新加坡國會於2020年11月通過個人資料保護法之修正案

  新加坡通訊暨資訊部(Ministry of Communications and Information, MCI)於2020年11月2日發布新聞稿表示,新加坡國家議會(Parliament of Singapore)通過個人資料保護法(Personal Data Protection Act, PDPA)修正案。主要由新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)擔任執行與管理機關,而新加坡個人資料保護法僅適用於私人企業、非公務機關。

  新加坡通訊暨資訊部特別強調,該個人資料保護法於2013年1月生效,而近年物聯網、人工智慧等新興科技瞬息萬變,隨著資料量急遽增長,企業組織利用個人資料進行創新,成為了社會、經濟和生活的一部分,此次修法意在因應新興科技的進步與新商業模式的發展,使該法可適應、接軌於複雜的數位經濟趨勢,同步維護消費者在數位經濟中的權益,更加符合國際框架,使總部位於新加坡的公司在擴展全球市場時,有助其調整和降低合規成本與風險。主要將加強消費者保護並支持企業業務創新,希望以最大程度提高私部門收益、減少蒐集和利用個人資料的風險,以取得平衡,修訂重點整理如下:

  1. 透過組織問責制度,加強消費者之信任;
  2. 加強組織使用個人資料開發創新產品,提供個人化服務、提高組織之營運效率;
  3. 資料外洩時的強制性通知規定、責任(可參見26A條以下);
  4. 提高企業造成資料外洩時的罰款最高額度,當企業組織年營業額超過1000萬美金者,可處以該組織在新加坡年營業額的10%,或100萬新加坡幣(約62萬歐元),以較高者為準(可參見48J條以下);
  5. 強化個人資料保護委員會的執法權限,提高執法效率;
  6. 為了強化消費者的自主權(consumer autonomy)、對其個資的控制權,規範資料可攜義務(data portability obligation),使個人能要求將其個人資料的副本傳輸到另一個組織(可參見26F條以下);
  7. 允許企業在特定合法利益(legitimate interests)、業務改善(business improvement purpose)之目的情況下,對於個資之蒐集、使用、揭露,得例外不經當事人同意,意即不需經當事人事先同意,即可蒐集、利用或揭露消費者個資,例如開發改善產品和進行市場調查研究、在支付系統中進行異常檢測以防止詐欺或洗錢、改善營運效率和服務等目的。(可參見附表一第三、第五部分)
  8. 允許關聯企業(related corporations)間,在基於「明確定義相關限制」(clearly defined limits)之相同目的前提下,例如透過具有拘束力的公司規則(binding corporate rules)施以一定限制時,可在彼此內部間蒐集、揭露個人資料。(可參見附表一第四部分)
  9. 針對「視為同意」(deemed consent)之相關規定,包含告知後同意(consent by notification)做進一步修訂,將允許企業組織在具契約必要性等特定情形下,在未明確徵得當事人同意之下,向另一個組織或外部承包商(contractors)揭露其個人資料,以利履行契約(fulfil contracts),但該組織與該當事人之間的契約中需有明示條款(express terms)。(可參見15A條以下)

相關連結
你可能會想參加
※ 新加坡國會於2020年11月通過個人資料保護法之修正案, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=8580&no=64&tp=1 (最後瀏覽日:2026/07/06)
引註此篇文章
你可能還會想看
美國知名嘻哈歌手Dr. Dre對婦產科醫生的商標註冊提出異議遭駁回

  2015年美國賓州的一位婦產科醫生Draion M Burch(以下簡稱Burch)申請註冊「Dr. Drai」商標在國際商品服務類別41(教育及娛樂服務)及44(醫療諮詢服務)以行銷自身的有聲書籍及研討課程。美國知名的嘻哈歌手Dr. Dre認為,該商標與自身的「Dr. Dre」【已註冊國際商品服務類別9(系列音樂錄製)、16(海報、美術印刷及貼紙)、25(T恤、長袖衫、帽子)、41(由音樂藝術家及創作者提供之娛樂服務)】雖拼法不同但讀音相同,會引起消費者的混淆,因而向商標審理暨訴願委員會(Trademark Trail and Appeal Board, TTAB,下稱委員會)提出異議。   委員會認為,雖然「Dr. Dre」與「Dr. Drai」兩者類似,然而Dr. Dre無法證明消費者會因而被混淆、誤導,進而去購買Dr. Drai的商品。該意見書更指出,由於Burch醫生的演講費用是5000元美金,比起購買一般物品,消費者在購買Burch醫生的書籍或演講門票時會付出「較高的注意程度」。Burch醫生也辯稱,消費者不太可能會混淆這兩個商標,因為「Dr. Dre並非醫生,也沒有資格提供任何醫療服務或銷售醫藥、保健產品。」他更證稱從未想要利用Dr. Dre的名聲謀取利益,因Dr. Dre創作的歌詞顯示出其對某些族群的歧視,若消費者將他與Dr. Dre聯想,只會認為他是一位不好的醫生。   基於上述理由,委員會最後駁回歌手Dr. Dre的異議。Dr. Dre的律師James Weinberger目前對此案拒絕做出評論,也不願透漏是否會再提出上訴。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」

