英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料,故處以罰款385,000英鎊。
ICO調查發現Uber的諸多過失,包含系統存有一系列原可避免的數據安全漏洞,使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統,下載大約270萬筆英國客戶個人資料,例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄,如旅程詳情及支付金額。然而,受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的,Uber反而向攻擊者妥協並支付了10萬美元,以銷毀被盜取的數據。
ICO認為,這不僅為Uber資料安全之問題,且當時未採取任何措施通知可能受影響的人,或對其提供任何協助,已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默,亦非對於網路攻擊之適當反應,Uber未完善的數據保護措施,以及隨後的決策與行為,反將可能會加劇受害者權益的受損。
因此,ICO認為該事件已嚴重違反了英國1988年資料保護法(Data Protection Act 1998, DPA)第7條的原則,有可能使受影響的客戶和司機面臨更高的詐欺風險,故從嚴判處Uber高達385,000英鎊罰款。
韓國政府在今(2019)年1月立法施行四種監理沙盒機制(규제샌드박스),包含「金融監理沙盒」、「資通訊(ICT)監理沙盒」、「產業融合監理沙盒」及「地方專業化特區」機制,於施行半年後在同年7月16日公告成果報告,未來監理沙盒將加強尋求社會共識與區域衡平發展。 韓國為推動「製造業創新3.0」(제조업혁신 3.0)政策,強化產業創新與競爭力、重點發展人工智慧及物聯網,並打造友善法制環境來減少監管障礙。因此以鬆綁法規與鼓勵創新為目的,由韓國國務總理室於2018年初統籌各相關部會機關規劃全國性之監理沙盒機制,而於同年年底國會修正通過以下法律,泛稱「管制創新五法」(규제혁신 5법): 《資通訊融合法》(정보통신융합법),由「科學技術資訊通訊部」主管,建立「ICT監理沙盒」,鬆綁資通訊相關規範為主要範圍。 《金融創新支援法》(금융혁신지원 특별법),由「金融委員會」主管,建立「金融監理沙盒」,作為金融規範鬆綁之依據。 《地區特區法》(지역특구법),由「中小企業創業部」主管,主要由地方政府提出並建立具地方特色的專業化特區,如共享經濟特區、能源特區等,透過特區鬆綁地方與中央法規,由地方政府主導、中央協助推動當地產業發展。 《產業融合促進法》(산업융합 촉진법),由「產業通商資源部」主管,就前述以外之產業建立監理沙盒機制。 《行政管制基本法》(행정규제기본법은),鬆綁上述四個監管與行政程序相關法律。 在施行半年以來,成果顯示已受理81件申請案例,企業規模以中小企業佔80%為大宗,而申請之產業領域多集中於金融科技領域(46%)、其次為非特定領域(32%)、資通訊領域(22%),並以共享經濟、區塊鏈、大數據、物聯網、人工智慧、虛擬實境(VR)、5G等創新產品或服務為主。在申請時程上,從受理案件至批准進行實證或發給臨時許可證允許在市場販售,僅須約44個工作天。而在法規鬆綁上,多數涉及法規命令與機關行政函釋層級。另外為鼓勵創新業者申請監理沙盒,針對實證完成之產品或服務,將給予「優良採購產品」(우수 조달물품)證明,政府機關可於採購平台上優先採購該產品或服務。 另外成果報告說明,由於許多創新實證與現行社會體制與規範造成破壞式衝突,例如「共享廚房」與現有《食品衛生法》規定餐廳須有獨立廚房有違,或者消費者直接在家進行基因檢測(Direct-to-Consumer Testing, DTC)創新服務與現有醫療規範與體制不符等,韓國政府將透過客觀實證數據與宣導來尋求社會共識或使用其他替代方案來降低衝突。同時將於今年下半年由中央主導指定特定區域作為專業化特區,以衡平區域發展。
英國政府制定監管計畫以應對科技巨頭帶來的問題英國政府於2022年5月6日宣布將針對大型企業(major firms)壟斷市場的情況制定新的監管計畫。該監管計畫將重新平衡大型與中小企業和消費者的關係,以利中小企業和消費者受到更好的保護,並使市場競爭環境更為公平。 該監管計畫針對的大型企業,即是國際市場上的科技巨頭(tech giants),如Google and Facebook。此類科技巨頭擁有並控制大量用戶的網路資料,並將該資料應用在特定應用程式與瀏覽器的搜尋演算法上,以確保其市場壟斷地位,使潛在的競爭者難以進入市場,進而影響市場的公平競爭以及消費者的自由選擇權。