美國財政部外國資產控制辦公室更新發布與勒索軟體支付相關之制裁風險諮詢
美國財政部外國資產控制辦公室(The US Department of the Treasury’s Office of Foreign Assets Control, OFAC)於2021年9月21日更新並發布了與勒索軟體支付相關之制裁風險諮詢公告(Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments)。透過強調惡意網絡活動與支付贖金可能遭受相關制裁之風險,期待企業可以採取相關之主動措施以減輕風險,此類相關之主動措施即緩減風險之因素(mitigating factors)。
該諮詢認為對惡意勒索軟體支付贖金等同於變相鼓勵此種惡意行為,故若企業對勒索軟體支付,或代替受害企業支付贖金,未來則有受到制裁之潛在風險,OFAC將依據無過失責任(strict liability),發動民事處罰(Civil Penalty制度),例如處以民事罰款(Civil Money Penalty)。
OFAC鼓勵企業與金融機構包括涉及金錢存放與贖金支付之機構,應實施合規之風險管理計畫以減少被制裁之風險,例如維護資料的離線備份、制定勒索事件因應計畫、進行網路安全培訓、定期更新防毒軟體,以及啟用身分驗證協議等;並且積極鼓勵受勒索病毒攻擊之受害者應積極聯繫相關政府機構,例如美國國土安全部網路安全暨基礎安全局、聯邦調查局當地辦公室。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
1. The US Department of the Treasury’s Office of Foreign Assets Control [OFAC], Updated Advisory on Potential Sanctions Risks for Facilitating Ransomware Payments(2021), https://home.treasury.gov/system/files/126/ofac_ransomware_advisory.pdf (last visited Oct. 19, 2021).
2. Publication of Updated Ransomware Advisory; Cyber-related Designation, U.S. DEPARTMENT OF THE TREASURY, https://home.treasury.gov/policy-issues/financial-sanctions/recent-actions/20210921 (last visited Oct. 19, 2021).
3. Alex Koskey and Matt White, Ransomware state of the union: regulations, trends and mitigation strategies, REUTERS, Oct.14,2021, https://www.reuters.com/legal/legalindustry/ransomware-state-union-regulations-trends-mitigation-strategies-2021-10-14/ (last visited Oct. 19, 2021).
加州是全球第十二大製造二氧化碳排放量的地區,也是美國最重視環境立法的一個州。今年八月底,加州通過全美第一個限制人為溫室效應氣體排放法案- 2006 年全球溫室效應對策法( Global Warming Solutions Act of 2006 ),希望透過該法在 2020 年以前,將溫室氣體排放量減至 1990 年的水準(約減少 25% ),而諸如發電廠、水泥工廠等溫室效應氣體最大的來源,則將被要求報告它們的排放量。 雖然全球溫室效應對策法中並未規定特別的機制(例如歐盟所採取的排放量交易機制)以達到前述目標,不過加州政府仍希望藉由其率先立法的舉動,能引起全美各地效法,進而「由下而上」( bottom-up )促使聯邦政府採取必要措施。 目前美國聯邦政府以強制減少溫室氣體排放可能損及經濟,並不應將開發中國家排除在外為由,在 2001 年決定退出有 160 國簽署的京都議定書。不過隨著加州通過 2006 年全球溫室效應對策法,加入歐盟置身於對抗氣候變化的最前線,毋寧也將對華府增加壓力,未來聯邦政府仍須審慎考量是否以強制之立法手段,而非布希政府所偏好的自願性手段,來解決全球暖化的問題。
