英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定Uber違反《Data Protection Act 1998》資料保護法
英國資訊委員辦公室(Information Commissioner’s Office,ICO)認定知名共享公司Uber未能在網路攻擊期間保護客戶的個人資料,故處以罰款385,000英鎊。
ICO調查發現Uber的諸多過失,包含系統存有一系列原可避免的數據安全漏洞,使得攻擊者可透過Uber美國母公司旗下所營運的雲端儲存系統,下載大約270萬筆英國客戶個人資料,例如全名、電子郵件及電話號碼等。該事件亦影響了Uber在英國8萬多名司機的相關營運紀錄,如旅程詳情及支付金額。然而,受影響的客戶和司機竟達一年多未被告知此個資外洩事故。相反的,Uber反而向攻擊者妥協並支付了10萬美元,以銷毀被盜取的數據。
ICO認為,這不僅為Uber資料安全之問題,且當時未採取任何措施通知可能受影響的人,或對其提供任何協助,已完全忽視受害客戶和司機之權益。而對攻擊者支付贖金後即保持沉默,亦非對於網路攻擊之適當反應,Uber未完善的數據保護措施,以及隨後的決策與行為,反將可能會加劇受害者權益的受損。
因此,ICO認為該事件已嚴重違反了英國1988年資料保護法(Data Protection Act 1998, DPA)第7條的原則,有可能使受影響的客戶和司機面臨更高的詐欺風險,故從嚴判處Uber高達385,000英鎊罰款。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
耿黃瑄
法律研究員 編譯整理
1. Information Commissioner's Office, ICO fines Uber £385,000 over data protection failings, https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2018/11/ico-fines-uber-385-000-over-data-protection-failings/ (last visited Dec. 20, 2018).
2. Data Protection Act 1998, http://www.legislation.gov.uk/ukpga/1998/29/contents (last visited Dec. 20, 2018).
由於 Palm 採用 3C om 的手寫辨識技術,於 1997 年遭 Xerox 控訴侵犯其在 1997 年所取得的 Unistrokes 專利權, Xerox 要求 Palm 支付 Graffti 的使用權利金,否則便應停止在其 PDA 中使用此項技術。此案於今年 (2006) 6 月 28 日 經 紐約西區美國地方法院法官 Michael Telesca 判決 Palm 的 Graffiti( 手寫辨識軟體 ) 的確已侵害到 Xerox 權利。 Palm 同意支付 2.25 億美元以取得 Xerox 手寫辨識軟體的合法授權使用權,結束 1997 年以來長達 9 年的法律訴訟。事實上, Xerox 在 1997 年是控告後來被 3Com 收購的 U. S. Robotics 公司, 但 這家公司之後被 3Com 買下,後來 3Com 再將其獨立 成立 Palm Inc ,當時 Palm 將 Graffiti 技術嵌入旗下的 Pilot PDA 中,也把使用了 Graffiti 技術的軟體賣給其他 PDA 製造商。 這次 Palm 所支付的費用涵蓋了 Palm Inc 、 PalmSource 及 3C om ,這三家業者均取得 Unistrokes 及 Xerox 其他兩項技術的專利的授權。雙方的協議包括 7 年的「專利和平」( patent peace )期,在這期間內允許合理使用談定的專利,而且不再互控對方。
美國擴大綠色科技與溫室氣體減量專利訴審領航方案為鼓勵綠色科技產業發展,美國商業部專利商標局(The U.S. Commerce Department's Patent and Trademark Office , 簡稱USPTO)宣布綠色科技與溫室氣體減量領航方案,USPTO表示,對於綠色科技與溫室氣體減量的專利申請案件,將給予加速審查(accelerate the examination)的優惠。美國商業部長Gary Locke表示,美國的競爭力繫於研發創新能力,協助綠色產業儘速得到專利保護將可以刺激是項產業發展。 除了經濟的誘因,行政上的便利也經常是政府用以推動政策的輔助工具,USPTO希望透過這項新措施,幫助相關產業的研發創新。而在研發創新上,廠商的生產方式或是產品如能更快速取得專利的保護,對於該產業的發展應有正面的效益。USPTO在2009年12月提出這項方案後,在2010年5月21日再次宣布將原方案所正面表列的專利類別(U.S. patent classifications, USPCs)刪除,亦即進一步擴大可申請案件的範圍。 美國在發展綠色科技的腳步上一直未曾停歇,除原有透過綠色公共採購(Green Public Procurement, GPP)來擴大此項產業市場,歐巴馬政府上台後更在2009年10月發布的13514號行政命令(Executive Order)要求聯邦機關訂定2020年以前溫室氣體排放減量的目標,實施策略上,政府機關採購目標以95%符合ENERGY STAR® 、FEMP、EPEAT等規格或認證產品優先。綠色公共採購提供的是市場面的誘因,此番USPTO提供的專利審查過程的加速,無異是給予綠色產業再一劑強心針。USPTO該方案執行期間以1年內3千件申請案為上限,此項措施如能有效刺激產業發展,值得加以觀察。
動物實驗顯示吸入奈米微粒會損害肺部與循環系統三月上旬甫於美國新奧爾良舉行的毒物學學會研討會,多數的論文將重點放在肺部暴露於奈米微粒的影響。例如來自美國太空總署休士頓太空中心的John T. James與其同僚,將奈米微粒噴入老鼠的呼吸道,於一週與三個月後再進行檢驗,結果發現儘管類似煤煙的碳奈米球狀物不會造成傷害,可是相當質量的商品化碳奈米管卻會顯著的損及肺部組織,甚至殺死幾隻老鼠。研究人員發現巨噬細胞(macrophages)會困住奈米管,不過隨之死亡。James認為研究小組所使用的劑量並不是非常不切實際,他估計在目前的美國聯邦碳吸入量法規限制下,相對於人體重量,工作人員在17天之內會吸入相等的劑量。 美國西維吉尼亞州國家職業安全與健康協會的Petia Simeonova與其同事,也觀察到接受類似劑量碳奈米管的老鼠會產生富含微粒的肺肉芽腫(granulomas),研究人員也對心臟與主動脈的粒線體DNA進行損害檢查,粒線體傷害為發生動脈硬化(atherosclerosis)的先兆。 日本鳥取大學 (Tottori University )Akinori Shimada報告了首例奈米微粒從肺部移動到血液的系列圖像,碳奈米管一接觸到老鼠肺部極細小的氣管,即湧入穿過表面細胞的微小間隙,並且鑽入毛細血管,Shimada推測此會造成凝集甚至血栓。 羅徹斯特大學Alison Elder報告兔子吸入碳奈米球之後,增大了血液凝塊的敏感性。為了模擬糟糕的都市空氣污染,研究人員給予兔子每立方米包含70微克奈米球體微粒的空氣超過三小時,再觀察發生血液凝塊的時間,結果呼吸奈米微粒的兔子,一天之內即發生血液凝塊現象。因為發生的很快,所以Alison Elder認為奈米微粒是從肺部移動進入血流,而非從肺部送出凝血劑(clotting agents )。