美國羅德島州通過《羅德島資料透明度與隱私保護法》,保護個人資料不被濫用,該法案將於2026年1月1日生效
隨著網路蓬勃發展,個人資料之蒐集、處理及利用越來越普遍,同時也造成資料洩漏和濫用的問題日益嚴重,進而對隱私和個人資料構成侵害與威脅,為保障人民隱私和增強資料透明度,羅德島州州議會於2024年通過了一項具有里程碑意義的法律—《羅德島資料透明度與隱私保護法》(Rhode Island Data Transparency and Privacy Protection Act)。其核心內容包括以下幾個方面:
一、 適用對象:於羅德島州州內經營商業之營利組織(下簡稱企業),或主要生產製造商品、提供服務予該州居民之企業,且:
1. 在前一年度控制或處理超過三萬五千筆個人資料(personally identifiable information)者,但單純為完成付款交易之資料除外。
2. 控制或處理超過一萬筆個人資料,且總營收超過百分之二十係源自於銷售個人資料者。
二、 資料蒐集企業與資料當事人權利義務:
1. 選擇同意與退出權:前開適用對象應賦予資料當事人即消費者就其個人資料之蒐集、處理,行使選擇同意權(opt in)與退出權(opt out)。
2. 資料蒐集與利用透明度:要求企業蒐集個資前,須明確告知資料當事人蒐集目的、利用範圍以及可能的資料共享對象,並取得其同意。
3. 控制權:資料當事人有權向企業請求查詢、修改及刪除自己的資料,企業在接到請求後,必須即時處理該請求,並於45天之法定期限內准駁其請求;必要時得於通知當事人合理事由後,展延一次。
4. 安全維護措施:企業必須採取適當之安全維護措施來保護個人資料不受未經授權的近用、洩漏、竄改或毀損。前述措施,包括但不限於資料加密、權限管控等技術上管控措施。
5. 資料保護評估:企業須就「對消費者傷害風險較高」活動進行評估並保存文件化紀錄,包括:
(1) 為精準行銷之目的(Targeted Advertising);
(2) 銷售個人資料;
(3) 為資料剖析之目的處理個人資料,且具合理可預見的風險將可能對消費者之財務、身體或名譽造成不公平或欺騙性的待遇,或非法的衝擊影響。
《羅德島資料透明度與隱私保護法》強化企業對資料隱私保護之責任,並督促其遵守法律要求。預計施行後將能加強對資料主體個人資料知情權、控制權、透明度及資料安全之保障。
- (已額滿)114年「企業營業秘密保護實務座談會」(北部場)–營業秘密因應數位環境之保護風險及管理對策
- 數位經濟時代的隱私保護與商機-CBPR跨境隱私規則體系解析
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(實體)
- 2025科技研發法制推廣活動— 科專個資及反詐騙實務講座(直播)
- 零售業個資安全宣導暨安全維護計畫說明會(高雄場)
- 零售業個資安全宣導暨安全維護計畫說明會(台中場)
- 【台北場1】通訊傳播事業個資法遵教育訓練
- 【台中場】通訊傳播事業個資法遵教育訓練
- 【新北場】通訊傳播事業個資法遵教育訓練
- 【高雄場】通訊傳播事業個資法遵教育訓練
- 【台北場2】通訊傳播事業個資法遵教育訓練
- 114年「企業營業秘密保護實務座談會」(南部場)
- 114年「企業營業秘密保護實務座談會」(中部場)
- 零售業個資法遵實務與資訊安全說明會
- 114年資訊服務業者個資安維辦法宣導說明會
- 【線上】資訊服務業個資安維計畫說明會
- 【實體】資訊服務業個資安維計畫說明會暨交流工作坊
- 零售業個資法遵實務與資訊安全說明會(台中場)
- 【台北場1】通訊傳播事業個資保護實務專題講座
- 【台北場2】通訊傳播事業個資保護實務專題講座
- 【台北場3】通訊傳播事業個資保護實務專題講座
- 金融相關資服業者線上個資安維宣導說明會
- 【上午場】探索科技法律最前線:資策會科法所「114年成果」分享會暨簡報票選
- 商業服務業個資管理與資訊安全實務宣導說明會(高雄場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台南場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台中場)
- 商業服務業個資管理與資訊安全實務宣導說明會(台北場)
- 【北部場1】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場2】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場3】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【北部場4】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【南部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
- 【中部場】國家通訊傳播委員會與通訊傳播產業個人資料保護與管理制度實務工作坊
劉姵伶
副法律研究員 編譯整理
Rhode Island Data Transparency and Privacy Protection Act - Rhode Island General Assembly, State of Rhode Island, https://legiscan.com/RI/text/S2500/2024 (last visited Sept.6, 2024).
Rhode Island's comprehensive privacy bill raises patchwork misalignment concerns, International Association of Privacy Professionals, https://iapp.org/news/a/omissions-misalignment-raise-questions-with-rhode-island-s-comprehensive-privacy-bill (last visited Sept.6, 2024).
