Refuah公司與紐約總檢察長達成和解並投資120萬美元保護病人資料
紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。
Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。
依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。
依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:
1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;
2.實施並持續更新消費者資料近用限制相關政策和程序;
3.遠端近用資源和資料應使用多重要素驗證;
4.定期更新近用資源和資料的憑證;
5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;
6.對所有儲存或傳輸的消費者資料進行加密;
7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及
8.制定、實施和持續更新全面的事故應變計畫。
Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
謝淯婷
法律研究員 編譯整理
Office of the New York State Attorney General[NYAG], Attorney General James Reaches Agreement with Hudson Valley Health Care Provider to Invest $1.2 Million to Protect Patient Data (2024), https://ag.ny.gov/press-release/2024/attorney-general-james-reaches-agreement-hudson-valley-health-care-provider (last visited Mar.20, 2024).
阮韻蒨,〈美國公布實施零信任架構相關資安實務指引〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8885&no=64(最後瀏覽日:2024/03/20)。
陳政陽,〈新加坡物聯網產品網路安全防護之初探〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=9061&no=64(最後瀏覽日:2024/03/20)。
劉宥妤,〈歐盟推出給在中華區企業參考之網路犯罪與營業秘密保護指南〉,資策會科法所法律要聞,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8929&no=64,(最後瀏覽日:2024/03/20)。
新加坡政府於2023年9月4日發布《無形資產揭露框架》(Intangibles Disclosure Framework, IDF),鼓勵企業以系統化的方式,主動對外揭露所持有之「無形資產」(如品牌價值、專利等),使利害關係人(如投資者、合作夥伴等)能進一步瞭解其「無形資產」現況,藉此創造「無形資產」更高的價值。本框架是在「新加坡智慧財產局」(Intellectual Property Office of Singapore, IPOS)及「會計與企業管理局」(Accounting and Corporate Regulatory Authority, ACRA)主導下,由產業代表組成的工作小組歷時2年討論後制定發布。 框架中指出,過去20年間,全球「無形資產」的投資和所創造之價值逐步超過「有形資產」。然而,傳統會計準則往往無法完全真實反映企業所持有之「無形資產」價值,亦即「無形資產」價值往往被低估。因此,本框架鼓勵企業主動揭露,並建議可將「無形資產」現況納入公司年報(Annual Report)中,亦可獨立成一份報告,與公司財報(financial statements)一同發布。 此外,企業在揭露「無形資產」時可依循以下四項原則(簡稱「SIMM原則」): 1.策略(Strategy): 企業應揭露「無形資產」與其商業經營策略的關聯性、佈局狀況、貢獻度,使利害關係人瞭解企業是如何利用「無形資產」維持其競爭優勢及替投資者創造更多的收益。 2.識別(Identification): 本框架指出「無形資產」不用侷限於傳統會計準則的定義,企業應揭露「無形資產」的性質和特徵(包含如何取得),並建議可將「無形資產」分類,如:(1)行銷類;(2)顧客類;(3)契約類;(4)藝術類;(5)技術類;(6)人力資源類。 3.衡量(Measurement): 企業應揭露其評估(assess)「無形資產」價值的績效指標與驅動因子,並以量化方式呈現。