新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引

  考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。

  依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。

  由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。

  此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。

相關連結
※ 新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7920&no=55&tp=1 (最後瀏覽日:2026/07/07)
引註此篇文章
你可能還會想看
GDPR跨國執法新程序帶來的變革

GDPR跨國執法新程序帶來的變革 資訊工業策進會科技法律研究所 2025年12月10日 隨著2025年12月12日歐盟官方公報(Official Journal, OJ)正式發布《一般資料保護規則》(General Data Protection Regulation, GDPR)跨境執法補充程序規則[1](Regulation (EU) 2025/2518),表彰歐盟立法者在協調GDPR跨境執法邁出關鍵的一步。新規則規範各成員國個資監管機關(Supervisory Authorities, SAs)於執行跨境GDPR投訴與進行案件調查的應遵守程序規則。 壹、立法背景 個資監管機關在其成員領土範圍享有管轄權,惟控制者或處理者於多成員國設立據點或處理資料時,各監管機關必須合作並共享決策,此種方式稱為一站式機制(one-stop-shop mechanism)。營運者主要據點的個資監管機關應負責協調監督任務,該主責之個資監管機關稱為主導監督機關(Lead Supervisory Authority, LSA),與此相對的個資監管機關被稱為相關監督機關(Supervisory Authorities Concerned, CSA),兩者需合作過程中交換相關資訊。此種合作模式偏向分散式執法,而導致個人救濟的遲延、如企業主要據點變更須移轉SA管轄權導致執法程序延宕等諸多功能性缺陷,減損GDPR希望達到的執法一致性[2]。 於此背景下,歐盟執委會(European Commission)便提出了一項補充性規則提案[3],企圖提高各盟成員個資監管機關跨境執法效率與一致性。這項提案於2025年6月16日達成協議[4],於2025年10月21日由歐盟議會(European Parliament)宣布通過最終文本,並後續於同年11月17日由歐盟理事會(Council of the European)正式宣布通過,於同年12月12日正式發布於歐盟官方公報(Official Journal, OJ)。 貳、重點概覽 一、 統一的申訴規則 新補充規範適用之前提涉及跨境執法,其具體適用範圍主要有兩類,其一是基於申訴之調查(complaint-based);第二類是基於職權之調查(ex officio)。此外,涉及跨境處理之案件進行申訴處理與調查,亦包括判定該案件是否屬於跨境處理。 新補充規則進一步調整以往各國不協調的申訴受理標準,建構統一的跨國申訴受理標準。依據新補充規則,提起跨境資料處理的申訴案件,應包含: 1.申訴人之姓名與聯絡資訊; 2.有助於識別被申訴對象(資料控制者或處理者)的資訊; 3.涉及違反GDPR行為之描述。 除前述資訊外,不得要求提供其他額外資訊作為其可受理之要件。監管機關應於2周內評估申訴是否可受理,受理申訴之個資監管機關如認定該申訴未包含前述資訊,應於收到該申訴之兩週內,宣告其為不可受理,並將其理由告知申訴人。 二、程序保障-意見陳述與行政檔案的資訊近用 對於受調查的組織,新補充規則提供相對應的程序保障,以確保個資監管機關做出最終決定前,組織能有意見陳述的機會,也就是意見陳述權(The right to be heard)。 當主導監督機關(Lead Supervisory Authority, LSA)初步認為存在違反GDPR的行為時,必須先擬定「初步調查結果」(preliminary findings)給受調查組織。該初步調查結果必須包含事實、證據和法律評估,以及擬採取的糾正措施(例如罰款)。 初步調查結果通知後,受調查的組織有少至三週時間,至多有六週時間以書面回應或申請聽證。 陳述意見權的配套是對行政檔案之近用權,被調查當事人與申訴人均有權近用行政檔案,但須排除: 1.監管機關內部資訊; 2.商業機密或其他機密資訊。 三、提升案件決策效率的機制 目前對GDPR執法的常見批評之一是決策速度緩慢。新補充規引入較嚴格的決策期限限制和提高效率的機制。 (一) 決策期限 原則上,主導監管機關應於其管轄權獲確認之日起十五個月內提出決定草案;該期間僅得於例外情形下延長一次。 (二) 早期解決程序 引入一套機制來快速處理申訴。如果GDPR違法行為已得到糾正,且投申訴不成立,在申訴人不提出異議的情況下,個資監管機構得逕行結案。 (三) 簡化合作程序 對於「情節明確、無合理疑義」之案件,個資監管機關得選擇採行簡化之合作程序,以避免行政官僚程序所造成之延宕。 參、結語 跨境執法補充程序規則,旨在解決過去跨境個資案件中程序延宕、不一致等長期性問題。具體而言,其措施包含進一步細化申訴可受理標準、明確化調查程序的陳述意見權、行政檔案近用與商業機密保護並提高決策效率。 這套補充規則透過更詳細的規範,補足既有一站式機制的不足,有機會使跨境資料處理申訴案件能更有效率且同時以兼顧透明度與正當程序之方式獲得解決。 [1] Regulation (EU) 2025/2518, O.J. L, 2025/2518, 12.12.2025, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=OJ:L_202502518 [2] European Parliament [EP], Newly proposed GDPR procedural rules: Improving efficiency and consistency 4(2024). [3] COM(2023)0348 – C9-0231/2023 – 2023/0202(COD). [4] European Council [EC], Data protection: Council and European Parliament reach deal to make cross-border GDPR enforcement work better for citizens, https://www.consilium.europa.eu/en/press/press-releases/2025/06/16/data-protection-council-and-european-parliament-reach-deal-to-make-cross-border-gdpr-enforcement-work-better-for-citizens/ (last visited Dec.8, 2025)

