澳洲個人資料洩漏計畫將於二月施行

  澳洲於2018年2月22日施行個人資料洩漏計畫(Notifiable Data Breaches scheme, NDB scheme),該計畫源於澳洲早在1988年所定「澳洲隱私原則」(Australian Privacy Principles, APPs)之規定。對象包括部分政府機構、年營業額超過300萬澳幣之企業以及私營醫療機構。

  根據該計畫,受APPs約束的機構於發生個資洩露事件時,必須通知當事人以及可能會造成的相關損害,另外也必須通知澳洲私隱辦公室(Office of the Australian Information Commissioner, OAIC)相關資訊。

  NBD計畫主要內容如下:

  一 、規範對象:

  1. 包括澳洲政府機構,年營業額超過300萬澳幣企業和非營利組織、私營醫療機構、信用報告機構、信貸提供者、稅號(TFN)受領人。
  2. 若數機構共享個人資料,則該告知義務由各機構自行分配責任。
  3. 關於跨境傳輸,根據APPs原則,於澳洲境外之機構必須以契約明定受澳洲隱私法規範,原則上若因境外機構有洩漏之虞,澳洲機構也必須負起責任。

  二 、個資洩露之認定:

  1. 未經授權進入或擅自公開該機構擁有的個人資訊或個人資料滅失。
  2. 可能會對一個或多個人造成嚴重傷害(如身分竊盜、導致個人嚴重經濟損失、就業機會喪失、名譽受損等等)。
  3. 個資外洩機構無法通過補救措施防止嚴重損害的風險。

  三 、OAIC所扮演之角色:

  1. 接受個資外洩之通報。
  2. 處理投訴、進行調查並針對違規事件採取其他監管行動。
  3. 向業者提供諮詢和指導。

  四 、於下列情形可免通知義務:

  1. 為維護國家安全或增進公共利益所必要。
  2. 與其他法案規定相牴觸者。

  五 、通知內容:

  1. 洩露資料的種類及狀況。
  2. 發生個資外洩事件機構之名稱以及聯繫窗口。
  3. 個資當事人應採取之後續行動,避免再度造成損害。

  惟NBD 計畫對於個人資料的安全性沒有新的要求,主要是對APPs的補充,針對持有個人資料的機構採取合理措施,保護個人資料免遭濫用、干擾或損失, OAIC目前也正在規劃一系列有關個資洩漏事件指導方針及導入說明手冊。

相關連結
※ 澳洲個人資料洩漏計畫將於二月施行, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=7983&no=64&tp=1 (最後瀏覽日:2026/07/11)
引註此篇文章
你可能還會想看
中國大陸國家互聯網信息辦公室、國家市場監督管理總局聯合發布《個人信息出境認證辦法》

