澳洲通過新修正之隱私法,大幅提高罰責以期遏止個資事故
澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。
近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。
此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。
一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。
二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。
三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。
至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。
*調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Australia's Optus says up to 10 million customers caught in cyber attack, REUTERS, Sep. 24, 2022, https://www.reuters.com/technology/australias-optus-says-up-10-mln-customers-caught-cyber-attack-2022-09-23/ (last visited Nov. 17, 2022).
Medibank says hacker accessed data of 9.7 million customers, refuses to pay ransom, REUTERS, Nov. 8, 2022, https://www.reuters.com/business/healthcare-pharmaceuticals/medibank-says-hacker-accessed-data-97-mln-customers-refuses-pay-ransom-2022-11-06/ (last visited Nov. 17, 2022).
Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022, PARLIAMENTARY OF AUSTRALIA, https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940 (last visited Nov. 17, 2022).
張恩若,〈簡析澳洲消費者資料權與開發銀行〉,科技法律透析,第32卷第6期,頁36-44(2020)。
美國政府近年來為預備恐怖活動積極部署國家安全相關措施,包括運用出口管理規則(Export Administration Regulations)監控軍商二用技術及產品(dual-use items)之輸出;然而在維護國家安全的同時,美國仍然希望能持續鞏固其經濟及技術領先地位,以及避免全球高科技及市場遭到稀釋。美國總統因此於今(2008)年初,提出一系列有關軍商二用出口管制之行政新措施,欲藉此強化軍商二用出口管制制度(dual-use export control system)。其主要目標如下: (1)適當管制外國終端用戶(Foreign End-Users):美國政策作法是,未來軍商二用出口管制制度將要著重在美國高科技產品外國終端用戶之管理,除了保持其拒絕將敏感性科技輸給武器擴散份子、國際恐怖分子和習慣進行違背美國國家安全及外交政策與利益之國家對象之宗旨外,美國一方面將擴大受管制實體清單(Entity List)對象範圍,嚴格審查曾從事違背美國國家安全和外交政策及利益活動之外國夥伴;另方面,美國則將妥善使用所謂正當使用者計畫(Validated End User(VEU) program),免除這些受信賴之使用對象在輸出產品時受制於嚴格的出口申請程序。例如港商Manufacturing International Corporation(SMIC)最近即被納入VEU初始清單。 (2)增進國家競爭能力:美國將以維持經濟競爭力和創新研發為目標,建立一道檢討受管制軍商二用標的之常規程序,藉此重新評估並適時修正商業控制清單(Commerce Control List)所列產品及對象。 (3)透明化:為求達到資訊公開、共同促進國家安全及競爭之目的,美國商業部還會在網站上公開受到高度審查之外國夥伴清單。 最後,美國行政主管機關亦表示,為了有利於行政機關有效執行國家軍商二用出口管制政策,高度支持透過出口管理法(Export Administration Act)修正之再授權,更新違法之刑罰規定,並提升行政機關之執行權限。
