美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
中國大陸政府持續就行動遊戲等出版物 之行政審查流程進行簡化和加速 科技法律研究所 法律研究員 蘇彥彰 2014年12月02日 壹、部分出版審批程序調整為「後置審批」制 繼今年8月取消和下放45項行政審批項目,取消11項職業資格許可和認定事項,並將31項工商登記前置審批事項改為後置審批[1]之後,11月24日時國務院再次對外公布決定取消和下放58項行政審批項目,取消67項職業資格許可和認定事項,並將82項工商登記前置審批事項調整或明確為後置審批[2];其中出版物批發業務許可、出版物零售業務許可、設立印刷品印刷經營等活動企業之審批、印刷業兼營包裝裝潢等印刷經營活動審批、音像製作單位設立審批、電子出版物製作單位設立審批、音像複製單位設立審批、電子出版物複製單位設立審批、設立可錄光盤生產企業審批等九項與新聞出版相關之項目,由前置審批調整為後置審批。所謂後置審批係指,企業可以先辦理工商營業執照後,再由主管部門申請審批,雖仍需在主管部門審批完後才可以正式展開經營活動,但企業可以在這段時間內進行公司設立的相關準備工作,提高投資主體進入市場及開展商業活動的速度。 貳、提出行動遊戲雙軌制審批程序以及擴編審查人員,以加速審批、落實管制 除了前述針對新聞、出版、印刷等項目就行政程序進行簡化和加速工作外,中國大陸國家新聞出版廣電總局亦於11月21日公開宣示將「貫徹落實國務院全面督查整改落實」[3],其中包括對移動網絡遊戲(下稱行動遊戲)審批制度進行改革,以改善目前審批時間過長、效率不高的問題。 依據該公告之內容,未來審批制度將朝向雙軌制方向發展,其中對於未涉及民族、宗教、歷史、政治、疆域等議題,且無故事情節或故事情節單純(如棋盤類等休閒益智遊戲)之中國大陸本地自製行動遊戲,將採取簡易審批制度以提高審查效率,同時將審查專家員額倍增至20名,以維持並提高審查品質。在上述改革推動下,目標將縮短審查時間,由現行30天初審、15天複審期限,分別壓縮至15天及5天。其進一步具體做法,中國大陸國家新聞出版廣電總局現正研擬「關於規範移動網絡遊戲出版審批管理的通知」,預計於2014年12月下旬發布施行[4]。 參、小結 近年來中國大陸國務院積極推行行政審核程序的改革,並自2002年起陸續進行了12次行政審核批准事項的取消、調整或下放,而國家新聞出版廣電總局除了持續就各項新聞、出版、發行業務的行政審查管控流程,進行簡化和加速的革新工作外,面對近幾年行動遊戲的興起,除一再重申行動遊戲須符合網路遊戲審批相關規定外,也積極處理行政審批時間過長、效率低落問題,以便落實管制。 惟應注意的是,行動遊戲審批制度的革新,目前係以其國產遊戲為主。對此,是否會間接形成對外國業者競爭上的不對等,我方行動遊戲開發業者宜留意相關發展,納入後續遊戲開發方向與市場策略布局之評估要素一環。 [1] 《国务院关于取消和调整一批行政审批项目等事项的决定》(国发〔2014〕27号) [2] 《国务院关于取消和调整一批行政审批项目等事项的决定》(国发〔2014〕50号) [3] 〈国家新闻出版广电总局贯彻落实国务院 全面督查整改落实进展情况〉,中华人民共和国国家新闻出版广电总局,http://www.gapp.gov.cn/news/1663/232219.shtml(最後瀏覽日:2014/12/01) [4] 大公網,〈廣電總局擬縮減移動網遊審批程序 12月底前實施〉,2014/11/24,http://finance.takungpao.com.hk/tech/q/2014/1124/2837153.html(最後瀏覽日:2014/12/01)
美國資訊安全分析新挑戰:巨量資料(Big Data)之應用在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。 資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。 不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。 由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。 美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。 不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
防範網路釣魚──事後追究有其侷限,多管齊下始屬正途 歐盟將開放乘客於境內的飛航行動通話服務歐洲委員會在2008.4.7做出2008/295/EC決議,表示近期將開放執照,讓在泛歐盟國家飛行的航機提供行動電話撥打服務(Mobile Communication Aircraft Service, MCA Service);一但經過測試後,一些航班與行動通訊提供者計劃於年中以後提供相關服務。 目前歐洲委員會在2008.4.10做出2008/294/EC決議,決議內容主要為協調各系統間的支援設備相容性,以讓在飛機上撥打行動電話的政策能夠順利推行。除此之外,泛歐盟國家所自行制定的行動通訊規定,必須與該委員會的決議相符,以減低技術問題,讓乘客在飛機上可以使用自己的行動電話撥打電話、傳送文字訊息與收發e-mail。 依據歐盟委員會所制定的2008/295/EC決議,當飛機旅客使用航機行動通訊時,其所持有的行動電話設備,將先連接到所搭飛機上裝載的蜂巢網路,進而連結到衛星,再將訊號傳送到地面網路。這樣的傳輸方式將可減少飛航安全疑慮,同時能降低對地面通訊網路使用的干擾。 另外,歐盟資訊社會與媒體的委員Viviane Reding指出,此項新開放的業務雖然沒有就價格上限進行規定,但是主管機關會密切觀察市場運作的結果,並且要求收費透明公開化。