壹、前言

有鑑於資訊流通的氾濫以及隱私權保護意識日益高漲,立法院於

民國99年5月26日修正通過個人資料保護法(其前身為電腦處理個人資料保護法),並於101年10月1日施行(除第6條及第54條外),施行迄今已3年餘之時間,由於規範上未盡完善,確實造成企業乃至個人在接觸個資時的疑問及恐慌,亦對於企業主在運用客戶乃至於員工之個人資料上產生許多的影響,故本文謹將新法之相關規定分為五個面向,即保護主體、保護客體、運用方式、相關義務及罰則部分略作介紹,提供參考,避免於無意間觸犯本法之規定而衍生訟爭。

貳、新法解析

一、  在保護主體上(§2 1 、施行細則§2)

  本法第2條第1款對於個人資料的定義,即明示指 自然人之姓名

、出生年月日等得以直接或間接方式辨識該個人之資料;於本法施行細則 [1] 第2條更進一步界定:「本法所稱個人,指現生存之自然人。」將保護主體限於現生存之自然人,此查該條修法理由表示「本法立法目的之一為個人人格權之隱私權保護,唯生存之自然人方有隱私權受侵害之恐懼情緒及個人對其個人資料之自主決定,故增加『現』字以

為明確。」即可得知。

    總結上述,本法所保護之主體為現生存之自然人,而不包括法人、已死亡或未出生之自然人,然而在運用上開非本法保護主體之資料,雖無本法之適用,但是否會涉及民法、營業秘密法等其他法律之規定,則屬二事,必須注意。

二、  在保護客體上(§2 1 、§6、施行細則§3、§4)

  本法在第2條第1款規定:「個人資料:指自然人之姓名、出生

年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病例、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」(按:底線部分為本法新增)。亦即,本法新增了特種資料之保護及規範。

    又,本法新增的特種資料在運用(蒐集、處理及利用)上依本法第6條之規定,有更嚴格之限制,換句話說,除非是法律明定或履行法定義務所必要,非公務機關或學術研究機構之企業主,是不能蒐集、處理及利用個人未自行公開或其他未合法公開之特種資料。

    其次,在概括規定上,施行細則第3條進一步說明所謂以間接方式識別該個人之資料,指僅以該資料不能(直接)識別,須與其他資料對照、組合、連結等,始能識別該特定個人者。立法理由謂「由於社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,因而本法第2條第1款個人資料之定義,已將『其他足資識別該個人之資料』修正為『其他得以直接或間接方式識別該個人之資料』,為明確間接方式識別該個人之資料之意義,爰為本條之規定。」例如:藝名(如小S、陶子)、筆名(如幾米、九把刀)等。

三、  在運用個人資料之方式上(§1、§2 3 4 5 6 、§5、§7、§19、施行細則§11、§12、§22、§23)

  本法第1條開宗明義表示,係為規定個人資料之 蒐集處理

,再觀第2條第3至6款之規定,吾人可將本法所規定之運用步驟圖示如下:

蒐集(取得) ---> 國內 ---> 處理(ex.建檔) ---> 利用

                                            │                                │

(第3款)   --> 國外 --  (第4款)            (第5款)

               (第6款)

    而企業在為上開蒐集、處理及利用個人資料時,必須符合第5、19條之規定,亦即必須基於特定目的且方法必須符合誠信原則及與目的間具有正當合理之關聯 [2] 。此外,尚須符合本法第19條第1項各款情形之一,其中與企業較相關者為與當事人有契約或類似契約之關係(第2款)、當事人自行公開或其他已合法公開之個人資料(第3款)、經當事人書面同意(第5款)、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限(第7款)。須特別說明的,在於當事人書面同意,依本法施行細則第11條之規定,意思表示之方式,如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之;再配合施行細則第13條之規定,因此企業得以電子文件之方式,告知並向當事人說明蒐集資料之特定目的,且得提供當事人電子方式回傳或通知其書面同意企業,對於企業而言,不失為簡便、經濟的方式。

