英國因劍橋分析個資外洩事件開罰臉書
英國資訊專員辦公室(Information Commissioner’s Office, ICO)於2018年10月24日公告針對臉書公司(Facebook Ireland Ltd. & Facebook Inc.)之劍橋分析(Cambridge Analytica)個資外洩事件,依據英國資料保護法(Data Protection Act 1998)第55A條之規範,裁罰臉書公司50萬英鎊之罰鍰。
自2018年3月劍橋分析違法取得與使用臉書個資事件爆發以來,估計約有8700萬筆臉書上的個人資料遭到違法使用,引起全球對於網路個資保護的重視。在遭到違法取得與使用的個資當中,也包含了歐盟以及英國臉書使用者的個資,因此英國ICO有權對此事件展開調查並對臉書公司進行裁罰。
根據英國ICO的調查,自2007年至2014年間,臉書公司對於其平台上的個資處理(processed)有所不當,違反資料保護法之資料保護原則(Data Protection Principle,DPP),包含未適當處理個人資料(DPP1),以及未採取足夠的技術與作為防止未經授權或違法使用個資(DPP7),致使劍橋分析得以透過臉書公司提供之API違法取用臉書使用者個資。
由於劍橋分析事件發生時,歐盟GDPR(General Data Protection Regulation)尚未正式上路,因此英國ICO依據事件發生時之法律,亦即基於歐盟資料保護指令(Directive 95/46/EC)所訂定之英國資料保護法,裁處臉書公司50萬英鎊的罰款;若依據基於GDPR之新版英國資料保護法(Data Protection Act 2018),臉書公司將可被裁處最高1700萬英鎊或年度全球營業額4%之罰款。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
范晏儒
專案經理 編譯整理
Facebook Ireland Ltd monetary penalty notice, Information Commissioner’s Office, https://ico.org.uk/action-weve-taken/enforcement/facebook-ireland-ltd/ (last visited: Nov. 12, 2018)
ICO issues maximum £500,000 fine to Facebook for failing to protect users’ personal information, Information Commissioner’s Office, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/10/facebook-issued-with-maximum-500-000-fine/ (last visited: Nov. 12, 2018)
UK fines Facebook £500,000 for failing to protect user data, The Guardian, https://www.theguardian.com/technology/2018/oct/25/facebook-fined-uk-privacy-access-user-data-cambridge-analytica (last visited: Nov. 12, 2018)
歐盟法院做成先決裁判,臉書粉絲專頁管理員也有責任保護用戶資料隱私, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8065&lv2=148 (最後瀏覽日:2018/11/12)
英國提出因應GDPR自動化決策與資料剖析規定之細部指導文件, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=148&d=8063&lv2=148 (最後瀏覽日:2018/11/12)
美國聯邦通訊傳播委員會(Federal Communications Commission, FCC )在2009年10月22日表決,一致同意開始進行對「網路開放」(Open internet)相關之規範。除了2005年所提出之前四項提議原則外版本外,FCC新提出兩項提議原則,尋求意見,共包含: 1. 確保網路使用人均可選擇網路服務及內容之自由; 2. 保護對合法網路應用和合法服務使用之權利; 3. 選擇於網際網路上使用設施(devices)之自由; 4. 網路提供業者(network providers)、應用提供業者(application providers)、服務業者(service providers)、和內容提供業者(content providers)者間之競爭關係; 5. 網路提供業者之管理措施,不得基於網路流量(traffic)而對之歧視(discriminate),但得基於顧客之利益采取相關管理措施; 6. 寬頻提供業者,需揭露網路管理措施之方案資訊,以及管理措施對使用者所造成之影響。 參議員John McCain 則表示,網路中立(Net neutrality)的原則,將會扼殺創意和傷害就業市場,該議員並提出網路自由法案(Internet Freedom Act of 2009),認為該法案使避免網路受到政府管控,並且允許持續的創新和創造更多高價值之就業機會。維持網路事業的自由,免於沉重的規範,將是對經濟最佳之刺激方式。 同時也有人質疑,FCC並非授權管理網路之機構,且其所訂定之原則,並未具有法規效力,無法強制執行,而FCC制定該原則之意義為何?但FCC則表示,已獲得政策原則執行之授權。
