新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引
考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。
依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。
由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。
此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017)
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017)
- Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017
- New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA
張腕純
組長 編譯整理
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/public-consultation-6---nric/proposed-nric-advisory-guidelines---071117.pdf?sfvrsn=4 (last visited Nov. 20, 2017).
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/advisory-guidelines---selected-topics/ch-6---nric-(20170328).pdf?sfvrsn=2 (last visited Nov. 20, 2017).
Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017, http://www.straitstimes.com/tech/watchdog-seeks-stricter-protection-of-nric-data (last visited Nov. 20, 2017).
New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA, http://www.channelnewsasia.com/news/singapore/guidelines-on-nric-numbers-companies-9382290 (last visited Nov. 20, 2017).
英國廣播電視主管機關OFCOM於今年十月下旬公布,其將修酌廣播電視規則(Broadcasting Code),放寬商業廣播電視節目/頻道贊助規定。 現行的廣播電視規則禁止特定類型的節目接受贊助,例如新聞和時事節目不得接受贊助,也禁止特定種類之商品或服務廠商贊助特定節目,例如禁止酒商贊助兒童節目。 OFCOM表示將修酌現行規定,放寬節目/頻道贊助之規定,惟在兼顧節目編輯權以及兒童閱聽人之收視權益的考量下,將訂定相關的節目/頻道贊助限制,包括 1.必須使閱聽人知道節目有接受贊助,贊助廠商之資訊必須與節目和廣告內容所有區隔。 2.頻道贊助廠商之資訊不得出現於禁止接受贊助之節目內容中或播放時間之前、後。 3.贊助廠商資訊之呈現不得過於明顯。 4.節目頻道不得以贊助廠商之名稱命名。
美參議員盧比歐推動禁止與中國交易敏感科技之法案美國共和黨參議員盧比歐(Marco Rubio),亦為「美國國會及行政當局中國委員會」(Congressional-Executive Commission on China,簡稱CECC)之主席,於2018年5月宣布一項針對中國的立法——「美中公平貿易執行法」(Fair Trade with China Enforcement Act)。該法案以保護國家安全為目的,成為禁止美中兩國交易「敏感科技」之法源,同時,更提高課徵跨國公司來自中國的所得稅,藉以箝制中國竊取美國智慧財產。 而為因應中國國務院所提「中國製造2025」戰略計畫,其重點發展科技——機器人、航太、潔淨能源車(robotics, aerospace and clean-energy cars),該法案亦對中資持有美國研發製造上揭科技之公司的持股權予以限制。除此之外,該法更將禁止美國政府及其包商購買中國華為(Huawei)、中興通訊(ZTE)兩間公司的任何電信通訊設備或服務;美國國會和美國總統川普均指稱兩間公司會透過產品暗中監看美國,而施壓美國私人企業亦勿販售兩公司產品。 也許正如盧比歐參議員對外發表「美中公平貿易執行法」時所言,當今如何回應中國日益劇增對國家安全、竊取敏感科技之威脅,實為地緣政治(geopolitical)待解關鍵。
美國公民權利辦公室就Sentara醫療機構違反個資外洩通知義務予以重罰美國衛生及公共服務部(Department of Health and Human Services, 下稱HHS)轄下的公民權利辦公室(Office for Civil Right, 下稱OCR)在2019年11月27日,正式對Sentara醫療機構處以217萬美元行政罰,主因該機構違反《健康保險可攜與責任法》(Health Insurance Portability and Accountability Act, 下稱HIPAA)的醫療個資外洩通知義務。 HIPAA是美國有關醫療個資管理的主要規範,依據HIPAA第164.400條以下「違反通知規則」(Breach Notification Rule)規定,當超過500位病患的「受保護健康資訊」(Protected Health Information, 下稱PHI)遭受不當使用或被外洩時,除應通知受害人外,還必須立即告知HHS以及在當地知名媒體發布新聞。而OCR主要負責檢查受規範機構,是否確實執行HIPAA隱私、安全和違反通知規則。 而在2017年4月,HHS收到指控Sentara將含有病患姓名、帳號、就診日期等涉及PHI的帳單發送到錯誤地址,造成557名病患個資外洩。Sentara卻認為該帳單內容未含有病患病歷、治療資訊或其他診斷紀錄,且僅有8人被影響,並非HIPAA應進行個資外洩通知義務之範疇,故不依規定程序通報HHS。不過OCR認為依HIPAA第160.103條規定,PHI包含病史、保險資訊、就醫紀錄(含日期)、身心健康狀態等可識別個人之健康資訊。因此認為Sentara確實違反個資外洩通知義務,予以罰款並命檢討改善。 Sentara醫療機構服務範圍橫跨美國維吉尼亞州(Virginia)和北卡羅來納州(North Carolina),共有12家急性照護醫院、10家護理中心和3家照護機構,為美國最具知名的大型非營利醫療機構之一。這次重罰也告誡國內醫療機構當發生敏感性醫療個資外洩時應從嚴判斷,以避免民眾對醫療照護單位失去信任,確保國內醫療機構體系應恪遵HIPAA規範。
美國上訴法院營業秘密判決關於軟體功能之合理保密措施認定2022年3月9日美國聯邦第二巡迴上訴法院(下稱上訴法院)於Turret Labs USA, Inc. (下稱Turret) v. CargoSprint, LLC(下稱CargoSprint)案,維持紐約東區聯邦地區(下稱原審法院)的結論,駁回Turret的請求。依照上訴法院判決的結論,確認在原告主張軟體功能被盜用時,必須證明其與軟體供應商及使用者均簽訂保密協議,始符合保護營業秘密法(Defend Trade Secrets Act,DTSA)所定之營業秘密。 2021年2月Turret指控CargoSprint及其CEO,以詐欺的方式,進入其授權Lufthansa Cargo Americas(下稱Lufthansa)使用的Dock EnRoll軟體,並對於軟體的技術資訊及演算法,進行逆向工程,盜用其營業秘密。CargoSprint則抗辯Turret所主張者,不成立營業秘密。 對於軟體功能的合理保密措施認定標準,不論是原審法院及上訴法院均指出,應在於「誰被允許接觸」及「保密協議」。首先,對於「誰被允許接觸」之認定,原審法院指出Turret完全把軟體控制權委由Lufthansa,而Lufthansa使其顧客了解Dock EnRoll軟體功能。上訴法院則指出雖然Lufthansa已限制僅得貨運代理相關的使用者,能夠接觸軟體,但Turret並不能證明其與Lufthansa達成協議,由Lufthansa作出前述的軟體使用者限制。其次,對於「保密協議」之認定,不論原審法院及上訴法院均指出Turret未能證明其與Lufthansa及其他軟體使用者已簽訂保密協議。綜上所述,兩審級法院均認為Turret未採取合理保密措施。 本文同步刊登於TIPS網站(https://www.tips.org.tw)