美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
繼新加坡2010年版本電子交易法(Electronic Transactions Act, ETA)於2010年7月1日式施行後,該國資通訊發展局(Info-communications Development Authority, IDA)因應修正電子交易法施行細則,該細則並於2010年11月1日起正式實施。其目的在使憑證機構管理制度得以配合新興資訊安全技術齊驅發展,進而使其與國際趨勢相符,修正要點如下: 1. 修正許可制為志願許可制:此次修正最大變革即在使該國憑證機構管理制度由原本的許可制,改為志願許可制。前者係使所有憑證機構均應向主管機關申請許可後,始能對外簽發憑證;而志願許可制則是原則上憑證機構對外簽發憑證無需主管機關許可,但憑證機構如果希望所簽發之憑證具備特定法律效果,則仍須經過許可。 2. 證據法上的推定效果:經過自願申請許可通過的憑證機構,經其所簽發之憑證而製作的數位簽章將有證據法上推定為真之效力,無待憑證用戶舉證即有其真實性,惟該真實性仍可由他方另舉反證推翻。換句話說,若數位簽章製作人使用的憑證為一般未經申請許可之憑證機構所簽發者,憑證用戶需先向法院提出其他輔助證據證明該簽章真實性。 3. 許可申請之要求:憑證機構自願申請許可時,應繳交申請費1千元新加坡幣(下同)及2年有效之許可執照費1千元。此外,新版施行細則統一整合舊有之「安全指導手冊」(Security Guideline)及其他各項稽核規定於「稽核需求要項表」(Compliance Audit Checklist),以供憑證機構得以更便利之方式了解並遵循共通之稽核程序。
韓國最高法院判決以虛擬貨幣買賣現金之交易為合法韓國最高法院於2010年1月10日,針對一項以線上遊戲貨幣換取現金所構成之刑事案件做出最終判決,認定此一行為並不違反韓國遊戲產業振興法施行令第18條 之3之禁止交易規定,從而不構成犯罪。 本案事實為兩名知名線上遊戲「天堂」(Lineage)之玩家陸續於2007-2008年間,以其於該遊戲中所購得,約值2億3千4百萬韓圜之虛擬貨幣「天幣」(Aden),陸續轉賣給其他約2000位遊戲玩家,以賺取價差。該案於2008年經釜山檢察廳依違反遊戲產業振興法施行令起訴,並聲請簡易判決後,兩名玩家分別被處以5百萬及3百萬韓圜之罰金。經兩名玩家提起正式裁判請求後,釜山地方法院仍維持簡易判決之結果,僅將罰金降至4百萬及2百萬韓圜。兩名玩家仍以不服判決為理由上訴至釜山高等法院。於此一上訴審中,釜山高等法院即以該交易所使用之虛擬貨幣並非來自於線上賭博遊戲或其他射悻性之途徑,故不違反韓國遊戲產業振興法施行令第18條 之3之規定,改判兩名玩家無罪。就此一上訴審判決,檢察廳另以該知名線上遊戲仍帶有諸多射悻或運氣成分,從而其取得虛擬貨幣之方式與賭博遊戲相似為理由,向最高法院提起上訴;唯最高法院認釜山高等法院之判決認事用法並無違誤,從而駁回檢察廳上訴,本案判決確定。 對於此一判決,各方反應並不一致。於最高法院判決出爐後,韓國文化觀光體育部即發表正式聲明,表示此一無罪判決係基於法院認定本案缺乏相關認定「不正常遊戲管道」是否存在之證據,而並非一律認定虛擬貨幣與現金之間的買賣或兌換交易均為合法。但一般遊戲產業界均認為,此一判決之作成確實開啟了線上遊戲中另一種獲利市場之可能性。如再配合2009年9月韓國法院所作成對於線上遊戲中的虛擬貨幣交易須課徵10%加值稅的判決進行觀察,則此種交易方式是否會對於韓國整體遊戲產業發生結構性之重大影響,應值得期待。
為杜絕網路盜版行為,美國網路服務提供者合作建置Six Strikes系統美國電影協會(Motion Picture Association of America, MPAA)和美國唱片業協會(Recording Industry Association of America, RIAA)於2011年6月共同組成著作權資訊中心(Center for Copyright Information,簡稱CCI),並說服Verizon、AT&T、Time Warner、Comcast、Cablevision等美國5大網路服務提供者加入,簽訂備忘錄,表示合作建置「著作權警告系統(Copyright Alert System,簡稱CAS)」,又謂「Six Strike系統」,該網站可向有提供下載非法檔案服務之網站業者發出警告或給予處罰,預計於2013年正式運作。 所謂「Six Strikes」,係指網路服務提供者發現有盜版行為時,會發出不同程度的6次警告。至於Six Strikes系統運作方式,係由各網路服務提供者自行決定要採取可有效打擊網路盜版的方式。目前美國5大網路服務提供者中,除Comcast及Cablevision以外,其它3個網路服務提供者已公開Six Strikes警告措施內容。 基本上,第1、2次警告屬於「通知(notice)」,僅利用電子郵件或電話通知使用者已侵害著作權;第3、4次警告屬「承認(acknowledgement)」,即利用彈跳視窗(pop-up)告知使用者侵害著作權情形已有3次以上等訊息,並且使用者應點選該告知侵權訊息之彈跳視窗方可進入其欲瀏覽的網站,使用者若點選視窗則視為其承認本身侵權行為;第5、6次警告則屬「因應措施(mitigation)」,即其它3個網路服務提供者會讓使用者感受到上網速度變慢,或是直到使用者上完著作權教育課程前,不讓其進入常瀏覽的網站等措施,而使用者亦可對網路服務提供者採取的措施提出異議。 但仍有論者對此提出不同看法,諸如若使用者利用虛擬私人網路(VPN)或非BitTorrent之檔案共享形式,分享檔案,即可迴避Six Strikes系統,或有論者認為侵權與否應由法院判斷,而非由網路服提供者逕行判斷等質疑,此一系統後續發展有待進一步關注。
美國白宮頒布有關於太空系統的網路安全原則《太空政策第5號指令》由於美國近年來透過太空系統進行通訊、定位導航、太空探索及國防等多方面應用,為避免太空系統受到網路威脅,白宮於2020年9月4日發布《太空政策第5號指令》(Space Policy Directive-5,SPD-5),該指令主要關注太空系統的網路安全,將現有地面使用的網路安全政策應用在太空系統中,旨在提高美國太空設施網路安全。 SPD-5指令建立以下五項太空網路安全原則,作為指導政府及民間單位提高太空系統網路安全的方法: 一、太空系統及相關軟硬體設施,應使用以風險等級為基礎的方式,進行開發運作並建構其網路安全系統。 二、太空系統營運商應制定太空系統網路安全計畫(應包含防止未經授權的存取行為、防止通訊干擾、確保地面接收系統免受網路威脅、供應鏈的風險管理等功能),以確保能掌握對太空系統的控制權。 三、監管機構應訂定規則或監管指南來實施SPD-5指令的原則。 四、太空系統的營運商及其合作對象應共同推動SPD-5指令,並盡力減少網路威脅的發生。 五、太空系統營運商在執行太空系統網路安全的保護措施時,應管理其風險承擔能力。 儘管SPD-5指令並未指示特定機構執行上開原則,但已有美國聯邦通信委員會將SPD-5之網路安全原則納入其法規中,未來SPD-5指令將有可能作為美國太空網路安全措施及法規訂定的基礎。