美國紐約州通過「防止非法侵入與加強電子資料安全法案」
2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。
當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。
本文為「經濟部產業技術司科技專案成果」
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 【下午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
江敔菲
副法律研究員 編譯整理
在喜愛使用民用電台的狂熱份子和那些想在汽車音響使用iPod的民眾的推波助瀾下,英國電訊局Ofcom計畫在2006年秋天鬆綁其對低功率FM傳輸器的管制。 在英國,利用像iTrip這樣調頻傳輸的小裝置,插在iPod、MP3 player、汽車音響或者其他無線電接收設備上來收聽FM廣播是不合法的。為了廣播系統不被干擾,英國1949年的無線電信法(UK Wireless Telegraphy Act of 1949)規定,唯有拿到FM廣播頻率執照者才有權使用該頻寬。不過,這項對低功率FM傳輸器的管制即將解除。 1949年的無線電信法是過時的。英國電訊局發現,只有極少數未經英國政府許可執照的廣播電台因違法被起訴,因為低功率的傳輸器會干擾廣播系統的可能性極低,當初制定該法的目的幾乎不會被影響。廣大消費者希望能透過車上立體音響來使用iPod聽音樂的需求也遽增,這都是促使Ofcom計畫開放原先限制的理由。 一份Ofcom的聲明指出了其鬆綁的目的:「任何降低法律負擔的目的,都是為了鼓勵創新廣播技術和應用發展。其中一個方式就是開放收聽廣播的設備的使用,解除有使用頻譜需求而需要申請執照的限制。」
歐盟通過網路與資訊系統安全指令歐盟於2016年7月6日公布了網路與資訊系統安全指令(Directive on Security of Network and Information Systems, NIS Directive),該指令目的是希望歐盟內之關鍵基礎服務營運商及數位服務提供者就資訊交換、合作及共通安全要求上有建立及規劃之基本能力,以提高歐盟內部市場之功能。 故至2018年11月前,各會員國須確認境內的關鍵基礎服務營運商並建立一份清單,包含能源、運輸、銀行、金融市場基礎建設、衛生部門、飲水供應及分配、數位基礎設施等部分,其判斷標準為(a)提供維持社會重要或經濟活動之服務;(b)倚賴網路或資訊系統供應之服務;(c)該服務之提供易受顯著破壞影響者。該指令之適用範圍亦納入數位服務,如線上市場、搜尋引擎及雲端服務之數位服務提供者,而上述兩者所適用之規範略有不同,如數位服務提供者在規劃資訊安全措施及資安事件發生之通知義務時,另需將其系統及設施之安全性、事件處理、業務管理之持續性、監測、稽核及測試、符合國際標準等因素列入考量。 此外,為了促進會員國間之策略合作及資訊交換,歐盟將會設立一個合作小組,亦將建立電腦安全事件因應小組(Computer Security Incident Response Teams, CSIRTs),主要負責監測國家資安事件、並對資安風險為預警、因應及分析等,另為確保各會員國彼此間在運作上之迅速與效率,並建立電腦安全事件因應小組網路(CSIRTs network),提供各會員國交換資安風險或事件相關資訊之平台。 該指令於今年8月生效,會員國須於指令生效後21個月內即2018年5月,將指令之內容適用至本國法並公布之,該指令之內容可做為我國訂定資安法規之參考。
歐盟執委會提議檢討WEEE法令規範,並修正回收目標歐盟執委會於所公告之電子電機廢棄物回收法令檢視報告(Review of an EU Directive on Recycling Waste Electrical and Electronic Equipment)中建議,對於產品製造商之回收目標規範標準,應從現行概括固定值:每年人均4kg(4kg/capita per year)回收目標,改為變動式比例值:以現行市場商品平均量之65%,作為規範目標並且,由於法令規範課予產品製造商強制回收責任,市場實務上,也出現了產品製造商為了達到WEEE要求規範目標值,轉而向民間回收業者收購「回收憑證(Recycling Certificates)」,並且,因為供需失衡問題,造成回收業者隨意喊價的情形,也多所見聞。 而歐盟執委會為進一步落實環境保護政策,還是打算維持原案,提議對於WEEE規範內容進行檢討修改,並建議各會員國於國內法令增加誘因及鼓勵措施,導引協助產品製造商擴大回收體系、檢視改善回收管理系統,而更具能力對於提高目標規範,能夠落實遵循之。歐盟執委會此項法令修改提議,是否得以真正落實未來立法中,值得再加以觀察。
美國雅虎公司面臨垃圾訊息的團體訴訟美國芝加哥地方法院於2016年01月04日肯認關於美國雅虎公司(Yahoo Inc)因於2013年3月對美國行動服務斯普林特公司(Sprint Corp)用戶散發垃圾訊息的團體訴訟。本件原為2014年由原告Rachel Johnson提訴,芝加哥地方法院法官Manish Shah認定本件原告已經充分主張本件團體訴訟的共通性,往後所有在2013年被發送該等訊息的用戶,都能加入本件訴訟集團提訴。而根據法院的文書資料,未來將會有超過50萬的斯普林特公司用戶能加入本件訴訟。 原告主張雅虎的簡訊服務向其以及其他斯普林特用戶寄發垃圾訊息而違反1991制定的電信消費者保護法(The Telecom Consumers Protection Act of 1991)。該等簡訊服務會將發信者的線上即時訊息轉為簡訊寄送至受信者的行動電話,同時系統會自動加入預設的「歡迎」訊息。依照電信消費者保護法規定,禁止以自動系統向使用者發送未得同意的簡訊、傳真或是撥打電話,違反者每一行為將被求償500~1500美元。因此本件若主張成立,雅虎將面臨每則訊息最高1500美元的損害賠償。 雅虎雖然主張該等訊息並非電信消費者保護法所禁止的擾人、極端巨量的通信,僅為對接收者已經收到來自其他發送者訊息的提醒而已。同時雅虎也主張若肯認該等團體訴訟,將導致損害賠償數額與原告所受損害不相當,而引發後續訴訟。法院並不接受雅虎的主張。現階段雅虎對法院的決定拒絕評論。