美國聯邦貿易委員會(FTC)持續開鍘違約揭露用戶個資的業者
美國聯邦貿易委員會(Federal Trade Commission,FTC)根據《健康違規通知規則》(Health Breach Notification Rule,HBNR),於2023年2月1日和3月2日分別對GoodRx Holdings Inc.公司和BetterHelp, Inc.公司提出擬議命令(Proposed order)。擬議命令指經由行政機關調查案件後提出的改善建議,且經聯邦法院批准後對被調查公司生效。這兩件案例是FTC於2021年後擴大《健康違規通知規則》適用範圍從傳統的健康產業及於網路行業後的首次執法。GoodRx Holdings Inc.公司提供藥物資訊平台與折扣訊息;而BetterHelp, Inc.公司提供遠距醫療服務。兩者在2017到2020年間均向他們的消費者聲明,將妥善保護所蒐集之個資,然而卻轉手將取得個資揭露給Facebook、Snapchat和Google等第三方公司,用來進行目標式廣告的投放。
FTC對GoodRx的擬議命令要求其停止向第三方揭露使用者的個人資料,並處以支付150萬美元的罰鍰。對BetterHelp, Inc.的命令除要求其停止共享使用者的個人資料外,更要求BetterHelp, Inc.向網站的使用者進行退款,退款總額上限高達780萬美元。FTC在擬議命令中建議:涉及敏感性健康資料的事業負責人,除了需要重新檢視目前持有資料的隱私和安全性外,最好能建立一套完整的資料管理流程。流程包括對當事人充分說明蒐集利用目的、取得當事人完整的知情同意、制定完整的個人資料管理及保存銷毀程序、限制員工對資料的存取權限等等。最後也最重要的是要「信守承諾」,這兩個案例中的業者都是違反了自己當初對使用者的承諾,最終才導致被處罰的結果。
- Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023
- FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission
- On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission
- 數位發展部數位產業署113年資訊服務業者個資安維辦法宣導說明會
- 亞灣數位轉型沙龍座談
- 電商零售業法制宣導說明會暨產學研座談會
- 數位海盜時代來臨–抵禦海上資安威脅的實踐與挑戰
- 新創不容忽視的數位行銷「蝴蝶效應」 如何運用數位力為企業注入新生命
- 零售業個資保護宣導暨座談會
- 零售業個資保護及資訊安全教育講習
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
黃昱揚
副法律研究員 編譯整理
Freshfields Bruckhaus Deringer, FTC Regulatory Enforcement Ramps Up for Digital Health Companies, LEXOLOGY, Apr. 6, 2023, https://www.lexology.com/library/detail.aspx?g=47c93bcd-1dd7-423d-be37-56b04f877450 (last visited Apr. 12, 2023).
FTC to Ban BetterHelp from Revealing Consumers’ Data, Including Sensitive Mental Health Information, to Facebook and Others for Targeted Advertising, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/03/ftc-ban-betterhelp-revealing-consumers-data-including-sensitive-mental-health-information-facebook (last visited Apr. 12, 2023).
On Breaches by Health Apps and Other Connected Devices, Federal Trade Commission, https://www.ftc.gov/system/files/documents/rules/health-breach-notification-rule/statement_of_the_commission_on_breaches_by_health_apps_and_other_connected_devices.pdf (last visited Apr. 12, 2023).
「國內廠商陷個資外洩風暴 消基會:TPIPAS驗證制度保護個資安全」,中央社,2023.02.08,https://www.cna.com.tw/Postwrite/Chi/334659/(最後瀏覽日:2023/05/24)。
翁芊儒,「亞太個資治理規範CBPR也有臺灣在地認證機構了!資策會建議瞄準跨國市場的企業,可建立個資法遵並自願認證」,iThome,2021.07.12,https://www.ithome.com.tw/news/145331(最後瀏覽日:2023/05/24)。
盧秉羲,〈美國NIST發布更新《網路安全資源指南》提升醫療領域的網路安全及隱私風險管理〉,資訊工業策進會科技法律研究所,2022/9,https://stli.iii.org.tw/article-detail.aspx?tp=1&d=8883&no=64(最後瀏覽日:2023/05/24)。
FTC Proposes Amendments to Strengthen and Modernize the Health Breach Notification Rule, Federal Trade Commission, https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-proposes-amendments-strengthen-modernize-health-breach-notification-rule (last visited Apr. 24, 2023).
