美國紐約州通過「防止非法侵入與加強電子資料安全法案」

  2019年7月25日,紐約州州長Andrew Cuomo簽署「防止非法侵入與加強電子資料安全法案」(S.5575B/A.5635/Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD Act),目的在讓處理消費者個人資料的企業承擔更嚴格的責任。其核心精神在於,一旦發生與資料外洩相關的安全漏洞時,能及時進行適當的通知。同時,修改紐約州現有的資料外洩通知法,擴大個資蒐集適用範圍、個資定義 (例生物特徵、電郵資訊等)及資料洩漏定義、更新企業或組織之通知程序、建立合於企業規模之資料安全要求。此外,如違反通知義務,將處以最高5千美元或每次(未履行通知義務)20美元 (上限25萬美元)的民事賠償。且美國司法部長(The Attorney General) 亦得以紐約人民名義,代為起訴未實施資料安全規畫的企業,並按紐約民事執行法與規則(The Civil Practice Law And Rules)第63條進行初步救濟,依法強制禁止侵害行為繼續發生。該法預計將於2020年3月1日生效。

  當天州長亦簽署「身份盜用預防措施和緩解服務修正案」(A.2374/S.3582),新增資料外洩安全保護措施,要求消費者信用機構,提供受安全漏洞影響的消費者「身份盜用預防措施」(Identity Theft Prevention )與「緩解服務」(Mitigation Services),為消費者制定長期最低度的保護手段。其要求信用機構,通知消費者將有關社會安全號碼的資料洩漏事件進行信用凍結,並提供消費者無償凍結其信用的權利。該法預計將於2019年10月23日生效,並且溯及既往適用該法案生效之日前三年內所發生之任何違反消費者信用安全的行為。

本文為「經濟部產業技術司科技專案成果」

相關連結
你可能會想參加
※ 美國紐約州通過「防止非法侵入與加強電子資料安全法案」, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=55&tp=1&d=8321 (最後瀏覽日:2025/02/08)
引註此篇文章
你可能還會想看
歐盟執委會公布「數位金融包裹」法案

  為鼓勵金融產業之創新,同時使其遵循應有之責任,並讓歐盟金融消費者與商業機構享有更多之利益,歐盟執委會於2020年10月24日提出數位金融包裹法案(Digital Finance Package),並提出以下2項數位金融立法提案: 一、加密資產立法提案(Proposal for Markets in Crypto-assets)   為促進金融創新並同時保有金融穩定性與保護投資人,歐盟執委會提出加密資產管制框架立法提案,並將加密資產分為已受監管與未受監管兩類,前者將持續依據既有規範進行管理。而針對尚未管制之加密資產,該提案針對加密資產發行人與加密資產服務供應商建立嚴格限制,要求取得核准後始可提供服務。具體而言之,立法提案包含以下項目: (一)針對加密資產、加密資產發行人等金融商品名詞進行定義。並建立加密資產服務供應商與發行人營運上、組織架構與資產發行程序之透明度與揭露制度。 (二)針對向公開市場提供加密資產進行管制,例如,依據提案第4條,供應商應為法人,第5條則要求供應商應製作加密資產白皮書,並將其提供給主管機關後始可於公開市場提供相關服務。 (三)針對代幣資產發行人以及其加密資產之審核程序,依據提案第15條,代幣發行者必須為歐盟境內之法律實體。另外,該法要求加密資產發行人應誠實、公平且專業,並完成加密資產白皮書之出版與制定市場溝通規則。 (四)針對加密資產之收購,該法第4章亦設有相關規範,於第37條及38條規定收購之評估機制。 (五)針對加密資產服務供應商之授權與營運條件,該法第5章規定歐盟證券及市場管理局應建立加密資產服務供應商之登記制度。 (六)針對市場秩序維護之部分,該法於第6章規範相關預防市場濫用之禁止事項與要求,並於第7章賦予歐盟成員國各主管機關相關權力,例如第94條之監督與懲處權限。 二、歐盟數位營運韌性管制框架立法提案(Proposal for Digital Operational Resilience)   數位化總伴隨資安風險,歐盟執委會於包裹法案內亦提出歐盟數位營運韌性管制框架立法提案,以確保相關企業可應對所有與通訊技術有關之干擾與威脅,另外,銀行、證券交易所、票據交換所以及金融科技公司將需遵循嚴格之標準以預防並降低ICT資安事件所產生之衝擊,另外亦將針對金融機構雲端運算服務供應商進行監管。具體規範包含: (一)ICT風險管理要求:該立法提案參照相關國際標準,於第5至第14條制訂相關ICT風險管理要求,惟未要求應遵循具體國際標準。 (二)ICT相關事件報告:該提案於第15至20條規範相關報告義務,將整合歐盟金融機構之ICT相關事件報告與監測程序。 (三)數位運作韌性測試:該提案於第21至第24條要求ICT風險管理框架應定期進行測試,惟具體方法可依據組織之規模、風險側寫與商務模式進行調整。 (四)第三方單位風險:該提案於第25至39條規範組織應對ICT第三方供應商風險進行監測,例如,第25條要求金融機構委外執行業務仍應隨時遵循所有金融服務規範,另外,ICT風險管理框架之內容亦應包含第三方ICT風險之監督策略。

