新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引
考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。
依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。
由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。
此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017)
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017)
- Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017
- New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA
張腕純
組長 編譯整理
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/public-consultation-6---nric/proposed-nric-advisory-guidelines---071117.pdf?sfvrsn=4 (last visited Nov. 20, 2017).
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/advisory-guidelines---selected-topics/ch-6---nric-(20170328).pdf?sfvrsn=2 (last visited Nov. 20, 2017).
Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017, http://www.straitstimes.com/tech/watchdog-seeks-stricter-protection-of-nric-data (last visited Nov. 20, 2017).
New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA, http://www.channelnewsasia.com/news/singapore/guidelines-on-nric-numbers-companies-9382290 (last visited Nov. 20, 2017).
美國聯邦通訊委員會(Federal Communication Commission, FCC)於今年1月15日頒佈一項新命令,禁止進一步經銷或出售使用700MHz頻段(698-806MHz)的無線麥克風等設備。700MHz頻段在2009年6月12日數位電視轉換完成後,已不再供電視台廣播使用。FCC表示此項命令的頒佈,目的在清空700MHz頻段,以避免上述設備對目前使用此一頻段的公共安全通訊(如警察、消防及緊急服務)與商用無線通訊服務,產生妨害性干擾。上述設備所使用之頻段,先前已由主要無線通訊業者以約200億美元標得執照。 FCC頒佈此項新命令,將影響百老匯劇院、運動聯盟及其他公眾娛樂團體目前利用700MHz頻段經營的無線麥克風系統。在新命令頒佈前,上述團體曾表示希望維持繼續使用部份700MHz頻段,並表示其使用將不會對新的使用者造成干擾,惟FCC並未採納其意見。 為確保目前使用700MHz頻段免執照設備的個人或團體,能有充分時間轉換至適當之替代頻段,FCC將允許其繼續使用至今年6月12日止。同時,對於先前已購買使用700MHz頻段設備之消費者,亦提出相關計畫以提供協助。
美國衛生部門公布個人健康資訊外洩責任實施綱領美國健康與人類服務部(Secretary of Health and Human Services;以下簡稱HHS),於2009年4月17日公布「個人健康資訊外洩通知責任實施綱領」(Guidance Specifying the Technologies and Methodologies That Render Protected Health Information Unusable, Unreadable, or Indecipherable to Unauthorized Individuals for Purposes of the Breach Notification Requirements under Section 13402 of Title XIII (Health Information Technology for Economic and Clinical Health Act) of the American Recovery and Reinvestment Act of 2009; Request for Information;以下簡稱本綱領)。