新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引
考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。
依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。
由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。
此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017)
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017)
- Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017
- New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA
張腕純
組長 編譯整理
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/public-consultation-6---nric/proposed-nric-advisory-guidelines---071117.pdf?sfvrsn=4 (last visited Nov. 20, 2017).
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/advisory-guidelines---selected-topics/ch-6---nric-(20170328).pdf?sfvrsn=2 (last visited Nov. 20, 2017).
Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017, http://www.straitstimes.com/tech/watchdog-seeks-stricter-protection-of-nric-data (last visited Nov. 20, 2017).
New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA, http://www.channelnewsasia.com/news/singapore/guidelines-on-nric-numbers-companies-9382290 (last visited Nov. 20, 2017).
美國聯邦通訊委員會(Federal Communications Commission, FCC)預計於2008年1月24日開始Action 73之頻譜拍賣程序,以釋出位於700MHz頻段之頻譜,此一頻譜拍賣程序預計將為期數週甚或數月。 根據規劃,美國政府將在2009年年初完成無線廣播電視數位化,屆時廣播電視業者將繳回目前使用之700MHz頻段。又由於此一頻段之電波具有傳輸距離遠與穿透力強之特質,此次之頻譜拍賣活動廣受各方業者矚目,符合競標資格之業者包括電信業者、網路服務提供業者、有線電視業者及衛星電視業者,如AT&T、Verizon Wireless、Google、EchoStar Communications及Cablevision Systems等。據估計,此一頻譜拍賣所得之競標價格可能將會突破百億美元。 此次拍賣之頻譜包括5個頻段,每一個頻段的拍賣規則與用途均有所不同。其中D頻段必須與公共安全機構共用,未來得標者必須與公共安全機構溝通並達成協議,其所建立之全國性網路在緊急狀況發生時,亦必須優先提供公共安全相關機構使用。職是之故,D頻段之競標價格目前仍遠低於聯邦通訊委員會所開出之底價,未來若無業者出價達競標底價,則聯邦通訊委員會將更改底價與競標規則後,重新開放競標。
俄亥俄州通過醫療用大麻合法化在俄亥俄州長於2016年6月18日簽署通過HB523法案後,俄亥俄州正式成為美國第25個將醫療用大麻合法化的州。這項法案將在今年11月生效,並且允許重症患者使用及採買醫療用大麻。 與原本在2015年11月被退回的法案相比,娛樂性用途大麻直接被排除在本次法案適用範圍外,而且不允許個人在家裡種植或是直接抽食。因此,與一般人想像中,如同荷蘭般的大麻合法化政策相當不同。 當然,某種層面上來說,這項法案對重症病患是一大福音,他們可以合法取得大麻,不再因為持有大麻而被當成罪犯。但是俄亥俄州這部法案對於大麻使用者於現實生活中情況能帶來多大的改善,仍讓人懷疑。因為在俄亥俄州現行法律及行政系統下,俄亥俄州政府並未隨著新的法案,推行相關行政措施。一般來說,在大麻合法化之區域,通常會要求雇主不得禁止員工使用與持有醫療用大麻,或是不可以因當事人有使用、持有或散佈醫療用大麻之紀錄或習慣,而拒絕錄用或是解聘之,同時,會禁止對員工施行藥物檢查。倘若雇主有前列之行為,通常會面臨處罰,例如:主管機關會取消該名雇主原先所享有之稅捐優惠或其他惠優措施。此外,員工得因雇主反禁藥之行為,對雇主提起訴訟。是以,在缺乏相關行政配套措施的情況下,俄亥俄州的大麻使用者未來在工作場所中,仍將會面臨許多挑戰以及障礙。 總而言之,俄亥俄州通過這部法案,在法律上可謂是一大里程碑,但尚與一般大眾認知的「大麻合法化」仍存有很大的差距。同時,未在行政作為上採取相對應的保障措施,仍可以想像將來醫療用大麻使用者在社會上仍將面臨許多障礙。
韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法(半導體特別法)》韓國2月通過《加強保護國家高科技戰略產業競爭力特別措施法(半導體特別法)》 資訊工業策進會科技法律研究所 2022年3月23日 韓國政府意識到在高科技產業競爭環境中培育知識人才,以及保護國家戰略產業發展的重要性。2019年修訂《防止產業技術外流及產業技術保護法》(下稱產業技術保護法),針對國家核心技術外流及侵害行為加以重罰外;復於2021年12月提出《國際霸權技術競爭下之科技保護策略》(下稱韓國科技保護策略),並於2022年2月3日通過《加強保護國家高科技戰略產業競爭力特別措施法》[1],於同年8月4日生效。分別說明如下: 壹、韓國高科技保護機制發展趨勢 韓國核心科技保護法制體系的特色,是在《防止不當競爭及營業秘密保護法》禁止竊密及《對外貿易法》出口管制之外,訂定了保護產業技術之專法《產業技術保護法》,並以韓國科技保護策略,宣告政府科技保護策略整體方針。 一、產業技術保護法 (一)立法目的 韓國於2006年10月27日制定《產業技術保護法》,該法第1條載明該法立法目的為:「防止工業技術的過度洩露和保護工業技術,以加強韓國工業的競爭力,促進國家安全和國民經濟的發展。」該法規範之國家核心技術係指在國內外市場中,具有較高經濟價值或高度產業成長潛力之技術,此類技術若外洩到國外,對於國家的安全保障及國民經濟發展,將造成重大惡劣影響之虞。 (二)產業技術保護委員會選定國家核心技術防止外流 《產業技術保護法》規定由產業通商資源部部長擔任產業技術保護委員會的委員長,成員包括財政部、教育部、科學部、外交部、法務部、國防部、農林部、保健部、環境部、交通部、海洋部、中小事業部次長、智慧局局長以及民間代表。 各部會由主管業務之產業技術範圍中選定國家核心技術名單,再由產業通商資源部部長及各主管部會部長選定國家核心技術,最後經由產業技術保護委員會經法定程序予以指定、變更、撤銷。該委員會主要根據該產業技術對國家安全保障及國民經濟衍生效益、國內外市占率,以及產業影響力,來進行考量國家核心技術清單,在每年2月底檢討前一年度執行情形,並於10月底更新下一年度國家核心技術及其保護計畫,決定國家核心技術清單。2021年1月產業技術保護委員會審議通過之「國家核心技術指定項目公告」修訂版,指定之國家核心技術包括半導體、顯示器、資通訊、電機電子、機械、機器人、鋼鐵、造船、交通、航太、核能、生命科學等12大領域共71項。 (三)防止國家核心技術外流加重罰則 《產業技術保護法》先後經歷8次修法強化保護力道,最新一次修法是在2019年8月,修法內容包括加強外資管控,凡是國外併購、合併,無論技術是自行開發或政府資助,皆須向政府申報,如果政府認為有影響國安之虞,可下令暫停或禁止;另外是加強技術保護責任,要求國家核心技術之持有及管理者採取必要的保護措施;修法前對於技術外流之懲罰規定僅設有上限(15年有期徒刑及15億韓元),故增訂技術外流至海外之最低罰則為3年以上有期徒刑及15億韓元罰金。 二、韓國科技保護策略 韓國政府2021年12月宣布之科技保護策略,旨在制定各部會科技保護策略方針,以避免韓國核心技術不法外流。該保護策略宣告: (一)將定期檢視國家核心技術之指定、變更與撤銷。 (二)針對國家核心技術清單制定一定執行期間(如5-10年,視技術項目而定)。 (三)規劃於2023年修正《產業技術保護法》,針對外資的認定,增訂間接持股、雙重國籍等情事。 (四)以過去出口管制之企業、投資審查之對象為基礎,將可能持有國家核心技術之企業登錄、加強管制,並建立國家核心技術專家資料庫,以持續監控其出入境。 (五)規劃跨部會合作,包括應用智慧財產局的專利資料庫,認定擁有國家核心技術之相關人員或機構。 