中國大陸國家互聯網信息辦公室、國家市場監督管理總局於2025年10月17日聯合發布《個人信息出境認證辦法(下稱認證辦法)》,並將於2026年1月1日施行。中國大陸所稱之認證即為臺灣所稱之驗證,屬兩岸詞語使用之差異,容易產生混淆誤認先予敘明,下將以臺灣慣用之驗證一詞說明。 依照《中華人民共和國個人信息保護法》第38條須向境外提供個人資料方法有四種:分別為1.透過國家網信部門組織的安全評估、2.經專業機構進行個人資料保護驗證、3.依照國家網信部門制定的標準化契約與境外接受者訂定契約,以約定雙方之權利義務、4.法律、行政法規、國家網信部門所規定之其他條件。而認證辦法係依據第二種方法所訂,主要規範:1.處理者資格限制、2.傳輸資料數量、3.影響評估內容、4.驗證機構申請資料與報告義務、5.對驗證機構之監督。 處理者資格限制與傳輸資料數量方面,認證辦法規定向境外提供個人資料:1.不可為關鍵信息基礎設施營運者、2.向境外提供的個人資料須為10萬人以上未滿100萬人之個人資料或未滿1萬人之敏感個人資料(須注意,中國大陸之敏感個人資料包含:生物識別、宗教信仰、特定身分、醫療健康、金融帳戶、行蹤軌跡等資料,以及不滿14週歲未成年人的個人資料,故與臺灣個資法第6條之特種個資並不一致)。且認證辦法規定不得對個人資料的數量為拆分,意即如將資料數量拆成數筆10萬人以下,藉以規避認證辦法資料數量10萬人以上的境外傳輸申請限制並不合法。 除依法應履行的告知外,向境外傳輸前應取得當事人的單獨同意,並採取個資影響評估,影響評估之內容須包含:1.處理者與境外接收者處理個資的特定目的、範圍、方式、2.個資出境的風險、3.境外接收者的個資保護能力與義務、4. 提供事故通報管道、5.境外國家或地區的政策、法規影響。 最後,認證辦法應較注意的是驗證機構的報告義務與受檢義務的明確立法,使得除藉由驗證機構對個人資料處理者的審查確保個人資料國際傳輸的安全外,再透過政府機關對於驗證機構的檢查,以確保監管個人資料跨境傳輸,亦屬於我國政府機關可以參考之個人資料國際傳輸監管面向。

歐洲航空安全局EASA將制訂無人機管理草案

  近來無人機使用越來越普遍,歐洲各國無人機管理制度不同,例如在德國,無人機不得超過25公斤,英國則規定重量超過20公斤以上的無人機視同一般民航機管理。法國雖禁止飛行器未經核准不得在巴黎上空飛行,但日前頻傳有無人機圍繞著艾菲爾鐵塔、美國大使館、羅浮宮和巴士底獄紀念碑,一度造成恐慌。至於美國,聯邦航空總署(Federal Aviation Administration,FAA)原則上禁止大部份商用無人機飛行,但業者可以申請豁免。   因此,為了統一無人機相關管理辦法,歐洲航空安全局(European Aviation Safety Agency, 以下簡稱EASA)目前已擬管理草案,並將無人機分為三種等級,最低風險無人機是指低耗能飛行器(aircraft),包括模型飛機,該類飛機無須任何形式的證照,只能在操作者視線內且不得在機場與自然保護區使用,其最高飛行高度為150公尺,並禁止在人群上空使用。然而,最高風險無人機管理範圍則將與現行飛行器相關管理規則一樣,必須取得多種飛行證明。此外,無人機帶來的隱私與安全憂慮,EASA表示,這是國家層面議題,例如各國政府可要求無人機上加裝SIM卡的方式解決。   歐盟委員會(European Commission)希望無人機基本規範架構能於今年年底前到位。有關最低風險無人機相關管理草案預計於12月提出,以便業者經營無人機明年可以上路。EASA局長Patrick Ky在一份聲明中表示:「這些規定將確保無人機產業可在安全與可成長的環境下發展。」

