美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
美國司法部於今年六月底,就1941年實施至今,與「美國詞曲作者及出版商協會」(American Society of Composers, Authors and Publishers,ASCAP)及「廣播音樂公司」(Broadcast Music Incorporated,BMI)間的合意判決(Consent Decree),提出了新的解釋。司法部認為,在維護市場自由競爭的價值下,應該允許部分詞曲著作人授予全部的歌曲權利給單一集管團體。 在當今閱聽大眾習慣變化快速的年代,閱聽服務種類多元,使用人很有可能因難以取得全部歌曲權利而陷入侵權風險。司法部此舉可增進使用者授權便利性與完整性。 然而,新的解釋引來正反兩面不同的評價,部分數位音樂業者(如Pandora Media, Inc)認為,如此可提升消費者享受服務的便利性,亦可避免大型集管團體的壟斷與對於音樂授權市場的價格控制。反對聲浪則表示,如果單一權利人可授權全部的音樂著作權利給個別集管團體,會增加授權複雜程度,亦將造成集管團體彼此間授權費用分攤上的困擾;並且,大型音樂出版業者(如SONY/ATV)很有可能撤回對於集管團體的概括授權,這對於消費者來說無異是增加了取得授權的困難度,只是將壟斷力量由集管團體轉移至服務提供業者本身而已。亦有論者指出在授權透明機制建立以前,過度自由的授權模式將增加整個音樂視聽產業的內部管制負擔。 我國對於集管團體與音樂服務業者間關係,恐亦存在市場力量不均衡的問題,政府或應思考如何於「授權市場的公平競爭」、「社會大眾的閱聽權利」,以及「音樂產業的發展方向」三者之取,取得政府、人民與產業三贏的結果。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
美國FTC警告科技公司,不應迫於外國勢力而削弱對消費者之隱私與資料安全保障美國聯邦貿易委員會(Federal Trade Commission)主席Andrew N. Ferguson於2025年8月21日發信給13家科技公司,其中包含Alphabet、Amazon、Apple、Microsoft、Meta、X等國際知名科技公司,警告他們有義務保護美國消費者隱私與資料安全,若在外國政府施壓下審查美國公民的資料,將有違反《聯邦貿易委員會法》(Federal Trade Commission Act, FTC Act)之虞。 信中指出,科技公司可能為遵循外國法規或迫於外國政府壓力,削弱對美國公民的隱私及資料安全保護。如歐盟《數位服務法》(Digital Services Act)、英國《網路安全法》(Online Safety Act)期望科技公司審查用戶言論內容;而英國《調查權力法》(Investigatory Powers Act)則為滿足英國政府取得用戶儲存資料之目的,要求科技公司削弱原本對用戶採行之點對點加密措施。Ferguson主席更表示:「外國勢力審查及削弱加密措施等行動,將侵害美國公民的自由或使美國公民遭受各種危害,例如受外國政府監視、增加身分盜用與詐騙風險」。 信中亦提及,科技公司在遵守外國法律及相關要求的同時,仍須遵守FTC Act第5條規定,亦即禁止企業在市場中進行不公平或欺騙性行為的規定。同時也表示,過去20年來,FTC已對未能履行消費者資料安全或隱私承諾之公司提起數十起訴訟,並將持續要求蒐集、使用、分享或傳輸消費者個人資料的公司,應採取合理的安全措施,藉此確保消費者權益。
聖淘沙開發公司就″Sentosa″商標對醫材企業提起侵權訴訟新加坡聖淘沙發展局(Sentosa Development Corporation, SDC)(以下簡稱聖淘沙發展局)於今(2018)年1月30日向新加坡高等法院(High court)起訴,主張一家名為Vela的醫療器材企業(包含Vela Operations Singapore, Vela Diagnostics等子公司,以下合稱Vela公司),在其一系列檢測HIV及茲卡病毒的醫材產品中使用″Sentosa″(下稱系爭商標)之行為,侵害了聖淘沙發展局的商標權,要求其停止使用。 聖淘沙發展局隸屬於新加坡貿易與工業部,為專責推動聖淘沙觀光活動的法人機構,系爭商標早在2005年於新加坡申請註冊,其保護範圍以服裝、飾品、書籍、玩具與飲品等涉及觀光之類別為主。截至2015年止,聖淘沙發展局更將保護範圍擴及馬來西亞、印尼及中國大陸。該局表示,系爭商標在過去長達45年的經營下,已成為新加坡著名商標。Vela公司將之作為其醫材品牌的行為,不僅會淡化,甚至減損系爭商標的識別性,造成消費者混淆誤認,將該檢測醫材與聖淘沙發展局產生不當連結,為蓄意藉機炒作。 事實上,Vela公司曾欲將″Sentosa″申請註冊商標,卻於2012年11月被駁回。這次Vela公司則提起商標無效之反訴回應聖淘沙發展局的訴訟,其認為系爭商標係指稱新加坡當地觀光渡假勝地的地理名詞,縱非地理名詞,在馬來語中亦屬稱頌和平寧靜之用語,無法代表特定之服務或產品,根本欠缺商標識別性要件,系爭商標應屬無效。 本案涉及新加坡司法實務有關地理名詞是否具備商標識別性之判斷標準,故其後續發展,值得追蹤觀察。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
瑞典網路服務提供者(ISP)之責任瑞典斯德哥爾摩地方法院於2015/11/27針對網路服務提供者(ISP)責任作出判決,有別於過往相關著作侵權訴訟,對象係針對個人或是散布侵權檔案之網站經營者,此次為針對網路服務提供者責任作成的第一筆判決,其結果具有指標性意義。 此次訴訟是由華納、新力、聯合音樂、北歐電影與瑞典電影中心聯合提起,請求法院命一瑞典ISP業者阻斷二個涉及著作權侵害之網站連結。原告等聲稱被告提供網路連接到侵權網站之行為,已構成侵害行為的參與(medverkar),據此請求法院禁止被告繼續此參與侵害行為。然法院未予採納,認為:(一)依歐盟指令(Infosoc-directivet)之要求,若網路中介者之服務受到第三人利用,作為侵害著作權及其鄰接權之用途,各會員國須提供著作權人司法救濟途徑,以對抗中介人。由於瑞典著作權法已提供禁制令(föreläggande)之申請予著作權人,藉此對抗參與侵害行為的幫助犯。可見瑞典著作權法已符合指令之要求。(二)其次,法院認定本案被告係單純提供其顧客網路聯結到侵權網站,不構成瑞典著作權法上之參與侵權行為。因所謂參與必須是客觀上對侵權行為人有幫助行為(如給與建議及諮詢),但本案被告並未與侵權網站有任何契約或特定關係,不能因為少部分之非法使用者利用其網站連結便認定其構成參與侵權行為。故法院認定本案不具備核發禁制令條件,駁回原告等請求。對此,原告擬提出上訴,後續發展有待觀察。