English Articles

Recent Top 10 Data Breaches – No. 10: EBay

Online Platform   :       Ebay Online Trading Platform

Year                        :       May 2014

Affected Users    :       145 million

Incident                 :       System hacking and leakage of personal data

Internet Hacking

Ebay is well known for its online trading platform, a venue for global willing buyers and sellers to trade via online equipped with payment gateway system.

In May 2014, EBay announced that according to a cyber-attack launched against the said E-Commerce platform, it was estimated that 145 million users’ personal data has been compromised and leaked to 3rd party. The cyber-attack was reportedly initiated by way of internet hacking between late February and early March 2014.

According to EBay, the involved personal data included users’ email addresses, passwords, birth dates and correspondence address. However, EBay insisted that there was no financial information being affected in the cyber-attack.

EBay has advised all users to change their passwords after the event.

So What’s The Issue?

Many do not realise that EBay users’ accounts were actually linked to social media profile such as Facebook account. To be fair it wasn’t EBay, only, but rather majority of forums, websites, E-Commerce platforms allow login service by way of social media account.

Once such E-Commerce online platform users’ accounts were linked to and/or registered by way of social media account, the hackers or whoever that managed to obtain the personal data from EBay are able to perform data profiling.

So What’s Data Profiling?

The connection that linked with for example Facebook account, would expose and reveal the EBay users’ actual name that shown in their respective Facebook profile, and perhaps other data associated.

It essentially means that the hacker would be able to track and trace a virtual EBay user to an actual individual by looking into the data associated or shown in Facebook account.

In the meantime, data profiling is a type of data examination that allows collection and setting of statistics and summary from an existing information source. The collected, compiled and summarised statistics would help to locate, identify and trace a purchasing record, living or spending habit or even detailed profile of one online user.

Let’s take EBay for example. Purchasing data for condom or pregnancy test or even HIV test would benefit or useful to pharmaceutical company or related advertisers.

Another aspect from such data leakage is the investigation of the authority. Imagine that the data or purchasing record on purchasing gun-related accessories would enable one to profile the user as firearm user (could be registered or unregistered user in United States). Such privacy loophole would enable the law enforcers to run a “free” background check especially on unregistered gun users that go dark.

-Please stay tune for the next Recent Top 10 Data Breaches – No. 9-

中文文章

网站条款按“同意”的法律效用

是否曾想过,共结连理时那一声“我愿意/I Do”是一项口头合约,具有法律约束力。当然,违约的后果可是不堪入目。当我们在网络世界游览网站或购物时,经常要求网络使用者注册用户户口(user account)以便能继续购物和付款。

问题来了。当网站强制我们注册户口的当儿,会出现要求我们同意并确认网站使用条款(Terms & Conditions),如果不打勾就无法继续购物或游览,实在扫兴。可是同时我们也发现,有些网站并没有强制使用者按“同意”键却可以继续购物或游览,为何会有这样的分别?

一个比较全面的网站必定会有使用条款,使用条款一般上则围绕在免责条款(indemnity),意即若使用者在使用网站购物或依赖网站的资讯后而受到任何损害时,使用者同意网站不会负上任何责任。使用者往往在游览或使用网站时并没有注意到任何使用条款的栏目,又或是我们都往往选择,刻意或不需要去理会这些terms and conditions。可是我们是否有想过这些使用条款其实会是一份具有法律约束力的合约?

普遍上网站可以通过以下2种方式和使用者缔结具有法律约束力的合约,分别是:

  1. 点选同意合约(ClickWrap Agreement),意思是当你按下“同意”键的时候,你已被当作认同和接受该网站的所有使用条款,缔结了一份使用合约;或
  2. 游览同意合约(BrowseWrap Agreement),意思是网站的使用条款说明,虽然你没有按下任何“同意”键(又或没这个“同意”键给你按),不过当你继续游览或使用网站时,透过这样的举动被当作已接受了使用条款,缔结了一份使用合约。

这样的方式相当吊诡,站在合约法的角度,双方在缔结合约时的意图(intention)相当重要。以上2种方式都不属于好的方法,始终传统的合约签署才是比较保障的做法。马来西亚的电子法律未迎头赶上,但以美国为例子,他们确实在这一块做得比别人快,甚至比较好。

点选同意合约(ClickWrap Agreement

美国法庭比较倾向于认同点选同意合约,并给予法律效用。虽然使用者在打勾和按下“同意”键之前也许并没有阅读所有条款条文,但美国法庭认同这已提供了足够的机会给使用者检阅和同意这些条款。美国法庭也认为使用者其实不需要阅读所有条款,只要网站提供了合理的通知和机会给使用者阅读就可以了。

有一些网站甚至准备了更仔细和“贴心”的条款栏目,即会强制使用者把栏目箭头往下拉后才可以顺利按下“同意“键。因此,这样的动作就表示了使用者已同意网站的使用条款,也意味缔结了一份使用合约。

游览同意合约(BrowseWrap Agreement

可想而知,游览同意合约存在许多争议,因为游览同意合约仅仅透过游览和使用网站的被动动作(passive conduct)而认为你已同意使用条款,进而缔结了使用合约,一旦发生任何纠纷时网站将依赖此条款/合约拒绝负上任何责任。

乍看之下游览同意合约的确有偏于网站而非使用者,因为这些使用条款并没有清楚和明显地显示在网页内让使用者知道。有鉴于此,法庭普遍上都会认为这样的缔结方式对使用者不公。通过游览同意缔结的合约,缺少了合理的通知和机会,导致使用者对使用条款完全不知情。站在法律的角度,法律倾向于认同较合理的举动(reasonable act)。

如何制定一份好的使用条款?