美國加州「對話機器人揭露法案」美國加州議會於2018年9月28日通過加州參議院之對話機器人揭露法案(Bots Disclosure Act, Senate Bill No. 1001)。此一法案於美國加州商業及專門職業法規(Business and Professions Code)第七部(Division)第三篇(Part)下增訂了第六章(Part)「機器人」乙章,擬防範「利用對話機器人誤導消費者其為真人同時並誤導消費者進行不公平交易」之商業模式,本法案將於2019年7月1日正式生效。依此法案,企業如有使用對話機器人,則應揭露此一事實,讓消費者知悉自己是在與對話機器人溝通。 美國加州對話機器人揭露法案對於「機器人」之定義為全自動化之線上帳戶,其所包含之貼文、活動實質上並非人類所形成。對於「線上」之定義為,任何公眾所可連結上之線上網站、網路應用軟體、數位軟體。對於「人類」之定義為自然人、有限公司、合夥、政府、團體等其他法律上組織或擬制人格。如業者使用對話機器人進行行銷、推銷時,有揭露其為對話機器人之事實,將不被認定違反對話機器人揭露法案,但揭露之手段必須明確、無含糊且合理可讓消費者知悉其所對話之對象為非人類之機器人。值得注意者為,美國加州對話機器人揭露法案,針對「美國本土造訪用戶群在過去12月間經常性達到每月10,000,000人」之網站,可排除此規定之限制。 本法案僅課予業者揭露義務,至於業者違反本法之法律效果,依本法案第17941條,需參照其他相關法規予以決定。例如違反本法案者,即可能被視為是違反美國加州民法揭露資訊之義務者而需擔負相關民事賠償責任。最後值得注意者為,本法案於第17941條針對「利用對話機器人誤導公民其為真人同時影響公民投票決定」之行為,亦納入規範,亦即選舉人如有利用對話機器人影響選舉結果而未揭露其利用對話機器人之事實時,依本條將被視為違法。
G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢G7第四屆資料保護與隱私圓桌會議揭示隱私保護新趨勢 資訊工業策進會科技法律研究所 2025年03月10日 七大工業國組織(Group of Seven,下稱G7)於2024年10月10日至11日在義大利羅馬舉辦第四屆資料保護與隱私機構圓桌會議(Data Protection and Privacy Authorities Roundtable,下稱圓桌會議),並發布「G7 DPAs公報:資料時代的隱私」(G7 DPAs’ Communiqué: Privacy in the age of data,下稱公報)[1],特別聚焦於人工智慧(AI)技術對隱私與資料保護的影響。 壹、緣起 由美國、德國、英國、法國、義大利、加拿大與日本的隱私主管機關(Data Protection and Privacy Authorities, DPAs)組成本次圓桌會議,針對數位社會中資料保護與隱私相關議題進行討論,涵蓋「基於信任的資料自由流通」(Data Free Flow with Trust, DFFT)、新興技術(Emerging technologies)、跨境執法合作(Enforcement cooperation)等三大議題。 本次公報重申,在資通訊技術主導的社會發展背景下,應以高標準來審視資料隱私,從而保障個人權益。而DPAs作為AI治理領域的關鍵角色,應確保AI技術的開發和應用既有效且負責任,同時在促進大眾對於涉及隱私與資料保護的AI技術認識與理解方面發揮重要作用[2]。此外,公報亦強調DPAs與歐盟理事會(Council of Europe, CoE)、經濟合作暨發展組織(Organisation for Economic Co-operation and Development, OECD)、亞太隱私機構(Asia Pacific Privacy Authorities, APPA)、全球隱私執行網路(Global Privacy Enforcement Network, GPEN)及全球隱私大會(Global Privacy Assembly, GPA)等國際論壇合作的重要性,並期望在推動資料保護與建立可信賴的AI技術方面作出貢獻[3]。 貳、重點說明 基於上述公報意旨,本次圓桌會議上通過《關於促進可信賴AI的資料保護機構角色的聲明》(Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI)[4]、《關於AI與兒童的聲明》(Statement on AI and Children)[5]、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》(Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions)[6],分別說明重點如下: 一、《關於促進可信賴AI的資料保護機構角色的聲明》 繼2023年第三屆圓桌會議通過《關於生成式AI聲明》(Statement on Generative AI)[7]後,本次圓桌會議再次通過《關於促進可信賴AI的資料保護機構角色的聲明》,旨在確立管理AI技術對資料保護與隱私風險的基本原則。G7 DPAs強調許多AI技術依賴個人資料的運用,這可能引發對個人偏見及歧視、不公平等問題。此外,本聲明中還表達了擔憂對這些問題可能透過深度偽造(Deepfake)技術及假訊息擴散,進一步對社會造成更廣泛的不良影響[8]。 基於上述考量,本聲明提出以下原則,納入G7 DPAs組織管理的核心方針[9]: 1. 以人為本的方法:G7 DPAs應透過資料保護來維護個人權利與自由,並在AI技術中提供以人權為核心的觀點。 2. 現有原則的適用:G7 DPAs應審視公平性、問責性、透明性和安全性等AI治理的核心原則,並確保其適用於AI相關框架。 3. AI核心要素的監督:G7 DPAs應從專業視角出發,監督AI的開發與運作,確保其符合負責任的標準,並有效保護個人資料。 4. 問題根源的因應:G7 DPAs應在AI的開發階段(上游)和應用階段(下游)找出問題,並在問題擴大影響前採取適當措施加以解決。 5. 善用經驗:G7 DPAs應充分利用其在資料領域的豐富經驗,謹慎且有效地應對AI相關挑戰。 