美國勞工部發布「人工智慧及勞工福祉:開發人員與雇主的原則暨最佳實務」文件,要為雇主和員工創造雙贏

.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國勞工部(Department of Labor)於2024年10月發布「人工智慧及勞工福祉:開發人員與雇主的原則暨最佳實務」(Artificial Intelligence and Worker Well-Being: Principles and Best Practices for Developers and Employers)參考文件(下稱本文件)。本文件係勞工部回應拜登總統2023年在其《AI安全行政命令》(Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)中對勞工的承諾,作為行政命令中承諾的一部分,本文件為開發人員和雇主制定如何利用人工智慧技術開展業務的路線圖,同時確保勞工可從人工智慧創造的新機會中受益,並免受其潛在危害。 本文件以八項AI原則為基礎,提出最佳實踐作法,其重點如下。 1. 賦予勞工參與權(empowering workers):開發人員和雇主履行各項原則時,應該秉持「賦予勞工參與權」的精神,並且將勞工的經驗與意見納入AI系統整個生命週期各環節的活動中。 2. 以合乎倫理的方式開發AI系統:開發人員應為AI系統建立標準,以利進行AI系統影響評估與稽核,保護勞工安全及權益,確保AI系統性能符合預期。 3. 建立AI治理和人類監督:組織應有明確的治理計畫,包括對AI系統的人類監督機制與定期評估流程。 4. 確保AI使用透明:雇主應事先告知員工或求職者關於AI系統之使用、使用目的及可能影響。雇主及開發人員應共同確保以清晰易懂的方式公開說明AI系統將如何蒐集、儲存及使用勞工的個資。 5. 保護勞工和就業權利:雇主使用AI系統時,除應保障其健康與安全外,不得侵犯或損害勞工的組織權、法定工資和工時等權利。 6. 使用AI以提升勞工技能(Enable Workers):雇主應先了解AI系統如何協助勞工提高工作品質、所需技能、工作機會和風險,再決定採用AI系統。 7. 支援受AI影響的勞工:雇主應為受AI影響的勞工提供AI技能和其他職能培訓,必要時應提供組織內的其它工作機會。 8. 負責任使用勞工個資:開發人員和雇主應盡責保護和處理AI系統所蒐集、使用的勞工個資。

日本P2P軟體Winny開發者再遭起訴,並具體求刑一年

日本東京地檢署以助長著作權侵害為由,於 7 月 3 日 向東京地方法院對日本知名檔案交換軟體( P2P ) Winny 的開發者金子 勇提起訴訟,並具體求處有期徒刑一年。這是繼 2004 年 5 月京都地檢署起訴金子 勇後,對同一 P2P 軟體開發者另為起訴的案件。   2002 年,東京大學資訊理工學系研究助理金子 勇開發出可供他人使用的分散式 P2P 軟體 Winny ,旋即受到廣大網友的歡迎。使用者透過 Winny ,不僅交換著未經授權的音樂、影片檔案,甚至包括了部份的警方或自衛隊官方文件。而日本各大企業,如日本雅虎、富士通及 NEC 等,也陸續傳出因公司職員使用 Winny 而導致員工及客戶個人資料外洩的事件。    針對 Winny 開發者起訴案件,目前京都地方法院尚未作出判決,而日本東京地方法院已預定於 9 月 4 日 進行公開審判。此外,因應 Winny 所肇致的資安問題,各相關企業也順勢推出可過濾 Winny 的軟硬體設備,如日本京瓷公司( KCCS )即於 7 月 10 推出企業網路管理軟體,除可偵測內部電腦是否安裝 Winny 外,亦可阻絕已安裝 Winny 的電腦連接至企業網路。

台灣蕨類大會師

  台灣蕨類資源相當豐富,為保存台灣原生蕨類植物資源,我國政府於和平鄉鳥石坑規劃成立「蕨類園」,共蒐集台灣原生種蕨類 32科200多種,經過4年培育,蕨類生長茂盛,是很好的科學研究與生活旅遊教材。根據研究,台灣蕨類共37科、約620種,「蕨類園」的目標希望蒐集300至400種台灣中低海拔原生蕨類,做為種源保存、學術研究與解說教育之用。   蕨類是台灣常見的植物之一,在居家圍牆裂縫或庭園造景的石頭縫裡,就可觀察到鱗蓋鳳尾蕨、劍葉鳳尾蕨、細毛小毛蕨和腎蕨等蕨類,但是大多數民眾對蕨類卻非常陌生,因此該中心擬將蕨類納入社區生態與環境教育介紹的主題,教導參觀者如何欣賞各種蕨類之美。   台灣蕨類資源到底有多豐富?根據形容,台灣蕨類比整個歐洲還多,面績是台灣好幾倍大、且非常喜歡蕨類的紐西蘭,也只有 100多種。在單位面積分布上,台灣堪稱蕨類植物的天堂。因此 , 台灣「蕨類園」之成立將會是台灣生態保育的一個重要里程碑 。

TOP