新加坡個人資料保護委員會針對企業蒐集、使用、揭露永久居留證(NRIC)號碼提出新的諮詢指引
考量各行各業的從業習慣及民眾對企業蒐集、使用、揭露永久居留證(National Registration Identification Card, NRIC)號碼之看法,新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於2017年11月提議修改個人資料保護法的諮詢指引(Advisory Guidelines on the Personal Data Protection Act ),明確界定企業蒐集、使用、揭露NRIC及其號碼之範圍。
依據舊的諮詢指引,新加坡個人資料保護法允許企業在基於合理特定目的並依法獲得當事人有效同意之情況下,蒐集、使用或揭露NRIC號碼。因此,不少企業活動習慣蒐集利用民眾的NRIC號碼,包括零售商店所舉辦的抽獎活動。然而,在PDPC提出新的諮詢指引後,企業可蒐集利用NRIC號碼的情況受到大幅限縮。
由於NRIC號碼與個人資訊息息相關且具不可取代性,無差別地蒐集利用將增加資料被用以從事非法活動之風險,故新的諮詢指引闡明,原則上企業不應蒐集、使用或揭露個人NRIC號碼或複印NRIC,除非有下列兩種例外情況之一:(一)法律要求;(二)為確實證明當事人身分所必要。第一種例外情況,雖因法律要求無須取得當事人同意,但企業仍應踐行告知義務,使當事人知悉NRIC號碼被蒐集、使用或揭露之目的,並確保企業內已採行適當安全措施,防止NRIC號碼被意外洩漏。第二種例外情況則仍須就NRIC號碼的蒐集、使用或揭露取得當事人同意,除非符合個人資料保護法規定下毋庸取得當事人同意之例外(如急救等緊急狀況)。
此外,PDPC針對得蒐集、使用或揭露NRIC號碼或複印NRIC的情況,以情境案例方式於諮詢指引中說明供企業參考,另給予12個月的審視期間,使企業得修正組織內部政策並尋找可行替代方案。
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017)
- PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017)
- Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017
- New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA
張腕純
組長 編譯整理
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Proposed Advisory Guidelines on the Personal Data Protection Act for NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/public-consultation-6---nric/proposed-nric-advisory-guidelines---071117.pdf?sfvrsn=4 (last visited Nov. 20, 2017).
PERSONAL DATA PROTECTION COMMISSION SINGAPORE [PDPC], Advisory Guidelines on the Personal Data Protection Act for Selected Topics: NRIC Numbers (2017), https://www.pdpc.gov.sg/docs/default-source/advisory-guidelines---selected-topics/ch-6---nric-(20170328).pdf?sfvrsn=2 (last visited Nov. 20, 2017).
Irene Tham, Watchdog Seeks Stricter Protection of NRIC Data, THE STRAITS TIMES, Nov. 8, 2017, http://www.straitstimes.com/tech/watchdog-seeks-stricter-protection-of-nric-data (last visited Nov. 20, 2017).
New Guidelines Proposed on Use of NRIC Numbers by Companies, CHANNEL NEWSASIA, http://www.channelnewsasia.com/news/singapore/guidelines-on-nric-numbers-companies-9382290 (last visited Nov. 20, 2017).
2016年10月27日,FCC依據傳播法案(Communication Act)第222條通過《寬頻用戶隱私保護規則》(Rules to Protect Broadband Consumer Privacy, 下稱2016 Privacy Order)。2016 Privacy Order主要包含以下三點: 選擇加入(Opt-in):當使用或分享消費者之「敏感資訊」,須事先取得消費者明確之同意。「敏感資訊」包括精確的地理定位資訊、財務資訊、健康資訊、孩童資訊、社會安全號碼(Social Security Number, SSN)、網站瀏覽與應用程式使用紀錄,以及通訊內容。 選擇退出(Opt-out):對於符合消費者期待的「非敏感資訊」,除非客戶Opt-out,ISP業者皆能在未取得消費者事先同意之情況下自由使用與分享。例如電子郵件位址與服務介面資訊(service tier information)。 例外:推定客戶會同意之資訊,例如在客戶與ISP業者建立關係後,不須額外取得寬頻服務或計費之同意。 2016 Privacy Order通過後受到ISP業者大力抨擊,尤其是網站瀏覽與應用程式使用紀錄亦須取得消費者事先同意之部分,其認為如此可能扼殺電子商務發展,消費者亦可能被不必要的警示轟炸。