歐洲資料保護監督官12月7日發表正式意見,針對歐盟執委會就AFSJ大型資訊技術系統設立作業管理機構之立法計畫,提出隱私保護法律要求
歐洲資料保護監督官(European Data Protection Supervisor, EDPS)於2009年12月7日,針對歐盟執委會(European Commission)近年所提出關於設立歐盟「自由、安全及司法領域」(area of freedom, security and justice, AFSJ)大型資訊技術系統(IT System)作業管理機構之立法計畫,基於個人資料保護之立場提出正式法律意見。如此一立法計畫順利通過,該機構預計將擔負起包括「申根資訊系統」(Schengen Information System, SIS II)、「簽證資訊系統」(Visa Information System, VIS)、「歐洲指紋系統」(European Dactylographic System, Eurodac)及其他歐盟層級之大規模資訊技術系統之作業管理(operational management)任務。
根據EDPS首長Peter Hustinx表示,由於前述各項系統之資料庫中均包含諸如護照內容、簽證及指紋等大量敏感個人資料,因此儘管設立單一之作業管理機構,可以在相當程度上釐清歐盟各部門職責歸屬及準據法適用之問題,但如此一機構欲取得合法性,其活動範圍及相關責任即必須在立法中獲得明確界定,否則即可能產生個人資料濫用(misuse of personal data)及資料庫「功能潛變」(function creep)之風險。而基於此一分析,Hustinx認為目前執委會之機構立法計畫尚未符合個人資料保護要求。
此外,針對後續立法進程,EDPS建議除應確實釐清該管理機構之活動範圍是否包括整體AFSJ,亦或僅限於邊境檢查及難民與移民事務;執委會與該機構之關聯性與責任等重要問題外,是否可在缺乏相關經驗及實證評估下,即直接將所有歐盟層級之大型資訊技術系統與資料庫歸入該機構管轄,顯然亦有商榷餘地。EDPS就此認為,透過立法界定「大型資訊系統」之範圍,並且採取資料庫分次進入該管理機構責任範圍之方式,應係日後執委會可以努力之方向。
日本內閣於2018年3月9日閣議決定《關於促進海上再生能源發電設備之整備海域利用法律案》(海洋再生可能エネルギー発電設備の整備に係る海域の利用の促進に関する法律案,以下簡稱海上風力發電促進法案)。 日本四面環海、國土面積狹窄,長期、安定且有效率地實施海洋再生能源發電事業十分重要。此外,海上再生能源發電之碳排放量較火力發電為少,有助於地球暖化對策,推動海上再生能源發電事業亦可幫助發電設備之設置、維護等相關產業發展,加上現行規範缺乏允許業者長期占用指定區域等相關規範,不利於推動海洋再生能源發電事業,故日本政府擬透過制定《海上風力發電促進法案》,促進相關事業發展,以擴大再生能源導入量。 根據法案規定,為推動再生能源發電設備之整備海域(促進區域)之利用,未來政府將制定基本方針,經產大臣及國土交通大臣、農林水產大臣、環境大臣等在聽取協議會意見後指定「促進區域」,並訂定公開募集占用指引。欲從事海上風力發電之業者,應向經產大臣及國土交通大臣提出公募占用計畫,經產大臣及國土交通大臣根據內容及供應價格等選定最佳計畫。計畫經認可之業者,可根據占用計畫向國土交通大臣申請最長可達30年之占用許可。
澳洲發布「數位健康2018-2019年報」針對「我的健康紀錄系統」提出檢討及建議澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年11月發布「2018-2019年數位健康年報」,其中針對「我的健康紀錄系統」(My Health Record System)日前發生資料外洩事件提出檢討及隱私建議。 「我的健康紀錄系統」於2012年開始由澳洲數位健康局(Australian Digital Health Agency)負責維運,所有健康報告以電子形式通過網站存檔或讀取,包括處方藥紀錄、醫生診療記錄、影像檢查以及其它測試紀錄等,所有資訊將置於網路並授權醫療專業人員,例如醫生、藥劑師、醫院工作人員和專職醫療人員(例如護士或物理治療師),均可登錄查詢。 