貳、《加強保護國家高科技戰略產業競爭力特別措施法》 《加強保護國家高科技戰略產業競爭力特別措施法》(下稱半導體特別法),在《產業技術保護法》之「國家核心技術」外,額外定義「國家高科技戰略技術」,除出口、併購應依現行《產業技術保護法》事先取得產業通商資源部許可外。對於不法侵害國家高科技戰略技術,訂定更嚴厲的罰則;同時針對相關產業提供系統性支援措施。 一、成立由韓國總理主導的「國家高科技戰略產業委員會」,制定5年戰略產業培育及保護的基本計畫。 委員會組成:提高管理層級,由總理為主席,成員包括部會首長、產學研專家,委員人數不超過20名,並由產業通商資源部擔任秘書處。 各領域專門委員會:為協助委員會審查和事先審議,各戰略產業領域得設立專門委員會,每領域委員不超過10名,各專門委員會之主席由「國家高科技戰略產業委員會」主席根據部會首長推薦任命之。 二、「國家高科技戰略技術」由「國家高科技戰略產業委員會」指定,定義為: 影響國家及經濟安全重大者,例如影響供應鏈穩定之半導體技術。 具成長潛力、技術困難度及產業重要性者。 對於相關產業具重大漣漪效益者。 「國家高科技戰略產業」則指研究、開發、商業化國家高科技戰略技術,或以國家高科技戰略技術為基礎,商業化生產產品或服務的產業。 三、加重不法侵害國家高科技戰略技術的罰則:意圖在境外使用或使技術在外國使用,而不法侵害國家高科技戰略技術者,處15年以下有期徒刑、15億韓元以下罰金;未取得許可出口、投資併購而不法侵害國家高科技戰略技術者,處15年以下有期徒刑、15億韓元以下罰金。 四、中央及地方政府應制定培育、保護國家高科技戰略產業必要的政策。有關國家高科技戰略技術的保護,除半導體特別法有規定外,依《產業技術保護法》之規定。< 五、為支持國家高科技戰略產業,提供加速辦理許可、迅速處理環安或職安民事投訴、投入政府預算、減免稅金、培育專業人才等方案。 六、為穩定國家高科技戰略產業供應鏈,政府因自然災害或國際貿易形勢導致相關技術供需穩定有疑慮時,經營者、進出口、運輸、倉儲業者或國營事業,應依據總統令,以六個月為期限,於期間內辦理生產計畫、國內優惠供應方案或設施擴建等事項。 參、代結論:韓國本次《半導體特別法》評析 韓國《半導體特別法》在認定國家高科技戰略技術時,將民間企業或專家的意見,納入國家高科技戰略技術認定與管制機制的決策程序中,綜合考量該技術對國家及經濟安全、技術成長潛力等影響,在最小必要範圍內選定之。另,《半導體特別法》亦特別提出國家高科技戰略產業發展的優惠政策方案,讓該些產業雖因其重要性須受嚴厲管制,但同時也得到政府加速辦理許可、減免稅金等支持。就韓國本次修法,在其認定重要技術的評估方法,以及提供對應配套機制上,值得做為我國未來在保護重要高科技產業做法上的參考。 [1] Cabinet passes National High-Tech Strategic Industries Special Act, Jan. 25, 2022, https://english.motie.go.kr/en/pc/pressreleases/bbs/bbsView.do?bbs_cd_n=2&bbs_seq_n=911 (last visited 2022/03/20)
日本經產省發布《促進資安攻擊受害資訊共享檢討會最終報告書》,以加速資安情資共享日本經濟產業省(下稱經產省)於2023年11月22日發布《促進資安攻擊受害資訊共享檢討會最終報告書》(サイバー攻撃による被害に関する情報共有の促進に向けた検討会の最終報告書),主張共享資安攻擊受害資訊,掌握資安攻擊全貌,防止損害範圍擴大。經產省提出具體建議如下: 1.促進各專門組織間之資訊共享:藉由專門組織間的資訊共享,及早採取適當因應措施,避免損害持續擴大,並降低受害成本。所謂專門組織包含資安廠商、資安監控中心(Security Operation Center, SOC)營運商、防毒廠商,與依法令成立從事資安事件諮詢與分析之非營利組織,例如:一般社團法人日本電腦網路危機處理暨協調中心(一般社団法人JPCERTコーディネーションセンター),以及一般財團法人日本網路犯罪對策中心(一般財団法人日本サイバー犯罪対策センター)等。 2.共享無從識別受害組織之資訊:為加快資訊共享,經產省建議將資料去識別化至無從識別受害組織之程度,即可不經受害組織同意而共享資訊。 3.提出《攻擊技術資訊處理與活用指引草案》(攻撃技術情報の取扱い・活用手引き(案)):為提升專門組織共享資訊成效,經產省於指引中彙整受害組織資料去識別化作法,以及各專門組織間共享攻擊技術資訊之具體策略。 4.於保密協議中加入免責條款:經產省建議於受害組織與專門組織簽訂之保密協議中,加入專門組織免責條款,使專門組織具有利用或揭露攻擊技術資訊裁量權,對於利用或揭露資訊,致生受害組織被識別等損害時,非因故意或重大過失不須負擔法律責任,以利推動資訊共享。