美國紐約州通過「防止非法侵入與加強電子資料安全法案」
2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。
當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。
本文為「經濟部產業技術司科技專案成果」
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
江敔菲
副法律研究員 編譯整理
日本內閣於2025年2月28日通過並向國會提出《人工智慧相關技術研究開發及活用推進法案》(人工知能関連技術の研究開発及び活用の推進に関する法律案,以下簡稱日本AI法),旨在兼顧促進創新及風險管理,打造日本成為全球最適合AI研發與應用之國家。規範重點如下: 1. 明定政府、研究機構、業者與國民之義務:為確保AI開發與應用符合日本AI法第3條所定之基本原則,同法第4至第9條規定,中央及地方政府應依據基本原則推動AI相關政策,研發法人或其他進行AI相關研發之機構(以下簡稱研究機構)、提供AI產品或服務之業者(以下簡稱AI業者)及國民則有配合及協助施政之義務。 2. 強化政府「司令塔」功能:依據日本AI法第15條及第17至第28條規定,日本內閣下應設置「AI戰略本部」,由首相擔任本部長,負責制定及推動AI基本計畫,統籌推動AI技術開發與應用相關政策,並促進AI人才培育、積極參與國際交流與合作。 3. 政府調查及資訊蒐集機制:為有效掌握AI開發、提供及應用狀況,防止AI應用侵害民眾權益,日本AI法第16條規定政府應蒐集、分析及調查國內外AI技術研發及應用趨勢,並得基於上述結果,對研究機構或AI業者採取指導、建議或提供資料等必要措施。
談傳統民俗文化藝術之保護-兼論原住民族傳統智慧創作保護法草案 澳洲域名註冊新規定,協助品牌企業同步保障商標權及域名使用權澳洲域名註冊管理機構(auDA)於2021年4月12日正式施行全新的域名註冊新規定,此新規定之主要改革目的在於確保.au網域名稱的安全性,並同步保障品牌商標權。新規定適用範圍包含品牌所有人與品牌企業最常使用之「.com.au」和「.net.au」網域名。 新域名申請人經常以下列方式,來滿足域名申請資格的要求:澳洲公民、澳洲永久居住權人;依據2001年澳洲公司法所合法註冊的本土公司;澳洲商標權所有權人或商標申請人等。若以澳洲商標權作為域名申請資格者,其域名必須與其澳洲註冊商標名稱相同(在規定修正前,僅要求網域名與商標註冊名稱一定程度的密切關聯),但不包括標點符號和諸如a、the、of或&等類似用語或符號。 如現有已經註冊「.com.au」或「.net.au」域名者,同樣須遵守新規則,否則即可能失去網域使用權。不符合現行規範者,得以兩種方式調整:(1)出具證明其非依據註冊商標註冊網域名,或(2)於澳洲申請註冊商標,使網域名稱與商標名同一。 澳洲域名註冊新規定,有相當程度可阻止域名搶註者侵害品牌商標權。建議預計前往澳洲發展之品牌企業,可事前布局域名及商標權;特別是可事先申請註冊商標,如此亦可有權申請同於商標名之網域名稱,穩固品牌對外識別的一致性。
歐盟理事會將嚴格執行資料保護基本權歐洲理事會修訂「保護個人有關個人資料處理及自由流通規則(一般資料保護規則)」(Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), GDPR),該草案內容包括行政罰鍰三審制(three-tiered system)。凡故意或過失違反歐洲資料保護基本權之企業,情節重大者,可能招致鉅額行政罰鍰,草案之裁罰性措施將讓從業者更加重視資料保護法益。 是否對違反GDPR之侵權行為裁處罰鍰,會員國政府有裁量權限;已受刑事制裁者,政府亦得免除罰鍰以避免重複處罰。資料保護主管機關(data protection authorities, DPAs)依三審制判斷,確保所裁處罰鍰具有效性、比例性及嚇阻性。三審制包括:第一審,是否對資料當事人之資料要求延遲、變更回應;第二審,是否對資料當事人、DPAs盡資訊透明義務;第三審,各種具體侵權行為,包括對於資料取得缺乏法律依據、未能即時告知資料違反情事,或未採取適當安全防衛措施於歐盟以外區域傳遞資料等。 依草案,DPAs審酌罰鍰額度時,應依下列計算罰鍰: (1) 企業故意或過失未能於一定期間內,回應資料當事人之資料查閱請求者,裁處上一會計年度全球總年營業額0.5%罰鍰。 (2) 企業故意或過失未能提供任何或所有符合資料當事人要求之必要資訊;或未能對消費者充分揭露個人資料蒐集、處理的目的者,裁處上一會計年度全球總年營業額1%罰鍰。 (3) 企業故意或過失未能維護消費者權益,更正或刪除消費者資料,違反GDPR所保障之消費者「被遺忘權」者,裁處上一會計年度全球總年營業額1%罰鍰。 (4) 企業故意或過失處理個人資料,行為不具適法性、違反法規、沒有對當事人通知資料違反或將個人資料傳遞自歐盟以外區域,該區域沒有適當安全資料保護者,就企業上一會計年度全球總年營業額裁處2%罰鍰。 六月中旬,歐盟各部長將就歐洲議會、歐盟理事會的提案,就罰鍰額度進行最後協商,未來將持續關注草案協商後續發展。