美國證券交易委員會針對上市公司提出網路安全風險管理、治理及網路安全風險事件揭露規則
美國證券交易委員會(United States Securities and Exchange Commission, SEC)於2022年3月9日提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理以及網路安全事件之揭露監管,其提案核心內容有二,第一係要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊,且揭露內容必須包含以下五大項,(1)事件何時發現、目前是否持續中、(2)事件性質與其範圍簡要說明、(3)是否有任何資料被洩漏、竄改或被不當使用、(4)該事件對於公司之營運影響、(5)公司是否已著手進行補救及處理。
該提案的第二個核心內容係定期報告公司的網路安全風險管理及治理資訊,例如公司是否具有網路安全風險評估計畫,其內容為何、公司是否有政策及程序監督第三方服務提供商之網路安全風險、當公司發生網路安全事件時,是否具備應變程序及網路攻擊復原計畫、網路安全相關風險對於營運結果及財務狀況將可能產生何種影響等等。
該提案的公眾諮詢期間為提案發布後60天,鑒於網路安全風險增加,美國證券交易委員會期望藉由此提案,更明確的告知投資者上市公司的網路安全風險管理及治理相關資訊、並且可以即時通知投資者重大網路安全事件,給予上市公司投資者及其他資本市場參與者更周延之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
SEC Proposes Cybersecurity Rules for Public Companies, HUNTON ANDREWS KURTH(Mar. 11, 2022), https://www.huntonprivacyblog.com/2022/03/11/sec-proposes-cybersecurity-rules-for-public-companies/#more-21127 (last visited Mar. 14, 2022).
USA: SEC proposes rules on cybersecurity risk management for public companies, OneTrust DataGuidance, https://www.dataguidance.com/news/usa-sec-proposes-rules-cybersecurity-risk-management (last visited Mar. 14, 2022).
SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies, U.S. SECURITIES AND EXCHANGE COMMISSION, https://www.sec.gov/news/press-release/2022-39 (last visited Mar. 14, 2022).
根據衛報指出,英國最新推出的手機行動定位追蹤服務恐將引發新一波個人隱私侵害爭議。該定位服務由業者World-Tracker提供,只要將欲追蹤的手機號碼輸入該服務網頁,就會有一通簡訊發到該手機介面上,詢問手機持有人是否希望被追蹤。若手機持有人以簡訊向系統回覆同意,World-Tracker就會在該服務網站上顯示出該手機位置地圖(目前使用Google地圖介面),精確值在50到500公尺。當手機移動,系統亦會隨時偵測手機位置並在網頁上顯示移動狀況。 經由電腦或手機等任何能上網的終端裝置即可使用該服務,目前能支援該服務的系統業者則包括Vodafone、O2、T-Mobile以及Orange。但已有人質疑,World-Tracker所提供的該項服務是否符合英國Ofcom所規範的個人隱私權保護正當程序,即定期發簡訊確認手機持有人之同意。此外,該服務將使非檢調機關得在未取得手機真正使用人同意之情形下,對手機位置進行監視,此亦有違反英國調查權法之虞(The Regulation of Investigatory Powers Act)。
紐西蘭IT專家組織2012年5月發布雲端運算實務準則紐西蘭最為歷史悠久的IT專家組織(Institute of IT Professionals NZ)於2012年5月發布雲端運算實務準則(Cloud Computing Code of Practice),藉此彌補實務上缺乏雲端運算標準與實務指針的問題;本準則為自願性遵循規範,以紐西蘭為市場的外國雲端業者、及紐西蘭的業者皆可適用之,並可向公眾宣示其已遵行此準則,然倘若未遵行而為遵行之宣示,則屬誤導或詐欺行為而觸犯公平交易法(Fair Trading Act 1986)。本準則有四個主要目標:1. 促進紐西蘭雲端產業的服務標準;2. 確立應揭露(disclosure)的標準;3. 促進雲端服務提供者與用戶間就資料保護、隱私與主權等事項的揭示;4.強化紐西蘭雲端運算產業的整合性。 依據此準則,雲端業者的資訊揭露範圍至少應包含業者基本資料、資訊所有權、管理及保護、與服務提供之適當管理措施等。在資訊所有權層面,業者應表明是否對所上載的資料或資訊主張所有權;而當用戶透過雲端服務利用或傳輸的資料而儲存於其他上游業者的網路或系統時,業者應確認其資料所有權之歸屬。 在資料管理與保障層面,業者應表明遵從何種資訊安全標準或實務,其已向美國雲端產業聯盟(Cloud Security Alliance)進行STAR登記,或者已通過其他標準的驗證;此外應表明儲存資料伺服器之一處或多處所在地。再者,業者亦須表明服務關係繼續中或終止後,業者或客戶對於客戶所擁有資料之存取權限。 在服務提供的適當管理措施上,包含業者的備份(Backup)程序及維護措施,皆應為揭露,使用戶得據以評估是否採取進一步的資料保護措施;此外包括服務的繼續性要求,如備援措施…等,亦應為揭露;又鑒於雲端服務有地理多樣性(Geographic Diversity)的特質,業者應使用戶知悉其提供服務、或營業活動的地點,以判斷此等服務可能適用的法權(Legal Jurisdiction)。 依據此準則,雲端業者亦可例如透過服務水準協議(Service Level Agreement)對個別用戶承諾特別的服務支援方案,以提供更好的服務品質。
法商Parrot商標侵權及商業秘密洩漏案對外商於中國大陸規範人員管理的啟發