美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
日本《科學技術基本計畫》為依據其科學技術基本法之要求,以每5年為期擬定,目的在於建構一立基於長期性觀點且體系化的科學技術政策,並以之為施政框架,目前實施之科學技術基本計畫,為規劃自2016年至2020年期間施行之第5期科學技術基本計畫。而為形成下一階段之科學技術基本計畫,日本學術會議現公布了「第6期科學技術基本計畫方向」建言,為日本學術會議所屬之學者委員會學術體制分科會經審議後,就上述科學技術基本計畫之擬定發表意見,預計會於內閣府召開之綜合科學技術與創新會議(総合科学技術・イノベーション会議)中提出,作為訂定第6期科學技術基本計畫之重要參考。 本建言除了持續強調投資基礎科學研究的重要性,亦關注學術多元發展與提升整合性,強調優越學術基礎的建構、發展、以及用以解決問題之能力提升,繫諸各領域、地區、個人所關切議題與思考方式之不同所帶出的多元性,而為克服現代社會面臨的各種課題,應注重自然科學與人文社會科學之跨域合作以形成具統合性的知識基礎,同時須平衡投入各學門的研究預算,避免科學技術投資過分集中於特定的學術領域。具體的方向上,本建言主要提供了4個規劃面向:(1)強化對博士生就學的經濟上支援,並增加相關就業機會,如增加大學終身教職員額與高階技術人才職位等;(2)為進一步促成前述的學術多元發展,重新檢討並建構政府資助各類研究之制度藍圖,除了持續資助基礎研究及應用研究之外,強化對年輕學者的補助,亦期待能對需持續性進行之研究(如生命科學等需長時間蒐集並保存資料之領域)提供長期或無限期的支援;(3)追求科研參與者的多元化(如鼓勵女性、外國人、身障者的投入),以實現科學家社群之多元發展;(4)促成科學家社群以個人身分或透過組織參與科學技術政策形成,避免相關政策的擬定與施行未能切合研究實務之需求。
美國第二大連鎖商信用卡資料外洩美國第二大連鎖商塔吉特(Target)在12月19日正式發出郵件通知客戶,表示公司資訊系統因遭駭客入侵,從2013年11月27日至12月15日期間內的刷卡記錄可能遭竊,約莫共4千萬筆,遭竊內容包含姓名、卡號、卡片到期日和卡片驗證碼。目前美國的塔吉特連鎖店推出全面9折的優惠來挽回消費者的信心,並對資料外洩的個別民眾提供免費的信用監督作為補償。 每當資安事件發生時,所有防毒軟體公司及資安管理服務都會跳出來大肆評論,並宣稱這是因為沒有購買自家資安服務或產品的關係,但在塔吉特事件,此番事後諸葛的批判方式顯然不再行得通。 塔吉特的資訊系統先前接受過檢驗,完全符合「支付卡產業資料安全標準(PCI DSS)」,有專家評析不太可能是在銷售點管理(POS)設備上(指擁有收銀、進銷存作業功能的機器)植入惡意軟體,比較可能是從授權與結算的交換系統竊取資料。 塔吉特的信用卡資料外洩事件,引發了一連串的訴訟案件及犯罪調查,目前加州提起了兩件團體訴訟、奧勒岡州一件,損害賠償額估計高於5百萬美元;另外,目前至少有四州的州檢察長(Attorney General)展開了聯合調查,直接要求塔吉特配合提出信用卡資料遭竊事件的相關資訊,民眾和調查機關最關注的在於塔吉特何時得知資料遭竊事件的發生、花了多久時間進行應變以及是否有盡到立即通知當事人的義務。同時間,從塔吉特流出去的數百萬筆信用卡和簽帳卡資料已經開始在黑市中販售每筆價格20至100美元不等。
何謂「三螺旋理論」三螺旋理論,又稱三螺旋創新模型理論(Triple Helix Theory),主要研究大學、產業以及政府以知識經濟為背景之創新系統中之型態關係,由Etzknowitz與Leydesdorff於1995年首次提出。 因應知識經濟時代來臨,三螺旋理論著重於政府、學術界與產業界(即為產、官、學)三者在創新過程中互動關係的強化。該理論探討如何協調產業、政府、學界三方於知識運用和研發成果產出上的合作;當社會動態產生改變,過去單一強大的領域將不足以帶動創新活動,推動創新也非單一方的責任,此時產業、政府、學界的三螺旋互動便隨之發生:大學透過創新育成機構孕育企業創新,而產業則扮演將研發成果商業化之要角,政府則透過研發相關政策、計畫或法規制定,鼓勵企業和大學間研究發展合作。 有別於早期經濟合作暨發展組織(OECD)將「產業」作為主要研發創新主體,三螺旋理論更重視產業、政府、學界三大主體均衡發展,三方主體各自獨立發展,且同時與其他方維持相互協力合作,共同推進經濟與社會之創新發展。 在三螺旋理論下,產、官、學因其強弱不等的互動狀態,形成不同的動態模型(例如國家干預模型、自由放任模型、平衡配置模型等等),這些動態模型被認為是產生創新的主要動力來源,對未來新知識和科技創造與擴散的能力以及績效具有決定性的影響力。
電子支付指令可望具有書面支付憑證的同等效力中國大陸為推動商業銀行電子支付業務健全發展、保障電子支付業務中當事人之權益、防範電子支付業務風險並確保銀行與客戶之資金安全, 繼 中國銀行業監督管理委員會 (銀監會)於 5 月 19 日發佈《電子銀行業務管理辦法(徵求意見稿)》(草案)之後,中國人民銀行 於 6 月 9 日公佈《電子支付指引(徵求意見稿)》 (草案), 公開諮詢大眾的意見。該草案規定電子支付指令 ( Electronic Payment Instruction, EPI ) 與書面支付憑證可以相互轉換,兩者具有同等效力。 為達到安全控制,該草案不僅要求銀行採用規定的資訊安全標準、技術標準、業務標準,建立有效的管理制度,同時要求確保業務處理系統的安全性、交易資料的不可否認性、資料儲存的真實性、客戶身份的辨識性,以妥善管理安全認證資料。此外,該草案還對支付過程中所發生的錯誤與責任作了詳細規定。 在風險控制方面, 銀行亦應針對不同客戶,在電子支付業務類型、單筆支付金額和每日累計支付金額等方面作出合理限制。銀行通過網路提供網上支付業務,公司行號與個人客戶之單筆支付金額不得超過 5 萬元。 該草案所稱電子支付是指公司行號或個人通過電子終端機,直接或間接向銀行業金融機構發出支付指令,實現貨幣支付與資金轉移。 電子支付的業務類型分為網上支付(透過網路)、電話支付、移動支付(透過行動通訊設備)、銷售點終端 (point of sale) 交易、自動櫃員機 (ATM) 交易和其他電子支付。