澳洲個人資料洩漏計畫將於二月施行

  澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。

  根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。

  NBD計畫主要內容如下:

  一 、規範對象:

  1. 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。
  2. 若數機構共享個人資料,則該告知義務由各機構自行分配責任。
  3. 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。

  二 、個資洩露之認定:

  1. 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。
  2. 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。
  3. 個資外洩機構無法通過補救措施防止嚴重損害的風險。

  三 、OAIC所扮演之角色:

  1. 接受個資外洩之通報。
  2. 處理投訴、進行調查並針對違規事件採取其他監管行動。
  3. 向業者提供諮詢和指導。

  四 、於下列情形可免通知義務:

  1. 為維護國家安全或增進公共利益所必要。
  2. 與其他法案規定相牴觸者。

  五 、通知內容:

  1. 洩露資料的種類及狀況。
  2. 發生個資外洩事件機構之名稱以及聯繫窗口。
  3. 個資當事人應採取之後續行動,避免再度造成損害。

  惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。

相關連結
※ 澳洲個人資料洩漏計畫將於二月施行, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7983&no=55&tp=1 (最後瀏覽日:2025/12/14)
引註此篇文章
你可能還會想看
英國發布《資料主體近用權指引》說明資料近用權法遵重點及實例解析

  英國資訊委員辦公室(Information Commissioner’s Office, ICO)於2020年10月21日發布《資料主體近用權指引》(Guidance of Right of access),針對資料主體行使資料近用權之請求(Data Subject Access Request, DSAR),受請求之機構應如何進行識別判斷、簡化處理方式,以及特殊例外情況等法遵重點提供指導方針,並進行實例說明解析,以幫助受請求之機構在面臨資料主體之近用權請求時能快速且有效的處理。   英國「個人資料保護法」(The Data Protection Act 2018)依據歐盟「一般資料保護規則」(GDPR)於2018年重新修訂,其中資料近用權更是對於資料主體相當重要的基本權利,進而影響受請求之機構必須了解如何有效率的處理資料近用權之請求,並確實履行其在法規上所要求的保護義務,主要分為三點: 在資料主體確認其資料近用權所欲請求的範圍之前,受請求之機構依法應回覆時限應予以暫停,以利受請求之機構能有更充裕完整的時間釐清及回應資料主體之近用權請求。 為了避免受請求之機構耗費大量時間判斷何謂「明顯過度之請求」(manifestly excessive request),該指引提供相關定義說明及判別標準。 針對「明顯過度之請求」收取處理費用所包含的項目,例如受請求之機構處理請求所增加人力行政成本,在受請求之機構收取處理費用時可將其納入斟酌。

德國數位經濟2017監測報告及建議

  德國經濟與能源部於2017年12月公布數位經濟2017監測報告,就ICT及網路經濟的表現和競爭力統計各產業數位經濟程度,並針對德國數位轉型現況及挑戰進行分析並提出相關建議。   報告資料指出, 在六大創新應用潛力的部分,14%的企業已投入工業4.0改造,集中於機械製造業,數量有逐步上升趨勢;物聯網應用則以服務業居多,特別是知識密集型服務提供者;33%的企業有提供智慧服務,以客戶為導向的企業,例如資通訊業、金融保險業,使用比例更為明顯;19%企業開始利用巨量資料,多集中於大企業或先進產業;11%企業有利用機器人及感測器;人工智慧則尚處於起步階段,而使用者多集中於資通訊產業。就上述資料顯示,推動數位轉型尚待加強。另外,今年監測報告聚焦「數位聯網及合作」議題,結果顯示,約六成的企業與其商業客戶有進行數位聯網,而只有約四成的公司與新創公司有合作,因此尚有許多創新潛力尚未得到充分利用。   國際數位經濟排名第六,落後美國、南韓、英國、日本、芬蘭。在獲得風險資本可能性的表現最佳,整體創新能力也處於相對領先地位,惟電子化政務服務較為落後,有待加強。在關鍵政策需求部分,以寬頻建設促進政策、創建數位化友善法律框架,以及獲取創新基礎的公共知識最受矚目。

