歐盟執委會對荷蘭T-Mobile併購Tele2一案展開第二階段的反競爭調查

　　2021年3月2日美國維吉尼亞州州長簽署了維吉尼亞州消費者資料保護法（Virginia Consumer Data Protection Act），是繼加州之後，第二個自行制定相關規範並且採用的州，預計在2023年1月正式生效。 　　該法在主軸上與加州消費者隱私保護法相去不遠，其為消費者提供六項主要權利，包括近用權、刪除權、資料可攜權、選擇退出權、更正權，以及申訴在合理期間內未獲妥適處理之再申訴權；又或者在義務上要求企業進行資料的蒐集、處理或利用時，需經當事人同意並且符合合理利用與必要範圍之限制，亦要求企業建立技術保障管理機制，以及向消費者提供隱私權政策。 　　該法與加州消費者隱私保護法也有些許不同之處，例如，該法並無賦予人民為一切訴訟行為之權，訴訟權掌握在檢察總長手中、該法案適用主體必須是控制或處理十萬筆以上消費者個人資料之企業，或是總收入50%來自於利用消費者個人資料，且該資料量總數達二萬五千筆以上之企業，相比加州消費者隱私保護法適用主體之資格更為寬鬆。無論就形式上或實質上而言，維吉尼亞州消費者資料保護法普遍被認為比加州消費者隱私保護法更加友善企業，並且廣泛得到亞馬遜等相關科技行業的支持。 　　在數位科技發展下，美國的紐澤西州、猶他州，以及許多其他州政府，紛紛考慮進行相類似之資訊隱私保護立法，此一趨勢發展已然勢不可擋。

　　英國電子零售業者Carphone Warehouse在2015年遭到網路攻擊，造成逾300萬客戶及1000名員工的資料外洩，外洩的資料包括客戶的姓名、地址、電話號碼、出生日期、婚姻狀況及1.8萬名客戶的金融卡資訊。 　　英國資訊委員辦公室（Information Commissioner’s Office，ICO）認為涉及之個人資料嚴重影響個人隱私，使得個人資料有被誤用的風險。ICO進一步調查後並發現，駭客僅是透過有效的登入憑證，就能藉由WordPress軟體存取系統，此事件亦暴露該組織技術安全措施之不足，因受影響系統中使用的軟件的重要元素已過時，且公司未能執行例行的安全測試。ICO認為，像Carphone Warehouse此類規模龐大的公司，應積極評估其資料安全系統，確保系統穩健而避免類似的攻擊。 　　據此，ICO判定該公司缺乏妥善的安全措施保障使用者資訊，已嚴重違反《Data Protection Act 1998》資料保護法，判罰40萬英鎊。 　　從今年5月25日起，隨著GDPR的生效，法律將更加嚴格。對此，ICO亦發布了有用的指導，包括GDPR指南，現在採取的12個步驟和工具包。國家網絡安全中心（NCSC）也為組織為保護自己所採取的步驟提供了有用的指導。

　　根據JD SUPRA於2022年4月29日研析美國Bay Fasteners & Components, Inc. v. Factory Direct Logistics, Ltd.案例，並刊出「制定全面性的營業秘密戰略」一文指出，員工的入職和離職是企業營業秘密糾紛產生的主要風險之一。企業在僱用員工時須避免營業秘密的污染和竊取。員工離職時，企業應採取離職面談與提醒，以防止離職員工洩露營業機密。以下針對員工入職、員工離職兩個情形，整理建議企業應採取之對策。 　　員工入職時，為避免新員工帶來任何營業秘密的污染，企業應教育新進員工保護前雇主營業秘密的重要性、如何將營業秘密從know-how區分出來，或是要求員工證明他們不會透露與持有前雇主的機密資訊或任何非公開資訊。然而，為保護企業的營業秘密不被員工竊取，最直接的方法是使用契約中的保密協議、競業禁止條款進行約束，作為保護企業的證據。 　　離職面談是防止離職員工向未來雇主揭露企業營業秘密的有效方法。在離職面談時，企業應提供員工入職時所簽訂的保密協議條款與相關任職期間的協議約定，並要求離職員工簽屬確認書證明已被告知應遵守的營業秘密內容範圍及其所負義務，同時企業應記錄離職面談過程的內容。若知悉離職員工未來任職公司，建議以信件通知該公司提醒應尊重彼此的營業秘密。此外，企業在得知員工要離職時，應指示IT部門確認員工電腦登錄及下載歷史紀錄是否有洩漏營業秘密之可疑活動，例如大量讀取文件、使用非公司的IP登入。員工離職後，IT部門應盡快停用該離職員工相關帳號權限，同時考慮資料備份，即使沒有檢測到可疑的活動，也建議備份員工的設備使用狀況和帳號log紀錄，以作為日後面臨爭訟時之證據。 本文同步刊登於TIPS網站（https://www.tips.org.tw）