紐約州總檢察長Letitia James於2024年1月5日與健康照護服務業者Refuah Health Center, Inc.(下稱Refuah公司)達成和解,主因為該公司遭受勒索軟體攻擊(ransomware attack),約25萬紐約州民個資遭到洩漏。和解協議要求Refuah公司支付共計45 萬美元之民事懲罰金及費用(penalties and costs),且應投資 120 萬美元加強網路安全(cybersecurity)。
Refuah公司主要業務為經營三家醫療機構和五輛行動醫療車(mobile medical vans)。2021 年 5 月,Refuah公司遭到勒索軟體攻擊,網路攻擊者得以近用數千名病人的資料,取得了包含姓名、地址、電話號碼、社會保險號碼、駕照號碼、出生日期、金融帳號、醫療保險號碼等資料。
依據檢察長辦公室的調查顯示,攻擊者之所以得近用這些資料,原因為 Refuah公司未採取適當安全維護措施,包括:未停用不活躍之使用者帳號(inactive user accounts);未定期更換使用者帳號憑證(user account credentials);未限制員工僅得近用其業務所必需之資源和資料;未使用多重要素驗證(multi-factor authentication)以及未加密病人資料。
依據協議內容,Refuah公司同意投資 120 萬美元,用於開發和維護更強大的資訊安全計畫(information security programs),以更妥適地保護病人資料。該協議還要求Refuah公司應:
1.維護全面的資訊安全計畫,以保護消費者資料的安全性、機密性和完整性;
2.實施並持續更新消費者資料近用限制相關政策和程序;
3.遠端近用資源和資料應使用多重要素驗證;
4.定期更新近用資源和資料的憑證;
5.至少每半年進行一次稽核,確保使用者僅近用其業務所必需之資源和資料;
6.對所有儲存或傳輸的消費者資料進行加密;
7.實施控制措施,監控和記錄公司網路和系統的所有安全和操作活動;以及
8.制定、實施和持續更新全面的事故應變計畫。
Refuah公司還須向州政府支付共計45 萬美元之民事懲罰金及費用,其中 10 萬美元將在該公司投入 120 萬美元開發和維護其資訊安全計畫後,得暫緩支付。
美國國家公路交通安全管理局(National Highway Traffic Safety Administration, NHTSA)於2022年9月9日公布2022年最新版本之當代車輛網路安全最佳實踐(Cybersecurity Best Practices for the Safety of Modern Vehicles),強化政府對先進聯網車輛網路安全之把關。 文件將網路安全實踐項目區分為「一般網路安全最佳實踐」及「車輛技術網路安全最佳實踐」兩塊,前者主要為公司整體組織網路安全文化與監管機制之建立;後者則偏重於技術性的建議內涵。 「一般網路安全最佳實踐」共有45項要點,核心概念為:公司應訂定明確的網路安全評估程序,由領導階層負責相關監督責任,定期執行網路安全之風險評估及第三方公正稽核,並對其所發現之風險弱點採取保護措施並持續監控,同時應妥善保存所有網路安全相關之紀錄文件,並鼓勵與車輛同業聯盟彼此分享學習經驗。對於組織成員應適當提供網路安全教育訓練。於產品設計時,應將產品使用者、售後服務維修商,以及可能的外接式電子設備所帶來之風險一併納入安全設計考量。 「車輛技術網路安全最佳實踐」共有25項,核心理念為:對於產品開發人員,應建立存取權限管理,避免有心人士濫用權限。產品所使用的加密技術應隨時更新,若車輛具備診斷功能,應慎防遭到不當利用,且應防止車輛所搭載之感測器遭到惡意干擾或改動,感測器所收集到之資料則應能免於網路攻擊或竊取。應特別注意無線網路設備、空中軟體更新(Over-the-air, OTA)以及公司作業軟體所產生之風險漏洞。 本文件屬於自願性質,無法律強制力。但NHTSA期望在現有的車輛產業網路安全標準上,例如國際標準組織與國際汽車工程師協會(International Standards Organization, ISO/SAE International, SAE)先前所訂定的車輛網路安全標準ISO/SAE 21434的基礎前提下,進一步提出政府對車輛網路安全要求的努力。
