澳洲通過新修正之隱私法,大幅提高罰責以期遏止個資事故
澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。
近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。
此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。
一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。
二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。
三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。
至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。
*調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
黃昱揚
副法律研究員 編譯整理
Australia's Optus says up to 10 million customers caught in cyber attack, REUTERS, Sep. 24, 2022, https://www.reuters.com/technology/australias-optus-says-up-10-mln-customers-caught-cyber-attack-2022-09-23/ (last visited Nov. 17, 2022).
Medibank says hacker accessed data of 9.7 million customers, refuses to pay ransom, REUTERS, Nov. 8, 2022, https://www.reuters.com/business/healthcare-pharmaceuticals/medibank-says-hacker-accessed-data-97-mln-customers-refuses-pay-ransom-2022-11-06/ (last visited Nov. 17, 2022).
Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022, PARLIAMENTARY OF AUSTRALIA, https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940 (last visited Nov. 17, 2022).
張恩若,〈簡析澳洲消費者資料權與開發銀行〉,科技法律透析,第32卷第6期,頁36-44(2020)。
法國政府基於保護電影、音樂等產業,在2009年3月提出將採取「三振法案」(Three-strikes law),對於不法使用網路下載音樂和檔案者,祭出明確的管制。第一階段違法者將會收到電子郵件警告,第二階段會收到書面之警告,第三階段將切斷該網路連接最長1年。 但這個提議在2009年4月遭到法國議會否決,有議員表示這項規定是「危險、無用、無效率且對民眾有相當大之危險。」消費者團體則表示,「無辜的民眾將會受到處罰,而駭客等真正的犯罪者則可以利用入侵他人之帳號規避法規,而且,該架構顯然缺乏配套的監督機制。」 無獨有偶的是,歐洲議會(European Parliament)也在同年11月針對歐盟電信信改革(EU Telecoms Reform)之討論,駁回該議案。議會認為,對人民通過網路使用服務和應用而進行的網際網路連接行為,在採取的措施時,應該尊重基本的人權和自由。這些限制權利的手段必須符合民主社會的法規,必須有效、公平和公正,比如通過法院進行審理等。而法國所提之切斷網路連接的三振法案與此原則不符。
德國「促進智慧財產權保障落實法Gesetz zur Verbesserung der Durchsetzung von Rechten des geistigen Eigentums,Durchsetzungsgesetz」將於今年8月1日開始生效施行歐盟「Enforcement-Ricgtlinie 2004/48/EG指令」於德國國內法,而採取所謂「條款立法Artikelgesetz」之綜合立法方式*,包括「專利法」、「商標法」、「實用新型專利法」、「半導體保護法」、「外觀設計專利法」、「品種保護法」、「非訟事件費用法」以及「著作權法」等相關條文之修正。 其中涉及「著作權法」相關重要修正條文包括「他人資訊提供請求權」,主要是賦予著作權人在主張權利侵害時,得向ISP業者要求提供可以辨明侵權者之身分資料(§101 UrhG),惟須符合特定條件,例如,侵權者須有營業行為(in geweblichem Ausmaß)。然而,就何謂「營業行為」在立法過程中爭議迭起,最後達成協議,決定認定「營業行為」之判斷標準包括:上傳、下載或公開傳輸檔案的數量、電影影片是否為全片供下載、錄音專輯是否整張專輯均提供下載等。簡言之,判斷標準將交由司法單位自被下載檔案的「量」與「質」加以衡量。 不同於歐盟Enforcement-Ricgtlinie指令,新修正之著作權法規定在侵害利益輕微案件中,權利人得向侵權人主張存證信函相關費用之上限為100歐元(§97a UrhG),此規定目的在預防權利人相關費用的主張權利遭致濫用。惟於立法過程中遭權利人及律師代表極力反對,認為如權利人堅持捍衛其權利,則超過100歐元之費用部分需由權利人自行吸收,顯不公平。 在著作權保障意識高漲的現代,有關著作權侵害判斷標準以及賠償方式爭議不斷,德國著作權法亦在相關壓力下持續修正著作權法相關條文,擴大對著作權人之保護。這一波修正條文於8月1日正式施行後成效如何,值得後續觀察。 * 主要是將原本散落在不同法律規範中之條文,以組成「條款」的方式將修正的條文。立法過程完成後,該法的 「架構」是由各個「條款」所組成,而每個條款是代表一個(遭到修正之)法律條文。
美國商務部工業暨安全局公布「確保聯網車輛資通訊技術及服務供應鏈安全」法規預告.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 美國商務部工業暨安全局(Bureau of Industry and Security, BIS)於2024年9月23日公布「確保聯網車輛資通訊技術及服務供應鏈安全」(Securing the Information and Communications Technology and Services Supply Chain: Connected Vehicles)法規預告(Notice of Proposed Rulemaking, NPRM),旨在透過進口管制措施,保護美國聯網車供應鏈及使用安全,避免國家受到境外敵對勢力的威脅。 相較於BIS於2024年3月1日公布的法規制定預告(Advanced Notice of Proposed Rulemaking, ANPRM),NPRM明確指出受進口管制的國家為中國及俄國,並將聯網車輛資通訊技術及服務之定義,限縮於車載資通訊系統、自動駕駛系統及衛星或蜂巢式通訊系統,排除資訊洩漏風險較小的車載操作系統、駕駛輔助系統及電池管理系統。NPRM定義三種禁止交易型態:(1)禁止進口商將任何由中國或俄國擁有、控制或指揮的組織(下稱「中俄組織」)設計、開發、生產或供應(下稱「提供」)的車輛互聯系統(vehicle connectivity system, VCS)硬體進口至美國;(2)禁止聯網車製造商於美國進口或銷售含有中俄組織所提供的軟體之聯網整車;(3)禁止受中俄擁有、控制或指揮的製造商於美國銷售此類整車。 NPRM亦提出兩種例外授權的制度:在特定條件下,例如年產量少於1000輛車、每年行駛公共道路少於30天等,廠商無須事前通知BIS,即可進行交易,然而須保存相關合規證明文件;不符前述一般授權資格者,可申請特殊授權,根據國安風險進行個案審查。其審查重點包含外國干預、資料洩漏、遠端控制潛力等風險。此外,為提升供應鏈透明度並檢查合規性,BIS預計要求VCS硬體進口商及聯網車製造商,每年針對涉及外國利益的交易,提交符合性聲明,並附軟硬體物料清單(Bill of Materials, BOM)證明。BIS針對此規範是否有效且必要進行意見徵詢,值得我國持續關注。
智慧財產權侵權風險分擔機制-歐盟專利訴訟保險制度