如針對商標等「行銷類」之「無形資產」,企業得以顧客滿意度、國際品牌排名作為評估之績效指標。企業亦可選擇揭露「無形資產」的貨幣價值(monetary value),其評價應依照國際評價準則(International Valuation Standards , IVS)進行。 4.管理(Management): 企業應揭露其如何識別、評估、管理與各類「無形資產」相關之風險與機會,以及如何將這些程序整合至企業整體風險管理策略中,以協助利害關係人瞭解企業「無形資產」所面臨之風險和機會。譬如企業應明確揭露監控相關風險之頻率、定期更新風險管理政策和程序等。 新加坡總理公署部長(Minister of Prime Minister's Office)Indranee Rajah表示,本框架是「新加坡智慧財產戰略」(Singapore IP Strategy 2030, SIPS 2030)的重要推動措施之一,企業若能主動揭露「無形資產」現況,將有助於將其「無形資產」商業化、吸引更多的投資、增進風險管理、提升企業競爭力,持續強化新加坡作為全球智財活動及交易樞紐的地位。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
歐盟營業秘密指令草案因巴拿馬文件揭露事件,受到歐洲議會熱烈討論巴拿馬避稅文件被揭露後,引發歐洲議會(European Parliament)重新檢視正待審核的歐盟營業秘密指令草案(the proposed Directive on Trade Secrets Protection),避免企業營業秘密之保護影響揭弊人(whistleblowers)舉發企業弊端之意願。 執委會2013年11月正式提出歐盟營業秘密指令草案,目的為調合歐洲內部市場營業秘密規範,以建立保護創新者的環境,並維持歐洲企業競爭優勢。2015年12月執委會、歐洲議會及理事會(the Council of the European Union)召開三方會議協商,對於歐盟營業秘密指令內容達成共識,準備進入立法表決。 巴拿馬事件發生後,公民團體Corporate Europe Observatory之代表Martin Pigeon認為,歐盟營業秘密指令可能成為企業對付揭弊人的工具,以掩蓋不當或違法行為,而公開弊端資訊的揭弊人可能因洩漏營業秘密而有刑事責任。但主導該指令立法程序之歐洲議會議員Constance Le Grip表示,營業秘密指令會明確地將記者及揭弊人除罪化。 事實上,為了保障公共利益所為之揭露行為,執委會2013年提出的草案已納入揭弊人排除條款。根據草案第4條第2項規定,會員國應確保為了公共利益目的而揭露不當、錯誤或不法活動(revealing a misconduct, wrongdoing or illegal activity),不會觸犯(entitle)營業秘密法之任何罪名。換句話說,即便取得企業機密之方式違法,揭弊人為了公共利益之行為不會違反營業秘密指令。 歐盟營業秘密指令僅建立歐盟保障營業秘密之最低標準,若歐盟營業秘密指令順利通過,仍待會員國依據該指令各自立法,訂立境內營業秘密相關規範,以落實營業秘密之保護。
與時俱進的新興科技法制-美國無人飛行器(UAS)管理法制初探與時俱進的新興科技法制-美國無人飛行器(UAS)管理法制初探 科技法律研究所 法律研究員 陳世傑 2015年07月30日 壹、事件摘要 因電子與無線傳輸科技的進步,俗稱Drone的無人飛行器(Unmanned Aerial Vehicles,UAV),自美國亞瑪遜公司(Amazon)擬採為運送網路購物商品的工具後,無人飛行器的運用,已逐步從單純娛樂用途跨向商業用途的應用。無人飛行器的廣泛運用,是否可能影響安全、隱私、甚至政府監視的警察國家爭議,已經引起美國各級政府的重視,也紛紛立法加以因應。聯邦議會與各州議會亟思如何在法規上妥善調適,以因應越來越多商用無人飛行器的用途需求與其他公益保護之考量,例如飛航安全、隱私安全、甚至國土安全等,美國已經採取相關法制規劃,以完善UAV之管理。 貳、重點說明 一、美國聯邦管理法規 無人飛行器在美國由其聯邦航空總署(Federal Aviation Administration,FAA)主管,2012年2月14日生效的FAA現代化及改革法(The FAA Modernization and Reform Act of 2012,FMRA),為美國聯邦法律主要的管理法源。 FMRA對無人飛行器所採正式名稱為無人飛行機(Unmanned Aircraft),依其第331節定義,UAS指,而小型UAS(Small unmanned aircraft)則指55磅以下之UAS。 FAA指出,無人飛行系統(Unmanned Aircraft Systems,UAS)依其用途區分為公務用(Public Operations)、民用(Civil Operations)、娛樂用(Model Aircraft)三種,並有不同的管理規定。 