美國國會將跟進加州與馬里蘭州 立法禁止商家禁止或限制消費者於評價網站上散佈負面評價

  看準消費者利用網路就其各別消費經驗進行評論的商機,不少業者紛紛提供專門作為消費評論的網路平台服務,例如美國最大評論網站yelp以及臺灣的「愛評網」等評論網站。然而,消費者若在網路上就其消費經驗對特定商家發表負面評論,難免對於商家的商譽或營業表現造成影響,因此部分商家試圖利用各種手段避免消費者於熱門評論網站中發表負面評論。最常見的手段為商家藉由其與消費者間的契約中加入「禁止負面評論約款」(Nondisparagement Clause),向發表負面評論的消費者或經營評價網站的業者主張其契約上的權利,但該作法也導致消費者與商家間的法律層出不窮。   較為人所知的爭議案例為,一間位於紐約市的酒店因至該酒店參加婚宴的顧客於Yelp等評論網站上留下諸多負面評價,該酒店即依據契約向使用場地舉辦婚宴的新婚夫妻, 以每一則負面評價500美元為計,收取一筆高額的賠償金。另有較特別的案例為,紐約市有一名牙醫師於其與診所病患間的契約中明訂授權約款,將任何病患可能於就診後作成的負面評價,以著作權授權的方式授予該名牙醫師,而該名牙醫師復以被授權人的身分,依據該契約向Yelp等消費評價網站主張刪除網站上針對其所營診所的相關負面評價。   因應愈來愈多的商家藉各種手段試圖限制消費者在熱門評價網站上發表負面的消費經驗或評論,加州議院於2014年9月正式表決通過並由該州州長簽署,於民法中增訂第1670.8條(California Civil Code §1670.8)之規定,使消費者發表消費評論之自由能夠受到更完整的保障。依據該法之規定,消費者有權對其所消費商品或服務的出賣人、出租人或其受僱人與代理人發表陳述(statement);若任何契約禁止或限制消費者發表與其消費經驗相關評論之權利,則該契約應屬無效。總檢察長(Attorney General)以下的檢察官或個案消費者可透過民事程序向違反該法律規定者起訴,法院最高可以將行為人處以初犯2500元美金以及累犯每次5000美元的罰款。   馬里蘭州議會亦於2016年2月表決通過於該州《商業法》(Commercial Law)中增訂14.1325條(MD. Comm. Law gcl. §14.1325),該州法規定與上述加州州法同樣保障消費者對其消費經驗加以評論之權利,且違反該法的行為人除了將負擔1000美元及累犯每次5000元美金的罰款之外,若構成輕罪(misdemeanor)則可能被處以一年以下的拘禁,且得併科1000美元罰金。   除了上述二州對保障消費者消費評論的法制加以強化之外,美國國會也正在進行相關的立法工作。聯邦參議院於2015年12月表決通過《2015年消費者評論自由法》(Consumer Review Act of 2015),該法案(H.R.2110, 114th Cong. (2015-2016))目前於聯邦眾議院的「工商業與貿易委員會」(Subcommittee on Commerce, Manufacturing, and Trade)中待審。該部聯邦法除了將使任何禁止或限制消費者以任何方法評論商品或服務的契約效力歸於無效之外,更禁止商家與消費者約定移轉任何關於消費經驗評論的智慧財產權。

歐盟議會通過對RoHS指令修正之提案,奈米銀與長型多壁奈米碳管將可能成為禁止之列

  歐盟議會之環境、公共健康暨食品安全委員會(以下簡稱委員會)於6月2日以55票贊成,1票反對,2票棄權,通過對電子電機設備有害物質限用指令(RoHS指令)修訂之提案。該提案要求對包括鹵化阻燃劑(Halogenated Flame Retardants)、聚氯乙烯(PVC)以及奈米銀(nanosilver)、長型多壁奈米碳管(long multi-walled carbon nanotubes,MWCNT)等目前未列於有害物質禁用清單之化學物質,評估是否列入清單。   RoHS指令適用於自其他第三國進口以及於歐盟地區所生產之電子電機設備產品,影響層面廣泛,值得注意的是,該修訂提案中就其適用對象改採「開放性適用」(open scope),亦即除有特別明文排除者外,所有電子電機設備產品皆適用此一指令。歐盟議會目前提議排除用於生產再生能源、特定大規模設備與工業工具以及用於生產軍事目的之物質和車輛之電子電機設備。   針對奈米銀和長型多壁奈米碳管兩項奈米物質,委員會於修訂提案將其增列於附件IV當中,將產生對內含上述二種物質且達可探測程度(detectable level)之電子電機設備禁止進入歐盟市場流通之效果。委員會也對內含奈米物質之電子電機設備要求進行標示,製造商亦應向歐盟執委會提供奈米物質之安全數據。惟有論者表示,在歐洲議會目前對於奈米物質之定義尚未明確之前提下,此修訂提案可能導致必須對所有的電子產品進行奈米標示之情況。

TOP