2021年3月2日美國維吉尼亞州州長簽署了維吉尼亞州消費者資料保護法(Virginia Consumer Data Protection Act),是繼加州之後,第二個自行制定相關規範並且採用的州,預計在2023年1月正式生效。
該法在主軸上與加州消費者隱私保護法相去不遠,其為消費者提供六項主要權利,包括近用權、刪除權、資料可攜權、選擇退出權、更正權,以及申訴在合理期間內未獲妥適處理之再申訴權;又或者在義務上要求企業進行資料的蒐集、處理或利用時,需經當事人同意並且符合合理利用與必要範圍之限制,亦要求企業建立技術保障管理機制,以及向消費者提供隱私權政策。
該法與加州消費者隱私保護法也有些許不同之處,例如,該法並無賦予人民為一切訴訟行為之權,訴訟權掌握在檢察總長手中、該法案適用主體必須是控制或處理十萬筆以上消費者個人資料之企業,或是總收入50%來自於利用消費者個人資料,且該資料量總數達二萬五千筆以上之企業,相比加州消費者隱私保護法適用主體之資格更為寬鬆。無論就形式上或實質上而言,維吉尼亞州消費者資料保護法普遍被認為比加州消費者隱私保護法更加友善企業,並且廣泛得到亞馬遜等相關科技行業的支持。
在數位科技發展下,美國的紐澤西州、猶他州,以及許多其他州政府,紛紛考慮進行相類似之資訊隱私保護立法,此一趨勢發展已然勢不可擋。
多普達在2004年即將結束時接到了北京市海澱區人民法院的判決,原告北京央視公?資訊有限公司在一審中勝訴,不過,多普達總裁楊興平在今天的一個公開場合表示已經在準備上訴,“多普達有信心打贏這場官司。”楊興平說。 台灣手機廠商多普達於2004年3月在大陸推出型號為535之智慧型手機,此款手機具有強大的視頻功能,可藉由超連結收看網路電視。而多普達也在該款手機上內建了大陸中央電視台的頻道鏈結,讓使用者可以收看CCTV-新聞、CCTV-4、CCTV-9三個頻道的節目。不過,與中央電視臺簽有授權於電信網路傳播合同的央視公?,於2004年8月13日控告多普達侵權,要求多普達財償人民幣50萬元。 此案於2004年12月30日經海澱區人民法院判決多普達公司侵害央視公?公司在電信領域所取得的中央電視臺節目傳播權,應停止使用CCTV-新聞、CCTV-4、CCTV-9節目、在相關媒體上道歉,並賠償央視公?公司經濟損失共計37.1萬元。而且,法院還要求多普達的經銷商停止銷售該款手機。多普達則決定向北京市中級人民法院提出上訴。
澳洲發布「數位健康2018-2019年報」針對「我的健康紀錄系統」提出檢討及建議澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)於2019年11月發布「2018-2019年數位健康年報」,其中針對「我的健康紀錄系統」(My Health Record System)日前發生資料外洩事件提出檢討及隱私建議。 「我的健康紀錄系統」於2012年開始由澳洲數位健康局(Australian Digital Health Agency)負責維運,所有健康報告以電子形式通過網站存檔或讀取,包括處方藥紀錄、醫生診療記錄、影像檢查以及其它測試紀錄等,所有資訊將置於網路並授權醫療專業人員,例如醫生、藥劑師、醫院工作人員和專職醫療人員(例如護士或物理治療師),均可登錄查詢。 「我的健康紀錄系統」原先以民眾自願選擇加入模式運作,以選擇性線上註冊方式概括同意健康資料存取。隨後為促進醫療產業發展,澳洲政府宣布「我的健康紀錄系統」全國適用並提供退出機制至2019年1月31日。而2018年澳洲修訂「我的健康紀錄法」(My Health Records Act 2012)強化個人資料管理相關規範,例如:提供永久刪除權、不得適用於保險目的、違反關鍵隱私保護而增加民事和刑事處罰等。 「2018-2019年數位健康年報」指出,隨著「我的健康紀錄系統」於2019年2月從選擇性註冊模式變為退出模式,關於隱私疑慮的查詢和投訴大幅增加。2018年至2019年OAIC收到57件投訴案,OAIC更對數位醫療產業中的受監管企業進行隱私評估,包括私人醫院、藥房等。為解決民眾疑慮,「我的健康紀錄法」修訂賦予永久刪除權,使投訴數量開始遞減,OAIC亦為醫療服務提供者發布有關保護患者個人健康資料相關指引,並與衛生部門組織合作,促進良好的隱私保護觀念,以增進健康服務提供者對預防和應對資料外洩的理解。
