//
you're reading...
本月專欄

新法瞭望台: 論新修正「個人資料保護法」及新公布「個資法施行細則草案」對企業之影響

作者: 吳筱涵律師、張瑩燕顧問  2012/01/12

 

一、新修正「個人資料保護法」

立法院於99年4月27日三讀通過修正「電腦處理個人資料保護法」,並將法規名稱變更為「個人資料保護法」(下稱「個資法」),而法務部也在100年10月27日於官方網站公布個資法施行細則草案,準備蒐集各界建議,之後送行政院審查。

 

電腦處理個人資料保護法自民國84年通過施行,此為第一次且大幅之修正。本次修正之主要內容有:將所有非公務機關,不分行業,均納入個資法適用對象、擴大個人資料之範圍、增訂非由當事人提供個人資料之處理方式、民事賠償責任金額限制及公益團體代表訴訟、行政監督與違法處罰強化。

 

請參考新舊個資法適用銜接時間表:

 

針對非公務機關

 

八大行業+99年前已指定之行業

 

 

 

 

    無店面零售業(網路、型錄、電視購物)

 

 

 

 

    其他行業

 

 

 

上表資料出處:資策會

 

以下為此次個資法修正主要內容:

 

1.    將所有非公務機關,不分行業,均納入個資法適用對象

 

依據新修正之個資法,所有的公務機關與非公務機關均須受個資法之規範。原電腦處理個人資料保護法僅公務機關、該法中所列舉之徵信業等八大行業及法務部所公佈之非公務機關始受個資法之規範。個資法修正通過後,所有非公務機關,包括自然人、法人或其他團體,即應受個資法之拘束,並同時取消原先需事前取得執照與登記等規定

 

項目 舊法(現行法) 新法
適用主體 1.    公務機關

2.    非公務機關:徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業

3.    經指定之事業(需辦理登記或許可):無店面零售業(網路、型錄、電視購物)、百貨公司業、零售式量販業、私立就業服務機構、期貨業、不動產經紀業。

1.    公務機關新增行政法人

2.    非公務機關刪除行業限制,包括自然人、法人或其他團體。同時取消原先需事前取得許可或登記等規定。

 

 

2.    擴大個人資料之範圍

 

新修正之個資法亦擴大個人資料之範圍,將護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式及其他得以直接或間接方式識別個人資料,均納入個人資料之範圍。除符合法律規定外,任何人不得蒐集、處理或利用醫療、基因、性生活、健康檢查、犯罪前科等個人資料。縱依法可蒐集、處理或利用上開個人資料,亦應遵守中央目的事業主管機關及法務部所訂定資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法。

 

屬於個人資料範圍的「社會活動」定義相當廣泛,舉凡因職務所產生之個人與社交聯誼活動,例如社團活動、考試、職業訓練等,皆包含在內。而「財務情況」包括個人的消費資料、帳戶資訊、信用卡資料等。

 

項目 舊法(現行法) 新法
個人資料範圍 姓名、生日、身分證號碼、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動。 1.    除左列項目外,新增:醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式。

2.    醫療、基因、性生活、犯罪前科為特種資料,除符合法定要件外,原則上不得蒐集、處理、利用。

 

3.    增訂非由當事人提供個人資料之處理方式

 

公務機關及非公務機關向當事人蒐集個人資料時,應告知其名稱、蒐集之目的、個人資料之類別、利用個人資料之期間、區域、對象及方式、當事人得行使之權利及方式,及若無提供資料對其權益之影響。於非由當事人提供個人資料之情形,公務機關及非公務機關於處理或利用個人資料前,除前述告知事項外,原則上應告知當事人資料來源。就使用個人資料,原則上應經當事人同意,但若使用個人資料與公共利益有關,或個人資料取自於一般可得來源,且使用該資料有比保護個人資料更重大利益,則不在此限。此例外規定係為保障新聞自由所定。

 

4.    民事賠償責任金額限制及公益團體代表訴訟

 

如有不法蒐集、處理、利用或其他侵害當事人權益之情形,縱當事人不能證明其實際損害額時,當事人仍得請求法院依侵害情節,以每人每事件新台幣五百元以上二萬元以下計算,請求損害賠償。對於同一原因事實造成多數當事人權利受侵害之事件,合計最高損害賠償總額為新台幣二億元;但所涉利益超過新台幣二億元時,則以所涉利益為最高損害賠償額,且每人每事件之最低賠償額則不受最低新台幣五百元之限制。當事人行使權利,得授與訴訟實施權予財團法人或公益社團法人,由該等法人向違反個資法者,提起訴訟,請求損害賠償。

 

5.    行政監督與違法處罰強化

 

為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反規定之虞時,新法賦予中央目的事業主管機關或直轄縣市政府,於合乎比例原則之範圍內,得派員攜帶執行職務證明文件進入檢查,且可依據事實處以二萬至五十萬以下之罰鍰,且代表權人也可能受連帶處罰。如有意圖營利不法蒐集、處理、利用或其他侵害當事人權益之情形,罰金及刑罰最重可達一百萬元,五年以下有期徒刑

 

二、新公布「個資法施行細則草案」

 

法務部於100年10月27日公布個資法施行細則草案,此次草案對於企業相當關注的告知義務方式以及書面同意的形式皆做出規範。

 

