美國參議院提出「2019年物聯網網路安全促進法」草案
自2016年Mirai殭屍網路攻擊事件後,物聯網設備安全成為美國國會主要關注對象之一,參議院於2017年曾提出「2017年物聯網網路安全促進法」(Internet of Things Cybersecurity Improvement Act of 2017)草案,防止美國政府部門購買有明顯網路安全性漏洞之聯網設備,並制定具體規範以保護聯網設施之網路安全,然而該法案最終並未交付委員會審議。
2019年4月,美國參議員Mark Warner提出「2019年物聯網網路安全促進法」草案(Internet of Things Cybersecurity Improvement Act of 2019),再度嘗試建立物聯網網路安全監管框架。本法將授權主管機關建立物聯網設備所應具備之安全性條件清單,而該清單將由美國國家標準與技術研究院(National Institute of Standards and Technology)擬定,並由管理與預算局(Office of Management and Budget, OMB)負責督導後續各聯邦機關導入由美國國家標準與技術研究院所制定之網路安全指引。本法草案相較於2017年的版本而言雖較具彈性,惟網路安全專家指出,清單之擬定與執行管理分別交由不同單位主責,未來可能導致規範無法被有效執行,且聯邦各層級單位所需具備之資安防護等級不盡相同,如何制宜亦係未來焦點。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
余和謙
法律研究員 編譯整理
日本為因應去年6月通過「個人資料保護法」之修正(下稱「新法」),個人資料保護委員會於2021年2月19日第166次會議議題「禁止不當利用與停止利用之完備指引論點」(改正法に関連するガイドライン等の整備に向けた論点について(不適正利用の禁止・利用停止等)),公開兩份論點資料,作為將來發布指引之參考,並使企業等關係者在新法實施準備期間,得採取適當措施以達到法遵要求。 新法第16條之2「禁止不當利用」,旨在防止不當利用個人資料致本人權益受損。於「禁止不當利用之論點資料」指出具體要件有(1)「違法或不當行爲」,係指違反個人資料保護法及其他法令之行爲,或有違公序良俗,在社會觀念上非屬正當之行為;(2)「助長或誘發之危害」,在認定上將限縮在以業者提供時有認識第三方將違法利用個人資料,並可預見提供個人資料將受違法利用之情形,以免造成寒蟬效應。若第三方刻意隱瞞取得目的,即使已盡相當注意仍不能預見違法利用之情形,則非屬「危害」。 新法第30條第5項擴大「停止利用」請求權範圍,於「停止利用之論點資料」指出適用要件有(1)「個人資料處理業務已無利用個人資料之需要」,即個人資料利用目的已消失或該事業已中止時;(2)「發生第22條之2第1項本文情形」,係指發生資料外洩依規定須報告委員會之情形;(3)「可能損害本人權益時」,係指依法受保護之正當權益有受損可能為必要。另論點指出請求停止利用必須在「為防止本人權益受損必要限度內」,故業者對於超出必要限度之部分得拒絕之。而對於停止利用所費不貲或顯有重大困難之情形,得依個案具體考量採取適當替代措施。
美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。 HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。 而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。 Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
美國總統歐巴馬計劃增加頻譜執照之收費美國總統歐巴馬於2009年2月26日提出的預算計畫書中(A New Era of RESPONSIBILITY: The 2010 Budge),提議增加無線頻譜收費(wireless spectrum fee)以幫助打銷1.7兆美元的財政赤字,該項提議預計在未來十年內,將為國庫帶來480億美元的財政收入,惟此提議卻遭質疑內容不夠清楚,且可能有礙原先政府提倡更有效率地使用頻譜之目的。 目前相關收費的細節不明。由於先前業者經由拍賣,以高昂價格取得頻譜執照主要係為提供語音及數據服務使用,因此外界推測此費用增加計劃可能針對電視與廣播頻譜收取頻率執照費。不過本案在送交眾議院審議前仍有改變之可能。 歐巴馬執政團隊於提出該項計畫後,Sprint Nextel與Verizon Wireless即刻提出問題,希望進一步了解其內容與相關規範,但白宮尚未針對該等問題做出回覆。收費標準設定勢必對現有現有廣電及電信業者,甚至頻譜交易市場造成影響,甚至影響頻譜使用的效益。 4月預算管理局(OMB)將提出的預算案中,會揭露更多有關該項收費增加的計劃說明。
循環型採購(Circular Procurement)相較於綠色採購(Green public procurement, GPP)所揭櫫的於採購產品、服務或勞務時選擇於其生命週期中對於環境造成衝擊較小者,循環型採購(Circular Procurement)可說是在綠色採購的基礎上,加入循環經濟(Circular Economy)強調最大化資源利用效率的概念,使對於環境的影響與衝擊並非唯一的標準,而應考量產品、服務或勞務對資源的利用效益。 歐盟執委會於2017年10月發布《循環經濟公共採購範例與指引》(Public Procurement for A Circular Economy: Good Practice and Guidance),其中指出循環型採購的意義在於促進歐盟邁向循環經濟轉型,藉由循環型採購所創造的需求,達成循環經濟所強調封閉資源循環(Closing the Loop)以最大化資源利用效率的概念,並肯認政府採購為推動循環經濟轉型的重要誘因之一。 具體的循環型採購做法,包含選擇具高度資源循環利用性的產品,例如可維修、再利用或利於回收再循環的產品,以及以採購服務代替採購硬體等,透過循環型採購對於資源利用效率的重視,支持符合循環經濟概念的產品設計、研發技術與商業模式等創新成果,與提出這些解決方案的企業或團隊,進而達成促進社會邁向循環經濟轉型與永續發展的目標。