KPMG安侯法律事務所執行顧問 翁士傑
KPMG安侯法律事務所執行顧問 孫欣
KPMG安侯企管公司數位科技安全負責人 謝昀澤

近日視訊會議軟體Zoom爆出一連串資安及個資疑慮，讓這個原本受益於居家防疫措施的app被許多大型企業禁用，不僅我國行政院下令政府機關及各級學校不應使用如Zoom這種具資安疑慮的產品，紐約州檢察總長也主動發函要求Zoom針對其資安措施提出說明。

KPMG安侯法律事務所執行顧問翁士傑表示，紐約州對個資及資安的重視不僅於此，自加州去年在資料保護掀起了波瀾之後，紐約州也緊隨其後，通過了「防止非法侵入與加強電子資料保護法案」（Stop Hacks and Improve Electronic Data Security Act, 又稱SHIELD），該法案於2019年10月開始實施，而其中有關資安的保護措施則自2020年3月21日起生效。紐約州現在也加入了加州的行列，成為美國對資訊安全及外洩通報規範最嚴格的州。既然SHIELD已全面生效，如果紐約州檢察總長在Equifax和Capital One的資料外洩事件中所表現的積極及執法頻率可以說明其在資料保護領域的態度的話，翁士傑建議在紐約州有實體據點或虛擬線上業務的台灣企業，應重新檢視其資料保護政策和內部資料保護控制措施。

翁士傑表示，如同歐盟一般資料保護規範（GDPR）及加州消費者隱私權法案(CCPA)一樣，SHIELD具有域外效力：任何在美國境內的企業，只要“擁有或授權取得”紐約居民個人資料的行為都受到SHIELD的規範。此外，SHIELD如同CCPA擴大了適用的個資範圍，雖然不比CCPA廣泛，但特別納入了某些生物特徵、財務和間接個人資料。

KPMG安侯企管公司數位科技安全負責人謝昀澤表示，隱私權通知之規定也被強化：此類通知須包含負責提供有關資料安全漏洞回應及身分防盜資訊的州和聯邦機構的電話號碼及網站。重要的是，SHIELD闡明了先前在資料外洩通報法規中的灰色地帶：究竟未經授權取得資訊(acquire)或只要可以存取資訊(access)就構成資料外洩。這是一個重要的區別，因為勒索軟體或破壞性攻擊可以存取但不一定會取得個人資料，而資料外洩通報法規有一個取得資料的門檻，因此如勒索軟體未取得個人資料，則企業無需通知監管機關或受到影響的當事人。SHIELD則一勞永逸的解決了此爭議，其闡明只要是可以存取資訊就構成資料外洩，並引進了“危害風險”分析標準供企業決定是否進行通報：如果分析結果表示沒有潛在的危害，則不必通知消費者，但可能必須通知紐約檢察總長；反之若須進行通報，SHIELD則要求必須通報消費者、紐約檢察總長和紐約警察，且“不得有不合理遲延”。

翁士傑表示，2020年3月生效的安全性規範則要求擁有或授權取得紐約居民數位化“私有資料”的企業應發展、實施並維護合理的保護措施，以保障私有資料的安全性、保密性和完整性，即使是資料銷毀的流程也應適用。與GDPR和CCPA相似，SHIELD重點規範企業應實施更廣泛的安全控制，包含：風險辨識、評估、監控和應變措施以及對資料保存的限制。私有資料在企業使用目的結束後，必須在合理的時間段內進行刪除，使資料無法被讀取或重建。

KPMG安侯法律事務所執行顧問孫欣表示，SHIELD允許檢察總長辦公室對每起違規事件處以最高25萬美元的罰款，比舊法所規定的15萬美元罰款更高。檢察總長在2019年針對相關網絡違規事件，已發出超過6億美元的罰款。在SHIELD生效之前，紐約檢察總長已擁有調查該州的銀行和其他企業的權力，而現在SHIELD授予檢察總長更多的權力。

翁士傑提醒，雖然SHIELD與CCPA相似，但SHIELD實際上更著重於資料保護性，而CCPA則更關注消費者隱私，這是一個最主要的區別。謝昀澤提醒，目前，紐約州是對於企業應符合“合理的保護措施”有明確定義的少數幾個州，企業應執行的保護措施，包含管理面(如對委外資料處理供應商的安全管理手段)、技術面(如網路與系統安全設計的風險評估及技術控制)與實體面(如儲存資料媒體的風險評估及落實方法)等。參考本次Zoom的事件，若適用SHIELD的企業有發生嚴重的資安或個資漏洞，紐約州檢察總長主動執法的可能性非常高，企業應儘快檢視其現行資安及個資防護作法以更好地決定是否需要採取進一步措施來確保SHIELD合規。