本綱領為美國迄今唯一聯盟層級之資料外洩通知責任實施細則,並可望對美國迄今四十餘州之個資外洩通知責任法制,產生重大影響。 本綱領之訂定法源,係依據美國國會於2009年2月17日通過之經濟與臨床健康資訊科技法(Health Information Technology for Economic and Clinical Health Act;以下簡稱HITECH),HITECH並屬於2009年「美國經濟復甦暨再投資法」(America Recovery and Reinvestment Act;簡稱ARRA)之部分內容。 HITECH將個人健康資訊外洩通知責任的適用主體,從「擁有」健康資訊之機構或組織,進一步擴大至任何「接觸、維護、保留、修改、紀錄、儲存、消除,或以其他任何形式持有、使用或揭露安全性不足之健康資訊」的機構或組織。此外,HITECH並規定具體之資料外洩通知方法,即必需向當事人(資訊主體)以「即時」(獲知外洩事件後60天內)、「適當」(書面、或輔以電話、網站公告形式)之方式通知。不過,由於通知之範圍僅限於發生「安全性不足之健康資訊」外洩,故對於「安全性不足」之定義,HITECH即交由HHS制定相關施行細則規範。 HHS本次通過之實施辦法,將「安全」之資料定義「無法為第三人使用或辨識」,至於何謂無法使用或辨識,本綱領明定有兩種情形,一是資料透過適當之加密,使其即使外洩亦無法為他人辨識,另一則是該外洩資訊之儲存媒介(書面或電子形式)已被收回銷毀,故他人無法再辨識內容。 值得注意的是,有異於美國各州法對於加密標準之不明確態度,本綱領已指明特定之技術標準,方為其認可之「經適當加密」,其認可清單包含國家標準與技術研究院(National Institute of Standards and Technology)公布之Special Publication 800-111,與聯邦資訊處理標準140-2。換言之,此次加密標準之公布,已為相關業者提供一可能之「安全港」保護,使業者倘不幸遭遇資料外洩事件,得主張資料已施行適當之加密保護,即無需承擔龐大外洩通知成本之衡平規定。
美國國際貿易委員會(USITC)發布「全球數位貿易報告」,推動數位經濟新機會2014年8月,美國國際貿易委員會(USITC)發布「美國與全球經濟體之數位貿易」政策報告,該報告係應美國國會參議院財政委員會(Senate Committee on Finance)之要求所進行之調查,期能夠深入了解數位貿易(Digital Trade)在美國與全球經濟體之間的發展,無論係透過網際網路(Internet)所進行之在地化商業行為抑或國際貿易,能夠有效指認出阻礙美國進入全球數位貿易市場之阻礙。 報告指出,數位貿易當有助於整體經濟之正面發展,例如促進通訊、加快商業交易、增進資訊近取,並能夠增進中小企業之市場機會。然而,根據所回收之調查數據顯示,目前存在著影響國際間數位貿易若干法制障礙,分別為:在地化的要求(localization requirements)、市場進入的限制(market access limitations)、資料隱私與保護規範要求(data privacy and protection requirements)、智慧財產權侵害(IPR infringement)、不確定之法律責任(uncertain legal liability)、公部門網路管制(censorship),以及在地消費者之不同要求(compliance with customs requirements)。 然而,報告也指出十項對於企業與消費者的新機會: 第一,在內容產業,將有助於扶持獨立的創作者;第二,在旅遊與住宿產業,可促進更佳的利用率;第三,網際網路有助降低求職摩擦,降低失業率;第四,增進線上服務之合作與整合,例如應用軟體介面經濟面之貢獻;第五,保險產業界運用巨量資料分析帶動之創新發展;第六,透過M2M通訊,改善製造流程;第七,農業界之數位創新;第八,網路使用者之資料蒐集,在隱私權考量與相關正面效益間取得平衡;第九,增進美國網路公司之全球競爭力;第十,促進中小企業之出口。 因此,對於欲進軍全球聯網市場之我國資通訊高科技業者來說,應當留意相關之法制障礙,遵循不同國家之法律規範,掌握聯網新興科技所帶動之下一波龐大商機。
美國聯邦通訊委員會開放頻段供固定式之低功率無線通訊設備使用歐洲商會在10月26日舉行記者會,公布「2006-2007 年建議書」。該份建議書肯定我政府改善投資環境的努力,但該商會仍然呼籲政府要加速兩岸貿易正常化、強化內部溝通與外部協調,才能提供最完善的國際投資環境。 根據統計,歐盟在台投資大幅躍升,今年更超越美國在台投資總額,居外資在台投資第一位,顯示歐商對於台灣投資環境的重視與信心;政府也有決心繼續鬆綁法規,強化區域整合,以提供完善投資環境。對於歐洲商會建議之重點議題,經建會已對於各項議題作出初步回應,並表示行政院相關機關會積極檢討並持續溝通。 經建會胡勝正主委強調,歐洲商會所關切的議題有些牽涉全面政治環境考量,例如擴大開放大陸商品來台或放寬大陸投資40 %上限等,將請主管機關朝放寬方向為整體性之研議規劃;其至於他屬現行政策可行但未解決問題,經建會將持續協調相關部會,朝開放的方向規劃推動。