不爽貓著作權與商標侵權及違約訴訟贏得71萬美元賠償

  不爽貓(Grumpy Cat)於2012年於社群網站曝光後爆紅後,不爽貓主人辭去工作成立「不爽貓公司(Grumpy Cat Limited)」,專心經營不爽貓事業並推出馬克杯、服飾等週邊產品,以及參與各類跨界合作等。   2013年「手榴彈飲料公司(Grenade Beverage)」以15萬美元合約取得不爽貓圖像之授權,得以販售以「Grumpy Cat Grumppuccino」為名且印有不爽貓圖像之冰咖啡品項。然而在2015年「不爽貓公司」發現該圖像進而印製在烘焙咖啡與T恤上,已超出原本約定之使用範圍,而對「手榴彈飲料公司」提出著作權及商標之侵權及違約訴訟。   「手榴彈飲料公司」負責人桑福德父子(Nick and Paul Sandford)反訴主張「不爽貓公司」未如當初規畫盡公司營運之協助,造成「手榴彈飲料公司」潛在之營收損失而求償1,200萬美元,包括:未讓不爽貓與喜劇演員威爾法洛(Will Ferrell)及傑克布萊克(Jack Black)參與電影演出、「不爽貓公司」僅在社群網站張貼17則冰咖啡之行銷貼文、「不爽貓公司」不重視冰咖啡事業因而在脫口秀節目中脫稿演出等。   然而,加州南區聯邦地方法院陪審團並未因以上指控而猶疑,認定「手榴彈飲料公司」負責人侵害「不爽貓公司」之著作權與商標,應支付71萬美元作為賠償,至於違反授權約定部分則以1元作為象徵性賠償。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

歐盟針對個人資料傳輸第三國之規範提出參考指引

  歐盟資料保護監督機關(European Data Protection Supervisor, 下稱EDPS)於2014年7月14日,針對利用雲端運算以及行動設備,將個人資料從歐盟境內傳輸至非歐盟國家之部分,提出意見書作為參考指引。EDPS通常會針對雲端業者在從事商業服務時,進行監督審查,當個人資料透過雲端運算服務進行傳輸或處理時,會由EDPS先行確認,以確保該傳輸是否符合歐盟之個人資料保護指令(Directive 95/46/EC)與規則(Regulation (EC) No 45/2001)之規範。   有鑑於跨境合作或使用傳輸服務等需求,歐盟境內將個人資料傳輸至第三國或國際組織之情形日益劇增,此參考指引之主要目的在於詳加解釋歐盟資料保護規則(Regulation (EC) No 45/2001)中關於國際間個人資料傳輸之規定以及應該如何適用。   首先,該指引針對何謂個人資料傳輸以及歐盟資料保護規則第9條之範圍做出說明,後續則分別就適當保護之意涵,以及由歐盟執委會基於規則第9.5條之規定依權限得決定第三國是否已達適當保護標準之國家等部分加以論述。最後,該指引則提供確認表,在資料傳輸前應經過一定的確認流程,包括確認資料接收的國家或組織是否已有適當的保護層級,若無,則是否尚有其他資料可證明。如上述皆無法證明,則應考慮是否有例外情況,例如:取得資料所有人同意得進行傳輸、資料所有人與資料控管者因契約約定同意傳輸、資料控管者與第三人因契約約定,基於資料所有人之利益而傳輸、基於重要公益事由或其他法律上之事項必要傳輸、基於保護資料所有人之重要利益而傳輸、基於資料提供於大眾而傳輸等。倘缺乏以上例外情形,則可考慮資料控管者是否得援引自己已經具備適當的安全機制而可進行資料傳輸。最後,如無任何安全之保護,則資料將無法進行傳輸至第三國。   綜上,歐盟針對資料傳輸予第三國之部分做出更詳細之說明作為參考指引,使資料之傳輸與流通更有明確的規範方向,其後續適用之成效為何應可持續觀察。

歐盟《企業永續盡職調查指令》草案,將永續治理內化至企業經營

  歐盟執委會(The European Commission)於2022年2月23日發布《企業永續盡職調查指令》草案(Proposal for a Directive on corporate sustainability due diligence),其目的在於促進永續及負責任企業行為,並使企業將人權與環境考量內化至企業營運與公司治理。   本指令要求各歐盟成員國,須確保企業確實執行人權及環境盡職調查,具體要求企業之作為如下: (1) 將盡職調查納入公司政策(第5條); (2) 採取適當的措施,以鑑別企業自身或子公司於營運及其既有商業關係價值鏈之現有或潛在的不利衝擊(adverse impacts)(第6條); (3) 採取適當措施,預防及減緩潛在的不利衝擊,並消弭現有不利衝擊或縮小其影響範圍(第7、8條); (4) 建立並維持申訴制度,確保受前述不利衝擊影響或有相當理由信其將受影響之人、價值鏈中之工作者代表以及關注相關領域的民間社團等利害關係人之申訴管道暢通(第9條); (5) 定期針對自身及子公司之盡職調查政策及措施進行評估,以確保其有效性(第10條); (6) 企業須於每年4月30日前揭露盡職調查相關資訊,受《企業永續報告指令》(Corporate Sustainability Reporting Directive, CSRD)規範之企業須於企業年報中揭露,其他企業則須於企業網站揭露(第11條)。   另一方面,本指令也明定公司董事義務,依據第25、26條,董事於其決策過程須考量短、中、長期之人權、氣候及環境因素;企業亦須指定部分董事負責盡職調查相關治理作為,並定期向董事會進行報告。   適用本指令的歐盟企業有兩種:(1) 員工人數500人以上且全球年營業額1億5,000萬歐元以上之大公司;(2) 員工250人以上之且全球年營業額4,000萬歐元的高衝擊產業(如:紡織、農業、採礦業等)。另外,非歐盟企業若符合前述員工人數之要求,且於歐盟境內之營業額達到前述標準,亦適用本指令。

TOP