歐盟執委會規劃制訂「2050能源發展藍圖」歐盟執委會(European Commission)於去(2011)年12月公布「2050能源發展藍圖(Energy Roadmap 2050: a secure, competitive and low-carbon energy sector is possible)」,主要係執委會承諾將推動歐盟於2050年前達成溫室氣體80-95%減量目標(相較於1990年排放基準),建立具競爭力之低碳經濟社會,所以規劃擬訂「2050能源發展藍圖」,期望能導引歐盟走向「無碳化目標(Decarbonisation Objective)」,同時並確保能源供應安全及保持國際競爭優勢。 並且,奠基於之前「歐洲2020發展策略(Europe 2020)」所設立推動「20-20-20」溫室氣體減量及能源效率目標,歐盟執委會認為進一步擬訂「後2020時期策略(Post-2020 Strategies)」是非常亟需的,並且認為以現有規劃持續推動,2050年僅將達成減少40%減量目標,對於歐盟建立成為無碳化社會之目標,是非常不足夠的,所以擬訂此一發展藍圖。 「2050能源發展藍圖」主要設定了五項無碳化發展願景(Scenarios):包含提高能源效率(High Energy Efficiency)、多元化能源技術(Diversified Supply Technologies)、提昇再生能源比例(High Renewable Energy Sources)、 因應碳捕捉發展(Delayed CCS)、 降低核能發電(Low Nuclear)等,並對於「2020至2050發展規劃(Moving from 2020 to 2050)」,研析諸如提昇能源節省與管理需求(Energy Saving and Managing Demand)、移轉使用再生能源發電(Switching to Renewable Energy Sources)、天然氣過渡重要角色(Gas Plays a Key Role in the Transition)、智慧能源技術及儲存發展(Smart Technology, Storage and Alternative Fuels)、電力管理新思考(New Ways to Manage Electricity)、整合區域發電資源與集中系統(Integrating Local Resources and Centralised Systems)等重要議題。未來歐盟執委會如何進一步依據「2050能源發展藍圖」規劃制訂推動措施及配套機制,值得持續觀察研析。
Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。 Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。 依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。 依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應: 1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性; 2.實施並持續更新消費者資料近用限制相關政策和程序; 3.遠端近用資源和資料應使用多重要素驗證; 4.定期更新近用資源和資料的憑證; 5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料; 6.對所有儲存或傳輸的消費者資料進行加密; 7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及 8.制定、實施和持續更新全面的事故應變計畫。 Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
中國大陸最高人民法院於2014年11月3日公布《最高人民法院關於北京、上海、廣州知識產權法院案件管轄的規定》根據中國大陸最高人民法院(以下簡稱高法)2014年11月3日公布之《最高人民法院關於北京、上海、廣州知識產權法院案件管轄的規定》,大陸地區將陸續於北京、上海、廣州成立知識產權法院(即我國的智慧財產法院)。另據高法6日新聞報導,北京知識產權法院已於同月6日掛牌成立,至於上海、廣州兩地法院也將於年內正式成立。 大陸地區成立知識產權法院係本年8月31日由其第12屆全國人民代表大會常務委員會第10次會議所決定的,初步將於北京、上海、廣州三地成立專責法院。根據前開規定第1條,知識產權法院管轄的第一審案件包括三類:一、專利、植物新品種、集成電路布圖設計(即我國之積體電路布局)、技術秘密、計算機軟件等技術類民事和行政案件;二、對國務院部門或者縣級以上地方人民政府涉及著作權、商標、不正當競爭等行政行為提起訴訟的行政案件;三、涉及馳名商標認定的民事案件。 北京、上海、廣州知識產權法院的管轄範圍分別為北京、上海兩直轄市,以及廣東省,前述提及三類相關案件由三地知識產權法院專屬管轄。如有上訴,相關案件均由法院所在地的高級人民法院知識產權審判庭審理,而不再透過該地中級人民法院。且相關法院之法官除依專業進行分類、配置外,亦將設有技術調查官等,以強化專業審判的能力。 隨著科技的日新月異,以及智慧財產相關糾紛或訴訟案件的高度專業化,有關大陸地區成立知識產權法院,或許是為因應趨勢所不得不為之措施,然其具體運作及成效,後續仍值持續關切。