澳洲隱私專員主張應從嚴認定個人資料去識別化

  澳洲隱私保護辦公室(Office of the Australian Information Commissioner, OAIC)專員今年(2016)4月發表聲明認為,在符合特定條件之情形下,亦即,去識別化過程符合OAIC認定之最高標準時,去識別化後之資料不適用「1988隱私法案」(Privacy Act);澳洲企業組織目前所進行之個人資料去識別化,是否已符合「1988隱私法案」之規範要求,OAIC仍持續關注。OAIC近期準備提出去識別化認定標準之指引草案。

  澳洲「1988隱私法案」揭示了「澳洲隱私原則」(Australian Privacy Principles, APPs),就非公務機關蒐集、利用、揭露與保存設有規定,APPs第6條更明文限制非公務機關揭露個人資料,於特定情況下,APPs允許個人資料經去識別化後揭露。例如,APPs第11.2條規定,若非公務機關當初之蒐集、利用目的已消失,須以合理方式將個人資料進行銷毀或去識別化。

  如非公務機關係合法保有個人資料,即無銷毀或去識別化義務;此外,若所保有個人資料屬健康資料者,因係澳洲政府機關以契約方式委託非公務機關,非公務機關亦無銷毀或去識別化義務。應注意者,APPs原則上禁止非公務機關基於學術研究、公共衛生或安全之目的,主動蒐集個人健康資料 (APPs第16B(2)條),同時亦禁止基於學術研究、公共衛生或安全目的,就保有之個人資料進行去識別化 (APPs第16B(2)(b)條)。如非基於前述目的,且符合APPs第16B(2)條之要件者,非公務機關始得基於研究、公共衛生或安全目的蒐集個人健康資料 (APPs第95A條)。

  其他如「稅號指引」(Tax File Number Guidelines)、隱私專員所提「2014隱私(財務信用有關研究)規則」(Privacy Commissioner’s Privacy (Credit Related Research) Rule 2014) 等,均就個人資料去識別化訂有相關規範。

  未來以資料為導向之經濟發展,將需堅實的隱私保護作為發展基礎,澳洲去識別化個人資料認定標準之提出,以及標準之認定門檻,殊值持續關注。

相關連結
※ 澳洲隱私專員主張應從嚴認定個人資料去識別化, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&i=156&d=7256 (最後瀏覽日:2025/07/04)
引註此篇文章
你可能還會想看
美國國際消費電子展研討會討論有關打擊專利蟑螂議題

美國政府管考辦公室提出醫療產業資訊化政策評價報告

  美國之政府管考辦公室( Government Accountability Office )針對聯邦政府推動醫療產業導入資訊應用之相關措施及作為,九月初向參議院政府再造委員會( Committee on Government Reform, House of Representatives )下轄之聯邦人事暨組織次委員會( the Subcommittee on Federal Workforce and Agency Organization )提出報告,綜合回顧 2004 以來之各項政策宣示及執行規劃,指出目前猶有未足之處以及今後適宜更加留意之方向。   簡言之,醫療產業導入資訊應用,可望帶來降低營運成本,提升經營效率,防免發生過誤,維護病患安全等諸多實益,已為各界所共認。另由於聯邦政府介入醫療產業之程度與影響層面既深且廣,不僅本諸規制角度主管產業,更推動諸多施政,投入大量資金,提供老人、傷殘、兒童、低收入戶、原住民、退伍軍人、退休公職人員等不同社會族群各式相關服務,從而責成聯邦政府領銜推動醫療產業導入資訊應用,藉此提升醫療之品質及效率,應屬妥適。   自 2004 年提出行動綱領以降,聯邦政府即已陸續接櫫各項目標及其實施策略,並區分病歷資料格式、傳輸互通標準、網路基礎架構、隱私安全議題、公衛服務整合等面向分別開展,獲致相當成效。惟據管考辦公室之分析,既有之政策措施及各項作為,似乏詳盡之細部規劃及具體之實踐要項可資遵循,亦無妥善之績效評比指標以利參考。由是觀之,迄今之努力及其成果固值稱許,然就 2014 年普遍採用電子病歷並且得以交流互通之願景而言,還有很多需要努力的地方。

德國法院針對GEMA控告YouTube判決出爐

  德國漢堡地方法院4月20日針對GEMA控告YouTube一案作出判決(Az. 310 O 461/10),確認影片平台業者著作權法上之義務,預料將為兩造授權金協議過程的僵局,造成一定影響。   本案原告GEMA主張被告YouTube應採取措施,阻止其享有權利之12個影音檔案,繼續透過YouTube平台在德國境內流通。而本案的爭點即在於:對於YouTube平台上由網友上傳、且涉嫌侵害著作權的影片內容,被告移除及防止侵害的責任範圍究竟多大。   本案法院認為,因被告本身並非將違法內容上傳之行為人,無法以德國電信服務法(TMG)第7條規定,課予其侵權行為人責任(Täterhaftung)。但被告因提供、經營平台,對著作權侵害有所「貢獻」,故法院依TMG第10條規定,認定被告YouTube僅在知悉特定侵權情事的情況下,才負擔移除或阻斷網路接取的義務;而當平台業者收到著作權侵害的通知後,便須立即阻斷涉嫌侵權的影片,並採取合理的措施,防止侵權行為再發生。然而,法院也強調,平台業者只負擔「合理」的檢查及管控義務,故平台業者毋須逐一檢視所有已上傳的影片。   按本案法院見解,所謂合理的措施,包括YouTube須利用其所研發的「內容識別系統Content-ID」,防止特定的侵權內容再次發生。另YouTube也負擔加裝文字過濾軟體的義務,以杜絕含有特定標題或關鍵字之影片上傳至平台。   據了解,雙方均發表聲明對此判決結果表示肯定。除原告得以主張其所享有的著作權外,YouTube也認為法院明確界定影視平台業者應作為的義務範圍。但對原告GEMA來說,重點在如何透過訴訟程序對YouTube施壓,重啟授權金的談判。兩造後續對長久來授權金計算公式的歧異將如何達成共識,值得關注。

AT&T 控告資料掮客非法竊取客戶通話紀錄

  AT&T 在 8 月 24 日 控告 25 個販賣資料的掮客( data broker ),在其訴狀中指出大約有 2500 個客戶的個人紀錄被非法竊取, AT & T 已通知相關客戶已被通知並凍結其帳戶。   AT&T 並未於訴狀中明確地列出被告的名字,表示目前必須利用電腦郵件以及電腦 IP 位址來確認被告為哪些人, AT&T 宣稱一旦這些資料掮客經鑑定被確認後,除了賠償 AT&T 的損害之外,還須償還其販賣資料所獲得的不法利益。   PrivacyToday.com 網站的總裁表示,「買資料的人無處不在,但只有少數的人會非法竊取客戶資料,而這少部分的人大多都可以被追蹤的到。」   這並非唯一的案例,未來將會有越來越多相似的問題產生。被竊取的資料不僅僅只有電話紀錄,還有銀行、醫療或其他個人敏感資料,每分每秒都有人在想著如何取到私密資料並從中獲得不法利益。目前州及聯邦已經考慮立法,將有關電話紀錄的欺騙行為判定為不法行為。

TOP