它须具备以下几项条件:

  1. 必须清楚地显示给网站使用者这些使用条款的存在,或在使用者付款之前显示给使用者再看多一遍(记住,这并不是要使用者查阅所有条款);
  2. 让使用者轻易的查阅和游览所有的使用条款;
  3. 提供使用者打印或存档使用条款;
  4. 提供使用者“同意”或“不同意”的选项;以及
  5. 确保使用者在按下“同意”键后该使用条款能让使用者轻易的查询。

在迈向和强化电子商务的时代,商家确实有需要自我加强网站或电子商务平台的使用性和法律约束力,使电子业务更具竞争力与法律效用。

 

中文文章

架设电子商务平台可扣个人所得税

凡在马来西亚架设,设立或刊登任何网上资料都会受到马来西亚通信与多媒体委员会的监管。除了一般耳熟能详的通信与多媒体法令(Communications and Multimedia Act – CMA),委员会其实还有一套本身的Content Code对任何网上资料或活动进行管制,例如内容不得涉及色情与敏感课题等一套监管标准。

虽然架设电子商务平台与其内容会受到委员会的监管,但其实在马来西亚架设电子商务平台是可以享有个人所得税回扣。这当然落在内陆税收局的权力范围。

通信与多媒体委员会曾经对外公布表示架设符合资格和标准的电子商务平台的人士将能依据Income Tax (Deduction for Cost of Developing Website) Rules 2003享有所得税回扣。(译为:2003年所得税(设立网站成本回扣)细则)

这套Rules于2003年4月10日被颁布宪报,标题为:PU.A 101/2003。

根据这项优惠,架设电子商务平台而获得所得税回扣的方式如下:

  1. 所假设的必须是具备电子商务平台能力的网站(E-Commerce Enabled Website);
  2. 架设网站人士必须居住在马来西亚(resident in Malaysia);
  3. 第一年享有架设网站成本五分一(1/5)的回扣;
  4. 接下来的4年内每一年享有五分一(1/5)的回扣。

换句话说,每一年将能享有五分一(1/5)的成本回扣,长达5年之久。

打个比方:架设电子商务平台的费用为RM10,000.00。

第一年享有RM10,000.00 / 5 = RM2,000.00,以此类推。

还有一个非常重要的条件,就是所架设具备电子商务平台能力的网站,必须符合通信与多媒体委员会所设下的条件和进行认证。

关键点来了,通信与多媒体委员会设下了什么条件和认证?

凡要架设符合具备电子商务平台能力的网站的人士必须向通信与多媒体委员会提出申请电子商务平台网站的证书(Certification of E-Commerce Website)。申请费用为RM100.00。申请条件是:

  1. 申请者必须拥有一个网站;
  2. 网站必须架设在马来西亚境内的伺服器;
  3. 一旦被要求,网站必须拥有提供或传达资料给伺服器的伺服软件或程序,如下:
  4. 购物库,又称为Shopping Cart(必须具备可以让客户选择购买产品或服务的能力,预览购买数额,删除产品、填写付费与寄送资料,以及全面取消订单的功能);
  5. 安全设备(网站在传送客户资料给伺服器时所有资料必须被加密)

一旦申请获得批准和证书后,申请者必须在向内陆税收局呈交所得税表格时连同此证书一同呈上。

我将在下一篇文章分享什么是具备安全设备的网站,以符合通信与多媒体委员会设下的资料加密措施,而一般上我们会统称为SSL (Secure Socket Layer),才能在传送客户资料至伺服器时避免资料外泄或被有心人士盗取。

中文文章

新电子自贸区(DFTZ)免税架构有待理清

根据一篇新闻报导,第二国际贸易及工业部部长黄家泉于昨日2017年2月20日向媒体之处,凡是通过电子自由贸易区(Digital Free Trade Zone)的电子贸易平台(E-Commerce)购买不超过RM1,200.00的商品将不会被征收任何税收。

部长也说,目前的机制是通过电子商务平台购买不超过价值RM500.00的商品是免税的。换句话说,电子自由贸易区的税收将会从现有的RM500.00提升至RM1,200.00。这项新闻若属实,确实能振兴和带动国内电子贸易交易。

话说如此,国际贸易及工业部已即时发表声明,强调目前的RM500.00最低数额并没有被更改,驳斥了第二部长的说法。

请看部门的媒体声明

可惜的是,电子自贸区的税务架构详情还未对外公布。有关于第二部长所说的通过电子贸易平台购买RM500.00的商品没有被征税的说法,也未能从内陆税收局网站或其他部门的网站取得任何实际资料。

根据第二部长的说法,意味着目前已有一套机制表示凡是通过电子商务平台购买低于RM500.00的商品将不会被征税。举个例子,倘若消费者现在通过Tesco的网站购买低于RM500.00的日常用品将不会被征收任何消费税?这点并不正确,因为第二部长指的应该是凡是在即将设立的电子自由贸易区进行少过于RM1,200.00以下的电子交易额将不会被征税。

根据2015年3月30日的一篇报导,引述了消费税部门高级官员的谈话,该官员表示通过快递服务运送从国外购买的电子产品将不会被征收消费税,前提是价值不能超过RM500.00。

该高级官员也表明,如果从国外购买的电子产品或服务倘若是用于私人而非商业用于,也不会被征收消费税。这也包括购买手机应用程式(mobile application)。

按照政府欲大力推动即将设立和启动的电子自由贸易区,相信第二部长的说法很大可能正确。相反的,通过国内电子商务平台购买的商品按照现有的消费税法令底下还是继续被征收和缴付消费税。得益的还是参与电子自由贸易区的电子商家们。