四、  在企業主之相關義務上(§8~§13、§19、§27、§54、施行細則§8、§9、§13、§15、§18)

    在新法之下,蒐集個人資料之人(包含公務與非公務機關)有以下義務:告知義務(§8、§9、§54、施行細則§13)、通知義務(§12、§13、施行細則§18)、答覆提供義務(§10)、更正補充義務(§11Ⅰ、施行細則§15)、刪除義務(§11Ⅳ)、合理使用義務(§19)、維安保密義務 [3] (§27、施行細則§9)、監督義務(施行細則§8)。

    另外,最受爭議者,乃係第54條之補行告知義務,依該條規定:「本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。」亦即,企業對於間接搜集之個人資料,必須於施行後一年內完成補行告知之動作,否則即視為違反本法第9條之規定,將被處以罰鍰。

五、  在違反義務之罰則上(§41、§42、§47~§50)

(一)  違反(1)特種資訊之處理、(2)蒐集之特定目的、(3)主管機關限制國際傳輸之命令或處分:

 刑事上(第41條):

 足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新台幣二十萬元以下罰金。意圖營利而犯之,處五年以下有期徒刑,得併科新台幣一萬元以下罰金。

     行政上(第47條):

      由中央目的事業主管機關或直轄市、(縣)市政府處新台幣五萬元

      以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處

      罰之。

(二)  意圖自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者:

刑事上(第42條):處五年以下有期徒刑、拘役或科或併科新台幣一百萬元以下罰金。

(三)  違反(1)告知義務、(2)答覆提供義務、(3)更正補充義務、(4)刪除義務、(5)通知義務、(6) 維安保密義務,或於當事人拒絕接受行銷時未停止者:

       行政上(第48條):由中央目的事業主管機關或直轄市、(縣)市政府限期改正,屆期未改正者,按次處新台幣二萬元以上二十萬元以下罰鍰。

(四)  對於中央目的事業主管機關或直轄市、(縣)市政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查或其他必要之檢查,規避、妨礙或拒絕者:

行政上(第49條):中央目的事業主管機關或直轄市、(縣)市政府處新台幣二萬元以上二十萬元以下罰鍰。

(五)  非公務機關之代表人、管理人或有代表權人,因該非公務機關依前三條(第47~49條)規定應受罰鍰處罰時,除能證明已盡防止義務者,應並受同一額度罰鍰之處罰。(第50條)

參、結語

    個人資料保護法於民國99年修正通過並於101年施行後,在實務運作上確實有其窒礙之處以及矯枉過正的問題,對此法務部也做出許多解釋令,試圖減緩其對於機關及民眾之衝擊與不合理限制;然而,無論如何,法律既已通過施行,且個人資料之保護勢必將越來越受到重視,對於個人資料之使用,除了自然人(無論是被使用者或將他人個人資料單純用於個人或家庭活動者)應對於自身之權益及行為有所了解外,在企業方面,更應該注意新法之適用範圍及作為義務,以免觸犯本法之規定而需負擔刑事或行政責任,尤其新法已刪除舊法(原電腦處理個人資料保護法)中對非公務機關行業別之限制,因此適用個資法之民間行業或團體,不再僅限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八類行業。然因本文僅以受規範者之立場解析此次修法中與企業經營有關之部分,其他重要部分之修正,如團體訴訟、自然人單純目的使用等則待將來另撰文說明。



[1] 中華民國101年9月26日法務部法令字第10103107360號令修正發布名稱及全文33條;並自101年10月1日施行。

[2] 例如大型金融體中常有兼營存款、證券、保險等複數業務,業者基於其中一業務需求所取得之資料,不得為經當事人同意即提供予其他業務單位使用。

[3] 「個人資料保護法上路 企業人資當心了!」,http://tw.news.yahoo.com/%E5%80%8B%E4%BA%BA%E8%B3%...

arrow
arrow
    全站熱搜

    pinliulaw 發表在 痞客邦 留言(0) 人氣()