ECtHR就國會發言揭露個資是否構成隱私權侵害作成判決,強調應尊重國家之裁量歐洲人權法院(European Court of Human Rights,簡稱ECtHR)於2025年4月8日就Green v. The UK案作成判決,針對國會議員發言揭露個資是否構成隱私權侵害之爭議,強調國家就衡平立法權與司法權的界線、言論自由與隱私保護等利益享有裁量權,駁回了申訴人之請求。 一、事實背景 本案起源於英國每日電訊報(Telegraph)試圖就英國零售集團Arcadia的前員工針對其董事長Philip Green的職場性騷擾與霸凌指控進行報導。先前,Arcadia及Green已與涉及相關糾紛的員工達成了和解協議,依據協議所附保密協定,員工除正當揭露(如向警察揭露犯罪)外不得洩露相關資訊。Green於Telegraph於報導前徵求當事人評論時發現資訊遭洩露,隨即向法院申請禁制令與暫時禁制令,英國上訴法院嗣後批准了暫時禁制令,認定Telegraph獲得的資訊很可能來自違反保密協定的揭露,也不認為欲報導的內容當然具備凌駕當事人可能蒙受之損害的公共利益。Telegraph最終尊重了暫時禁制令。惟隔日,一位英國上議院議員援引言論免責權,於議會發表了雖不涉及細節,但具體提及Green身分和關於其性騷擾、霸凌的指控,並提及Telegraph遭禁制報導一事。Green因此向議會申訴,認為議員違反了司法保密規則(sub judice rule)(編按:上議院曾做成決議,認除非具全國重要性,議員不得於動議、辯論或質問中論及繫屬於法院中的個案)及濫用免責權,但上議院標準專員(House of Lords Commissioner for Standards)認為司法保密規則不屬於《上議院行為準則》。Green嗣後在法院中試圖向Telegraph請求賠償,認為Telegraph應要為議員的發言負責,違反了禁制令,並要求提供線人身分。Telegraph抗辯,在議員享有免責權的前提下,法院毋庸受理本案處理其責任問題。Green向ECtHR提出申訴,主張國家對議員使用免責權揭露受禁制令約束的資訊的權力缺乏事前和事後控制,侵犯了其受歐洲人權公約(ECHR)第8條保障的私生活權。 二、法院判斷 法院認為由於受暫時禁制令保護的資訊被揭露,Green的私生活權利確實受到干預。然而,法院不認為國家違反了公約課予國家保護私生活權之積極義務(positive obligation)。核心理由在於:國家對如何履行積極義務有廣泛的裁量權,且於各國就保護方式較無共識,或涉及基本權利間之衡平時,法院尤應尊重裁量空間。 針對本案,法院認為:(1)議會中的言論自由享有較高程度的保護,對其干涉需要非常重大的理由(very weighty reasons);(2)涉及司法權與立法權的具體界線,以及言論自由與隱私保護的利益衡量;(3)必須考量議會自治原則在多國之間有廣泛共識;(4)英國並非完全沒有針對國會議員發言的事前、事後控制措施。儘管非屬《上議院行為準則》,但上議院所做成的司法保密規則決議,仍屬一定程度的事前控制。事後來看,國會議員若確實構成濫用免責權,法院也可以判處蔑視法庭罪。 法院總結認為,基於原則上各國議會較國際法院,更適合評估限制議會行為之必要性與手段,法院要取代這個判斷須要非常重大的理由,但本案中Green並無法成功論述這個理由存在,因此駁回Green的主張。
美國國土安全部保護物聯網策略原則簡介 英國資訊委員辦公室首次對違反資料保護案件開罰英國資訊委員辦公室(Information Commissioner’s Office,ICO)於今(2010)年11月24日首次對違反資料保護案件開罰。 賀福郡理事會(Hertfordshire County Council)員工在今年6月兩度將載有高度敏感性資料的文件傳真予錯誤的收件人。ICO經調查後認定,由於賀福郡理事會未能防止兩次資料外洩事件發生,導致嚴重損害,而在首次外洩事件發生後,亦未採取足夠的預防措施避免類似情況發生,因此裁定十萬英鎊之罰鍰。 另一家發生資料外洩事件的人力資源服務公司A4e,則是因其員工將含有兩萬四千筆個人資料的筆記型電腦帶回家後遭竊,且包括個人姓名、出生年月日、郵遞區號、薪資、犯罪紀錄等相關資料並未加密。ICO認為,A4e並未採取適當措施避免資料外洩,且A4e允許其員工將未加密的筆記型電腦帶回家時,已知內含個人資料種類及數量,因此裁定六萬英鎊之罰鍰。 ICO表示,希望本次處罰能對於處理個人資料的機構有所警惕。 ICO今年4月被賦予裁罰權,至於裁罰的標準,則有裁罰指引(fine guidance)可參考。根據裁罰指引,若資料控制者(data controller)故意違反資料保護法(Data Protection Act),或可得而知可能違法之情形,卻未採取適當措施預防之,而可能造成相當損害時,ICO得處以相當罰鍰。