不畏經濟衰退,歐盟企業增加研發經費

  根據歐盟執委會(European Commission)之聯合研究中心(Joint Research Centre, JRC)於今(2012)年初針對歐盟境內之1000間企業所做的「歐盟產業研發投資趨勢調查」(The EU Survey on R&D Investment Business Trends)結果指出,目前歐盟境內之頂尖企業期待自2012年至2014年止,以每年平均4%的成長率投注資源於研究發展領域。   儘管目前全球經濟局勢仍不明朗,多數的歐盟企業依舊認為,投注研究發展乃為企業追求未來成長和繁榮的重要關鍵要素。而該現象主要於軟體和電腦服務產業最為明顯。除了企業自身投注研發資源以進行創新研發、市場調查、和新產品的推行等相關活動外,多數的企業亦認為藉由國家補助經費、成立公私部門夥伴合作模式,此類外部激勵方式對於企業創新活動的進行,具有相當之助益。此外,透過簽署各項合作協議,企業與學研機構間得以相互授權合作,進而促進知識分享,此皆目前強調開放式創新(open innovation)概念的具體實踐之例,實值得肯認。然而,歐盟企業亦普遍認為,現行歐盟智慧財產權機制仍有智慧財產權保護申請時程過長,以及申請智慧財產權保護所需費用過於昂貴等不足之處,而該不足之處乃為目前歐盟企業進行創新研發活動時的絆腳石。   如何促進企業之創新研發能力,乃為目前全球各國於規劃推動各項相關策略時之主要討論標的之一。儘管當前歐盟智慧財產機制仍有待改善之處,然就歐盟企業所肯認之跨機關構合作模式、合作協議之簽署、國家經費之補助等措施,仍值得進行進一步的探討與觀察。

美國聯邦貿易委員會插手企業資訊安全引起爭議

  美國聯邦貿易委員會(Federal Trade Commission, FTC)於2013年8月29日對位於亞特蘭大的一家小型醫療測試實驗室LabMD提出行政控訴,指控LabMD怠於以合理的保護措施保障消費者的資訊(包括醫療資訊)安全。FTC因此依據聯邦貿易委員會法(Federal Trade Commission Act, FTC Act)第5條展開調查,並要求LabMD需強化其資安防護機制(In the Matter of LabMD, Inc., a corporation, Docket No. 9357)。   根據FTC網站揭示的資訊,LabMD因為使用了點對點(Peer to Peer)資料分享軟體,讓客戶的資料暴露於資訊安全風險中;有將近10,000名客戶的醫療及其他敏感性資料因此被外洩,至少500名消費者被身份盜用。   不過,LabMD反指控FTC,認為國會並沒有授權FTC處理個人資料保護或一般企業資訊安全標準之議題,FTC的調查屬濫權,無理由擴張了聯邦貿易委員會法第5條的授權。   本案的癥結聚焦於,FTC利用了對聯邦貿易委員會法第5條「不公平或欺騙之商業行為(unfair or deceptive acts)」的文字解釋,涉嫌將其組織定位從反托拉斯法「執法者」的角色轉換到(正當商業行為)「法規與標準制訂者」的角色,逸脫了法律與判例的約束。由於FTC過去曾對許多大型科技公司(如google)提出類似的控訴,許多公司都在關注本案後續的發展。

德國聯邦政府提出《資訊科技安全法2.0》草案

  德國聯邦政府(Bundesregierung)於2020年12月16日通過「提升資訊科技系統安全性的第二版法律(Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme)」草案,又稱「資訊科技安全法2.0(IT-Sicherheitsgesetz 2.0)」,該草案概述如下: (1)加強德國聯邦資訊安全局(Bundesamt für Sicherheit in der Informationstechnik, BSI)權限: BSI可對聯邦行政事務行使控制與審查權、檢測資訊系統和公共電信網路相連的安全弱點、發展分析惡意軟體和攻擊的系統與程序,並擴張其對聯邦通訊技術紀錄資料的儲存期間至12個月。 (2)加強消費者保護: 導入IT安全標籤(IT-Sicherheitskennzeichen),製造商應於該標籤中置入產品安全性聲明與由BSI提供之IT安全性資訊;此外BSI有權要求電信服務業者和產品製造商提供其儲存資料與相關必要資訊。 (3)加強企業作為義務: 關鍵基礎設施提供者有報告及使用攻擊檢測系統檢測安全威脅的義務,該報告義務在草案中將擴張適用於具特定公共利益之公司,如與國防和保密資訊IT產業相關、具經濟上重要性的公司,以及受重大事故條例(Störfallverordnung, StöV)所規範者。 (4)加強國家保護功能: 國家應建立認證機制,並課予關鍵基礎設施的供應者通過該認證的義務,即供應者需確保其設施內的零件不具不適當的技術特性,尤其可能被間諜活動或恐怖主義用以破壞關鍵基礎設施的安全與功能之重要零件。   該草案目前於德國聯邦議院(Deutscher Bundestag)進行審查。

TOP