FTC says online counseling service BetterHelp pushed people into handing over health information – and broke its privacy promises, Federal Trade Commission Blog, https://www.ftc.gov/business-guidance/blog/2023/03/ftc-says-online-counseling-service-betterhelp-pushed-people-handing-over-health-information-broke (last visited Apr. 24, 2023).
積極管理機制出爐後,行政院正在研議規劃有效開放政策,包括投資大陸 40 %上限鬆綁事宜,但尚未形成決策時間表。 40 %上限究竟如何鬆綁,政府高層高度關切,據悉,政府已委託財經智庫提供一份兩岸經貿對策建議白皮書,擬作為政府兩岸政策建議及六月召開台灣經濟永續成長會議決策參考,智庫建議應視個別企業、個別產業個案檢視放寬,對大陸投資利益必須大於不良負作用。 財經智庫建議以七大配套指標決定 40 %上限的鬆綁,七大指標包括:一、產業無法在台生產,也無法擴大中國以外的市場生產,應予放寬;二、在中國市場屬於領先地位,且可繼續擴大市場;三、在中國獲利可匯回台灣回饋股東;四、企業領先全球,必須對中國擴大投資以繼續取得全球領先地位。五、該企業在台有很大營運及研發中心,即以台灣為根;六、該企業有重大技術及品牌成就,可去大陸市場攻城掠地;七、外資持股比例高且公司治理的守法紀錄良好者。 一旦 40 %可有條件鬆綁,相關官員表示,將考慮對特定回台上市台商研擬放寬其股市上市條件,籌資再投資大陸的上限也可視為外資放寬。政府希望企業可以去大陸攻城掠地,但不希望把大陸當成唯一生產基地,企業把生產及上中下游關聯性產業一起帶走,甚至移出研發,例如筆記型電腦,對台灣造成失業等諸多不利負作用,因此台灣必須保留生產基地,生產高附加價值產品。
新加坡發布《無形資產揭露框架》,鼓勵企業主動揭露「無形資產」現況,以創造更高的價值新加坡政府於2023年9月4日發布《無形資產揭露框架》(Intangibles Disclosure Framework, IDF),鼓勵企業以系統化的方式,主動對外揭露所持有之「無形資產」(如品牌價值、專利等),使利害關係人(如投資者、合作夥伴等)能進一步瞭解其「無形資產」現況,藉此創造「無形資產」更高的價值。本框架是在「新加坡智慧財產局」(Intellectual Property Office of Singapore, IPOS)及「會計與企業管理局」(Accounting and Corporate Regulatory Authority, ACRA)主導下,由產業代表組成的工作小組歷時2年討論後制定發布。 框架中指出,過去20年間,全球「無形資產」的投資和所創造之價值逐步超過「有形資產」。然而,傳統會計準則往往無法完全真實反映企業所持有之「無形資產」價值,亦即「無形資產」價值往往被低估。因此,本框架鼓勵企業主動揭露,並建議可將「無形資產」現況納入公司年報(Annual Report)中,亦可獨立成一份報告,與公司財報(financial statements)一同發布。 此外,企業在揭露「無形資產」時可依循以下四項原則(簡稱「SIMM原則」): 1.策略(Strategy): 企業應揭露「無形資產」與其商業經營策略的關聯性、佈局狀況、貢獻度,使利害關係人瞭解企業是如何利用「無形資產」維持其競爭優勢及替投資者創造更多的收益。 2.識別(Identification): 本框架指出「無形資產」不用侷限於傳統會計準則的定義,企業應揭露「無形資產」的性質和特徵(包含如何取得),並建議可將「無形資產」分類,如:(1)行銷類;(2)顧客類;(3)契約類;(4)藝術類;(5)技術類;(6)人力資源類。 3.