客戶機密資料外洩事件頻傳 美國AT&T 8月底也被駭

  美國資安事件頻傳,美國 8/30 驚傳電信及電報公司( AT & T )購物網站中之顧客消費資料遭駭客竊取事件。 AT & T 發言人表示工程師在發現異狀後一個小時內關閉該網站並已採取相關保護措施,據 AT & T 估計約 1 萬 9 千名在該網頁上以信用卡消費的顧客機密資料已外流,目前該公司正進行通知客戶之動作,並聯繫相關信用卡公司,期能將對顧客之損害降至最低。


  AT & T 通知當事人之作法,符合美國立法之趨勢。目前美國除了部分州已經通過立法要求資料持有業者必須將資料外洩事件告知當事人外,今年 7 月 19 日 Virginia 州議員 Thomas Davis 亦提出美國聯邦法典第 44 編( title 44 )修正提案,該提案通過後將強化美國聯邦法典中對於個人資料外洩時資料收集者之告知義務,以避免當事人因此蒙受損失。


  雖然法規要求漸趨嚴格、完整,但長期關注隱私權問題之 Privacy Rights Clearinghouse 估計,美國自去年 2 月起至今年 8 月底止,約有 9100 萬人次之機密資料遭到竊取,換言之,約 1/3 的美國人機密資料曾遭竊取或外洩,網際網路與駭客技術的發展使得機密資料今日已不再機密了。

相關連結
※ 客戶機密資料外洩事件頻傳 美國AT&T 8月底也被駭, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=405 (最後瀏覽日:2025/02/16)
引註此篇文章
你可能還會想看
加拿大上訴法院判決”iPod tax”違法

加拿大上訴法院判決MP3播放器不在空白錄印媒體複製著作權物課稅的範疇,本案仍有上訴最高法院之可能。   根據本案審判法官Mr. Justice Marc Noel之見解,其認為雖然加拿大著作權法允許加拿大著作權委員會(Copyright Board of Canada)對空白可複製媒體(Blank Media)課稅,然法條中並未允許其可課徵MP3播放器製造商類似的費用。   Noel法官坦承其亦認知到,著作權委員會是本著希望補償著作權人因為點對點網路下載而致生損害的立場,惟重點在於「主管機關仍應依法行政。」就此而論,對 MP3播放器交易加以課稅仍非合法。   2003年12月加拿大開始針對可複製媒體課稅,而著作權委員會進而主張,MP3播放器製造業者每賣一部少於1GB容量的播放器應被課以2美元、1至10GB容量者課以15美元,以及超過10GB容量之播放器課以25美元,以補償著作權人因為點對點網路複製音樂所生的損失。   根據加拿大著作權法,著作權委員會可針對空白重製媒體進行課稅以補償著作權人因為個人目的重製(Private Copying)所生之損失,2000年開始針對可複製CD媒體課稅,包括空白影音帶。   播放器業者想當然並不接受這項義務的課予,因此起訴,而 本案判決的結果可預見將造成MP3播放器業者的降價行為。同時,一些將課稅所得分配與著作權人(包括演奏家或唱片公司)的機構,如加拿大個人重製組織(Canadian Private Copying Collective),已在評估是否將上訴至最高法院。不過至少,他們有可能將遊說加拿大政府以修正著作權法之方式,將MP3播放器的情形納入,以及若有可能,將未來類似性質之商品一併納入考量。

