英國海外屬地直布羅陀,針對透過與日俱增的首次發行代幣(Initial Coin Offerings, 簡稱ICO)募集商業活動,早在2017年9月,其金融服務委員會(Gibraltar Financial Service Commission, 簡稱GFSC)已公布官方聲明,警告投資人運用分散式帳本技術(Distributed Ledger Technology,簡稱DLT)之商業活動,如:虛擬貨幣交易或ICO等具高風險且投機之性質,投資人應謹慎。
GFSC又於2018年1月公布「分散式帳本技術管制架構」(Distributed Ledger Technology Regulatory Framework),凡直布羅陀境內成立或從其境內發展之商業活動,若涉及利用DLT儲存(store)或傳輸(transmit)他人有價財產(value belong)者,均須先向GFSC申請成為DLT提供者(DLT provider),並負擔以下義務:
GFSC和商業部(Ministry of Commerce)又於2018年2月聯合公布,將於第二季提出全世界第一部ICO規範,管制境內行銷(promotion)、販售和散布數位代幣(digital token)行為,強調贊助人須先授權(authorized sponsor),並有義務確保遵守有關資訊揭露和避免金融犯罪之法律。
澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。 近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。 此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。 一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。 二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。 三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。 至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。 *調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。
金融科技(Fintech)專利戰局:那斯達克申請備份交易紀錄之區塊鍊專利近年來,大型銀行及信用卡公司爭相為其核心技術及在創新上的投資尋求專利保護。從2013年截至今日,數個大型金融機構在美國已至少申請近2700項專利,這些專利涵蓋目前最火紅的領域,包含:區塊鍊、分析以及資訊安全等。金融領域的專利申請量相較前三年已達到約百分之八十三的驚人成長。 全球最大的證券交易所之一那斯達克(NASDAQ)近年來亦投入區塊鍊技術的研發及應用。去年(2015)起,那斯達克便以區塊鍊技術搭建了私募股權的智能平台Linq,今年(2016)更提出了利用區塊鍊技術備份交易紀錄以保證交易安全的專利申請。 今年十月六日,美國專利商標局(United States Patent and Trademark Office,簡稱USPTO)公布一項新的專利申請「區塊鏈交易紀錄之系統與方法」(Systems and methods of blockchain transaction recordation)。這個專利在今年三月三十一日提出,發明人為那斯達克的企業結構資深副總裁Tom Fay,及企業結構協理副總裁Dominick Paniscotti。 具體而言,這個專利是由:一個電子錢包、一個委託簿(order book),以及配對引擎所組成。該配對引擎包含一項用來紀錄、且能夠及時更新交易紀錄的「封閉區塊鍊」。 該專利申請詳細介紹了這項技術:在這個系統中,當數據交易請求間之配對被辨認出來後,系統就會生成電子錢包及相應數據交易請求的hash值。當交易的一方收到另一方的hash值與相應資訊,各交易方的交易就會被增加至區塊鍊計算系統的區塊鍊上。在這個系統下,交易所查核區塊鍊的內容,尋找與這些電子錢包相關的數據。此外,這些數據資料會被額外備份於獨立的資料庫。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)
