法國CNIL重罰微軟因搜尋引擎Bing違法運用cookie

　　日本公正取引委員會（下稱公取委，其性質等同於我國公平交易委員會）在2019年12月11日的定期記者會上表示，由於近年出現許多關於「智慧財產及knowhow保護不足」的聲音，因此將針對大型企業在與新創、新興企業進行共同合作或研究時，是否有濫用優勢地位不當掠取智慧財產權及專業知識技能（knowhow）的情形，啟動實況調查。 　　公取委將以書面方式，針對日本國內約1萬家創業10年以內的IT製造新創產業與大企業間交易之實況進行調查。相關報導整理了以下幾種常見的問題交易型態： 獨占智慧財產：（1）契約約定大型企業無須經新興企業許可，即可逕自申請專利；（2）共同研究成果全歸大型企業所有；（3）要求無限制的無償授權。 限制與他人合作：（1）長時間禁止新興企業與其他業界合作；（2）相關專利遭到大企業所限制，導致事業無法拓展。 強勢締約：（1）大型企業對於契約的意思決定過於緩慢；（2）直接交付簽訂好的紙本契約，並告知不得變更契約內容。 　　公取委表示，因為新興企業具有開放式創新的價值，在與大型企業進行合作時，對於國家產業發展及競爭力的提升，能發揮很大的貢獻。因此藉由實態調查，確保建構出一個自由、公平的良性競爭環境，並預計在2020年依據調查結果，擬定相關指引或方針。

　　歐盟執委會於2013年7月24日提出支付服務指令(Payment Service Directive，簡稱PSD，Directive 2007/64/EC)修正案，簡稱PSD2。最新消息指出，PSD2將無法在本屆歐洲議會審議完成，需於五月歐洲議會改選後，在新一屆的議會中再行審議。 　　PSD公布施行於2007年，該法降低支付服務市場新参進者(也就是非銀行業者)進入市場的困難度，活絡支付市場的競爭，提供消費者更多的選擇，並強化消費者保護。PSD讓「支付」在歐盟內更快更方便。 　　本次歐盟提出修正案，其修正目標包含： 一、提高歐盟支付市場的整合以及效率。 二、提升支付服務提供者(包含新参進者)的營運範圍。 三、確保強化消費者保護以及資訊安全。 四、鼓勵支付服務的減價。 五、促進共通技術規範以及互用性(interoperability)的形成。 　　實際做法，PSD2大致有以下修正重點: 一、因應科技發展及時代變遷，擴大適用範圍： (一)提出「第三方支付服務提供人(third party payment provider，簡稱TPP)」之名詞定義，並量身打造規範。原本PSD的附件(Annex)中關於「支付服務」定義，第七款「透過電信、數位或IT設備接收支付服務使用者的指示執行支付交易，而支付的進行也是透過電信或IT系統或網路營運人，而且只是擔任服務使用者與商品或服務提供人的中間媒介。」已可包含目前我國俗稱的第三方支付服務。本次PSD2則在第14條第11項中提出「第三方支付服務提供者」此名詞，對照於附件一(Annex I)第七款中，係指： 基於存取其他支付服務提供人之支付帳戶而提供下述服務- 1.發動支付服務； 2.帳戶資訊服務。」 例如透過TPP與銀行帳戶界接，從銀行帳戶扣款進行支付；或者是與信用卡界接，進行扣款。 依照PSD2，TPP為支付服務提供者(Payment service providers, 簡稱PSPs)，因此也需要取得各國主管機關之許可方能進行營業。 (二)透過手機或者是其它IT裝置進行的行動支付，如果單筆支付金額超過50歐元，或者是月支付金額超過200歐元，也應適用PSD2。 二、強化資安要求： (一)歐盟將另提出「網路及資訊安全指令(Direvctive on Network and Information Security，簡稱NIS Directive)」，PSPs應遵循之。 (二)歐洲銀行管理局(European Banking Authority，簡稱EBA)將與歐洲央行(ECB)密切合作，提出資訊安全指導原則(guidelines)，以輔導PSPs建立並執行、監控資安以確保PSPs符合資安事件處理要求。 三、強化消費者保護： (一)PSD對於支付服務應揭露資訊的規定只適用於支付全部在歐盟境內發生者，PSD2則要求對於涉及第三國以及外幣之交易，只要有任一支付服務提供者是在歐盟境內，都要適用。 (二)只要支付未經授權，應立即退款給付款方。 (三)保障無條件退款權，但是如果商品或服務已經完成消費則不在此限，例如下載的影片已經被觀賞完畢。 (四)無需另外授權的交易(如免輸入帳密之交易)，額度從原本的150歐元下調為50歐元。 對於客訴爭議，PSPs應於15個工作日內以書面回覆。

　　在2013年的國際資訊安全會議（RSA Conference）上，資安專家紛紛表示，將Big Data技術應用於資訊安全分析的項目上，確實可以幫助企業建立更佳的情勢判斷能力，但在實際執行過程中是一大挑戰。 　　資安廠商如RSA和賽門鐵克公司，在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標，這是傳統的特徵偵測（signature-based）安全工具無法做到的。 　　不像傳統的安全手段著重於阻斷攻擊，新的技術強調偵測並立即回應違犯行為，也就是提前遏止任何違犯行為，協助企業作全面性的偵測而不擔心有所遺漏。 　　由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊，巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類，而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型，取代部署特定產品和外圍系統的防禦。 　　美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 　　「駭客只需要攻擊成功一次，但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅，更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說，以巨量資料技術強化資訊安全是很好的想法。 　　不過另有其他的說法，金融服務企業LSQ的首席安全及法務主管皮爾遜認為，許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了，這才是問題所在。他表示，目前現存的SIEM（安全性資訊及事件管理）工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內，但真正的問題是，SIEM工具必須要有能力分析數據並找出關聯性，如此才能偵測到駭客入侵的前兆證據和真實的入侵行為，這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料，而是要如何為資訊安全的目的建立關聯規則和應用方式，以有效率的方式找出有用的巨量數據並進行分析，和留下可供進行訴訟使用的證據。