英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定英國電子零售業者Carphone Warehouse違反《Data Protection Act 1998》資料保護法
英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊,造成逾300萬客戶及1000名員工的資料外洩,外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認為涉及之個人資料嚴重影響個人隱私,使得個人資料有被誤用的風險。ICO進一步調查後並發現,駭客僅是透過有效的登入憑證,就能藉由WordPress軟體存取系統,此事件亦暴露該組織技術安全措施之不足,因受影響系統中使用的軟件的重要元素已過時,且公司未能執行例行的安全測試。ICO認為,像Carphone Warehouse此類規模龐大的公司,應積極評估其資料安全系統,確保系統穩健而避免類似的攻擊。
據此,ICO判定該公司缺乏妥善的安全措施保障使用者資訊,已嚴重違反《Data Protection Act 1998》資料保護法,判罰40萬英鎊。
從今年5月25日起,隨著GDPR的生效,法律將更加嚴格。對此,ICO亦發布了有用的指導,包括GDPR指南,現在採取的12個步驟和工具包。國家網絡安全中心(NCSC)也為組織為保護自己所採取的步驟提供了有用的指導。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
耿黃瑄
法律研究員 編譯整理
1. Information Commissioner's Office, Carphone Warehouse fined £400,000 after serious failures placed customer and employee data at risk, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/01/carphone-warehouse-fined-400-000-after-serious-failures-placed-customer-and-employee-data-at-risk/ (last visited Apr. 25, 2018).
2. Data Protection Act 1998, http://www.legislation.gov.uk/ukpga/1998/29/contents (last visited Apr. 25, 2018).
美國聯邦最高法院於2018年4月24日針對OIL STATES ENERGY SERVICES, LLC v. GREENE’S ENERGY GROUP, LLC, ET AL.ㄧ案作成判決。大法官以 7-2 投票表決通過,認定美國專利商標局(United States Patent and Trademark Office,USPTO)所屬專利審查暨上訴委員會(Patent Trial and Appeal Board,PTAB)進行內部專利審查「多方複審 (Inter Partes Review,IPR)」程序並未違憲。多方複審程序係國會在制度設計上針對專利獲證許可後,授權行政機關可經由實質利害關係人提出申請後,得有機會再次檢視其原先核發專利獲證許可的權限。因此被告經由行政機關專利審查獲得之權利,與被告在美國憲法下只能經由聯邦法院和陪審團裁決所保障權利不同。 本案自去年聯邦最高法院受理後,即成為美國發明法(Leahy-Smith America Invents Act)施行後備受矚目的重大案例之一。主要因為本案凸顯出各產業對多方複審程序實質影響的反應。若多方複審程序被判無效的話,將導致大部分專利紛爭從專利審查暨上訴委員會移回聯邦法院。導致美國發明法欲藉由行政審查改善並減輕司法體系負擔之目的難以達成,且導致專利訴訟更為耗時且昂貴,恐造成「非實施專利事業體」(Non-Practicing Entity, NPE)更加猖獗。因此,資通訊產業等普遍受到專利侵權訴訟困擾的企業大多贊同多方複審程序的合憲性。然而,大法官 John Roberts 和 Neil Gorsuch 對此一保守的決定表示異議,認為辛苦研發之專利僅因為第三人提起申請就受到行政機關撤銷,而非經由司法體系裁決仍有其疑義之處。仔細檢視多方複審程序的進行,似有違背於司法審查中要求獨立性的種種目的和精神。從歷史上來看,縱使行政機關具有核發專利獲證許可的權限,但不代表這可以導出行政機關就有撤銷專利的權限。因此,不同意見之大法官認為藉由行政機關的審議程序取代司法審查對專利可以做出撤銷的決定並不合憲。
美國眾議院提出「深度偽造究責法案」隨著人工智慧(AI)視覺處理技術愈發進步,圖片及影像的篡改也更加普遍,甚至使人難以分辨其真偽,例如一款應用程式(App)-DeepNude便是運用此技術,將人穿著衣服的照片改作為裸體圖像;此種AI技術因對於社會及被偽造之當事人權益影響重大,進而引起美國立法者的極度重視。 日前維吉尼亞州為了遏止如DeepNude此類的應用程式,便於該州之《復仇式色情法》(Revenge porn law),擴大復仇式色情的涵蓋範圍,使其包括利用機器學習技術偽造他人照片或影像等深度偽造(Deepfake)行為。 但該深度偽造技術之應用,實際上並不僅侷限於情色領域,故美國紐約州眾議員伊薇特.克拉克(Yvette Clarke)於本年度(2019年)6月即提出了《深度偽造究責法案》(Defending Each and Every Person from False Appearances by Keeping Exploitation Subject to Accountability Act of 2019., DEEP FAKES Accountability Act.)草案,本草案令人關注之處除配合現今科技發展特性為規定外,另針對實務上曾衍生的爭議問題,特別將外國勢力或其代理人(foreign power or an agent thereof)介入美國國內政治行為,如意圖影響美國國內公共政策辯論(domestic public policy debate)、選舉或其他不得合法從事的行為等納入規範。 依該草案之內容,其所規範者包含視聽紀錄、視覺紀錄及錄音紀錄;意即任何人使用任何技術或設備製作假冒他人名義(false personation)的紀錄,並於網路或其他知識傳播管道發布者,應有浮水印、口頭陳述或是於文本中有簡要說明等揭露,以使他人得清楚知悉該紀錄並非真實,如行為人有違反該揭露規定並利用深度偽造1.意圖羞辱或騷擾(包含性內容);2.意圖造成暴力、身體傷害、煽動暴亂、外交衝突或干預選舉;3.詐欺犯罪等,將可處5年以下有期徒刑,或科或併科罰金。另若行為人修改或刪除他人揭露之資訊而有上述意圖或犯罪行為者,亦可處以同等罰責。
芬蘭電子化政府服務法制發展簡介 首批奈米標章三月核發國內推出的「奈米標章」日前開放申請,第一批受理的奈米產品是與人體未直接碰觸的奈米光觸媒脫臭塗料、光觸媒抗菌瓷磚、及光觸媒抗菌燈管等三項產品,經濟部可望在今年3月核發第一批標章,並在今年內再開放五項奈米產品申請。 目前國內生產相關奈米磁磚廠商有泉耀科技等、奈米燈管業者有台灣日光燈及東亞照明等、奈米塗料廠商有台灣富萊寶科技等都可望提出申請,有機會成為第一 批拿到奈米標章的廠商,因我國也是全球第一個推出奈米標章國家,對政府積極推動發展奈米產業助益大。 經濟部指出,第一批僅開放三項奈米產品,是基於安全起見,以未與人體直接碰觸的產品為主,其他與人體直接接觸的奈米紡織品、奈米化妝品及保養品等尚未納入,第二批開放五項奈米產品也還未敲定。