二、《關於AI與兒童的聲明》 鑒於AI技術發展可能對於兒童和青少年產生重大影響,G7 DPAs發布本聲明表示,由於兒童和青少年的發展階段及其對於數位隱私的瞭解、生活經驗有限,DPAs應密切監控AI對兒童和青少年的資料保護、隱私權及自由可能造成的影響程度,並透過執法、制定適合年齡的設計實務守則,以及發佈面向兒童和青少年隱私權保護實務指南,以避免AI技術導致潛在侵害兒童和青少年隱私的行為[10]。 本聲明進一步闡述,當前及潛在侵害的風險包含[11]: 1. 基於AI的決策(AI-based decision making):因AI運用透明度不足,可能使兒童及其照顧者無法獲得充足資訊,以瞭解其可能造成重大影響的決策。 2. 操縱與欺騙(Manipulation and deception):AI工具可能具有操縱性、欺騙性或能夠危害使用者情緒狀態,促使個人採取可能危害自身利益的行動。例如導入AI的玩具可能使兒童難以分辨或質疑。 3. AI模型的訓練(Training of AI models):蒐集和使用兒童個人資料來訓練AI模型,包括從公開來源爬取或透過連線裝置擷取資料,可能對兒童的隱私權造成嚴重侵害。 三、《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》 考慮到個人資料匿名化、假名化及去識別化能促進資料的創新利用,有助於最大限度地減少隱私風險,本文件旨在整合G7成員國對於匿名化、假名化與去識別化的一致理解,針對必須降低可識別性的程度、資訊可用於識別個人的程度、減少可識別性的規定流程及技術、所產生的資訊是否被視為個人資料等要件進行整理,總結如下: 1. 去識別化(De-identification):加拿大擬議《消費者隱私保護法》(Consumer Privacy Protection Act, CPPA)、英國《2018年資料保護法》(Data Protection Act 2018, DPA)及美國《健康保險可攜性及責任法》(Health Insurance Portability and Accountability Act , HIPAA)均有去識別化相關規範。關於降低可識別性的程度,加拿大CPPA、英國DPA規定去識別化資料必須達到無法直接識別特定個人的程度;美國HIPAA則規定去識別化資料須達到無法直接或間接識別特定個人的程度。再者,關於資料去識別化的定性,加拿大CPPA、英國DPA認定去識別化資料仍被視為個人資料,然而美國HIPAA則認定去識別化資料不屬於個人資料範疇。由此可見,各國對去識別化規定仍存在顯著差異[12]。 2. 假名化(Pseudonymization):歐盟《一般資料保護規則》(General Data Protection Regulation, GDPR)及英國《一般資料保護規則》(UK GDPR)、日本《個人資料保護法》(個人情報の保護に関する法律)均有假名化相關規範。關於降低可識別性的程度,均要求假名化資料在不使用額外資訊的情況下,須達到無法直接識別特定個人的程度,但額外資訊應與假名化資料分開存放,並採取相應技術與組織措施,以確保無法重新識別特定個人,因此假名化資料仍被視為個人資料。而關於假名化程序,日本個資法明定應刪除或替換個人資料中可識別描述或符號,歐盟及英國GDPR雖未明定具體程序,但通常被認為採用類似程序[13]。 3. 匿名化(Anonymization):歐盟及英國GDPR、日本個資法及加拿大CPPA均有匿名化相關規範。關於降低可識別性的程度,均要求匿名化資料無法直接或間接識別特定個人,惟可識別性的門檻存在些微差異,如歐盟及英國GDPR要求考慮控管者或其他人「合理可能用於」識別個人的所有方式;日本個資法則規定匿名化資料之處理過程必須符合法規標準且不可逆轉。再者,上述法規均將匿名化資料視為非屬於個人資料,但仍禁止用於重新識別特定個人[14]。 參、事件評析 本次圓桌會議上發布《關於促進可信賴AI的資料保護機構角色的聲明》、《關於AI與兒童的聲明》,彰顯G7 DPAs在推動AI治理原則方面的企圖,強調在AI技術蓬勃發展的背景下,隱私保護與兒童權益應成為優先關注的議題。與此同時,我國在2024年7月15日預告《人工智慧基本法》草案,展現對AI治理的高度重視,融合美國鼓勵創新、歐盟保障人權的思維,針對AI技術的應用提出永續發展、人類自主、隱私保護、資訊安全、透明可解釋、公平不歧視、問責等七項原則,為國內AI產業與應用發展奠定穩固基礎。 此外,本次圓桌會議所發布《從跨國角度觀察降低可識別性:G7司法管轄區對匿名化、假名化與去識別化的法定及政策定義》,揭示各國在降低可識別性相關用語定義及其在資料保護與隱私框架中的定位存在差異。隨著降低可識別性的方法與技術不斷創新,這一領域的監管挑戰日益突顯,也為跨境資料流動越發頻繁的國際環境提供了深化協調合作的契機。在全球日益關注資料保護與隱私的趨勢下,我國個人資料保護委員會籌備處於2024年12月20日公告《個人資料保護法》修正草案,要求民間業者設置個人資料保護長及稽核人員、強化事故通報義務,並針對高風險行業優先實施行政檢查等規定,以提升我國在數位時代的個資保護水準。 最後,本次圓桌會議尚訂定《2024/2025年行動計畫》(G7 Data Protection and Privacy Authorities’ Action Plan)[15],圍繞DFFT、新興技術與跨境執法合作三大議題,並持續推動相關工作。然而,該行動計畫更接近於一項「基於共識的宣言」,主要呼籲各國及相關機構持續努力,而非設定具有強制力或明確期限的成果目標。G7 DPAs如何應對數位社會中的資料隱私挑戰,並建立更順暢且可信的國際資料流通機制,將成為未來關注的焦點。在全球共同面臨AI快速發展所帶來的機遇與挑戰之際,我國更應持續關注國際趨勢,結合自身需求制訂相關法規以完善相關法制,並積極推動國際合作以確保國內產業發展銜接國際標準。 [1]Office of the Privacy Commissioner of Canada [OPC], G7 DPAs’ Communiqué: Privacy in the age of data (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/communique-g7_241011/ (last visited Feb 3, 2025). [2]Id. at para. 5. [3]Id. at para. 7-9. [4]Office of the Privacy Commissioner of Canada [OPC], Statement on the Role of Data Protection Authorities in Fostering Trustworthy AI (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_ai/ (last visited Feb 3, 2025). [5]Office of the Privacy Commissioner of Canada [OPC], Statement on AI and Children (2024), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2024/s-d_g7_20241011_child-ai/ (last visited Feb 3, 2025). [6]Office of the Privacy Commissioner of Canada [OPC], Reducing identifiability in cross-national perspective: Statutory and policy definitions for anonymization, pseudonymization, and de-identification in G7 jurisdictions (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/de-id_20241011/ (last visited Feb 3, 2025). [7]Office of the Privacy Commissioner of Canada [OPC], Statement on Generative AI (2023), https://www.priv.gc.ca/en/opc-news/speeches-and-statements/2023/s-d_20230621_g7/ (last visited Feb 3, 2025). [8]Supra note 4, at para. 11. [9]Supra note 4, at para. 18. [10]Supra note 5, at para. 5-6. [11]Supra note 5, at para. 7. [12]Supra note 6, at para. 11-15. [13]Supra note 6, at para. 16-19. [14]Supra note 6, at para. 20-25. [15]Office of the Privacy Commissioner of Canada [OPC], G7 Data Protection and Privacy Authorities’ Action Plan (2024), https://www.priv.gc.ca/en/opc-news/news-and-announcements/2024/ap-g7_241011/ (last visited Feb 3, 2025).
美國商務部調整《出口管制規則》允許美國企業與華為合作制定5G標準美國商務部工業安全局(Department of Commerce, Bureau of Industry and Security, BIS)於2020年6月15日宣布修改《出口管制規則》(Export Administration Regulations, EAR),調整美國企業和中國大陸華為公司商業往來的相關禁令,允許美國企業和華為合作制定5G標準。國際標準為技術開發的重要基礎,企業在標準制定的參與和領導力,將同步影響5G、自動駕駛、AI及其他尖端技術的未來發展;美國為鞏固全球創新領導地位,積極倡導國內產業參與標準制定成為國際標準,保護國家安全與外交政策利益。雖然華為及其關係企業在2019年5月,因存在重大國家安全風險,被美國商務部列入實體管制清單,禁止美國企業在未獲商務部許可的情況下與華為進行任何業務往來,但此項政策不應妨礙美國企業參與重要的國際標準制定活動。 本次《出口管制規則》補充「一般性暫行核准(Temporary General License)」附錄,允許華為及其68家關係企業在參與國際標準化組織與5G標準制定等特殊情形下,得依據美國行政管理和預算局(Office of Management and Budget, OMB)A-119號通知所制定之標準,取得《出口管制規則》中涉及EAR99或出於反恐原因被列入美國商業管制清單之貨品與技術。代表美國企業毋需取得商務部的暫行核准,也可以在國際標準制定組織中與中國大陸華為等公司分享用於制定5G標準的相關資訊,甚至合作制定5G標準。另外,《出口管制規則》僅在非出於商業目的之合法標準制定情況下,允許美國企業向華為及其關係企業揭露此類技術;若是出於商業目的揭露,仍然須受《出口管制規則》拘束並應保存記錄。