虛擬的永恆與往生者個人資料運用

  逝者已矣,已不再是定律。2020年2月,韓國文化廣播公司(MBC)播放了一部紀錄片,紀錄了電視台製作團隊實現一位母親以虛擬現實VR(virtual reality)與已逝女兒重逢的過程,製作團隊透過動態捕捉技術,錄下一位兒童演員的動作,用以塑造往生者的行為動態,並重現還原往生者的聲音,製作出往生者的的三維虛擬影像。葡萄牙Henrique Jorge公司建立一個名為ETER9的社交網路,將每位用戶與AI進行配對,AI會學習複製該用戶於社交網路之行為,並可代其發表回覆與評論,即使其用戶已往生,AI仍持續運行。現今許多科技新創公司正著手研究「數位來生」,使往生者於數位中重生。   牛津網際網路研究所(Oxford Internet Institute)的一項最新研究顯示,估計約50年後,Facebook內往生者的帳號數量將超過存活者的帳號數量。而FaceBook可視為現今人類物種歷史上最大的人類行為資料庫,曾經創建過個人資料的用戶都不復存在,但他們的數位資訊卻永存於網際網路中,但在多數國家,往生者的資料並不是個人資料保護法令所含括的保護客體,往生者個人資料之運用勢必成為道德與法律上的重要課題。   英國阿斯頓大學的Harbinja教授表示,或可由遺囑中有無處置往生者個人資料之指示作為參考,但其亦表示在某些國家存在無法保證遺囑可得完全兌現的問題,例如,在英國遺囑中決定了個人資料的處理方式,仍可能僅被視為是個人意願,類似遺囑中選擇火葬的決定仍可能被執行者和繼承人推翻,且無法強制執行。   我國個人資料保護法施行細則第2條規定:「本法所稱個人,指現生存之自然人。」,所保護的個人資料對象是指「現生存有生命」的自然人,並不包括「往生者」,而歐洲部分國家允許繼承人行使被繼承人之個人資料保護相關權利,例如匈牙利規定本人可指定特定人或由直系親屬行使本人往生後之權利、西班牙則規定繼承人有權行使GDPR第15條資料查詢權、第16條更正權和第17條刪除權,而義大利則規定親屬代表可基於保護家庭之因素行使往生者於GDPR第15條至第22條之權力。ETER9便可讓用戶設置死後停止AI代替回覆的功能,也可以指定授權往生後的帳號負責人。在數位來生的議題中,我國應可參酌部分歐洲國家運用GDPR規定從而規範往生者個人資料權利之方式,進而探討我國對往生者個人資料運用之相關議題。

英國衛生部發布基因檢測與保險自律行為準則

  英國衛生部(Department of Health and Social Care)於2018年10月23日發布基因檢測與保險自律行為準則(Code on genetic testing and insurance-A voluntary code of practice agreed between HM Government and the Association of British Insurers on the role of genetic testing in insurance),該準則係由英國政府及英國保險業者協會(Association of British Insurers, ABI)共同制定,旨在取代先前的「基因與保險之協定與延期實施」(Concordat and Moratorium on Genetics and Insurance)文件,並以更易於理解的方式呈現原「基因與保險之協定與延期實施」之內容。   準則中列出八項承諾,此八項承諾為ABI代表其成員議定: 承諾一:保險業者(Insurers)會公平對待要保人(applicants)。保險業者不會要求或迫使任何要保人進行預測性或診斷性基因檢測;若要保人已進行預測性基因檢測,保險業者亦不會對其作出差別待遇,除非有如下之情況。 承諾二:列入附錄一之疾病類型並超過以下金額之保單,保險業者始得要求要保人提供預測性基因檢測之結果: 人壽保險-500,000英鎊 /人。 重大疾病險-300,000英鎊 /人。 收入保障險-30,000英鎊 /年。 目前列入附錄一之類型僅有亨丁頓氏舞蹈症(Huntington’s disease)之人壽保險總額超過500,000英鎊之情形。 承諾三:保險業者不會要求要保人提供:  要保人或被保險人於承保期間所進行之預測性基因檢測結果。 非為要保人或被保險人本人(如要保人或被保險人血親)之預測性基因檢測結果。 於科學研究背景下獲得之要保人或被保險人預測性基因檢測結果。 承諾四:若保險業者基於承諾二之規定要求要保人提供預測性基因檢測結果,亦不會針對該結果制定過於苛刻(disproportionate)的條款或條件。 承諾五:保險業者須於要保人簽約前提供明確之訊息,以說明:      根據本準則,要保人在何種情況下必須或無須提供相關預測性基因檢測結果。 若要保人自願提供對其有利的預測性基因檢測結果,保險決策將如何被影響。 承諾六:若要保人基於意外或自願向保險業者提供預測性基因檢測結果,保險業者可考量要保人之利益調整保單內容;若檢測結果對要保人不利,除非符合承諾二之情形,否則保險業者將忽略該檢測結果。 承諾七:販售人壽保險、重大疾病或收入保障保險之保險業者將:      每年向ABI報告其遵守本準則之情況。 根據本準則問答部分之詳細資訊,建立投訴程序(complaints procedure)。 每年向ABI報告與本準則運作上相關之投訴情形。 承諾八:販售人壽保險、重大疾病或收入保障保險之保險業者將指定至少一名經培訓之基因核保人(Nominate Genetics Underwriter, NGU),負責與遺傳資訊(genetic information)及遵守本準則相關之事項,且NGU之人數應與業務規模成比例。