論網路環境下的通訊監察法制 日本經產省與環境省共同發布《促進循環經濟與永續金融之揭露及對話指導》日本經產省與環境省共同發布《促進循環經濟與永續金融之揭露及對話指導》 資訊工業策進會科技法律研究所 2021年06月10日 壹、背景目的 伴隨全球人口增加,除了提高資源需求,亦造成大量廢棄物產生,導致氣候變化等環境問題日益嚴重,為從過去大量生產、大量消費、大量廢棄的線性經濟轉型為循環經濟,日本經濟產業省(下稱經產省)與環境省於2021年1月19日共同公布「促進循環經濟與永續金融之揭露及對話指導[1]」(サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス)。該指導旨在促進企業與投資者、金融機構之間在資源循環領域順利進行對話,期能通過企業適當地揭露資訊,推展企業技術及商業模式創新,共同創造價值達成永續企業與永續社會的轉型。 貳、事件摘要 「促進循環經濟與永續金融之揭露及對話指導」參考「環境社會治理」(Environmental, Social, Governance,簡稱ESG)公開框架及「氣候相關財務揭露建議書」(Task Force on Climate-related Financial Disclosures,TCFD)[2],主要著眼於六項重點,除了ESG公開框架與循環經濟特徵共通的「風險與機會」、「策略」、「指標與目標」以及「治理」四者之外,再併入屬於企業經營方針的「價值觀」、「商業模式」兩者。根據上述六項重點,分為三個階層說明彼此關係:(1)首先在「上位方針」階層,「價值觀」作為統合企業實行循環經濟措施的理念與願景,為判斷企業的執行力及實現商業模式可能性的重要因素;而「商業模式」是指企業應分析目前市場環境與未來中長期動向,以及企業採取循環經濟措施對於其在市場地位的競爭優勢,並說明其商業模式所產生的附加價值及確保競爭優勢的差別化因素,使投資者得以適當評價企業進行投資判斷。(2)其次在「實行」階層,「風險與機會」主要包含政策法規、技術、市場及評價四個面向,企業應整理有關依賴線性經濟可能的風險與對財務潛在的影響,以及向循環經濟轉型的機會;並設定相對應的「指標與目標」,檢視商業模式與策略執行的狀況。(3)最後在「PDCA」階層,企業制定「策略」,以確保、強化支撐其商業模式競爭優勢的經營資源、無形資產等;並透過企業規律的「治理」運作,包括企業經營層與董事會積極參與過程,藉由PDCA方法論衡量策略達成情形,並重新進行評估審視[3]。 另一方面,循環經濟涵蓋多種類型,主體主要有(1)本身事業活動採取循環經濟措施的「採用者」(Adopters);抑或(2)通過提供技術、解決方案以提高社會整體循環性的「推動者」(Enablers)。具體而言,即分為企業在本身事業活動中採用循環經濟措施,或是通過提供技術、解決方案對循環經濟措施做出貢獻,並有助於提高社會整體循環性的兩種方式。而循環經濟採取之措施則主要有(1)減量(Reduce),有助於節約資源、抑制廢棄物產生的措施;(2)再使用(Reuse),有助於產品長期使用、有效利用的措施;(3)再循環(Recycle),有助於資源循環利用、再生利用的措施;(4)可再生(Renewable),有助於可再生資源利用的措施[4]。此外,企業在經營事業活動時,應考量循環性,針對產品生命週期,從設計、生產、利用、廢棄等供應鏈所有階段中,根據其業態選擇所適合之循環經濟措施。 參、簡析 隨著ESG投資在國際逐年擴大,且國際供應鏈亦逐步要求企業採行循環經濟措施,日本本次發布「促進循環經濟與永續金融之揭露及對話指導」,即針對循環經濟與永續金融作出政策性宣示,為日本國內企業點明投資發展方向。對於企業而言,除了提供更具循環性的產品、服務,在企業價值創造故事中結合「價值觀」、「商業模式」,同時藉由企業年度報告將六項重點向投資者展示企業價值;對於投資者而言,除了關注投資效益,亦應以中長期的角度看待企業採取循環經濟措施對實現永續社會的價值,並對其進行適當評價與投資。 近年來我國政府與企業亦逐步向循環經濟轉型,於2018年12月通過「循環經濟推動方案[5]」,並在經濟部設立「循環經濟推動辦公室[6]」,以推動循環產業化、產業循環化,促進產業循環共生及轉型。而行政院環保署亦擬訂了「資源回收再利用推動計畫[7]」(2018至2020年),擬定有關如何有效利用資源與廢棄物適當處理之策略。由於推動循環經濟仍需要民間企業與投資者的支持,我國政府得參考日本作法訂定相關政策法規。且由於我國並未針對循環經濟制定專法,在資源利用方面,同時可能有「廢棄物管理法」及「資源回收再利用法」二者之適用,造成國內業者在推行創新商業模式遭遇法規障礙,不利於國內企業轉型循環經濟。