美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
E-bay集團旗下的線上付款服務公司PayPal的代表律師Joseph E. Sullivan 於三月二十七日在倫敦舉辦的第五屆國際網路犯罪討論會議( International E-Crime Congress )中,提案要求電子信箱服務提供業者透過封鎖未附有電子簽章(Digital Signature)信件之方式,減少網路釣魚騙局(Phishing)的產生。該提案主要目的在透過電子信箱服務提供業者過濾垃圾郵件篩選系統( Spam Filters),以防堵看起來幾可亂真的網路釣魚郵件。雖然參與該國際網路犯罪討論會議的業者及政府機構並未對該提案達成共識,但是PayPal公司已和Google公司旗下的電子信箱服務Gmail達成協議,加強過濾垃圾郵件的篩選。 PayPal 是最常被詐騙集團利用偽裝郵件(Spoofing Emails)的受害公司之一,目前詐騙集團以偽裝公司郵件的技術進行網路釣魚,以騙取個人資料或帳號密碼來謀利。Paypal目前已使用數項電子簽章的安全技術,其中包括Yahoo!公司所研發的網域認證鑰匙(DomainKeys),該技術能有效地判斷寄件者的網域(Domain)是否為偽造及寄出信件是否來自偽造的網域。 目前網路釣魚的網站如雨後春筍般地出現,根據一份由國際業者及政府機構聯合提出之「反網路釣魚世界組織」(Anti-Phising World Group)報告指出,統計至今年一月份為止,全世界的詐騙網站已高達兩萬九千九百三十個。故PayPal特別對反制網路詐騙集團利用即可亂真的網路釣魚郵件,將上述提案於國際會議中提出討論 。
歐盟個資保護委員會大致認定南韓個資保護法具適足性認定,但須進一步評估歐盟個資保護委員會(EDPB)今(2021)年9月27日,就與南韓個人資料保護法(Personal Information Protection Act, PIPA)之適足性認定草案發表意見,認為南韓的個資保護框架與歐盟大致相同。但EDPB 同時也指出,在歐盟執委會做出決定之前,某些部分仍需要釐清。釐清的部分包含: 今年6月歐盟執委會公布並通過的適足性認定草案中,該草案之可執行性與有效性不應僅拘束南韓個資保護機構,也應對司法機構具有效力。除此之外,EDPB 也針對南韓PIPA 免除多項匿名化資訊之義務提出質疑;又南韓相關法令對「同意」之撤銷(或撤回)事由有所限定,應確保其對資料主體「同意」之保障持續符合適足性認定的要求。 至於在資料進一步移轉(onward transfers)方面,EDPB 認為即便資料主體知悉並同意其個資傳輸,仍應告知其資料是否會移轉到第三國之相關風險;以及若個資主體的同意無法符合GDPR 對有效同意之定義時(例如雙方地位不對等時,該同意即非有效),該個資不會從南韓之資料控管者傳輸至第三國;在對此議題南韓未具體修訂相關法令時,與國安相關的個資若進一步移轉,是否會受到憲法框架(如比例原則)和PIPA 中個資保護原則的充分保障? 而在行政部門存取傳輸到南韓的個資方面,許多議題也需要釐清並引起關注。如與國安方面相關的個資處理,係受PIPA 抑或其他更為限縮的法令限制?又電信業者自願向國安部門揭露使用者個資時,必須同時通知相關的個資主體;EDPB 並希望歐盟執委會釐清,若歐洲經濟區(EEA)內的個人向南韓個資保護機構或司法機構提出救濟時,相關的救濟程序是否實質有效(例如舉證責任的規定為何)? 於新聞稿中,EDPB 主席 Andrea Jelinek 表示:「歐盟對此適足性認定相當重視,因其將涵蓋公部門與私部門資料的傳輸。而適足的個資保護對支持歐盟與南韓的長期關係與個人權利、自由方面至關重要。雖然EDPB 認為南韓的個資保護框架與歐盟大致相同,然仍建議歐盟執委會密切關注適足性認定的各方發展。」
Groupon與LivingSocial面臨關於團購券有效期限的團體訴訟Groupon日前遭消費者集體訴訟,控告其團購券之有效期限違反消費者保護相關法律。原告消費者主張Groupon違反聯邦信用卡責任公開法案,該法案限制禮券之到期日不得少於出售後五年內。對於原告消費者之主張,Groupon提出抗辯,並申請和解。而另一團購網站LivingSocial也面臨類似的訴訟案件,並且同意支付450萬美元和解金以解決關於團購券有效期限之爭議。在以上兩個案例中,核心問題均涉及,Groupon與LivingSocial所提供之票券是否適用於聯邦和各州法律中關於禮券之規定;換言之,爭議在於,聯邦法律規定禮券到期日不得短於五年,而此規定是否適用於團購網站所提供之票券,目前尚有疑義。就團購券有效期限的現狀而言,團購禮券上通常會標示兩個有效日期,其一為支付價格(市價),另一個是推廣價格(促銷價),前者係指消費者在此交易中原本所應支出之費用,後者則指折扣價格。舉例而言,消費者購買25美元的團購券後,得前往義式餐廳享有價值50美元的餐點,而若是團購券折扣到期後,消費者仍得以團購券換取市價25美元的餐點,但無折扣。