美國證券交易委員會針對上市公司提出網路安全風險管理、治理及網路安全風險事件揭露規則
美國證券交易委員會(United States Securities and Exchange Commission, SEC)於2022年3月9日提出關於上市公司網路安全風險管理、治理及相關事件揭露規則,希望加強上市公司的網路安全風險管理以及網路安全事件之揭露監管,其提案核心內容有二,第一係要求國內上市公司於確定發生重大網路安全事件後四個工作日內,揭露有關資訊,且揭露內容必須包含以下五大項,(1)事件何時發現、目前是否持續中、(2)事件性質與其範圍簡要說明、(3)是否有任何資料被洩漏、竄改或被不當使用、(4)該事件對於公司之營運影響、(5)公司是否已著手進行補救及處理。
該提案的第二個核心內容係定期報告公司的網路安全風險管理及治理資訊,例如公司是否具有網路安全風險評估計畫,其內容為何、公司是否有政策及程序監督第三方服務提供商之網路安全風險、當公司發生網路安全事件時,是否具備應變程序及網路攻擊復原計畫、網路安全相關風險對於營運結果及財務狀況將可能產生何種影響等等。
該提案的公眾諮詢期間為提案發布後60天,鑒於網路安全風險增加,美國證券交易委員會期望藉由此提案,更明確的告知投資者上市公司的網路安全風險管理及治理相關資訊、並且可以即時通知投資者重大網路安全事件,給予上市公司投資者及其他資本市場參與者更周延之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
蘇偉綸
副法律研究員 編譯整理
SEC Proposes Cybersecurity Rules for Public Companies, HUNTON ANDREWS KURTH(Mar. 11, 2022), https://www.huntonprivacyblog.com/2022/03/11/sec-proposes-cybersecurity-rules-for-public-companies/#more-21127 (last visited Mar. 14, 2022).
USA: SEC proposes rules on cybersecurity risk management for public companies, OneTrust DataGuidance, https://www.dataguidance.com/news/usa-sec-proposes-rules-cybersecurity-risk-management (last visited Mar. 14, 2022).
SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies, U.S. SECURITIES AND EXCHANGE COMMISSION, https://www.sec.gov/news/press-release/2022-39 (last visited Mar. 14, 2022).
美國專利商標局(簡稱USPTO)公告新商標規定於8月3日生效,國外申請人、註冊人及商標訴願暨上訴委員會(TTAB)程序的當事人均須透過合法美國執業律師代理其商標業務,包含:向USPTO提出商標申請註冊、商標糾紛。此要求適用於所有商標申請人、註冊人和永久合法居住地或是主要業務所在地於美國境外的當事人。 近期,USPTO發現愈來愈多的國外申請人、註冊人和當事人向USPTO提交不正確或有詐欺嫌疑的文件,其不符合美國商標相關法規或USPTO規則。此次新規定目的在於: 加強外國人遵守美國商標相關法規。 改善向USPTO提出商標案的正確性。 維護美國商標註冊的完整性。 數十年來,全球許多其他國家都有須透過當地律師代理執行業務的相關要求。USPTO局長Andrei Iancu表示:「企業靠著USPTO的商標註冊,決定品牌的重要法律決策,為了確保商標註冊的正確、完整性與公眾利益,USPTO必須要有適當的規定來強制所有申請人和註冊人遵守規定。」;USPTO商標專員Mary Boney Denison亦表示:「相信新規定將有助於提高外國人向USPTO提交的文件品質。」 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」
美國欲修改HIPAA規則以促進「整合醫療照護」,並發表公眾意見徵詢書美國《健康保險可攜性及責任法》(HIPAA)係「保護個人電子醫療資訊隱私」的法規。其「受規範對象」(Covered Entity)為:使用電子方式傳送任何醫療資訊的醫療計畫、健康資訊處理機構(Health Care Clearinghouses)或醫療照護提供者。2018年12月14日,美國衛生及公共服務部(下稱:官方)發表〈公眾意見徵詢書:修改HIPAA規則以促進整合醫療照護〉(Request for Information on Modifying HIPAA Rules to Improve Coordinated Care),擬修正方向如下: (一)促進醫療行為、整合醫療照護、專案管理的資料分享 HIPAA原先僅允許受規範機關在醫療行為、支付、營運中揭露受保護健康資訊(PHI)。然而,這並不包含醫療照護或專案管理。官方傾向修法讓醫療照護或專案管理成為允許揭露PHI的情形。同時,也希望修法讓PHI的取得更具時效性,以利於病歷在受規範對象間的流通。 (二)推動親友參與解決當事人鴉片類藥物成癮和精神疾病問題 HIPAA允許受規範對象在特定條件下,向照護者(Caregiver)揭露PHI,包含緊急狀況,也包含嚴重的精神疾病。然而,許多受規範對象因為擔心違反HIPAA,而不願通知當事人的親友。這種狀況相當不利於整合醫療照護和專案管理的發展。目前官方尚未研擬出具體改善方法,希望外界可以提出方案。 (三)會計資料的揭露以存取報告代替 在當事人申請下,受規範對象或其商業夥伴應提供近六年內與PHI相關的會計資料。然而,許多受規範對象的系統無法分離出應提供給當事人的部分,只好提供整份會計資料,因而造成龐大負擔。官方擬修法,只提供當事人「存取報告」(Access Report),該報告會載明誰曾經存取電子紀錄。 (四)隱私權行為通知(Notice of Privacy Practices) 受規範對象在許多狀況下,需取得當事人隱私權行為通知的書面同意書,這次的修法希望可以減少書面同意,以利於受規範對象發展整合醫療照護。
台灣智慧財產管理規範(TIPS)之發展與現況 美國聯邦航空總署針對特殊類型無人航空器提出新的適航性準則美國聯邦航空總署(Federal Aviation Administration, FAA)於2020年11月23日針對10種特殊類型(special class)無人航空器提出新的適航性準則(airworthiness criteria),以納入更多聯邦法規第107篇(14 CFR Part 107)所無法涵蓋之複雜無人航空器應用類型,包括包裹運送(package delivery)。 FAA目前正針對其所提出之適航性準則蒐集公眾之意見,故將相關特殊類型之無人機應用申請案公告於聯邦公報(Federal Register)中,提供30天予公眾針對該申請案之適航性表示意見,後續正式公布該適航性準則時亦會將相關意見納入考量。 該適航性準則將成為特殊類型無人航空器之安全標準,並能夠為相關特殊類型之無人航空器取得型式安全審驗合格證明(type certificate)建立之參考準則之一。 該適航性準則主要適用於重量在5-89磅之電動定翼(fixed wing)與旋翼(rotorcraft)無人機。FAA說明,該特殊類型無人航空器若通過此準則,僅表示其符合該適航性準則所規範之類型,惟其是否能夠執行飛行任務,尚須檢視有否符合FAA相關操作規範,包括操作人員是否取得許可證、操作之空域是否為禁限航區等。