澳洲通過新修正之隱私法,大幅提高罰責以期遏止個資事故
澳洲司法部長Mark Dreyfus於2022年10月26日提出聯邦《2022年隱私法修正案(執法及其他措施)》(Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022 (Cth) ),並於11月28日正式通過,顯示澳洲政府對於近期多起大型個資事故的重視,以及民眾對於個資保護之公民意識逐漸成熟。
近期澳洲發生之兩起大規模個資事故,其一為9月底澳洲第二大電信業者Optus表示受到網路攻擊,約有1,000萬人(約占澳洲人口40%)的個資遭到外洩,除了姓名、性別、生日等資料之外也包括用戶的住址、駕照和護照號碼等;無獨有偶,於十月底澳洲最大的私人健康保險公司Medibank亦公開聲明發生200GB的資料遭到竊取的個資事故,被竊資料中有大約970萬名現在或過去客戶的姓名、出生日期、地址、電話號碼和電子郵件地址等資料,因為此兩起大型個資事故的發生,促使澳洲政府不得不予以重視,在極短時間內通過新法修正。
此次修正案修改1988年《隱私法》(Privacy Act)、2010年《澳洲資訊委員法》(Australian Information Commissioner Act)和2005年《澳洲通訊及媒體管理局法》(Australian Communications and Media Authority Act 2005),修正重點包含加重裁罰、加強資訊委員執法權限及域外管轄權。
一、加重裁罰之部分,依修正《隱私法》第13G條,當嚴重或反覆侵犯他人隱私事件發生時,若行為人為「非法人」(a person other than a body corporate,即我國法之自然人)時,其由行政機關課予當事人之罰金(civil penalty)上限提高到250萬澳幣(約新台幣5,200萬);若行為人為「法人」(body corporate)時,罰金上限增加到5,000萬澳幣(約新台幣10億)或其所得利益價值的三倍(兩者取其高)。如果法院無法確定利益的數額,則取法人違規期間或事故發生後12個月內(擇其時間較長者)調整型營收(adjusted turnover*)的30%。
二、關於資訊委員執法權限強化部分,其擴大資訊委員與他公私部門間交換及查閱資訊之權限,資訊委員得向嫌疑人進行調查或要求交付相關證據,且賦予資訊委員得不待法院裁判,逕對妨害查辦者課以民事制裁,甚至得將屢次妨害查辦之法人團體之行為定為刑事犯罪。
三、有關域外管轄權部分,原先僅適用於「未在澳洲設立登記,但有在澳洲境內蒐集個資且經營業務」之公司;現刪除「有在澳洲境內蒐集個資」之規定,故未在澳洲登記之公司往後即使未在澳洲境內蒐集個資,若有在澳洲境內經營業務即受有域外效力之管轄,其範圍甚至將比歐盟GDPR之域外管轄權更為寬廣。
至於提高裁罰金額能否提升資安及個資保護之效益仍有待商榷,惟提高罰鍰額度應能使持有個資業者採行較高之資料保護安全措施等級。我國近期亦發生2,300萬筆民眾戶政資料外洩事件,依我國《個人資料保護法》規定,個資事故發生時,若被害人不易或不能證明其實際損害額時,法院依侵害情節,以每人每一事件500以上至2萬元以下計算財產損害。且同一原因事實造成的事件,原則上其賠償最高總額以2億元為限。若我國將來修法適當調整金額,相信有望遏止類似事故不斷發生。
*調整型營收(adjusted turnover):指公司(及相關企業)在違規期間內營業額扣除應調整之稅額例外項目後,所有商品及服務價值的總和。
- 零售業個資安全宣導暨安全維護計畫規劃說明會
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
黃昱揚
副法律研究員 編譯整理
Australia's Optus says up to 10 million customers caught in cyber attack, REUTERS, Sep. 24, 2022, https://www.reuters.com/technology/australias-optus-says-up-10-mln-customers-caught-cyber-attack-2022-09-23/ (last visited Nov. 17, 2022).
Medibank says hacker accessed data of 9.7 million customers, refuses to pay ransom, REUTERS, Nov. 8, 2022, https://www.reuters.com/business/healthcare-pharmaceuticals/medibank-says-hacker-accessed-data-97-mln-customers-refuses-pay-ransom-2022-11-06/ (last visited Nov. 17, 2022).
Privacy Legislation Amendment (Enforcement and Other Measures) Bill 2022, PARLIAMENTARY OF AUSTRALIA, https://www.aph.gov.au/Parliamentary_Business/Bills_Legislation/Bills_Search_Results/Result?bId=r6940 (last visited Nov. 17, 2022).