「我的健康紀錄系統」原先以民眾自願選擇加入模式運作,以選擇性線上註冊方式概括同意健康資料存取。隨後為促進醫療產業發展,澳洲政府宣布「我的健康紀錄系統」全國適用並提供退出機制至2019年1月31日。而2018年澳洲修訂「我的健康紀錄法」(My Health Records Act 2012)強化個人資料管理相關規範,例如:提供永久刪除權、不得適用於保險目的、違反關鍵隱私保護而增加民事和刑事處罰等。 「2018-2019年數位健康年報」指出,隨著「我的健康紀錄系統」於2019年2月從選擇性註冊模式變為退出模式,關於隱私疑慮的查詢和投訴大幅增加。2018年至2019年OAIC收到57件投訴案,OAIC更對數位醫療產業中的受監管企業進行隱私評估,包括私人醫院、藥房等。為解決民眾疑慮,「我的健康紀錄法」修訂賦予永久刪除權,使投訴數量開始遞減,OAIC亦為醫療服務提供者發布有關保護患者個人健康資料相關指引,並與衛生部門組織合作,促進良好的隱私保護觀念,以增進健康服務提供者對預防和應對資料外洩的理解。
英國通過「隱私及電子通訊規範」英國於今年5月26日通過「隱私及電子通訊規範」(The Privacy and Electronic Communications Regulations),實現隱私監督之責,以管控cookies或是侵害個人資料之行為。 新法納入歐盟於2009年e隱私指令中所決定之改變,旨在讓網路使用者自行決定資訊服務業或其他事業能儲存多少使用者之紀錄。但業者對此項新要求表示困惑,因此英國之隱私權主管監督機關資訊專員公署(Information Commissioner's Office,ICO)最近出版一份指引,指導網站如何遵守新法使用cookies功能之規定及履行告知義務之要求。然而指引中並未強制規定告知內容與方式,因此業者仍可自行決定如何最有效地履行告知義務。 ICO本週表示新法尚有一年之緩衝期間,讓業者調整使用cookies功能之方式。政府表示目前仍在與瀏覽企業者討論,如何透過瀏覽器頁面之設置取得當事人之同意,而此部分尚未規定在新法中。 「政府的指引太晚公布了,並且缺乏明確性,又無法確定新法是否能允許以瀏覽器技術作為解決之方法,這樣會讓業界無所適從」,任職於Pinsent Masons法律事務所的科技法律專家Clarie McCracken說,「此種非決定性之指引會使業者無法找到標準作法以避免觸犯新法。」。 ICO認為企業在新法正式施行前,最好趕快表明其如何使用cookies功能並制定相關規定以遵守新法。 新法同時要求特定企業當其所蒐集之個人資料遭受駭客攻擊或外洩時,其必須要告知消費者。根據新法,個人資料遭受侵害之定義為:某種安全狀態遭受攻擊,導致與公共電子通訊服務有關之個人資料被故意或不法毀損、滅失、竄改、越權揭露或存取、傳遞、儲存或其他相關利用。當上述情事發生時,公司必須通報ICO,說明大致情況及可能產生之結果,並提出公司將採取之因應措施,同時告知受害之消費者。
紐西蘭隱私專員辦公室「揭露涉及隱私案件之機關名稱」政策生效紐西蘭隱私專員辦公室日前針對「是否及如何揭露涉及隱私案件之機關(公務機關或非公務機關)名稱」發布政策;該政策自2014年12月1日起生效。 根據紐西蘭1993年隱私法的規定,隱私專員可決定公開有助於貫徹隱私法立法意旨的資訊等;只要符合此規定,原則上隱私專員也可揭露涉及所調查隱私案件之機關名稱。據此,紐西蘭隱私專員辦公室即於日前針對是否及如何揭露上述機關名稱制定並公布政策。 須說明的是,即使機關確有違法情事,其名稱亦不必然會被揭露,如果有法律上原因或有理由認定不適揭露時,則隱私專員將不會簽署授權揭露之文件。 根據該政策,如機關違反隱私法之行為將導致難以回復之損害、其行為將導致嚴重之後果、該機關被認定為故意違反法律、揭露機關名稱有利於公益,或存在不揭露機關名稱將導致同領域、產業之其他機關受到不合理之牽連或不利益等情形時,則違反機關之名稱較可能被揭露。反之,如果僅屬單一事件、機關之行為較不至於致不利影響,或存在揭露機關名稱反不利於公益等情形時,則機關名稱則較可能不會被揭露。