新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引
考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。
依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。
由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。
此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017)
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017)
- Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017
- New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA
張腕純
組長 編譯整理
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/public-consultation-6---nric/proposed-nric-advisory-guidelines---071117.pdf?sfvrsn=4 (last visited Nov. 20, 2017).
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/advisory-guidelines---selected-topics/ch-6---nric-(20170328).pdf?sfvrsn=2 (last visited Nov. 20, 2017).
Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017, http://www.straitstimes.com/tech/watchdog-seeks-stricter-protection-of-nric-data (last visited Nov. 20, 2017).
New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA, http://www.channelnewsasia.com/news/singapore/guidelines-on-nric-numbers-companies-9382290 (last visited Nov. 20, 2017).
巴西政府於2015年1月28日公布個人資料保護法草案(Regulation Of The Brazilian Internet Act And Bill Of Law On Personal Data Protection),該草案適用於個人和通過自動化方式處理個人資料的公司,惟前提是(1)處理行為發生在巴西或(2)蒐集個人資料行為發生在巴西。該草案將強加規範企業處理其在巴西的個人資料,包括資料保護義務和要求: 一、企業必須使資料當事人能夠自由的、直接的,具體的使當事人知悉並取得人同意以處理個人資料。 二、除了在有限的例外情況下,禁止處理敏感個人資料。例如資料當事人已被告知處理敏感個人資料的相關風險,並有具體的同意。敏感的個人資料包括,種族和民族淵源,宗教,哲學或道德信仰,政治觀點,健康和性取向資料,以及遺傳數據。 三、資料外洩時有義務立即報告主管機關。 四、當個人資料是不完整,不準確或已經過期時,允許資料當事人查詢他們的個人資料並更正之。 五、不得提供個人資料給資料保護水平不相似的國家。 六、有義務依比例原則採取安全保障措施以處理個人數據,防止未經授權的訪問,破壞,丟失,篡改,通訊或傳播資料。
歐盟執委會關切奈米科技對於食品安全之影響近年來,奈米科技已多方使用於食品製造業中,舉凡食品的殺菌、保存或食材的包裝等,皆為適例。然而,隨著奈米科技的影響層面逐漸擴大,無論係其功用的研發或風險的防範,仍有進一步研究之必要。 歐盟執委會(European Commission)根據2007年3月其新興健康風險科學委員會(SCENIHR)所提出之報告,認為應加強認識奈米科技對於食品安全之影響,遂邀請歐洲食品安全局(EFSA)就該領域提出科學看法。至2008年10月14日,歐洲食品安全局科學委員會即公布「奈米科技對於食品和飼料所引起之潛在風險(Potential Risks Arising from Nanoscience and Nanotechnology on Food and Feed Safety)」草擬意見,其內容係說明奈米科技應用於食品製造業之多種樣態、人為奈米材料(engineered nano materials,ENM)於食品或飼料製造過程中所產生之作用,以及判斷現有之風險評估方式能否合於需要。 該草擬意見歸結數項結論如下: (1) 因人為奈米材料之體積微小且具有高表面積,於人體吸收時較一般物質更容易產生反應。 (2) 關於化學物質於奈米尺寸下將產生何種變化,迄今無法做出令人滿意之科學論斷,因此就安全性與相關數據的累積,仍需要個別檢視。 (3) 建議應針對風險評估一事設置國際基準,且該基準可同時適用於人為奈米材料及一般化學物質。 (4) 食品與飼料中含有人為奈米材料者,於風險評估時應包括該材料特性之敘述,並進行毒理研究分析,使資訊蒐集更為完備。 由於人為奈米材料不確定之事項甚多,因此需要更豐富的資料加以釐清;而該草擬意見除提供歐盟執委會評估現行法制、研究可行措施外,亦向公眾廣徵回應;民眾可於2008年12月1日前,提供歐洲食品安全局相關科學證據或意見,待該局進行彙整後,將與歐盟會員國商討後續事宜。
美國食品藥物管理局公布三項食品安全查檢與風險管理相關規定為落實美國食品安全現代化法有關食品追溯與風險控管安全認證規定,美國食品藥物管理局(U.S. Food and Drug Administration, FDA)於2015年11月13日公布「農產品安全規則」(The Produce Safety rule)、「第三方審核機構進行食品安全認證規則」(The Accredited Third-Party Certification rule)與「外國供應商審核規則」(The Foreign Supplier Verification Programs, FSVP)等三項實行細則。其中,「農產品安全規則」首次針對美國境內生產農場建立強制性安全標準,為種植、收獲、包裝和保存農產品建立基於科學的標準(包括水質、員工健康和衛生、野生和家養動物、動物源生物土壤改良劑以及設備、工具和建築物等各種要求)。 而在「第三方審核機構進行食品安全認證規則」與「外國供應商審核規則」主要係確保進口食品符合美國境內生產食品相同之安全認證標準,確保與美國食品追溯制度構聯。食品藥品管理局採用多管齊下的策略,包括與外地監管機關建立夥伴合作關係、檢查出口國的設施、要求進口商就進口食品安全負責,以及對進口食品進行針對性的檢測。
英國成立英國衛生與社會照護資訊中心整合政府醫療資訊隨著英國國家健康服務(National Health Service, NHS)的改革,衛生和社會照護法(The Health and Social Care Act 2012)第九部分第二章,規範成立英國衛生與社會照護資訊中心(The Health and Social Care Information Centre, HSCIC)作為政府醫療資訊公開、整合與管理單位,此項規定於今(2013)年4月1日生效。 HSCIC並非正式的政府部會,而屬於執行行政法人(Executive Non Departmental Public Bodies),向衛生部長(Secretary of State for Health)負責,其職責除了蒐集、分析和傳播國家資料暨統計資訊以外,同時亦進行國家各層級的醫療資訊基礎設施的整合,作為醫療資訊數據公開的門戶;此外,HSCIC利用其行政法人的特性,將醫療組織視為客戶,提供不同的服務和產品,以協助其達到所需的資訊管理需求。透過HSCIS對於資訊的整合再公開,有助於在增進政府資訊透明性的同時,亦保障了資訊流動的效率和安全性。 其中HSCIC對於敏感性資料之應用,特別設立資料近用諮詢小組(Data Access Advisory Group, DAAG)予以處理。資料諮詢小組是每月定期由HSCIC所主持的獨立運作團體,須向HSCIC委員會負責。當HSCIC面臨敏感性資料或可識別個人資料之應用(包括是為了研究目的,和為了促進病人的醫療照護所需之應用)時,即交由資料近用諮詢小組會議來討論,以確保揭露該項資訊的風險降到最低。 從HSCIC的組織任務能輕易地發現其具有強大整合醫療資訊之功能,其未來發展勢必與過往飽受爭議的醫療資訊應用息息相關,因此相當值得我們持續觀察HSCIC的後續動態。