.Pindent{text-indent: 2em;} .Noindent{margin-left: 2em;} .NoPindent{text-indent: 2em; margin-left: 2em;} .No2indent{margin-left: 3em;} .No2Pindent{text-indent: 2em; margin-left: 3em} .No3indent{margin-left: 4em;} .No3Pindent{text-indent: 2em; margin-left: 4em} 2024年11月底,澳洲政府通過了2024年網路安全法(Cyber Security Bill 2024),期許藉由制定專法,保護澳洲現在與未來的網路環境。 2024年網路安全法主要包含以下內容: 1. 制定並落實全境智慧型裝置之最低網路安全標準。過往澳洲智慧型裝置不受任何強制性網路安全標準或法規約束,該法通過後,將能有效提升消費者網路安全。 2. 研搜對抗網路勒索軟體活動之資訊。澳洲政府不鼓勵企業在遭遇勒索軟體攻擊時支付贖金,因為支付贖金不僅鼓勵網路犯罪,更不能保證資料的恢復或機密性。然目前澳洲政府並未立法禁止支付贖金之行為,僅於2024年網路安全法要求關鍵基礎設施或營業額達定一定門檻之企業,假若不幸遭受勒索軟體攻擊,並決定支付贖金,須於72小時內向主管機關通報。 該通報義務是為幫助主管機關即時掌握勒索活動資訊,快速制定應對策略,並開發有利業界執行網路防禦的工具和資源,破壞勒索軟體獲利模式。依目前規定,報告內容將包含勒索金額、支付對象、支付方法等資訊。 3. 鼓勵企業分享網路安全資訊。2024年網路安全法為鼓勵企業與政府共享網路安全事件資訊,限制國家網路安全人員存取前揭資訊之目的,如不得利用企業自願提供之網路安全事件資訊調查企業違規行為,除非符合2024網路安全法規定之例外情況。 4. 建立網路事件審查委員會(Cyber Incident Review Board)。該委員會作為獨立機構,負責對重大網路安全事件進行有無過失之事後審查,並為政府和產業提供建議,以確保各方利害關係人能夠從網路安全事件中吸取教訓。 2024年網路安全法的制訂,顯示澳洲政府為強化網路安全付出諸多努力,該國政府期許透過該法保護澳洲人免受網路安全威脅。
論數位環境下個人資料保護法制之發展與難題-以「 數位足跡」之評價為核心 加州通過學生線上個人資料保護法案(the Student Online Personal Information Protection Act)隨著越來越多學校使用線上教育技術產品發展教學課程,並透過第三方服務提供者之技術蒐集學生的學習進度等相關資訊,資訊洩漏、駭客入侵、敏感資訊誤用或濫用等問題也因應而生。於2014年9月30日,加州州長Jerry Brown宣布幾項對加州居民隱私保護具有重要突破的法案,其中最引人關注的便是編號SB1177號法案,又稱學生線上個人資料保護法案(the Student Online Personal Information Protection Act,簡稱SOPIPA)。 SOPIPA禁止K-12學生線上教育服務經營者(operator)為下列行為,包括:(一)禁止線上教育服務經營者利用因提供服務所得之個人資料為目標行為(targeted marketing)、(二)禁止線上教育服務經營者基於非教育目的,運用因提供服務所得之個人資料為學生資料之串檔、(三)販賣學生之資訊、以及(四)除另有規定,禁止披露涵蓋資訊(covered information)。所稱之涵蓋資訊係指由K-12教育機構之雇員或學生所提供或製作之個人化可識別資訊(personally identifiable information),或是線上教育服務經營者因提供服務所得之描述性或可識別之資訊(descriptive or identifiable information)。 此外,SOPIPA線上教育服務經營者應採取適當安全的維護措施,以確保持有之涵蓋資訊的安全。同時,線上教育服務經營者應在有關教育機構的要求下,刪除學生之涵蓋資訊。 SOPIPA預計於2016年1月1日生效,將適用於與K-12學校簽有契約之大型教育技術與雲端服務提供者,同時也將適用於未與K-12學校簽署契約,但為該學校所使用之小型K-12技術網站、服務或APP等等。
基改小麥事件爆發 基改標示議題再上火線基因改造食品的安全性,向來引起全球關注,各界爭議不休。美國農業部在上(5)月29日公開表示,在奧勒岡州(Oregon)的私人農場中發現基因改造小麥,這是否屬於單一個案,還是意味著基改防線已有所瓦解,對於美國基改管理體系具有重大意義。以目前而言,美國尚未核准任何基因改造小麥。 美國是全球最大的小麥供應國,每年有4000萬噸小麥輸入亞洲;其中,日本更是美國最重要的海外市場。在本案爆發之後,日本於第一時間暫停來自美國西北的小麥進口至美國境內,這股緊張氣氛預計將快速漫延至其他亞洲國家。 事實上,在這事件同時,於綠色和平(green peace)及其他NGO團體串聯下,全球200萬民眾走上街頭,抗議美國孟山都(Monsanto)及其研發的基因改造食品,包括美國、加拿大、阿根廷等,估計共有52國、436個城市響應,一齊表達對於基因改造食品的不安感。在基因改造食品的長期爭議下,美國有若干州考慮採取立法管制,特別是要求基因改造作物或產品必須要標示清楚,以保護消費者的權益。最新的進展是,在本(6)月4日,康乃迪克州(Connecticut)議會以134比3,通過基因改革食物法案,要求各項食物必須明確標示是否含有基因改造成分。在這之後,緬因(Maine)州也立即跟進,以141比4通過類似的基改標示法案。而案件爆發地–奧勒岡州,則還沒有進一步消息。