於近期內審查調整,國民議會和參議院的代表仍能針對此條款提出意見以達成最終共識,後續修法值得關注。
新加坡金融管理局(MAS)發布「人工智慧風險管理工具包」新加坡金融管理局(MAS)於 2023 年中旬啟動「MindForge 計畫」,旨在協助金融機構強化其人工智慧(AI)風險管理能力。該計畫於2026年3月20日完成第二階段,並發布由MAS聯合24家領先銀行、保險公司與資本市場公司等產業夥伴共同開發的「人工智慧風險管理工具包」。該工具包內含「AI風險管理營運手冊」(下稱「營運手冊」)與「AI風險管理實施案例」(下稱「實施案例」),提供實務資源以管理涵蓋「傳統AI」、「生成式AI」及「新興代理型AI」技術的相關風險,確保產業能安全且負責任的導入AI。「營運手冊」依據MAS的監理期望,將AI 風險管理框架分為四大核心:一、範圍與監管:建立AI治理框架並釐清AI監督的角色與責任。二、AI風險管理:透過組織的系統、政策與程序,識別AI應用情境,進行風險重大性評估,並建立AI盤點清單。三、AI生命週期管理:實施AI應用完整生命週期的控制措施。四、促成因素:發展組織能力、基礎設施與資源,以確保能持續支持負責任的AI應用。「實施案例」則收錄如星展銀行(DBS)及瑞士寶盛(Julius Baer)等機構的AI風險管理實務。未來,MAS 將於「BuildFin.ai」倡議下成立專責小組,持續開發建構管理新興技術風險的框架。 相較於新加坡著重建立全方位治理架構,資訊工業策進會科技法律研究所創意智財中心(下稱「資策會科法所創智中心」)於同年 2 月發布之「金融業人工智慧(AI)風險管理實務指引」,則更強調將風險控管「整合」至既有流程中,透過與業務流程的結合實踐韌性管理。該指引奠基於「人工智慧基本法」,並進一步連結「台灣智慧財產管理規範(TIPS)」驗證角度,協助機構精準掌握應用情境並具體化風險。透過將管控機制立基於資安、資訊及智財三大支柱,降低法遵成本與業務衝擊,並藉由分階段與分級管理,引導金融機構從核心防護逐步深化管控機制。 本文為資策會科法所創智中心完成之著作,非經同意或授權,不得為轉載、公開播送、公開傳輸、改作或重製等利用行為。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
中國大陸加入國際工業設計保護的海牙體系世界智慧財產權組織(World Intellectual Property Organization,簡稱WIPO)宣布中國大陸於2022年2月5日提交了加入《海牙協定》1999 年日內瓦文本的文件,加入國際工業設計註冊的海牙體系(Hague System),該協定將於2022年5月5日在中國大陸生效。隨著中國大陸的加入,海牙體系涵蓋的國家總數將達到 94 個,其中包含根據世界銀行排名十大經濟市場中的九個。 工業設計形成物品的裝飾,其可由三維特徵(例如物品的形狀)或二維特徵(例如圖案、線條或顏色)組成,圖形用戶界面或虛擬世界物品則成為最近流行的設計形式。海牙體系為工業設計提供國際保護的解決方案,申請人不需要在各個國家或地區分別提交多次申請,只要透過海牙體系提交一份國際申請,就可在90多個國家/地區註冊多達100項設計。 據統計,2020 年中國大陸居民共提交了795,504件設計,約佔全球總數的 55%。中國大陸加入海牙體系將使其居民可更容易地在海外取得工業設計保護並推廣市場,外國設計師也將能夠更容易地進入中國大陸市場。 我國企業或設計師如有工業設計保護需求,亦可評估運用海牙體系提交國際工業設計申請,在多個國家取得設計註冊。