英國資訊委員辦公室(ICO)發布企業自行檢視是否符合歐盟一般資料保護規則之12步驟英國作為歐洲金融重鎮,不論各行業均有蒐集、處理、利用歐盟會員國公民個人資料之可能,歐盟一般資料保護規則(General Data Protection Regulation,簡稱GDPR)作為歐盟資料保護之重要規則,英國企業初步應如何自我檢視組織內是否符合歐盟資料保護標準,英國資訊委員辦公室(Information Commissioner's Office, ICO)即扮演重要推手與協助角色。 英國ICO於2017年4月發布企業自行檢視是否符合GDPR之12步驟(Preparing for the General Data Protection Regulation(GDPR)-12 steps to take now),可供了解GDPR的輪廓與思考未來應如何因應: 認知(Awareness):認知GDPR帶來的改變,與未來將發生的問題與風險。 盤點資料種類(Information you hold):盤點目前持有個人資料,了解資料來源與傳輸流向,保留處理資料的紀錄。 檢視外部隱私政策(Communicating privacy information):重新檢視當前公告外部隱私政策,並及時對GDPR的施行擬定因應計畫。 當事人權利(Individuals'rights):檢視資料處理流程,確保已涵蓋GDPR賦予當事人如:告知權、接近權、更正權、刪除權、製給複本權、停止處理權、不受自動決策影響等相關權利。 處理客戶取得資料請求(Subject access requests):GDPR規定不能因為客戶提出取得資料請求而向其收費;限期於1個月內回覆客戶的請求;可對明顯無理或過度的請求加以拒絕或收費;如拒絕客戶請求則限期於1個月內須向其說明理由與救濟途徑等。 處理個人資料須立於合法理由(Lawful basis for processing personal data):可利用文書記錄與更新隱私聲明說明處理個人資料之合法理由。 當事人同意(Consent):重新檢視初時如何查找、紀錄與管理取得個人資料的同意,思考流程是否需要做出任何改變,如無法符合GDPR規定之標準,則須重新取得當事人同意。 未成年人(Children)保護:思考是否需要制定年齡驗證措施;對於未成年人保護,考慮資料處理活動是否需取得其父母或監護人的同意。 資料外洩(Data breaches):有關資料外洩的偵測、報告與調查,確保已制定適當處理流程。 資料保護設計與影響評估(Data Protection by Design and Data Protection Impact Assessments):GDPR使資料保護設計與影響評估明文化。 資料保護專責人員(Data Protection Officers):須指定資料保護專責人員,並思考該專責人員於組織中的角色與定位。 跨境傳輸(International):如執行業務需跨越數個歐盟會員國境域,企業則須衡量資料監管機關為何。
紐西蘭隱私專員辦公室「揭露涉及隱私案件之機關名稱」政策生效紐西蘭隱私專員辦公室日前針對「是否及如何揭露涉及隱私案件之機關(公務機關或非公務機關)名稱」發布政策;該政策自2014年12月1日起生效。 根據紐西蘭1993年隱私法的規定,隱私專員可決定公開有助於貫徹隱私法立法意旨的資訊等;只要符合此規定,原則上隱私專員也可揭露涉及所調查隱私案件之機關名稱。據此,紐西蘭隱私專員辦公室即於日前針對是否及如何揭露上述機關名稱制定並公布政策。 須說明的是,即使機關確有違法情事,其名稱亦不必然會被揭露,如果有法律上原因或有理由認定不適揭露時,則隱私專員將不會簽署授權揭露之文件。 根據該政策,如機關違反隱私法之行為將導致難以回復之損害、其行為將導致嚴重之後果、該機關被認定為故意違反法律、揭露機關名稱有利於公益,或存在不揭露機關名稱將導致同領域、產業之其他機關受到不合理之牽連或不利益等情形時,則違反機關之名稱較可能被揭露。反之,如果僅屬單一事件、機關之行為較不至於致不利影響,或存在揭露機關名稱反不利於公益等情形時,則機關名稱則較可能不會被揭露。