澳洲個人資料洩漏計畫將於二月施行

　　澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme)，該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。

　　根據該計畫，受APPs約束的機構於發生個資洩露事件時，必須通知當事人以及可能會造成的相關損害，另外也必須通知澳洲私隱辦公室（Office of the Australian Information Commissioner, OAIC）相關資訊。

　　NBD計畫主要內容如下:

　　一、規範對象:

包括澳洲政府機構，年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號（TFN）受領人。
若數機構共享個人資料，則該告知義務由各機構自行分配責任。
關於跨境傳輸，根據APPs原則，於澳洲境外之機構必須以契約明定受澳洲隱私法規範，原則上若因境外機構有洩漏之虞，澳洲機構也必須負起責任。

　　二、個資洩露之認定:

未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。
可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。
個資外洩機構無法通過補救措施防止嚴重損害的風險。

　　三、OAIC所扮演之角色:

接受個資外洩之通報。
處理投訴、進行調查並針對違規事件採取其他監管行動。
向業者提供諮詢和指導。

　　四、於下列情形可免通知義務:

為維護國家安全或增進公共利益所必要。
與其他法案規定相牴觸者。

　　五、通知內容:

洩露資料的種類及狀況。
發生個資外洩事件機構之名稱以及聯繫窗口。
個資當事人應採取之後續行動，避免再度造成損害。

　　惟NBD 計畫對於個人資料的安全性沒有新的要求，主要是對APPs的補充，針對持有個人資料的機構採取合理措施，保護個人資料免遭濫用、干擾或損失， OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。

相關連結

※ 澳洲個人資料洩漏計畫將於二月施行，資訊工業策進會科技法律研究所， https://stli.iii.org.tw/article-detail.aspx?d=7983&no=16&tp=1 （最後瀏覽日：2024/07/01）

引註此篇文章