德國針對企業資訊安全及資料保護相關法律提出建議文件德國經濟及能源部於2018年3月8日為企業資訊安全保護措施建議及資料保護、資料所有權相關法規提出建議文件,協助中小企業提升對於組織及特別領域中的資安風險之意識,並進一步採取有效防護檢測,包括基本安全防護措施、組織資安維護、及法規,並同時宣導德國資料保護法中對於資安保護的法定要求。 資通訊安全及其法規係為企業進行數位化時,涉及確保法的安定性(Rechtssicherheit)之議題。加強資安保護,除可增進銷售及生產力,並使商業貿易間有更大的透明度和靈活性,和創造新的合作信賴關係。因此相關網路內容服務提供商應符合法律要求,提供相關服務,並使共享資料得到完善的保護。例如:應如何保護處理後的資料?如何執行刪除個人資料權利?各方如何保護營業秘密?如果資料遺失,誰應承擔責任?唯有釐清上述相關等問題時,方能建立必要的信任。而在德國聯邦資料保護法,歐盟一般個人資料保護法、歐盟網路與資訊安全指令等規範及相關法律原則,係為數位創新企業執行資安基礎工作重要法律框架。但是,由於數位化的發展,新的法律問題不斷出現,目前的法律框架尚未全面解決。例如,機器是否可以處理第三方資料並刪除或保存?或是誰可擁有機器協作所產生的資料?因此,未來勢必應針對相關問題進行討論及規範。鑑於日益網路化和自動運作的生產設備,工業4.0的IT法律問題變得複雜。一方面,需要解決中、大型企業的營業祕密,資料所有權和責任主題之實際問題,以促進相關數位化創新。另一方面,為了能夠推導出現實的法律規範,需要更多具體實施案例討論。 據研究顯示,企業家對產品責任問題,人工智慧使用,外包IT解決方案,及雲端計算等核心問題的新法規以顯示出極大的興趣,並進一步列入既有或規劃中研究項目。未來,政府將協助為所有公司在安全框架下展開數位計畫合作的機會,並充分利用網路的潛力,而中小企業4.0能力中心也將為中小型公司在數位化目標上提供IT法問題方面的支持。
德國於今年四月提出網路執行法修正案以提升平台使用者友善程度德國政府於今(2020)年4月提出「網路執行法」(Network Enforcement Act, NetzDG)之修法草案,將要求社群平台業者提供對使用者更為友善的申訴流程,並建立及維護「反通報程序」機制,讓使用者有機會針對其被平台刪除之貼文或評論提出反對意見,並得重新發佈於社群平台上。 德國於2018年1月起正式施行「網路執行法」,針對在德國境內擁有200萬以上使用者之社群平台業者,課予其限時處理平台上不實及不當言論之義務,並須提交其處理平台上相關言論之報告,若平台業者未能有效執行相關規定者將處以罰鍰。該法施行兩年後引發諸多批評與爭議,雖然並未如社會大眾所憂慮的對於網路言論自由造成重大侵害,亦無證據顯示社群平台業者比施行前刪除了更多的使用者評論;然該法僅要求平台業者刪除不實或不當言論,對於被誤刪之言論,卻未有相關事前預防或事後救濟之措施。為試圖改善原法規執行上之困境和兩難,德國政府遂於今年4月提出修法草案。 此次修法主要重點如下: 強化平台使用者權利 倘使用者於平台發佈之評論遭平台刪除者,使用者未來得要求平台重新檢視此決定,平台須依個案處理並向使用者釋明其決定理由,據此,平台業者須引入反通報程序之機制(counter-notification procedure)。 提升申訴管道之使用者友善性 申訴程序須更為使用者友善,即必須讓平台使用者更容易進入與使用。 簡化法院核發命令程序 未來將同步修訂聯邦電視媒體法案(Telemediengestez),以利法院核發命令,要求平台業者公布數據或揭露犯罪者身分。 加強每半年公布之透明報告資訊 平台業者未來在半年報上須特別提供有關反通報程序之申請與結果,並揭露說明用於查找、刪除平台上不實或不當內容的自動化程序;亦須在報告裡聲明是否授權獨立研究機構以科學目的之匿名訪問權限,了解與研析平台上之不實或不當言論是否有特別針對特定群體。 此修正草案係為德國政府打擊網路上右翼極端主義和仇恨犯罪的政策措施一部份,後續除了須修訂NetzDG以外,亦包含刑法、刑事訴訟法、電信法及聯邦刑事警察局法等四部法規之修訂,相關規範修訂是否有助於刑事起訴進而有效打擊平台上的不當言論,尚有待後續觀察。