衡量(Measurement): 企業應揭露其評估(assess)「無形資產」價值的績效指標與驅動因子,並以量化方式呈現。如針對商標等「行銷類」之「無形資產」,企業得以顧客滿意度、國際品牌排名作為評估之績效指標。企業亦可選擇揭露「無形資產」的貨幣價值(monetary value),其評價應依照國際評價準則(International Valuation Standards , IVS)進行。 4.管理(Management): 企業應揭露其如何識別、評估、管理與各類「無形資產」相關之風險與機會,以及如何將這些程序整合至企業整體風險管理策略中,以協助利害關係人瞭解企業「無形資產」所面臨之風險和機會。譬如企業應明確揭露監控相關風險之頻率、定期更新風險管理政策和程序等。 新加坡總理公署部長(Minister of Prime Minister's Office)Indranee Rajah表示,本框架是「新加坡智慧財產戰略」(Singapore IP Strategy 2030, SIPS 2030)的重要推動措施之一,企業若能主動揭露「無形資產」現況,將有助於將其「無形資產」商業化、吸引更多的投資、增進風險管理、提升企業競爭力,持續強化新加坡作為全球智財活動及交易樞紐的地位。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
中國大陸網路安全法於6月1日正式施行中國大陸網路安全法於去(2016)年11月通過,於今(2017)年6月1日正式施行,該法主要係為了保障網路安全,維護網路空間主權與國家安全、社會公共利益,保護公民、法人和其他組織的合法權益,為第一個國家層級處理網路安全問題的法律,旨在確保維護網路空間的國家主權、保護使用者個資、防範網路攻擊及網路詐騙。 中國大陸網路安全法共七章79條,包括第一章總則、第二章網路安全支持與促進、第三章網路運行安全、第四章網路訊息安全、第五章監測預警與應急處置、第六章法律責任、第七章附則。其規範重點之一為關鍵資訊基礎設施正式納入網路安全保護範圍內,關鍵資訊基礎設施之定義不僅包括電力、運輸和金融等傳統關鍵行業,還包括法律規定涉及民生的其他基礎設施,表示任何關鍵資訊基礎設施相關廠商、供應商等外國公司,以及擁有大量中國大陸訊息的廠商,都有可能成為中國大陸網路安全法監管、執法調查、強制執行的主要對象。 中國大陸網路安全法亦要求關鍵資訊基礎設施相關廠商將個資與重要數據資料在地化,或是將這些數據資料傳輸至國外前,必須經過相關的監管機構進行自我安全評估或先加以批准。
日本經產省發布《促進資料價值創造的新資料管理方法與框架(暫定)》之綱要草案徵求意見2021年7月中旬,日本經濟產業省(下稱經產省)發布《促進資料價值創造的新資料管理方法與框架(暫定)(データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮))》之綱要草案(下稱資料管理框架草案),並公開對外徵求意見。 近年日本在「Society5.0」及「Connected Industries」未來願景下,人、機器與科技的跨界連接,將創造出全新附加價值的產業社會,然而達成此願景的前提在於資料本身須為正確,正確資料的自由交換,方能用於創造新資料以提供附加價值,因此正確的資料可說是確保網路空間連結具有可信性的錨點。為此,經產省提出資料管理框架草案,透過資料管理、識別資料在其生命週期中可能發生的風險,以確保資料在各實體間流動的安全性,從而確保其可信性。 該框架將資料管理定義為「基於資料的生命週期,管理各場域中資料屬性因各種事件而變化的過程」,由「事件(資料的產生/取得、加工/利用、轉移/提供、儲存和處置)」、「場域(例如:各國家/地區法規、組織內規、組織間的契約)」和「屬性」(例如:類別、揭露範圍、使用目的、資料控制者和資料權利人)三要素組成的模組。經產省期望未來能透過三要素明確資料的實際情況,讓利害關係人全體在對實際情況有共同理解的基礎上,能個別確保適當的資料管理,達成確保資料正確之目的。 「本文同步刊登於TIPS網站(https://www.tips.org.tw )」