張恩若,〈簡析澳洲消費者資料權與開發銀行〉,科技法律透析,第32卷第6期,頁36-44(2020)。
英國可算是對人類胚胎研究最積極的國家之一,目前其胚胎相關研究係根據「人類受精與胚胎學法」(Human Fertilisation and Embryology Act 1990,HF&E Act)及「人類受精與胚胎學規則」(Human Fertilisation and Embryology (Research Purposes) Regulations 2001,Research Purposes Regulations)之規定,並授權「人類受精與胚胎學管理局」(Human Fertilisation and Embryology Authority,HFEA)加以管理。 然面對胚胎研究日益多樣化,英國健康部於今(2007)年5月正式提出「人類組織與胚胎法草案」(Human Tissues and Embryos (Draft)Bill,以下簡稱草案),期能加強現有管理體系並促進相關技術之發展,而草案特別針對體外受精(in vitro fertilization)及胚胎研究之相關規定,作一徹底檢視及翻修。 進一步觀察,胚胎儲存、胚胎篩選、精卵捐贈及主管機關均屬草案規定範圍,另近來於英國國內討論熱烈的人類動物混合胚胎議題,亦於草案中有所規定,草案准許三種類型之人類動物混合胚胎得以被製造,分別是:將動物細胞注入至人類胚胎中、將動物DNA注入至人類胚胎中及將人類細胞核植入動物卵子中等。至於人類精卵與動物精卵之結合,則是被禁止之行為。 草案後續將送交國會專門委員會審查,但由於草案涉及極為爭議的人類動物混合胚胎議題,社會輿論的壓力及保守派議員會產生何種影響,值得持續關注。
美國擬將開放中國家禽類產品之進口美國近期可能開放進口中國大陸將已處理或煮熟的家禽類產品至美國。美國農業部(The U.S. Department of Agriculture)表示中國若將處理過之家禽類產品出口至美國販售,前提是必須遵循美國相關食品進口規範完成妥當的進口申報程序,並且在中國所提出之出口健康認證(export health certificate)中,證明該家禽類產品有確實在適當的溫度等處理過程中進行妥善處理。 美國農業部食品安全及監督服務部門(Food Safety and Inspection Service, 簡稱FSIS)之相關負責官員於2014年6月初在美國國會中國事務執行委員會(Congressional-Executive Commission on China, 簡稱CECC)所舉行的聽證會(hearing)中指出,中國已經將出口健康認證提交給FSIS及動物植物健康監督服務(Animal and Plant Health Inspection Service, 簡稱APHIS)進行審核。在聽證會中,最讓美國負責官員顧慮是否通過開放中國進口家禽類產品之因素在於中國鬆懈的法律規範及其政府的貪汙問題,對於所出具的出口健康認證報告之確實性亦有待考證。美國負責的相關人員建議,中國大陸在產品製造過程的透明度是對於出口健康認證最重要的部分,能夠說服美國相信中國大陸對於食品及藥物安全在管理上的謹慎。 另外一個需要注意的地方在於食品原產地之標示(country-of-origin labeling,簡稱COOL)。在美國食品市場中,若食品大部分的成分來源是在美國境內處理的,則該食品會有「美國產品」(product of U.S.A.)之標示,但對於何謂「美國境內處理的食物」仍沒有明確的標準,對於國外進口美國的產品,在美國經過重新包裝或加工,則依據COOL相關規範,應標示該產品為「美國產品」。因此,在此條件下,若美國允許中國進口經過中國當局出口健康認證的家禽類產品,若進口至美國後,又在美國境內經過重新加工或是包裝,則該食品之COOL將會顯示該食品來自美國,而非出產自中國大陸。這樣的結果恐將會讓美國食品標示出現不完全精確之結果,也會讓消費者開始顧慮其購買的食品來源的顧慮及食品安全的可信度,美國將必須對進口食品的安全管控上建立更嚴謹的規範措施。
歐盟和德國對於自動駕駛及智慧交通系統之個人資料保護發展 英國商業、能源及產業策略部要求中資公司出售其於英國所收購晶圓公司的股份英國商業、能源及產業策略部(Department for Business, Energy and Industrial Strategy, BEIS)於2022年11月16日發布行政命令,以國家安全為由要求登記於荷蘭的中資公司Nexperia BV出售其於2021年7月收購之Nexperia Newport Limited(NNL)(原Newport Wafer Fab)至少86%的股份。 NNL擁有英國最大的晶圓製造工廠,其每月生產約32,000片晶圓,並大多出口至亞洲用以生產半導體。今(2022)年5月英國政府發現中國政府擁有Nexperia BV的母公司聞泰科技大約30%之股份後,即依《2021年國家安全與投資法》(National Security and Investment Act)第26條調查Nexperia BV於2021年7月收購NNL之行為,並認為該行為恐使NNL的半導體生產技術與知識(technological expertise and know-how)外流至中國,進而損害英國利益。同時,該行政命令亦提及NNL工廠位置靠近英國重要之南威爾斯半導體產業聚落,若讓Nexperia BV繼續經營該工廠,將使Nexperia BV能輕易的接觸相關生產技術與知識,佐以Nexperia BV母公司與中國政府的關係,恐有危害英國國家安全之虞。 Nexperia BV表示將提出訴願以推翻該行政命令。惟英國下議院外交事務專責委員會(Foreign Affairs Select Committee)主席表示,英國不會將關鍵基礎設施轉移給一家與中國政府有明確往來的公司,以確保其戰略資產不會因短期利益而落入獨裁國家手中;並補充說明,此一決定亦代表英國政府將更重視國家安全,同時避免具有領先地位的科技公司與研究落入競爭對手。