為解決前揭問題,英國預計透過修法賦予競爭和市場管理局下的「數位市場部門」(Digital Markets Unit, DMU)法定權力與監管權限,並搭配措施與作法如下: 強化市場公平性:英國政府預計提出價格糾紛解決機制,平衡內容提供商(如媒體業與廣告業)與科技巨頭間的議價能力,以確保更為公平、透明的市場。此外,科技巨頭亦應將其演算法之資訊分享給一般公司,避免科技巨頭濫用其市場力量。 增進消費者權益:科技巨頭必須確保消費者在使用資訊設備或服務時有充分的自主權與選擇權。例如,於手機的IOS和 Android 系統之間轉換或是社交軟體帳戶之間的資訊移轉時不會喪失其資料和訊息。DMU也將限制公司預先安裝瀏覽器、社交軟體等APP,讓消費者在APP上有更多選擇權。而隨著新業者進入市場,智慧型手機用戶將可以有更多搜尋引擎和社交平台選擇。此外消費者亦可選擇退出具有針對性的個人化廣告發送,以達成讓消費者擁有更多的資料自主權。 為能有效落實上述措施,DMU將有權指定特定企業為具有「戰略市場地位」(strategic market status)的公司。指定標準將依公司的營業額、對消費者的影響力、對市場活動的影響力、公司的活躍程度與規模等綜合評估,檢視其是否達到強大且根深蒂固的力量(substantial and entrenched market power)。DMU並將針對少數主導數位市場的企業應如何公平對待其用戶和其他公司提出行為準則。被指定的公司若違反相關規範,將面臨全球年營業額最高10%的罰款,如果連續違反,則可被處以全球每日營業額5%的額外罰款。 英國政府期待透過新的監管計畫及未來的修法介入市場競爭,促使市場環境更為公平且適於創新,同時讓消費者擁有更多選擇權。英國新監管計畫之實施情形,值得持續關注。
美國21世紀醫療法最終規則下之資訊封鎖條文生效,患者健康資料進用權利獲保障美國國家衛生資訊科技協調辦公室(The Office of the National Coordination for Health Information Technology, ONC)於2020年5月公告的「資訊封鎖最終規則(Information Blocking Final Rule)」,於2021年4月5日正式生效。 ONC依21世紀醫療法(21st Century Cure Act)授權,制定有「21世紀醫療法:協同操作性、資訊封鎖與ONC健康IT認證計畫」(21st Century Cures Act: Interoperability, Information Blocking, and the ONC Health IT Certification Program)最終規則,包含各面向關於新興醫療IT技術之規範,其中特別針對資訊封鎖的相關條文,又稱為「資訊封鎖最終規則」。 21世紀醫療法為了確保病患資料近用權利,在法條中明定禁止資訊封鎖行為。「資訊封鎖」,根據資訊封鎖最終規則的定義,是指健康照護業者或健康資訊技術廠商,包括受認證的健康資訊技術(health IT)、健康資料交換 (health information exchange)或健康資料網絡(health information network),在欠缺法律授權或非屬美國公共衛生服務部(Health and Human Service, HHS)認定合理且必要的情況下,所為之干擾、防止或嚴重阻礙電子健康資料(Electronic Health Information, EHI)獲取、交換及使用行為。但以下八種情況,不適用資訊封鎖最終規則:預防傷害(Preventing Harm)、隱私(Privacy)、安全(Security)、不可行性(Infeasibility) 健康IT性能(Health IT Performance)、內容與方式(Content and Manner)、費用(Fees)、授權(Licensing)。 21世紀醫療法在資訊封鎖章節中規定,資訊封鎖相關條文在資訊封鎖例外類型被定義出來後,始生效力。換言之,在資訊封鎖最終規則生效後,病患將有權依法近用其電子健康資料,資料持有者原則上不得拒絕。值得注意的是,資訊封鎖最終規則生效後至2022年10月6日止,適用資訊封鎖條文的電子健康資料範圍,係以美國協同操作核心資料(United States Core Data for Interoperability, USCDI)中所定義之電子健康資料為準。USCDI,是由ONC主導建立的一套資料標準格式,以統一健康資料交換格式,促進資料流通。2022年10月6日起,資訊封鎖最終規則所指的電子健康資料範圍將不僅只局限於USCDI標準所定義之電子健康資料,將擴及健康保險流通與責任法(Health Insurance Portability and Accountability Act, HIPAA)所定義的所有電子健康資料。
電子投票機制及法律議題之研究