故建議政府得因應政策變遷及經濟發展需求,通盤性建置循環經濟專法之制度框架,並滾動式調整相關規範,促進循環經濟產業發展,實現企業創新商業模式與新興合作關係,在永續金融方面則透過企業返還投資利潤予投資者,確立經濟與環境之間的良性循環,將有助於國內產業推行永續企業之循環經濟轉型。 [1]「サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス」を取りまとめました,日本經濟產業省,https://www.meti.go.jp/press/2020/01/20210119001/20210119001.html ;環境省,https://www.env.go.jp/press/108893.html(最後瀏覽日:2021/6/10)。 [2]Task Force on Climate-related Financial Disclosures, Recommendations of the Task Force on Climate-related Financial Disclosures, https://www.fsb-tcfd.org/publications/final-recommendations-report/ (last visited June 10, 2021). [3]サーキュラー・エコノミーに係るサステナブル・ファイナンス促進のための開示・対話ガイダンス(本文),日本經濟產業省與環境省,頁6-7,https://www.meti.go.jp/shingikai/energy_environment/ce_finance/pdf/20200119_2.pdf(最後瀏覽日:2021/6/10)。 [4]同前註,頁12-13。 [5]行政院經濟能源農業處,循環經濟推動方案,https://www.ey.gov.tw/Page/448DE008087A1971/dc1de106-4298-4ad1-a9c7-f5b800f283cb (最後瀏覽日:2021/6/10)。 [6]經濟部工業局,循環經濟推動辦公室,https://cepo.org.tw/Default.aspx (最後瀏覽日:2021/6/10)。 [7]行政院環保署,資源回收再利用推動計畫,https://www.epa.gov.tw/Page/72968DDF9105BE07 (最後瀏覽日:2021/6/10)。
美國加州通過綠色化學法規由於完善控管機制迄今仍付之闕如,而市面上諸多含有危險化學物質的產品,尚無法立即要求廠商將之下架或提出解決方案,因此引起消費大眾、學界人士及公共健康倡議團體對於消費安全之關切;美國加州為有別於僅針對危險化學物質逐項管理的一般法令,轉而採取整體規範之包裹立法方式,於2008年9月底通過AB 1879與SB 509兩項綠色化學法規,增訂於「健康與安全法典(Health and Safety Code)」,促使商品在設計階段減少毒性物質之接觸。 根據AB 1879法令,由加州環保署(California Environmental Protection Agency) 所管轄之毒性物質控制部門(Department of Toxic Substances Control),現行除具備管理危險材料之儲存、使用與廢棄等法定職責外,另新增計畫如下: (1) 應於2011年1月1日前修改法規,優先針對引發關切的危險化學物質進行生命週期評估,並將評估結果遞交加州環境政策議會(California Environmental Policy Council);此外,毒性物質控制部門應研發潛在替代品,研擬減低或避免化學物質暴露之方法。 (2) 於2009年7月1日前成立綠絲帶科學小組(Green Ribbon Science Panel),用以管理奈米科技、風險分析、公眾健康等十五項與危險性化學物質相關之題材,並為日後政策修訂提供具科學基礎之建議。 (3) 除非另有法規限制,應要求業界呈報管理化學物質之詳細資料,公開作為民眾參考之用;如涉及商業機密,應有程序上之保障。 再者,SB 509法令要求環境健康風險評估辦公室(Office of Environmental Health Hazard Assessment)彙整危險化學物質之特性,並由毒性物質控制部門建立線上資料庫,使民眾便於查詢危險化學物質之相關資訊。 綜上所述,綠色化學法規的訂立,係回應消費大眾對於市售產品之疑慮,因而植基於科學界與現實生活,著重危險化學物質運用及暴露時所為之風險評估,並期於2011年前得以有效掌握化學物質,進而維持勞動環境安全、減少處理毒性廢棄物之成本,達成保護生態與民眾健康之目標。