1. 告知義務方式寬鬆,但業者須自行舉證已告知

 

在蒐集、處理或利用個人資料時,業者應告知當事人其資料被何人所蒐集、資料類別及蒐集目的等。個資法施行細則草案中,對告知形式的要求寬鬆,但業者需舉證已告知。依據規定,告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之。由於科技越來越進步,根據法務部法律事務司副司長之意見,許多的告知方式若為「一對一」的告知,不論什麼方式,例如網站的契約規範、電子郵件、簡訊、MSN即時通訊軟體或手機App通知,如WhatsApp等,皆可滿足告知當事人的規定。仍需注意,雖然施行細則所規範的告知方式相當寬鬆,不論告知方式為何,企業還是必須負起相關的舉證義務,故仍以能夠完整紀錄之告知模式為妥。

 

2. 書面同意可採電子方式,是否需憑證仍有爭議


    新版個資法規範書面同意指,當事人經蒐集者告知新版個資法所定的應告知事項,或者是經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,所做的書面意思表示。根據施行細則第11條規定,書面意思的表示方式,只要內容可完整呈現,且可以供日後查驗,經蒐集者與當事人同意後,可以採用電子文件的方式。目前仍有疑慮之處在於,所謂的電子文件是否必須完全符合電子簽章法的規範,例如是否必須有憑證才算是可以取代書面同意的電子文件?此點疑問仍待定法務部釐清。

 

針對企業之影響與因應措施

 

1.    在目前個人資料法尚未施行前,無店面零售業(網路購物及型錄購物)以及過往被指定之事業(例如,百貨公司業、零售式量販業、私立就業服務機構、期貨業、不動產經濟業)仍適用電腦處理個資保護法,唯一須注意之處,在過往以上所提及的行業均應規定辦理登記或許可並取得執照,現今因個資法已把此規定刪除,自2011年5月26日起,所有行業皆無需再辦理登記並取得執照。

 

2.    為配合新修訂個資法,建議企業採行初步因應措施如下:

 

I.    首要步驟:盤點保有之個人資料

 

為因應新版個人資料保護法之施行,本所建議企業可把握施行前的時間,預先針對企業個人資料進行盤點,例如:詳細區分個人資料取得來源,並了解資料的種類,公司蒐集個人資料時,確認是否為特定目的範圍內為利用,若涉及特定目的外之利用,是否可能取得書面同意亦或評估放棄該等特定目的外之利用等。企業做好相關調整準備,除避免相關責任外,更可透過主動因應個資議題,強化企業的形象,建立客戶的信心。

 

II.        建立適當之資料安全機制

 

對於個人資料傳輸、儲存、處理等流程,企業應當建立適當之資訊安全機制,防止個人資料遭受竊取、竄改、毀損、滅失或洩漏。同時需建立接觸、處理與應用個人資料之內部規則、管理相關流程與應變流程。

 

III.    強化人員認知並建立訓練機制

 

   企業應提供員工個人資料教育訓練課程、培訓專責資安及個資處理人員等。

 

IV.        建立當事人同意流程

 

設置當事人書面同意機制,例如選擇以紙本書面抑或電子文件方式以確認當事人同意,並且配合新修訂個資法擬定蒐集個資文件之同意條款,以及若企業所蒐集資料為特定目的範圍外利用,另需取得當事人單獨書面同意。此單獨書面同意並不是要求蒐集者應提出另一份個人資料蒐集同意書,而是要求個人資料蒐集者應於適當的位置,使當事人知悉個人資料蒐集之相關內容後並確認同意。

 

V.    建立當事人權利主張機制

 

新法賦予當事人要求閱覽、複製、更正、補充、刪除其個人資料之權利,企業需設立相關程序或窗口,供當事人行使前開權利,並建立當事人行使前開權利之處理方式,詳細擬定評估當事人之要求合理性及提供員工與當事人之應對話術,例如:當事人要求刪除全部個人資料時,客服人員應如何回應與處理始符合企業需求,並平衡當事人之權益?如當事人之資料有錯誤或變動時,企業是否有程序得以盡快掌握並主動更正;於特定目的消失或實現屆滿時,企業是否有適當程序確保該個人資料將在適當期間內被停止蒐集、處理、利用或刪除、銷毀等?或是企業是否已主動與當事人約定使用或保留期限等。

 

VI.        確認是否有必須對當事人補充告知義務之情事

 

企業需確認是否目前有非向當事人蒐集所建立的顧客資料庫,若要繼續利用個該個人資料,必須在法案施行一年內補行告知。

 

修正之個資法將由行政院訂定施行日期。施行後,各企業保有個人資料時,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,是各企業宜針對個人資料之蒐集、處理及利用制定相關規定,以避免因未妥善保有個人資料,而應負擔法律上之損害賠償責任,造成企業利益之損失。

 

若您對上述法令修正或適用、與如何調整企業內部之各項契約或文件以符合新修正之個資法,有任何進一步之疑問或興趣,請不吝與本所聯繫。

 

聯繫電話:             +886 2 2377 1858

電子郵件:  service@zhongyinlawyer.com.tw

討論

仍無迴響。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

%d 位部落客按了讚: