澳洲通過新修正之隱私法,大幅提高罰責以期遏止個資事故
澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。
近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。
此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。
一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。
二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。
三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。
至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。
*調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
黃昱揚
副法律研究員 編譯整理
Australia's Optus says up to 10 million customers caught in cyber attack, REUTERS, Sep. 24, 2022, https://www.reuters.com/technology/australias-optus-says-up-10-mln-customers-caught-cyber-attack-2022-09-23/ (last visited Nov. 17, 2022).
Medibank says hacker accessed data of 9.7 million customers, refuses to pay ransom, REUTERS, Nov. 8, 2022, https://www.reuters.com/business/healthcare-pharmaceuticals/medibank-says-hacker-accessed-data-97-mln-customers-refuses-pay-ransom-2022-11-06/ (last visited Nov. 17, 2022).
Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022, PARLIAMENTARY OF AUSTRALIA, https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940 (last visited Nov. 17, 2022).
張恩若,〈簡析澳洲消費者資料權與開發銀行〉,科技法律透析,第32卷第6期,頁36-44(2020)。
美國環保署(United States Environmental Protection Agency, EPA)為限制汽車廢氣排放污染物對環境造成的危害,根據美國《潔淨空氣法》(Clean Air Act, CAA)的授權,於2023年4月12日提出《2027年式輕型、中型商用車車型污染物排放標準》(Multi-Pollutant Emissions Standards for Model Years 2027 and Later Light-Duty and Medium-Duty Vehicles),以及《重型商用車溫室氣體排放標準-第三階段》(Greenhouse Gas Emissions Standards for Heavy-Duty Vehicles – Phase 3)這兩件汽車廢氣排放新標準,期加速電動汽車(Electric Vehicle, EVs)發展、加速潔淨交通轉型。 《2027年式輕型、中型商用車車型污染物排放標準》以及《重型商用車溫室氣體排放標準-第三階段》分別針對2027年到2032年所出廠的輕型商用車、中型商用車以及重型商用車的汽車廢氣排放標準做出更嚴格的新規範,預計將成為美國迄今為止最嚴格的汽車廢氣排放標準。目標是到2032年時,輕型商用車行駛每英里二氧化碳平均排放量下降至82公克,溫室氣體排放量相較於2026年車型年標準將減少56%;中型商用車行駛每英里二氧化碳平均排放量下降至275公克,溫室氣體排放量相較於2026年車型年標準則將減少44%。至於重型商用車,以重型拖曳機(heavy-haul tractors)為例,將從2027年車型年行駛每噸英里二氧化碳平均排放量48克,到2032年時下降至41公克左右。 根據這兩件汽車廢氣排放新標準,並未禁止化石燃料汽車的製造或銷售、亦未規範要求電動汽車的年製造量或年銷售量要達多少數量或比率,而是為汽車限定更嚴格的廢氣排放標準,因此,仍無疑地將迫使汽車製造商減少販售化石燃料汽車、加速推動電動汽車生產的腳步以符合新的排放標準規定。環保署預測汽車製造商在為符標準所採的相應作法之下將會大幅提高電動汽車在新車的銷售比率:到2032年時,電動汽車將佔輕型商用車新車銷量的 67%、中型商用車新車銷量的46%。而此累計可望到2055年時減少約100億噸的二氧化碳排放,相當於美國2022年二氧化碳總排放量的兩倍多。將有效減少有害空氣汙染、並大幅降低因空氣汙染所致的罹病風險以及過早死亡等危險。 藉由新的排放標準,將逐步淘汰化石燃料汽車的生產,加速潔淨交通轉型,有效應對氣候危機並提高全國各社區空氣品質。
營業秘密管理概要 日本內閣府研議「網路資訊安全判斷基準草案」並將作為未來機關處理共同標準日本內閣府網路安全戰略本部(サイバーセキュリティ戦略本部)於2017年7月13日第14次會議中提出對2020年後網路安全相關戰略案之回顧(2020年及びその後を見据えたサイバーセキュリティの在り方(案)-サイバーセキュリティ戦略中間レビュー-),針對網路攻擊嚴重程度,訂立網路安全判斷基準(下稱本基準)草案。對於現代網路攻擊造成之嚴重程度、資訊之重要程度、影響範圍等情狀,為使相關機關可以做出適當之處理,進而可以迅速採取相應之行動,特制訂強化處理網路攻擊判斷基準草案。其後將陸續與相關專家委員討論,將於2017年年底發布相關政策。 本基準設置目的:為了於事故發生時,具有視覺上立即判斷標準,以有助於事故相關主體間溝通與理解,並可以做為政府在面對網路侵害時判斷之基準,成為相關事件資訊共享之體制與方法之基準。 本基準以侵害程度由低至高,分為第0級至第5級。第0級(無)為無侵害,乃對國民生活無影響之可能性;第1級(低)為對國民生活影響之可能性低;第2級(中)為對國民生活有影響之可能性;第3級(高)為明顯的對國民生活影響,並具高可能性;第4級(重大)為顯著的對國民生活影響,並具高可能性;第5級(危機)為對國民生活廣泛顯著的影響,並具有急迫性。除了對國民及社會影響,另外在相關系統(システム)評估上,在緊急狀況時,判斷對重要關鍵基礎設施之安全性、持續性之影響時,基準在第0級至第4級;平常時期,判斷對關鍵基礎設施之影響,只利用第0級至第3級。 本次報告及相關政策將陸續在一年內施行,日本透過內閣府網路安全戰略本部及總務省、經濟產業省與相關機構及單位之共同合作,按照統一之標準採取措施,並依據資訊系統所收集和管理之資料作出適當的監控及觀測,藉由構建之資訊共享系統,可以防止網絡攻擊造成重大的損失,並防止侵害持續蔓延及擴大,同時也將為2020年東京奧運會之資訊安全做準備。我國行政院國家資通安全會報目前公布了「國家資通安全通報應變作業綱要」,而日本以國民生活之影響程度標準列成0至5等級,其區分較為精細,且有區分平時基準及非常時期基準等,日本之相關標準可作為綱要修正時之參考。
FCC推動電線寬頻上網(BPL, broadband over power line)服務FCC日前發佈一份關於電線寬頻上網之備忘錄命令及意見(MO&O, Memorandum Opinion and Order),除了再度確認FCC於2004年時就接取電線寬頻上網系統所為之決議外,同時也否決業餘無線電社群、電視廣播業者、航空工業等所提出限制電線寬頻上網之要求,但FCC採納保護無線電天文台以及航空站使免於電線寬頻上網干擾之規定。 FCC表示,推動電線寬頻上網可以幫助居住於鄉村地區之美國民眾接取高速網路,而且目前寬頻網路市場的主導者有線電視網路上網(cable)業者及數位用戶迴路業者(DSL)亦將會因電線寬頻上網之發展而被迫降價,讓消費者可以更低廉的價格接取寬頻網路。不過,FCC委員Michael Copps 提醒,雖然眼前FCC在電線寬頻上網以及可能產生之干擾間似乎已達成平衡,但FCC仍應繼續密切關注電線寬頻上網對其他使用者之干擾問題,尤其在卡崔那(Katrina)颶風的慘痛經驗中已證實業餘無線電之發展與貢獻具有高度價值,因此,對於電線寬頻上網可能對業餘無線電用戶之干擾部分應格外注意。