新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引
考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。
依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。
由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。
此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017)
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017)
- Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017
- New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA
張腕純
組長 編譯整理
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/public-consultation-6---nric/proposed-nric-advisory-guidelines---071117.pdf?sfvrsn=4 (last visited Nov. 20, 2017).
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/advisory-guidelines---selected-topics/ch-6---nric-(20170328).pdf?sfvrsn=2 (last visited Nov. 20, 2017).
Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017, http://www.straitstimes.com/tech/watchdog-seeks-stricter-protection-of-nric-data (last visited Nov. 20, 2017).
New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA, http://www.channelnewsasia.com/news/singapore/guidelines-on-nric-numbers-companies-9382290 (last visited Nov. 20, 2017).
2022年5月澳門終審法院審結一宗涉及中國大陸家喻戶曉的涼茶品牌「王老吉」商標的爭議案,裁定兩個與「王老吉」有關商標的權利人(下稱失效商標之權利人)「未認真」使用商標,故宣告有關註冊失效。 查澳門有關商標失效之法規為《工業產權法律制度》第 231條第1項b款:「一、商標之註冊在下列情況下失效:b) 連續三年未認真使用商標」。而失效商標之權利人主張延展商標專用期限,應認為有認真使用商標,但最後終審法院認為延展商標專用期限不算是認真使用商標,而宣布其註冊商標失效。終審法院也引述歐盟法院判決輔助其判斷,指出關於商標認真使用的主要宗旨為以下: (1)認真使用:本案判決指出「如果說某個已註冊商標的權利人有“權利”對商標進行(排他性的)使用,那麼他同時也負有使用該商標的義務」,因此,商標認真使用指的是權利人必須確實將註冊商標使用在註冊的商品或服務上,達到商標向消費者(或稱公眾)指明某商品與服務來源的法律功能後,始能認定其為認真使用。(歐盟法院亦肯認之,認為認真使用指的是符合商標作為其註冊「產品或服務的來源識別」這一個主要功能)。 (2)未認真使用:本案判決特別指出,如果僅僅是基於阻擋他人使用該商標的「投機性目的」而註冊商標,卻未對公眾使用或僅為象徵性的使用(如非向公眾銷售的內部使用 又本文亦觀察到本案失效商標的權利人非中國知名涼茶「王老吉」所屬的廣州醫藥集團有限公司,若終審法院最後未做出商標失效的判決,將可能影響廣州醫藥集團有限公司在澳門市場拓展「王老吉」品牌。因此企業若要避免此類商標搶註風險,應事前在品牌拓展規劃時期同步做好「商標布局」規劃。否則,只能透過事後向商標專責機關「即時主張救濟」,如:以「商標未使用」主張申請廢止該商標。 本文同步刊登於TIPS網站(https://www.tips.org.tw)
美國資訊安全分析新挑戰:巨量資料(Big Data)之應用在2013年的國際資訊安全會議(RSA Conference)上,資安專家紛紛表示,將Big Data技術應用於資訊安全分析的項目上,確實可以幫助企業建立更佳的情勢判斷能力,但在實際執行過程中是一大挑戰。 資安廠商如RSA和賽門鐵克公司,在會議上表示目前的策略是透過新的數據匯集、比對和分析協助企業篩選、過濾結構化和未結構化資料的威脅指標,這是傳統的特徵偵測(signature-based)安全工具無法做到的。 不像傳統的安全手段著重於阻斷攻擊,新的技術強調偵測並立即回應違犯行為,也就是提前遏止任何違犯行為,協助企業作全面性的偵測而不擔心有所遺漏。 由於越來越多的美國政府機關和民間企業遭受到針對性和持續性的攻擊,巨量資料技術的應用需求激增。企業內部都累積著大量的數據和多元的數據種類,而需要動新技術來保護這些數據資料免於惡意人士或對手的竊取或其他侵害行為。企業應該要因應實際面臨的威脅和所獲悉的威脅情報來建立安全模型,取代部署特定產品和外圍系統的防禦。 美國無論是政府機關或民間企業都被捲入了不對稱戰爭-對手是武器精良、準備充分並有嚴密組織的網路敵人。 「駭客只需要攻擊成功一次,但我們必須每次都是成功的」賽門鐵克的總裁deSouza表示。「因此與其專注的在阻擋所有威脅,更好的辦法是使用巨量資料技術偵測侵入行為並消解之」。而在會議中資安專家都肯認至少從理論上來說,以巨量資料技術強化資訊安全是很好的想法。 不過另有其他的說法,金融服務企業LSQ的首席安全及法務主管皮爾遜認為,許多人的電腦紀錄檔和所有的電子裝置都早就被侵入滲透了,這才是問題所在。他表示,目前現存的SIEM(安全性資訊及事件管理)工具可以讓企業聚集來自許多個安全設備的巨量登錄數據整合在同一系統內,但真正的問題是,SIEM工具必須要有能力分析數據並找出關聯性,如此才能偵測到駭客入侵的前兆證據和真實的入侵行為,這和彙整數據是不同的兩件事。許多企業所面臨的問題不是缺乏數據資料,而是要如何為資訊安全的目的建立關聯規則和應用方式,以有效率的方式找出有用的巨量數據並進行分析,和留下可供進行訴訟使用的證據。
美國證券交易委員會發布指引要求公司進一步揭露加密資產之潛在影響美國證券交易委員會(United States Securities and Exchange Commission,下稱SEC)於2022年12月8日發布「致公司有關近期加密資產市場發展之樣本函(Sample Letter to Companies Regarding Recent Developments in Crypto Asset Markets)」指引文件(下稱本指引),指導公司應針對自身業務涉及近期加密資產市場動盪事件(如虛擬貨幣交易所破產等),進行直接或間接影響之風險揭露,以符合聯邦證券法規之資訊揭露(如風險及風險暴露等)義務。SEC轄下之企業金融處(Division of Corporation Finance,以下簡稱金融處)認為公司應向投資者提供具體且量身訂製之市場動盪事件報告、揭露公司在動盪事件中之狀況以及可能對投資者造成之影響。爰此,本負有常態報告義務的公司應據此考量現有的揭露內容是否須進行更新。 金融處說明,為加強並監督公司對資訊揭露要求之遵守狀況,爰依據1933年證券法(Securities Act of 1933)及1934年證券交易法(Securities Exchange Act of 1934)內涵,要求公司亦須針對應作出聲明的實際狀況,進一步揭露相關重大訊息,且不得進行誤導。本指引所要求公司明確揭露加密資產市場發展的重大影響,包括公司對競爭對手及其他市場參與者之風險暴露;與公司流動資金及獲取融資能力相關的風險;及與加密資產市場法律程序、調查或監管影響相關的風險等。 值得注意的是,本指引並未列出公司應考量問題的詳細清單,個別公司應視自身情況評估已存在之風險,或是否可能受到潛在風險事項的影響。由於公司所揭露之文件事前通常不會經過金融處審查,因此金融處也敦促各公司應自主依循本指引進行相關文件準備。