iTrip 在英國即將合法

　　由於近日頻傳醫院遭受勒索軟體攻擊（ransomware attacks），美國加州檢察總長於2021年8月24日發布官方公告（bulletin）：在加州州法「醫療資訊保密法」（Confidentiality of Medical Information Act, CMIA）與聯邦法「健康保險可攜與責任法」（Health Insurance Portability and Accountability Act of 1996, HIPAA）規範下，蒐集、處理和利用醫療健康資料的醫療照護機構，有採取適當措施與事故通報的義務，以維護醫療健康資料保密性。 　　針對「採取適當措施」的內容，美國加州檢察總長於本次官方公告中，提出明確指引（guidance）：醫療照護機構須至少採取下列5項防範措施（preventive measures），以避免勒索軟體威脅： 確保所有存取醫療健康資料的作業系統與軟體，均升級至最新版本； 安裝防毒軟體，並維護其運作； 定期為員工舉辦教育訓練，包含教導員工不要點擊可疑網址和防範釣魚電子郵件（phishing email）； 限制員工下載、安裝和運作未經批准的軟體； 維護和定期測試資料備份與救援計畫，以便於事故發生時，控制對資料和系統的影響範圍及程度。 　　此外，針對「資料外洩事故通報義務」（breach notification obligations），美國加州檢察總長指出：依據「加州民法」（California Civil Code）第1798.82條，擁有或經授權使用含有個人資料的「電腦化資料」（computerized data）的醫療照護機構，於發生，或可合理確信發生，影響超過500位加州居民的資料外洩事故時，即負有將該事故通報檢察總長辦公室的義務。

　　2021年7月中旬，日本經濟產業省（下稱經產省）發布《促進資料價值創造的新資料管理方法與框架（暫定）（データによる価値創造（Value Creation）を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク（仮））》之綱要草案（下稱資料管理框架草案），並公開對外徵求意見。 　　近年日本在「Society5.0」及「Connected Industries」未來願景下，人、機器與科技的跨界連接，將創造出全新附加價值的產業社會，然而達成此願景的前提在於資料本身須為正確，正確資料的自由交換，方能用於創造新資料以提供附加價值，因此正確的資料可說是確保網路空間連結具有可信性的錨點。為此，經產省提出資料管理框架草案，透過資料管理、識別資料在其生命週期中可能發生的風險，以確保資料在各實體間流動的安全性，從而確保其可信性。 　　該框架將資料管理定義為「基於資料的生命週期，管理各場域中資料屬性因各種事件而變化的過程」，由「事件（資料的產生／取得、加工／利用、轉移／提供、儲存和處置）」、「場域（例如：各國家／地區法規、組織內規、組織間的契約）」和「屬性」（例如：類別、揭露範圍、使用目的、資料控制者和資料權利人）三要素組成的模組。經產省期望未來能透過三要素明確資料的實際情況，讓利害關係人全體在對實際情況有共同理解的基礎上，能個別確保適當的資料管理，達成確保資料正確之目的。 「本文同步刊登於TIPS網站（https://www.tips.org.tw ）」

　　世界經濟論壇（World Economic Forum, WEF）於2022年1月18日發布《2022年全球網路安全展望》（Global Cybersecurity Outlook 2022），以面對因COVID-19大流行所致之遠距辦公、遠距學習、遠距醫療等新形態數位生活模式快速發展，以及日漸頻繁之具破壞性網路攻擊事件。為考量國家應優先考慮擴展數位消費工具（digital consumer tools）、培育數位人才及數位創新，本報告說明今年度網路安全發展趨勢及未來所要面對之挑戰包括如下： COVID-19使得工作習慣轉變，加快數位化步伐：約有87%企業高階管理層計畫透過加強參與及管理第三方的彈性政策、流程與標準，提高其組織的網路韌性（cyber resilience）。 企業資安長（chief information security officers, CISO）及執行長（chief executive officers, CEO）之認知差異主要有三點：(1)92%的CEO認為應將網路韌性整合到企業風險管理戰略中，惟僅55%CISO同意此一作法；(2)由於領導層對網路韌性認知差異，導致安全優先等級評估與政策制定可能產生落差；(3)缺乏網路安全人才以面對網路安全事件。 企業最擔心之三種網路攻擊方式為：勒索軟體（Ransomware attacks）、社交工程（social-engineering attacks），以及惡意內部活動。惡意內部活動係指企業組織之現任或前任員工、承包商或業務合作夥伴，以對組織產生負面影響方式濫用其關鍵資產。 憂心中小企業數位化不足：本研究中有88%之受訪者表示，擔心合作之中小企業之數位化程度不足，導致供應鏈或生態系統中使其網路韌性受阻。 網路領導者認為建立明確有效的法規範，將有助於鼓勵資訊共享與促進合作。

　　繼eBay 於 今年6月4日因未制止網拍業者於eBay 網站上拍賣仿冒品被法國法院( The Tribunal de Grande Instance in Troyes)判決敗訴 、 須與網拍業者共同賠償精品業者愛瑪士 (Hermes)2萬歐元後，不到一個月的時間，另一法國法院( The Tribunal de Commerce in Paris) 於6月30日再度判定eBay因任由網拍業者拍賣仿冒物品而需賠償LVMH集團共3860萬歐元並禁止eBay在其網站上販賣LVMH集團旗下包括迪奧(Dior)、嬌蘭(Guerlain)、紀梵希(Givenchy)及Kenzo 4個品牌之香水。 　　eBay 表示為了保護品牌業者的智慧財產權，其已投資了超過2000萬美元建置相關機制(The Verified Rights Owner) 讓品牌業者可以容易的發現仿冒的網拍品並通知eBay 將該物品下架。但愛瑪士及LVMH集團皆認為該機制尚不足以杜絕仿冒品的銷售。 　　針對LVMH之判決，Vanessa Canzini, eBay 的發言人表示 “如果有仿冒品出現在eBay 的網站上， eBay會迅速地將該物品下架，但此次的判決非關仿冒品”。 Sravanthi Agrawal, eBay 的另一發言人表示 “此次判決的重點在銷售管制 (指LVMH集團企圖壟斷其銷售管道)，因eBay 並非LVMH集團所授權的銷售管道之一”。 eBay 表示LVMH集團的壟斷行為將對消費者造成傷害，將代表消費者提起上訴。 　　以上兩案經由法國法院針對拍賣網站提供平台販售仿冒品之判決結果預計將於國際間引發連鎖效應。一位美國智財律師表示美國法院目前認為在美國商標法下，eBay 有義務將仿冒品從其網站上移除。而法國法院的判決則更進一步要求拍賣網站在仿冒品被放上網站拍賣前就有義務制止其被拿出來販售。法國法院的見解如未被推翻將可能鼓勵其它國法院針對類似案件做出相同的判決結果。