印度宣布將推出數位印度法案取代過時的資訊科技法

印度電子及資訊科技部(Ministry of Electronics and Information Technology, MeitY)於2023年3月展開了一次公開諮詢和協商,介紹了印度政府以創建印度數位技術生態系統為目的而建構的法律新框架,該框架以《數位印度法案》(Digital India Act)為核心,用來取代已有22年歷史的《資訊科技法》(Information Technology Act)。MeitY強調,現行資訊科技法的創立時代背景中不僅缺乏電子商務、社交媒體平台等現代網路服務,甚至印度還未進入數位化時代,因此有必要進行通盤的法規調整,以符合當代和未來的社會變遷和對法規範的需求。 目前《數位印度法案》的草案細節尚未公布,但是MeitY的介紹揭露印度在未來政策中所重視的幾個方向: 1.新的中介類別:重新定義數位經濟產業中的中介機構類別(如數位媒體、搜尋引擎、遊戲、人工智慧、OTT平台、電信服務業者……等),並依據未來的技術發展及產業轉型,適時的調整新的分類。 2.網路犯罪刑事化:將網路犯罪(如網路色情、詐騙、霸凌、身分冒用或未經授權散播個人資料)歸類為刑事犯罪;過去的資訊科技法僅對此類行為予以罰款。 3.問責機制:建立一個線上的民刑事檢舉、審判機構,並且提供方便使用者採取權利救濟措施的線上管道;另外印度政府也將涉及演算法透明度(algorithmic transparency)、人工智慧的定期風險評估(periodic risk assessments)等評估機制納入監管項目的考量中。以建立網路用戶的權利救濟措施及數位服務者提供服務過程中的責任釐清。 4.防壟斷機制:提出開放網路(Open Internet)的概念,認為網路服務應該是具有選擇性的、容許競爭的、多樣性的,在確保網路服務的多樣性和非歧視性及非壟斷性的前提下運作;印度政府希望能夠監理佔有主導地位的廣告平台和應用程式平台,防止市場力量過度集中造成壟斷。 5.年齡門檻:對於未成年人在社交平台、遊戲和賭博程式中的資訊蒐集、資訊安全和隱私保護加以規範,並且避免以鎖定未成年人為對象的資料蒐集機制。 除了以上五點外,MeitY在介紹《數位印度法案》時也表示為了應對現今數位化時代的發展,並且確保公民的權利保障延伸到數位世界中,將承認被遺忘權(right to be forgotten)、不受歧視權(right against discrimination)和數位繼承權(right to digital inheritance)等數位時代中發展出來的權利。另外,將「推動公私部門及個人於使用數位資訊時的相關規範」以及「保護個人資料的資料保護法案」等議題做為評量指標,以做為規劃印度國家數位治理時的重要考量。這些方針都揭示了印度正在試圖踏上更有規模、更安全且可信賴的數位生態系統建置之路,《數位印度法案》的相關發展細節值得再持續關注。

TOP