公務用無人飛行器使用管理相關聯邦法律,有49 U.S.C. § 40102(a)(41)及49 U.S. Code § 40125就「公務用飛行器」(Public Aircraft)使用範疇之相關規定。 法律規定之公務用無人飛行器,FAA得發給飛航許可(Certificate of Waiver or Authorization,COA),而在其許可之特定空間範圍、操作方式或使用目的下操作公務用無人飛行器。FAA發給公務用無人飛行器之COA時多會附加公共安全之要求,例如不得於人口密集區域使用、避免影響其他飛行器路權(right-of-way rules)的使用。 民用無人飛行器之使用,可向FAA申請兩種使用許可,一為FMRA第333節之特許(Section 333 Exemption),其次為FAA第8130.34號行政命令特別適航性許可(Special Airworthiness Certificate,SAC)。 FMRA第333節之特許規定要求,美國聯邦運輸部得經申請,在一定體積、重量、飛行速度、安全性等要求下,特許申請人以無人飛行器進行商業使用(Certificate of Waiver or Authorization,COA),文前所述Amazon所遞交之申請即為此種COA。 SAC特別適航性許可則是要求申請人,於檢具所申請之飛行系統之硬體結構與軟體開發、控制與其管理(configuration management)之設計、規劃、製造上具適航性之說明以進行SAC申請。 娛樂用無人飛行器之使用,依照FMRA第336節規定,毋須經主管機關許可,惟仍須符合以下規定,包括飛行高度須低於400呎且維持飛行區域之淨空,且飛行器應隨時處於使用者目視可及之範圍。 二、美國各州管理法規 在聯邦層級法律以外,除華盛頓特區已為無人機禁用區(No Drone Zone)外,美國各州對於無人飛行器之使用,也各自有不同的立法。至2015年6月為止,美國共有25州對無人飛行器之定義、使用、管理等已有相關法律施行。2015年美國已有45州計151個法案與無人飛行器之使用管理進行規定。阿肯色州等15州完成立法,阿拉斯加等4州通過提案交付審查,喬治亞洲決議交由州議會成立特別委員會進行無人飛行器法案研究、新墨西哥州則由州參眾兩院通過備忘錄就無人飛行器的使用對於野生動物保護之影響進行研究。 參、事件評析 美國自聯邦乃至各州法規對於UAS之管理密度與保護面向各有不同,惟就聯邦FAA受理申請之情形,與各州之立法進度,顯見UAS此一新興科技所帶來的法制調適已經如火如荼的展開。UAS的逐漸普及所帶來的法規相應調整或跟進的需求,已促使美國聯邦與州政府的重視。甚至除了使用的管制外,有關UAS的輸出,美國國務院亦於2015年2月發布有關軍事用途UAS的出口管制政策,其中也同時對商用無人機之出口進行一定程度之管理,可見無人機技術的進步,未來將逐步帶動法制面從使用管理、產品管理甚至朝向技術管理發展。
落實綠色供應鏈 台灣廠商尚待加強歐盟推動的有毒物質禁制令( Restriction of Hazardous Substances, RoHS )自今( 2006 )年 7 月後開始啟動,國內多家 IT 廠商如主機板、液晶螢幕等業者均表示產品符合 RoHS 規範,政府提供的資料也指出,台灣大約八成的供應商和製造商符合 RoHS 規範,但是依照綠色環保產品行銷業者的觀察,實際數據遠低於此,應該只有五成不到。 所謂的 RoHS ,係明列自 2006 年 7 月後,製程、設備及材料處理研發禁止使用 6 種有毒物質,如鉛、汞、鎘等,內含六項管制物質的產品將不可在市面流通,屆時輸歐的電子、電機產品皆必須符合該標準。如果一旦抽驗發現有毒物質,產品即可能遭受召回、高額罰款或者長期法律訴訟。 廠商所謂的「符合」還有很多可議的空間,主要原因有兩種:首先製造商在取得供應商提供的原物料時,也許前者的確不含有毒物質,但是在製程、運送過程中,原物料仍有被污染的可能性,例如有鉛和無鉛產品共用一條生產線。然而製造商但憑供應商提供的品質文件就聲稱終端產品符合了 RoHS 規範。 其次,即使是供應商表示原物料符合 RoHS 規範,也還有待商榷,因為這必須判定供應商的原物料送審時,是以混測還是均質檢測。所謂的混測就是把包含兩三種不同原料的產品一併送測,這時候即使單一原料含有有毒物質,但在和其他物質含量平均後就無法檢測出來。均質檢測則就是每個原料都單獨出來檢驗。由於後者的成本高出許多,因此國內供應商多以混測方式送審,使得檢測結果可信度並非絕對。 RoHS 對將大量產品輸出歐洲市場的台灣 IT 產業影響深遠,根據經濟部技術處所提供的資料,據估計將有近 3.5 萬家廠商、高達新台幣 2,446 億元的產值將受到衝擊。基於此原因,經濟部技術處於去( 2005 )年七月啟動「寰淨計畫( G 計畫)」,結合系統廠商、檢測驗證機構、資訊服務業者等單位,以系統廠商帶動下游供應商的方式,加速國內電腦廠商推出符合環保規範的產品。儘管政府推動甚殷,國內供應商的確在前年開始準備,不過要確實符合 RoHS 之規範精神,而非僅是形式上符合,仍有待政府與業者共同努力。