英國提出產品安全及電信基礎設施法案

  英國政府於2021年11月24日,提出產品安全及電信基礎設施法案(Product Security and Telecommunications Infrastructure Bill,PSTI法案),要求物聯網供應商、提供網際網路連線服務之公司或其他數位科技產品之製造商、進口商,及經銷商符合新網路安全標準,並對未遵守規範者處以巨額罰款。   PSTI法案之通過將保護消費者免受資安攻擊,並使政府得以引入更加嚴格的安全標準。該法案之內容包含,禁止數位科技產品之業者使用單一且通用之預設密碼,產品之預設密碼都必須有所不同;供應商應具備漏洞揭露政策,並應向客戶公開公司正採取何種防禦作為,處理該安全漏洞;應公開相關聯繫資訊或建立聯繫平台,使安全研究人員或其他人發現產品缺陷及錯誤時,方便與其聯繫;另外,針對不符合要求之產品或服務,政府亦將有權阻止其於英國境內銷售。   在電信基礎設施改革方面,將促進營運商與電信託管設備之土地所有權人進行更快速有效之談判,減少相關冗長的法律爭訟事件,例如,要求電信營運商透過訴訟外紛爭解決機制(Alternative Dispute Resolution,ADR)解決紛爭,無須訴諸法院。亦加快續約之談判流程,讓根據舊有協議安裝基礎設施之營運商,得以按照類似條款進行續約,英國政府希望透過這些措施使95%國土擁有4G網路覆蓋,至2027年大多數人口能使用5G網路。   PSTI法案生效後,英國政府將指定監管機構,其有權限針對違反規範之企業處以最高1000萬英鎊罰鍰,或以其在全球之營業總額的4%作為罰款。

越南科技部發布的新通知開始生效,將對當地智財實務有重大影響

  越南科技部(Ministry of Science and Technology)於2016年7月30日發布No. 16/2016/TT-BKHCN通知(以下稱第16號通知),此為越南針對《智慧財產法》第四次修正的通知。今(2018)年1月15日已正式生效。在越南,通知(Circular)主要是作為各主管機關執行法律的指南,而本次發布的第16號通知,便是針對越南《智慧財產法》所做的細部解釋,是了解當地智財實務的重要文件。   整體而言,第16號通知針對智財的申請程序做了相當多修正。例如,申請人回覆越南智慧財產局官方審查意見(office action)的期限由一個月延長為兩個月。又例如,過去越南智慧財產局針對實體審查的申請案一旦做了核駁處分後,申請人僅能透過訴願予以救濟。根據第16號通知,若申請人能夠針對申請案提出在審查過程中未被考量但可以影響審查結果的新事證,越南智慧財產局則得考量撤回核駁處分。   此外,第16號通知亦釐清了過去越南在智慧財產各權利別,有關實體認定上的疑慮。一、在「商標方面」,第16號通知修正了越南過去對於著名商標(Well-known mark)的認定方式。在過去,著名商標的狀態可藉由法院判決,或是藉由智慧財產局的認定取得。在本次新修正的第16號通知中,著名商標狀態仍可藉由法院判決取得,但智慧財產局只能在「商標被駁回」的情形下對著名商標進行認定。二、在「專利方面」,第16號通知則是再次強調「用途」不得作為專利的申請標的,釐清了越南一直以來拒絕「用途發明專利」的立場。根據第16號通知,用途並非一項申請標的可主張的必要技術特徵(essential feature),只是單純申請標的之目的或結果而已。三、在「工業設計方面」,第16號通知釐清了越南對於「產品」的定義,指出產品必須要能夠「獨立流通」(circulated independently),始能成為工業設計保護的標的。例如圖形使用者介面(GUI)因其必須依賴手機等載體才能流通,故根據第16號通知無法被認為是能夠申請工業設計保護的「產品」。   從本次第16號修正可以看出,越南近年來因應智慧財產權的國際趨勢,在法規上做出的回應及釐清。對於在越南從事商業活動的我國廠商而言,建議除了瞭解越南《智慧財產法》外,更應關注越南的通知等下位階法規的狀況及發展。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

TOP