由於2016 Privacy Order引起諸多不平,因此通過後半年,美國參議院與眾議院分別於2017年3月投票廢止,總統並於4月3日正式簽署此份國會審查法案(Congressional Review Act)。 廢止《寬頻用戶隱私保護規則》之原因為,消費者之個人資料雖可受到保護,但該規則僅適用於寬頻服務提供者與其他電信供應商,並不包含網站與前端服務(edge services)。是以僅ISP業者受到較嚴厲之管制,其餘網路服務則由FTC管轄,而FTC對隱私權之規範較為寬鬆,因此可能發生提供不同服務的兩家業者使用同一份客戶資料,受到的管制程度卻不同之情形。 贊成2016 Privacy Order之議員與消費者自助組織(consumer-advocacy groups)表示ISP業者應受到較嚴厲之規範,因消費者能輕易在網站間轉換,卻不能輕易更換ISP,且ISP得以取得消費者在所有網站上之瀏覽資料,但如Google與Facebook等大廠雖非ISP業者,卻亦能取得不限於自身網站的客戶瀏覽資料。 由於《寬頻用戶隱私保護規則》已正式廢止,FCC將不得再通過其他相同或實質上相同之規範,對ISP業者之管制回歸《傳播法案》第222條,亦即,對於網站瀏覽與應用程式使用紀錄之使用或分享,不須取得客戶之事先同意。
英國歌手催生新的著作權法2006年12月7日星期四在金融時報全版的廣告上,知名歌手U2、Kaiser Chiefs與大約四千個樂團,共同連署呼籲英國政府支持修正英國的著作權法,延長音樂著作權的保護期限。 英國著作權法的保護期限目前規定為50年,較美國著作權保護期限95年短,許多音樂著作人怕在有生之年會失去他們的音樂著作權。因此,英國的唱片工業((BPI, British Phonographic Industry)已經進行推動修改英國著作權法,希望延長英國著作權法保護期限,但有政府智慧財產權意見書卻建議政府維持原本英國著作權法之規定。 政府智慧財產權意見書的作者,安德魯高爾說,延長音樂著作權的保護期限超過50年,只會有利於已經很有錢的少數知名巨星。 錄音製品播放版權有限公司的發言人,肯尼斯哈瑞斯表示,那些音樂著作人採取在廣告版面上表達他們的訴求,是因為他們關切得著作權議題,竟然不被重視,所以想用這項空前的舉動,來支持修正英國著作權法,延長著作權保護期限。 延長著作權期限的議題不僅僅只是對巨星高要求的特殊待遇,而是必須讓那些難以維持生計的音樂著作人能被法律公平的對待。
美國參議員提案規範物聯網設備之資安漏洞美國參議員2017年08月01日提案立法,要求提供給美國政府的物聯網網路連結設備,須符合產業資訊安全標準,同時規範設備供應商,提供之設備必須可持續更新,不得含有無法更改參數的設定與不得具有任何已知安全漏洞。兩黨皆有參與提案參議員,共和黨為Cory Gardner和Steve Daines,以及民主黨的Mark Warner和Ron Wyden。 由於物聯網連結數持續成長,與物聯網相連的裝置與感應器,預計在2020年會超過200億台裝置,相關裝置的資料蒐集與傳輸,同時影響消費者與產業。當這些裝置在出廠時若預設無法更改的參數,即預設固定程式無法更新,則該裝置連接物聯網時,會因裝置無法更新程式,而可能產生資安漏洞,進而影響物聯網上其它連結設備之安全性。 2016至今,物聯網相關設備已被惡意阻斷服務攻擊(DDOS)影響相關網站、伺服器以及網路基礎設施提供者。 Warner等4位參議員提出的〈2017年物聯網資安改進法〉(Internet of Things (IoT) Cybersecurity Improvement Act of 2017)草案,主要關注: 聯邦政府採購的物聯網相關設備,須可持續更新、符合產業標準、不含無法更改內建參數的設定、以及不含已知安全漏洞。 行政管理和預算局(Direct the Office of Management and Budget ,OMB),須發展可供替代網路級(network-level)資安設備以供限制性資料處理。 國土安全部的國家保護和計畫局(National Protection and Programs Directorate)須向提供連線設備予聯邦政府的承包商,發布整合性的資安漏洞揭露指導原則。 免除資安研究人員基於誠實信用研究時,所揭露與資安漏洞有關之法規責任。 要求所有執行機構清點所有連結物聯網的設備。
荷蘭公私協力機制PPP自2012年來,荷蘭政府鼓勵荷蘭科學研究機構(Netherlands Organization for Scientific Research, NWO) 隸屬教育文化科學部(Ministry of Education, Culture and Science, OCW)積極推動與9大重要領域(Top Sectors)與企業相關研究的合作,NWO同時是政策實施機構也是創新研發機構。OCW每年資助約275億歐元在重要領域,其中有超過100億歐元在協助公私協力機制 ( Public-Private Partnerships, PPP)。近年來,OCW增加編列給NWO的預算,2014年增加2千5百萬歐元;2015-2017年增加7千5百萬歐元;2018年預計增加1億歐元。PPP 參與者為研究機構(例如大學機構、公私立研究機構)及民間企業(國內國外企業皆可)。主要規範依據NWO-Framework for Public-Private Partnership,合作後以聯盟(consortium)形式運作,聯盟成員間可以契約個別約定合作內容,但相關權利義務仍須遵循NWO-Framework for Public-Private Partnership。關於既有智慧財產權之使用方式,聯盟成員間須另外約定非無償使用。為實現該聯盟之研發目的, NWO為主要出資者時,可成為該研發成果之所有人或共有人,待研發成果運用及收益可以獲得妥善安排時,得將研發成果轉讓予能將研發成果運用效益最大化之人。原則上,參與PPP的企業並不當然有優先權可將該研究成果運用於商業用途,除非參與企業出資額幾乎達到整個研發支出的百分之百,且已簽訂研發成果書面授權或轉讓契約後,始能將該研發成果運用於商業用途。