澳洲通過新修正之隱私法,大幅提高罰責以期遏止個資事故
澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。
近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。
此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。
一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。
二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。
三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。
至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。
*調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。
- 零售業個資保護及資訊安全教育講習
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Australia's Optus says up to 10 million customers caught in cyber attack, REUTERS, Sep. 24, 2022, https://www.reuters.com/technology/australias-optus-says-up-10-mln-customers-caught-cyber-attack-2022-09-23/ (last visited Nov. 17, 2022).
Medibank says hacker accessed data of 9.7 million customers, refuses to pay ransom, REUTERS, Nov. 8, 2022, https://www.reuters.com/business/healthcare-pharmaceuticals/medibank-says-hacker-accessed-data-97-mln-customers-refuses-pay-ransom-2022-11-06/ (last visited Nov. 17, 2022).
Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022, PARLIAMENTARY OF AUSTRALIA, https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940 (last visited Nov. 17, 2022).
張恩若,〈簡析澳洲消費者資料權與開發銀行〉,科技法律透析,第32卷第6期,頁36-44(2020)。
歐盟執行委員會(以下簡稱執委會)於2020年11月以延遲平價學名藥進入市場、違反歐盟反托拉斯法為由,裁罰以色列學名藥廠Teva和美國生物製藥公司Cephalon共6050萬歐元。 Cephalon販售的Modafinil是用於治療猝睡症的藥物,為長年佔Cephalon全球營業額40%以上的暢銷產品。儘管其主要專利已於2005年在歐洲到期,但Cephalon仍保有部分Modafinil的延續性專利(secondary patents)。原先欲以Modafinil學名藥進軍市場的Teva也有Modafinil的相關專利,然而Cephalon和Teva達成「延遲給付」(pay-for-delay)協議,Teva同意暫緩進入市場且不去挑戰Cephalon的專利。執委會經調查發現,該協議排除Teva成為Cephalon的市場競爭者,使Cephalon的專利即使到期多年產品仍可維持高價位。 延遲給付協議在專利和解上通常是合法行為,但執委會認為此舉使患者和健保體系無法即早受惠於市場競爭帶來的低價,協議廠商卻享有缺乏競爭所產生的額外利潤。歐盟日前發布的《歐洲藥品戰略》(Pharmaceutical Strategy for Europe)更強調藥品應是全民可負擔、可取得及安全的,而維持自由競爭對達成此目標至關重大。執委會認為延遲給付協議違反《歐盟運作條約》(Treaty on the. Functioning of the European Union, TFEU)第101條,以協議限制或扭曲歐盟內部市場競爭,故裁處高額罰款。2022年歐盟將採取措施降低學名藥進入市場的阻礙,考慮進行審查、要求廠商使其專利藥品在全歐盟境內都可被取得,否則將縮短其智財權的保護期間。 「本文同步刊登於TIPS網站(https://www.tips.org.tw)」
韓國法務部宣布自2012年開始,將要求外國人入境韓國時須登錄指紋韓國法務部於2009年9月21日宣布將於2009年10月向韓國國會提交入出境管理法修正案,要求任何超過17歲之外國人於入境韓國時,必須提供食指指紋及個人臉部照片;如不提供,則不許其入境。而如該外國人欲滯留韓國境內超過3個月時,則必須登錄其所有手指的指紋。通過該方式所取得之指紋及照片,將依韓國個人資料保護法統一存放於「外國人生理資訊資料庫」(database of physical information on foreigners)。 據韓國法務部官員表示,之所以提出此法律修正案,是因為近來韓國已面臨嚴重的非法入境、移民犯罪、外國人犯罪以及恐怖主義之威脅,因此重新實施指紋及生理資訊登錄制度顯然刻不容緩。 不過,值得注意的是:原先韓國入出境管理法要求滯留韓國境內超過1年之外國人需提供所有指紋的規定,已於2004因被認為有侵害個人隱私之嫌疑而遭韓國國會廢止。然而此次不僅捲土重來,而且還擴大到短期滯留旅客亦須提供指紋及照片。相關立法措施是否真能順利通過,似乎仍有待進一步觀察。
加拿大上訴法院判決”iPod tax”違法加拿大上訴法院判決MP3播放器不在空白錄印媒體複製著作權物課稅的範疇,本案仍有上訴最高法院之可能。 根據本案審判法官Mr. Justice Marc Noel之見解,其認為雖然加拿大著作權法允許加拿大著作權委員會(Copyright Board of Canada)對空白可複製媒體(Blank Media)課稅,然法條中並未允許其可課徵MP3播放器製造商類似的費用。 Noel法官坦承其亦認知到,著作權委員會是本著希望補償著作權人因為點對點網路下載而致生損害的立場,惟重點在於「主管機關仍應依法行政。」就此而論,對 MP3播放器交易加以課稅仍非合法。 2003年12月加拿大開始針對可複製媒體課稅,而著作權委員會進而主張,MP3播放器製造業者每賣一部少於1GB容量的播放器應被課以2美元、1至10GB容量者課以15美元,以及超過10GB容量之播放器課以25美元,以補償著作權人因為點對點網路複製音樂所生的損失。 根據加拿大著作權法,著作權委員會可針對空白重製媒體進行課稅以補償著作權人因為個人目的重製(Private Copying)所生之損失,2000年開始針對可複製CD媒體課稅,包括空白影音帶。 播放器業者想當然並不接受這項義務的課予,因此起訴,而 本案判決的結果可預見將造成MP3播放器業者的降價行為。同時,一些將課稅所得分配與著作權人(包括演奏家或唱片公司)的機構,如加拿大個人重製組織(Canadian Private Copying Collective),已在評估是否將上訴至最高法院。不過至少,他們有可能將遊說加拿大政府以修正著作權法之方式,將MP3播放器的情形納入,以及若有可能,將未來類似性質之商品一併納入考量。
歐盟個人資料保護工作小組就目的限制原則發表意見2013年4月2日,歐盟個人資料保護工作小組(the Article 29 Working Party,以下稱「工作小組」),就目的限制原則(purpose limitation principle)發表意見書,檢視歐盟資料保護指令(Data Protection Directive)第六條所規定的目的限制原則,包括(一)資料的蒐集必須具有特定、明確與合法之目的,以及(二)資料的處理或利用必須符合資料蒐集時之目的。 另一方面,工作小組亦檢視目的限制原則對巨量資料(big data)與開放資料(open data)可能會造成的潛在衝擊: 1.就巨量資料的部分而言,工作小組界定了二個應用情境,一是分析巨量資訊,以分析辨識趨勢或資訊間的相關性,另一是直接影響個人(例如,對當事人的行為進行追蹤、分析、側寫,並據此進行廣告與行銷)。對此,工作小組認為,應給予當事人選擇的權利,另外,組織應揭露關決策標準,並且提供當事人之側寫資料。 2.關於開放資料,工作小組強調匿名化以及資料保護衝擊分析的重要性,以確保必要的安全措施。 工作小組提出兩項修正意見,包括(一)個人資料保護規則(General Data Protection Regulation)草案的第五條宜針對目的限制原則為更明確之規定,以及(二)刪除個人資料保護規則草案第六條第四項之規定。